تأمين البيانات الحسّاسة
الفهرس
…يجري تحميل الفهرس…قد يتمكن المنتهِكون من مطالعة و تعديل البيانات فيه إن وضعوا أيديهم على النبيطة ماديًا. لذا فمن الأفضل تجهيز عِدَّة طبقات من الحماية تحسُّبًا لذلك. تعمية النَّبِيطة بكاملها و كذلك الملفات المحفوظة فيها من أهم التحوّطات الواجبة.
التعمية صيرورة تتغيّر بفعلها صورة البيانات الرقمية (النصّ الصريح) وفق خوارزميّات تُطبّق مبادئ رياضيّاتيّة بحث لا تعود تلك البيانات بعد تعميتها (النصّ المُعمّى) مفهومة لمن يطالعها، و لا يُمكن ردّها إلى صورتها الأصلية إلّا بمعرفة سرّ هو مفتاح التعميّة. لذا فتعمية وسائط التخزين لحماية البيانات المحفوظة فيها هو بمثابة وضعها في خزانة لا يملك مفتاحها غيرك.
يمكن اتّباع الخطوات التالية لحفظ سرّية البيانات أثناء تخزينها.
حذف البيانات القديمة بدلا من حفظها
المزيد عن توصيتنا هذه
تخزين البيانات الحسّاسة يزيد من المخاطر المحتمل تعرضك لها و من تعملون معهم. التعمية تُقلِّل تلك المخاطر لكنها لا تلغيها. الخطوة الأولى لحماية البيانات الحسّاسة تقليل مقدار المحفوظ منها. فما لم يوجد سبب وجيه لحفظ ملف ما أو فئة من البيانات فيُستحسن حذفها. توجد في القسم عن محو البيانات الحسّاسة المزيد عن كيفية فعل ذلك.
معرفة ما إذا كان استعمال التعمية مُجرّمًا
المزيد عن توصيتنا هذه
استعمال التعمية مُجرّم في بعض القضاءات. فإنْ كانت التعمية مُجرّمة في محلّ إقامتك فإنّ تنزيل أو تنصيب برمجيات التعمية قد يعدُّ مخالفة قانونية. الشرطة و الجيش و جهات المباحث و الاستخبارات قد تعمد إلى اعتبار استخدامك تطبيقات التعمية ذريعة للتحري في أنشطتك أو ملاحقتك قضائيًا أو التضييق عليك و على منظّمتك. فبغضّ النظر عن الموجود فعليًّا في وسائط التخزين المُعمّاة، و بغض النظر عن قانونية المحتوى نفسه، فإنّ استخدام التعمية في حدِّ ذاته قد يزيد من الريبة تجاهك.
تنبغي دراسة كيفية تعامل أجهزة إنفاذ القانون مع التعمية في بلد إقامتك أو عملك، و التفكير في ما إذا كان استخدام الأدوات التي الغرض الوحيد منها تعمية البيانات مناسبًا لظروفك.
تفيد خريطة Global Partners لتشريعات التعمية. كمدخل للبحث في قانونية التعمية في بلد إقامتك.
إنْ كانت التعمية غير مُجرّمة في البلد الذي تقيمون أو تعملون فيه أو الذي تسافرون إليه فاتجّهوا مباشرة إلى قسم تعمية-نبيطة-بأكملها.
بدائل إن كانت التعمية مُجرّمة
الاقتصار على تخزين البيانات غير الحسّاسة
- طالعوا القسم حذف البيانات القديمة بدلا من حفظها لمعرفة أوجه تفضيل حذف البيانات التي لا حاجة لها.
- طالعوا القسم عن محو البيانات الحسّاسة لمعرفة كيفية فعل ذلك على نحو أمان.
