يشكل الأمن السيبراني تحديًا حقيقيًا ومتزايدا للمؤسسات العامة والخاصة، وكذلك للأفراد. إذ أصبح تطور الهجمات السيبرانية وتعقيداتها أحد أهم التحديات لصانعي القرار والمستخدمين على جميع المستويات.

في سياق هذا الارتفاع المفاجئ للهجمات السيبرانية تشكل التطبيقات هدفًا مفضلاً للهاكرز. نظمت المديرية العامة لأمن نظم المعلومات (DGSSI) يوما توعويا حول الأمن التطبيقي وذلك من أجل تسليط الضوء على هذه الإشكالية وضمان استمرار الاجراءات التي تم إنجازها سنة 2021. تم إلقاء كلمات الافتتاح لهذا اليوم التوعوي تواليا من قبل السيد عبد الله بوتريك، مدير المساعدة والتكوين والمراقبة والخبرة بالمديرية العامة لأمن نظم المعلومات (DGSSI) والسيد سيدي محمد دريسي ملياني المدير العام لوكالة التنمية الرقمية. فهما يعملان بالفعل بشكل وثيق لتنميت ثقافة التطوير الآمن للبرامج في المغرب. نُظم هذا اليوم التوعوي في تنسيق تام خلال صباح 12 أبريل 2022، وشهد مشاركة أكثر من 480 شخصًا يمثلون جميع قطاعات العمل العامة والخاصة. وقد تم تنشيط هذا الحدث من قِبل خبراء ومحترفين عالميين من ذوي الخبرة العالية، إذ يتمتعون بعدة سنوات من الخبرة خاصة في مجال أمن التطبيقات.

تمحور برنامج هذا اليوم التوعوي حول تسليط الضوء على بعض الممارسات الجيدة للأمن والتي يجب اتباعها أثناء تطوير البرمجيات، اذ ارتكز بشكل رئيسي على إطار التحقق من أمن التطبيقات وأساسيات اختبارات البرمجيات.

في الواقع، يوفر مرجع التحقق من أمن التطبيقات "OWASP, Application Security Verification Standard (ASVS)" قاعدة لاختبار الضوابط الفنية لأمن تطبيقات الويب، ويوفر أيضا للمطورين قائمة متطلبات التطوير الآمن. ويتضمن إجمالي 286 فحصا و14 فئة للتحقق، ويتبنى نهجًا يتأقلم حسب نوع الوظائف ومستوى المتطلبات. وبحسب المستوى المطلوب للأمن، يقترح هذا الإطار ثلاثة مستويات من الضوابط. وللوصول إلى أعلى مستوى، يجب إجراء تحليل عميق للغاية للهيكل العام والشفرة والاختبارات على جميع المستويات. يجب الإشارة إلى أنه بالنسبة لاختبارات البرمجيات، فإنه وفقًا للمعيار ANSI/IEEE 1059، فإن اختبار البرمجيات هو عملية تقييم لمنتج برمجي لتحديد ما إذا كان المنتج يلبي المتطلبات المطلوبة أم لا.

تتمثل عملية الاختبار في تقييم خصائص المنتج البرمجي، وكذا القيود المتعلقة بالمتطلبات المفقودة، والأخطاء، والأمن، والموثوقية، والفعالية في الأداء. يتم تصنيف الاختبارات عادة إلى ثلاث فئات:

•  الاختبارات الوظيفية.
•  الاختبارات غير الوظيفية أو اختبارات فعالية الأداء.
•  الصيانة.

وبالتالي، تميز اليوم التوعوي بعرضين متعلقين باختبار البرمجيات قدمهما ممثلو اللجنتين المغربية والفرنسية لاختبار البرمجيات، والذين شددوا على أهمية هذه الاختبارات من حيث:

•  الربحية: يكون تصحيح الأخطاء التي تم الكشف عنها في المراحل الأولى من دورة التطوير أقل كلفة.
•  الأمن: يتم التعرف على المخاطر وإزالتها في وقت مبكر.
•  جودة البرامج: يضمن المنتوج القيمة الموعودة من خلال تلبية المتطلبات الأولية لبلوغ النتائج النهائية المرجوة. كما ساهم العرضان في تسليط الضوء على المبادئ الأساسية لفحوصات الأمن من خلال تقديم عملية مصادقة ISTQB.

