تحديثات لأمن المعلومات: دليل إرشادي جديد لتطوير مواقع الويب الحكومية في سوريا

أصدرت الهيئة الوطنية لخدمات تقانة المعلومات الإصدار الثالث من دليل الإجراءات الاسترشادية لتطوير مواقع ومنصات الويب الحكومية. وأعلنت وزارة الاتصالات وتقانة المعلومات عبر حساباتها الرسمية أن هذا التحديث يأتي نتيجة للمراقبة والفحص الدوري للمواقع الحكومية الذي تقوم به الهيئة.

يهدف الدليل إلى توفير إطار عمل شامل وموحد للجهات الحكومية لتطوير مواقعها ومنصاتها الإلكترونية المختلفة، وذلك بالاعتماد على أحدث المعايير والممارسات العالمية والاستفادة من خبرات الهيئة في مجال الخدمات الإلكترونية للجهات العامة. ويشمل الدليل إرشادات يمكن الاعتماد عليها في جميع مراحل تطوير الموقع أو المنصة، مع التركيز على التصميم، والتطوير، والإدارة، والتشغيل، والمحتوى، والهوية البصرية، وأمن المعلومات، وحماية الخصوصية، ومعايير الاستضافة. وقد أرفقت الوزارة رابطًا لتحميل الدليل في قسم التشريعات على موقعها الرسمي.

أمان المواقع الحكومية وزيادة موثوقيتها

يهدف الدليل إلى توفير معايير وإرشادات لتطوير وإدارة المواقع الإلكترونية الحكومية، بهدف تحسين الجودة والموثوقية والدقة وسهولة الوصول إلى معلومات الجهات الحكومية والتفاعل معها عبر الإنترنت، وضمان تجربة مستخدم متسقة. ويتحقق ذلك من خلال:

• ضمان أمن مواقع الجهات الحكومية وحماية البيانات الموجودة عليها وبيانات المواطنين.
• ضمان تحديث مواقع الجهات الحكومية والحفاظ على محتواها دقيقًا وصحيحًا ومتاحًا للاستخدام العام بشكل مستمر.
• التأكد من أن المواقع الحكومية سهلة الاستخدام ويمكن الوصول إليها من قبل المواطنين.
• ضمان الاتساق في التصميم وتسمية أسماء النطاقات لجميع مواقع الجهات الحكومية.
• توجيه ومساعدة العاملين في مجال تقانة المعلومات في تصميم وتطوير وإدارة وتأمين المواقع الإلكترونية الخاصة بجهاتهم.
• تمكين مستخدمي المواقع الحكومية من الوصول إلى معلومات موثوقة بطريقة تتفق مع أفضل الممارسات العالمية.

ويؤكد الدليل على ضرورة مراعاة جميع الجهات الحكومية لاحتياجات مجموعة واسعة من الزوار، بمن فيهم عامة الناس، والمتخصصون، والأشخاص ذوو الهمم، وأولئك الذين ليس لديهم إمكانية الوصول إلى التقنيات المتقدمة، وذوي الكفاءة المحدودة في اللغة الإنجليزية ومهارات تكنولوجيا المعلومات والاتصالات.

تعزيز أمن المواقع

يتضمن الدليل الخطوات اللازمة لتعزيز أمن الموقع من خلال اتباع أفضل الممارسات التقنية، وأهمها:

• التأكد من تحديث نظام التشغيل ومخدمات الويب وقواعد البيانات ونظام إدارة المحتوى بشكل مستمر.
• منع الاتصال المباشر بقاعدة البيانات عبر الإنترنت، واقتصار الوصول عليها من خلال العنوان الداخلي للخادم فقط.
• استخدام قواعد صلاحيات (Privileges) الحسابات قواعد البيانات، بحيث يمنح كل حساب أقل قدر من الصلاحيات اللازمة لأداء مهامه. ولا يتم استخدام نفس الحساب على أكثر من قاعدة بيانات.
• متابعة الثغرات الأمنية المعروفة للبرمجيات والأنظمة المستخدمة، وتحديثها بشكل فوري عند اكتشاف أي ثغرة حرجة.
• تفعيل المصادقة الثنائية (FA2) لجميع حسابات لوحة التحكم لرفع درجات الأمان وحماية الحسابات من محاولات الاختراق. واستخدام تطبيقات موثوقة أو عبر حسابات البريد الإلكتروني، حيث توفر هذه الأدوات طبقة حماية إضافية تتطلب إدخال رمز تحقق مؤقت عند كل تسجيل دخول، بالإضافة إلى كلمة المرور.
• استخدام ترويسات بروتوكول “Http” المتعلقة بالحماية الأمنية (Security Headers)
• حماية النماذج (Forms) من هجمات “CSRF”: يجب تفعيل رموز “CSRF” لجميع النماذج، وذلك بإضافة رموز تحقق فريدة، مع التحقق منها في الخادم قبل تنفيذ النموذج.

وفي حال كانت الطلبات تمر عبر تطبيقات الطرف الثالث باستخدام واجهة برمجية (API) مثل تطبيقات الجوال أو برمجيات الواجهات “Front-end” يجب إجراء ما يلي:

• للبيانات العامة وضع رمز سماح بالوصول “auth-code” ثابت يتم تغييره عند كل تحديث برمجي في الترويسة للتحقق من أن هذا الطلب يأتي من برمجية مخول لها طلب البيانات ولا تخدم هذه البرمجية الطلب من برمجية غير مخولة.
• للبيانات الخاصة التي يتم تسجيل الدخول من خلالها يجب استخدام آليات تحقق من الدخول.
• في بعض البيئات يتوجب إضافة طبقة حماية أخرى بالسماح العناوين محددة لطلب الواجهة البرمجية ضمن سياسة.

شهدت الأشهر الأولى عقب سقوط نظام “الأسد” في سوريا، إغلاق العديد من المواقع الإلكترونية للجهات الحكومية في سوريا، بعدما كانت الكثير منها تفتقر للتحديثات. واقتصرت جهات أخرى على تغيير منصات التواصل الاجتماعي الخاص بها، وفقًا لما يتناسب مع الخطة الجديدة للحكومة. بينما تعاني المواقع الحكومية من بطء في التصفح، وينتقد الخبراء غياب بروتوكلات حمايتها من الاختراق.