الحفظ في مخازن سحابية مُعمّاة
- عليك التفكير في إذا كان حفظ الملفات الحسّاسة مُعمّاة في خدمة تخزين على الإنترنت مناسبًا بالنظر إلى التهديدات التي تواجهك. أمثال هذه الخدمات تحفظ سريّة البيانات المحفوظة بطريق تعميتها و حفظها في خواديم بعيدة عن متناول خصومك. لكنْ إن تمكّن الخصوم من النفاذ إليها فسيكون لديهم متّسع من الوقت لمحاولة استخراج أسرارك، و قد يفعلون ذلك دون لفت نظرك.
استخدام الشفرات البلدية
- و ذلك باستعمال كلمات بديلة متّفق عليها لتسمية الأشياء و الأشخاص و المواضع و الأنشطة، كما في روايات العملاء السريين، ثم تخزين الملفات التي تحوي تلك المعلومات بالأسلوب المعتاد.
حفظ الملفات في وسيط تخزين خارجي
يمكن حفظ المعلومات الحسّاسة خارج الحاسوب أو الهاتف بطريق تخزينها مُعمّاة في ذواكر USB أو قرص صلب محمول أو شرائح ذاكرة. لمعرفة كيفية تعمية نبيطة تخزين بأكملها طالعوا إرشادات تعمية نبيطة تخزين خارجية فيما يلي.
تنبغي ملاحظة أن نبائط التخزين الخارجية أكثر عرضة للضياع و المصادر من الحواسيب، لذا فمن الضروري العناية بتعميتها أو بتعمية الملفات المحفوظة عليها. عند تعمية نبيطة تخزين يجب الحرص على وضع كلمة سرّ قويّة يصعب تخمينها أو كسرها. طالعوا توصياتنا بشأن إنشاء و إدارة كلمات سرٍّ قويّة.
تعمية نبيطة بأكملها
- مع ملاحظة أن تعمية النظام بأكمله لا يُحدث أثر الحماية المطلوب إلا بإطفاء النبيطة كلّها، لا بكونها في وضع السبوت. و في حال تمكن شخص من النفاذ المادي إلى النبيطة في أثناء كونها عاملة فإنّه قد يتمكن من استخراج بيانات منها، بما في ذلك الملفات و المراسلات.
أندرويد
Most devices with Android 10 and higher are required to use file-based encryption, which means that any device running on Android 10 or higher should be encrypted by default.
If you would like to make sure that file-based encryption is indeed enabled in your device, navigate to Settings > Security > Encryption & credentials and look for Encryption or Encrypt phone. Please note that these options may differ on your device.
iOS
- النبائط العاملة بنظام iOS تكون مُعمّاة ابتداءً عند ضبطها على استخدام رمز سري لفتح الشاشة.
لينُكس
لا يمكن تفعيل التعمية النظام بأكمله إلا أثناء تنصيب نظام لينُكس، لذا فإن رغبت لاحقًا في تفعيل التعمية فلا مفرّ من إعادة التنصيب. لكن قبل عمل ذلك:
- يجب حفظ نسخة احتياطية من كل بياناتك، إذ تُمحى أثناء التنصيب كل البيانات المحفوظة على وسيط التخزين و إعدادات نظام التشغيل.
- ينبغي وصل الحاسوب بمقبس الكهرباء لكي لا ينطفئ أثناء صيرورة التنصيب.
- يُستحسن تفعيل خيار الاتصال بالإنترنت أثناء تنصيب لينُكس إن كان ذلك ممكنًا، لتنزيل تحديثات النظام و التطبيقات و تنصيبها.
يتطلّب التنصيب إنشاء حَتَّة من النظام قابلة للإقلاع من شريحة USB.
- طالعوا دليل أوبونتو لمعرفة كيفية إنشاء USB قابلة للإقلاع انطلاقا من النظام الذي تستخدمه لإنشائها:
macOS
وِندوز
تمكن تعمية حاسوب وِندوز كلّه باستعمال BitLocker و هو نظام التعمية المضمّن في نظام وِندوز 10 و 11 Pro و Enterprise و Education.