تعي كل من المديرية العامة لأمن نظم المعلومات ووكالة التنمية الرقمية أهمية هذه الاشكالية، اذ ومن خلال عرض مهامهما المتكاملة التي تجمع بين السهر على أمن نظم المعلومات والتوعية حول المواضيع الرقمية والمعايير المتعلقة بالمنتجات والخدمات الرقمية. ولتعزيز الآليات المتاحة للإدارات والمؤسسات والبنيات التحتية ذات الأهمية الحيوية العامة والخاصة، لمساعدتها على إجراء الاختبارات الموصى بها خلال دورة التطوير، قامت المؤسستان بتبني مرجع للتحقق من أمن التطبيقات. مرجع التحقق هذا، والذي قدمه خبراء OWASP بشكل رائع، يدمج العديد من المعايير الأمنية، بما في ذلك إرشادات NIST 800-63-3 المتعلقة بالهوية الرقمية، وتوصيات NIST SP 800-57 المتعلقة بتدبير المفاتيح، وقائمة العشرة الأفضل (Top 10) لعام 2021 الصادرة عن OWASP، والتحكم الوقائي لعام 2018 من OWASP، والأقسام 6.5 من معيار PCI-DSS v3.2.1 بالإضافة إلى ربط البيانات بـ CWE. يستند مرجع التحقق السالف الذكر بشكل أساسي إلى النسخة ASVS 4.0.3 الصادرة في أكتوبر 2021 من مجتمع OWASP وينطبق على جميع نماذج تطوير البرمجيات ويهدف إلى تحقيق هدفين رئيسيين هما:

• 1 - مساعدة المؤسسات على تطوير وصيانة تطبيقات آمنة (دليل الاختبارات الوحدوية والتكامل الآلي، دليل التدريب على التطوير الآمن).
• 2 - إرشاد أصحاب المصلحة إلى اختيار أفضل العروض فيما يتعلق بالحصول على البرمجيات الآمنة من شركات التطوير. سيتيح إطار المتطلبات، بالفعل، توفير حل يعتمد على الممارسات الفضلى للتطوير الآمن، والذي يتيح مقارنة المتطلبات المعبر عنها مع العروض المقدمة.

يتضمن مرجع التحقق من أمن التطبيقات ثلاثة مستويات، ويمثل المستوى الثالث أعلى مستوى. يتم تحديد المستوى المناسب من التحقق من الأمن وفقًا للعديد من العوامل بما في ذلك:

•  طبيعة المؤسسة (بنية تحتية ذات أهمية حيوية، مؤسسة عامة، بنك، إدارة، الخ).
•  المتطلبات القانونية التي تخضع لها الهيئة.
•  الامتثال لمعايير الأمن.

وتحدد هذه المستويات على النحو التالي:

 المستوى 1: هو مستوى ضمان ضعيف. يتضمن اختبارات اختراقية تقليدية. يشكل هذا المستوى خطوة أولى لتأمين تدريجي لتطبيقات الهيئة. وفي بعض الأحيان يكون هذا المستوى كافيًا للتطبيقات التي لا تخزن أو تعالج بيانات حساسة، وبالتالي لا تتطلب الضوابط الصارمة الموجودة في المستويات 2 أو 3. يمكن تشغيل عمليات التحقق في المستوى 1 بشكل تلقائي باستخدام الأدوات أو تنفيذها يدويًا بدون الحصول أو الوصول إلى شفرة المصدر.

 المستوى 2: مستوى ضمان متوسط وهو ضروري للتطبيقات التي تحتوي على بيانات حساسة وتحتاج إلى حماية مناسبة. يعد هذا المستوى عادة المستوى الموصى به لمعظم التطبيقات.

 مستوى 3: هو أعلى مستوى وهو مخصص للتطبيقات الحرجة، التي تتعامل مع بيانات حساسة للغاية، أو التي تتطلب مستوى عالٍ من الثقة.

وفقًا لتحليل المخاطر وشروط العمل، يجب على كل مؤسسة تحديد المستوى الملائم من المتطلبات. اذ قدمت حملة التوعية هذه العديد من الحلول المحتملة لتحقيق التطورات، وبعض الآليات التي يمكن اتباعها، لدعم إنشاء مرجع التحقق من أمن التطبيقات من جهة، وتسهيل عملية التطوير التلقائي من جهة أخرى. من بين الحلول المقدمة بهذا الصدد و التي يمكن أن تكون قيمة مضافة لإنشاء قواعد الأمن على مستوى عملية تطوير البرمجيات (SDLC)، يمكن الإشارة إلى إطار SKF وواجهة برمجة التطبيقات DefectDojo.