- كيفية تعمية نظام وِندوز باستعمال
BitLocker
مبيّنة في دليل استعمال النظام.
- لمزيد من الأمان يُستحسن تفعيل قفل ما قبل الإقلاع.
- قد يختلف إجراء تعمية الحواسيب
الأقدم
- إذا طالعتكم رسالة عطل مفادها "This device can't use a Trusted Platform
Module" فهذا معناه أن الحاسوب لا يحوي العتاد اللازم المتوافق مع مواصفة
TPM، إلا أنّه يمكن إجراء التعمية على أية حال بالتضبيطات التالية:
- بالنقر على زرّ "ابدأ" ثم إدخال الأمر gpedit.msc ثم ضغط زر الإرجاع، ثم نافذة التطبيق التي ستظهر انقروا على Operating System Drives
- في القسم الأيمن من نافذة تطبيق مُحرّر سياسات المجموعات فعّلوا خبار يلزم استيثاق إضافي عند بدء تشغيل النظام و هو ما سيُظهر نافذة جديدة. (مع أهمية ملاحظة وجود خيار آخر هو "مطلوب استيثاق إضافي (خادوم وِندوز 2008 و وِندوز ڤِستا) و هذا ليس الخيار المطلوب تفعيله)
- فعّلوا الخيار، مع التحقّق من تفعيل خيار السماح باشتغال BitLocker بلا TPM (يتطلّب كلمة سرٍّ إضافية أو مفتاح USB خاص عند الإقلاع). ثم النقر على "موافقون".
- أغلقوا تطبيق مُحرِّر سياسات المجموعات.
- في نهاية الإجراء يمكنكم تفعيل تعمية الحاسوب.
- إذا طالعتكم رسالة عطل مفادها "This device can't use a Trusted Platform
Module" فهذا معناه أن الحاسوب لا يحوي العتاد اللازم المتوافق مع مواصفة
TPM، إلا أنّه يمكن إجراء التعمية على أية حال بالتضبيطات التالية:
المزيد عن توصيتنا هذه
إذا ضاعت النبيطة أو سُرِقَت أو صودرت بغرض فحص محتواها فإنّ التعمية هي الوسيلة الوحيدة لحماية سرية ما تحويه من بيانات.
If your computer does not support full-disk encryption or if you prefer to use a free and open-source tool to enable disk encryption, you can use VeraCrypt to encrypt your whole device.
تعمية نبيطة تخزين خارجية بأكملها
- تخزين البيانات الحسّاسة في نبيطة تخزين مُعمّاة، مثل شريحة USB أو قرص خارجي قد يحفظها من المهاجمين الذين يستهدفون حاسوبك.
- تنبغي ملاحظة أن نبائط التخزين الخارجية أكثر عرضة للضياع و المصادر من الحواسيب، لذا فمن الضروري العناية بتعميتها أو بتعمية الملفات المحفوظة عليها. عند تعمية نبيطة تخزين يجب الحرص على وضع كلمة سرّ قويّة يصعب تخمينها أو كسرها. طالعوا توصياتنا بشأن إنشاء و إدارة كلمات سرٍّ قويّة.
- On desktops and laptops, your device may have built-in encryption options for external storage devices. Alternatively, you can use VeraCrypt to encrypt external storage devices.
لينُكس و ماك و وِندوز
أيًّا كان نظام التشغيل الذي يشتغل به الحاسوب فيمكن استعمال VeraCrypt لحماية الملفات الحسّاسة في وسيط تخزين خارجي، و ذلك إمّا بإنشاء حاوية مُعمّاة محفوظة في وسيط التخزين أو تعمية وسيط التخزين بأكمله.
- Download VeraCrypt
- How to use VeraCrypt
- كيفية [تعمية نبيطة تخزين خارجية باستخدام VeraCrypt مشروحة في وثائق التطبيق.
- Consider using VeraCrypt in portable mode so anyone who searches your computer can't see you're using VeraCrypt in the first place.
macOS
في نظام macOS يمكن استخدام أداة إدارة الأقراص المُضمّنة في النظام لتعمية نبائط التخزين الخارجية، مع ملاحظة أن هذا الأسلوب لا يعمل إلا مع نظم macOS، و من ثمّ فلن يمكن استخراج الملفات المُعمّاة في غيره.
- كيفية تعمية نبيطة تخزين باستخدام أداة إدارة الأقراص مشروحة في وثائق النظام.
وِندوز
كما يمكن استخدام تطبيق Bitlocker المضمّن في نظام وِندوز 10 و 11 برو و Enterprize و Education لأجل تعمية نبائط التخزين الخارجية. مع ملاحظة أن هذا الأسلوب لا يعمل إلا مع نظم وِندوز، و من ثمّ فلن يمكن استخراج الملفات المُعمّاة في غيرها.
- كيفية تعمية نبيطة تخزين باستخدام Bitlocker. مشروحة في وثائق النظام.
Tails
Tails is an operating system that runs off a USB drive plugged into your machine. It protects all of your internet connections by using Tor at all times and erases your history when you shut it down, leaving no traces either in your computer or in the USB where the system is running. Furthermore, you can optionally create an encrypted volume inside the USB stick to store sensitive information that cannot be accessed by intruders who get access to your Tails stick in case you lose it or it is confiscated.
- المزيد عن نظام التشغيل Tails في موقع المشروع http://tails.net.
- و عن وظيفة تخزين البيانات المُعمّاة في Tails.
ترك بعض الملفات الحسّاسة غير مُعمّاة
On desktops and laptops, your device may have built-in encryption options that offer additional protection for specific files. Alternatively, you can use Cryptomator to activate this additional layer of protection on any operating system, including mobile devices. Another option to encrypt your sensitive data on computers is VeraCrypt, which also makes it possible to hide your encrypted folder.
المزيد عن توصيتنا هذه
لكن قد يكون من المفيد ترك بعض الملفات غير شديدة الحسّاسة غير مُعمّاةٍ في النبيطة، و ذلك لتلافي إثارة الريبة إذا قام أحد بتفتيشها، فيجد فيها ملفات معتادة و مراسلات يومية.
تطبيقات لأنظمة ويندوز و ماكأوإس و گنو/لينكس و أندرويد و iOS:
لتعمية ملفات في حاسوب أو في نبيطة محمولة يمكن استعمال Cryptomator، و هو تطبيق حُرٌّ مفتوح المصدر صُنِع خصّيصًا لتعمية الملفات قبل رفعها إلى مخازن البيانات على الإنترنت باستخدام خدمات مزامنة الملفات، كما يمكن استعماله لتعمية الملفات المحفوظة في الحاسوب.
كيفية استعمال Cryptomator مشروحة في وثائق التطبيق و بالذات فصل الشروع في الاستخدام على الحواسيب.
وِندوز
- كيفية تعمية الملفات في وِندوز 10
- كيفية تعمية الملفات في وِندوز 11
macOS
- في نُظُم macOS تمكن تعمية الملفات منفردة بحفظها في صورة قرص مُعمّاة مُنشأة باستخدام أداة إدارة الأقراص.
لينُكس و ماك و وِندوز
With VeraCrypt, you can protect individual files by storing them within an encrypted file container.
حفظ الملفات في مُجلّد مخفي
المزيد عن توصيتنا هذه
تعمية الملفات تحول دون مطالعة محتواها، إلّا أن حقيقة كونكم تستخدمون التعمية لحماية سريّة البيانات تظلّ ظاهرة، مما قد يدفع الخصم إلى الضغط عليكم لأجل الكشف عن تلك البيانات، بطريق التخويف أو التعذيب.
VeraCrypt gives you the opportunity to avoid this risk by creating a "hidden volume." To open a hidden volume, you just need to enter a different password from the one you set for the standard volume. So if an intruder becomes suspicious about your encrypted files, they will be unable to prove hidden ones exist.
يضمن التصميم التقني لهذا الأسلوب الاستحالة العملية لإثبات حقيقة وجود مثل هذا المخزن السريّ، حتى بالفحص التقني الدقيق، و حتّى مع علم الفاحص بوجود مثل هذه الوظيفة في حدّ ذاتها، و هو المبدأ المعروف باسم "حُجيّة الإنكار". لذا فإن أُجبِرت على الإفصاح عن كلمة السرّ أمكنك إعطاؤه كلمة السرّ التي تفتح مخزن التمويه، حيث يجد ملفات قد تقنعه.
يمكن تشبيه المُجلّد المخفي بالجيب السريّ في خزانة لا يعرف بوجوده غير صاحب الخزانة. يسمح هذا بإنكار وجود أسرار غير ما في جوف الخزانة الرئيسي التي انكشفت بالفعل، ما قد يكون مَخرجًا في الأحوال التي يضغط فيها الخصم أو يُهدِّد بالإيذاء للحصول على كلمة سرّ. إلا أنّ الفائدة قد تكون أقلَّ في حال كون استعمال التعمية نفسه مُجرّمًا و الخصم يمثّل سُلطة قانونية، كما أن استعمال تطبيقات التعمية في حدّ ذاته قد يثير ريبة السلطات، حتى إنْ لم تكن مُجرّمة.
علما بأن الخصم قد يكون عارفًا بوظيفة المجلدات المخفية في VeraCrypt لذا فلا ضمان لامتناعهم عن مواصلة الضغط و التهديد أو التعذيب بعد انكشاف مُجلد التمويه. حتى وإنْ كان كثير من الناس يستخدمون ڤيراكْرِپْت بلا هذه الوظيفة.
ينبغي كذلك الحرص على عدم الكشف عن المجلّد المخفي سهوًا أو بطريق إنشاء اختصارات إلى ملفات و تطبيقات مُنصّبة فيه.
حماية المُجلّد أو الدليل المعمّيين
قفل الحاوية المُعمّاة
- عندما يوصل قرص VeraCrypt المُعمّى أو عند فتح أيْ حاوية مُعمّاة، أي عندما يكون من الممكن النفاذ إلى الملفات المحفوظة فيها فإنّ هذا يكون وضعًا غير آمن. لذا يجب إبقاء الحاوية مُقفلة إلا عند الحاجة إليها.
- إذا حفظتم مُجلّدات مُعمّاة على ذواكر USB أو وسائط تخزين خارجية فتذكّروا أن فصل الشريحة أو القرص من نظام التشغيل قد لا يؤدّي إلى اختفاء القرص فورًا من مدير الملفات. كما أنّ نزع شريحة الذاكرة مادّيًّا من مقبس USB قد يؤدّي إلى تخريب المُجلّد المحفوظ فيها. لذا ينبغي قفل المُجلّد الافتراضي المُعمّى بالإجراء الموصوف في VeraCrypt قبل فصل شريحة الذاكرة مادّيًّا من النظام. مع ملاحظة أنّ قفل المُجلّد المُعمّى يستوجب غلق كل الملفات المحفوظة عليه في التطبيقات التي تفتح تلك الملفات. فإذا كُنتم تُحرّرون وثيقة أو تطالعون صورًا فينبغي غلق تلك الملفات أو التطبيقات التي تطالعونها من خلالها. ينبغي التدرُّب على ذلك الإجراء لضمان فعله بسلاسة عند اللزوم.
من المهم قفل الحاويات المعمّاة في الحالات التالية:
- قبل مغادرة النبيطة لفترة مُمتدّة من الوقت، لضمان عدم ترك ملفات حسّاسة في متناول الخصوم عن بُعد أو من لديهم نفاذ مادي إلى النبيطة.
- قبل وضع النبيطة في حالة السبات، إما بتفعيل هذه الوظيفة أو بطيّ شاشة الحاسوب المحمول.
- قبل السماح لغيرك باستعمال الحاسوب. أثناء اصطحاب الحاسوب عبر نقاط التفتيش أو المعابر الحدودية من الضروري قفل كل المجلّدات المُعمّاة و غلق الحاسوب تمامًا.
- قبل وصل ذاكرة USB غير موثوق فيها أو أي وسائط تخزين خارجية أخرى، بما فيها التي تعود لمعارف و زملاء.
التحوّط من البرمجيات الخبيثة
التعمية تحمي سريّة البيانات طالما كان الخصم غير قادر على معرفة المفتاح السرّي أو كلمة السرّ، مثلا بطريق التجسّس عليك بوسيلة ما لالتقاط كلمة السرّ أثناء إدخالها لتظهير البيانات المُعمّاة. البرمجيات الخبيثة، و منها برمجيات التجسّس، يمكنها إلغاء أثر أي خطوات مُتّخذة لحماية سرية البيانات و الاتّصالات بالتعمية. لذا يجب الحرص على سلامة النظام باتّباع التوصيات في دليلنا للحماية من البرمجيات الخبيثة.
يجب تجنّب فتح المُجلّد المُعمّى بوصله في نظام غير موثوق فيه.
- فقد يكون الخصم قد نصّب في النظام غير الموثوق فيه برمجية تجسّسية تمكنها سرقة كلمات السرّ أو النفاذ إلى الأقراص المُعمّاة فور وصلها ثم نسخ محتوياتها.
المزيد عن توصيتنا هذه
رجوعًا إلى تشبيه الخزانة، فما من خزانة ستحفظ محتوياتها آمنة إنْ لم يوصد بابها بحرص، أو إذا راقبك اللص أثناء فتحها بالرقم السريّ.
البائعون و دكاكين الصيانة الثقات
- إذا اشتريتم نبيطة مُستعملة فاطلبوا من خبير موثوق فيه محو كلّ ما عليها و فحصها جيّدا للكشف عن البرمجيات الخبيثة و إعادة تنصيب نظام التشغيل فيها.
- إذا رسخ في اعتقادك وجود شخص أو جهة ما لديها القدرة و الموارد و الدافع على استهدافك بتنصيب برمجيات خبيثة على النبائط حتّى قبل أن تشتروها فذلك يستلزم التفكير مليّا في كيفية إيجاد بائع موثوق به.
- و إذا احتجت إلى صلاح نبيطتك فيجب اختيار مُصلح يمكن الوثوق فيه.
المزيد عن توصيتنا هذه
شراء نبيطة سبق لغيرك استعمالها أو إرسال نبيطة إلى خدمة الصيانة يُشكّلان فرصة سانحة للخصم للنفاذ إلى بياناتك. فالنبائط المُستعملة من قَبْل قد تحمل برمجيات خبيثة أو تجسّسية، لذا ينبغي على المستهدفين شراء نبائط جديدة دومًا. كما توجد سوابق لقيام عاملين في دكاكين الصيانة بالتجسّس على زبائنهم و استخراج بيانات شخصيّة وحسّاسة منها أو زرع برمجيات تجسّسية فيها قبل إرجاعها إليهم. لذا يجب اللجوء إلى مقدّمي خدمة صيانة موثوق فيهم.
يجدر كذلك بالأشخاص المستهدفين أو الشخصيات العامة أو المثيرة للجدل أو ذوي الهويات المثيرة للانتباه عدم التعامل بأنفسهم مع مقدّمي خدمة الصيانة و اللجوء عوضًا عن ذلك إلى شخص موثوق فيه للقيام بهذه المهمة بالنيابة عنهم لتجنّب إثارة فضول القائمين بالصيانة و تقليل دافعهم إلى استكشاف ما قد تحويه نبيطتك.