تعرضت وزارة التشغيل المغربية في الشهر الماضي إلى هجوم سيبراني معقد، مما أثار تساؤلات عميقة حول قدرة المؤسسات الحكومية على حماية أنظمتها الرقمية من التهديدات المتزايدة في عالم التكنولوجيا الحديثة. الهجوم، الذي تم باستخدام تقنيات "Ransomware" (برمجيات الفدية)، لم يكن مجرد حادثة عابرة، بل كشف عن خلل هيكلي في منظومة الأمن الرقمي للمؤسسات العمومية المغربية. لكن المثير للدهشة أن الثغرة الأمنية التي أدت إلى هذا الاختراق لم تكن في النظام المحلي للوزارة، بل كانت عند شركة Oracle التي استضافت بيانات حكومية حساسة، وهو ما يضع المسألة في إطار أوسع من مجرد فشل تقني محدود.
شخصيا، وودت أن أطلع على ما كتب في هذا السياق سواء قراءات تحليلات إعلامية مقالات رأي، والأكثر من ذلك استشارة خبراء ومختصين في الشأن السيبراني، ومنه محاولة فهم -ما أمكن- الحيثيات التقنية لهذا الإشكال، خصوصا وأن الأمر ليس مسألة متعلقة بتأثير بشري محض، نحن نتحدث عن التكنولوجيا بما لها وما عليها من أبعاد تقنية وسياسية واجتماعية واقتصادية وحتى عسكرية، وبالتالي فالتحليلات التي ترنو دائما شيطنة عمل مؤسسات الدولة أو التنقيص من جهودها لا يعدو أن يكون غير عارف بخبايا الأمور واشكالاتها في عالم أضحت فيه التقنية المعيار الأساسي للفعل وردة الفعل.
الإشكال هنا، وهو ما يصدم المتابع في هذه القضية هو القرار المتخذ بوضع بيانات عامة محكومة بقانون حماية المعلومات الخاصة للأفراد في خدمة سحابية خاصة (Cloud Privé) تابعة لشركة Oracle، في الوقت الذي لا تملك فيه الوزارة الإمكانيات اللازمة لتأمين هذه المعطيات عند شركة خدمات معلوماتية خارجية. هذا التصرف يعكس نمطاً كلاسيكياً في التدبير والتعامل مع المخطط الأمني للمؤسسات العمومية، والذي يفترض أن يخضع للقوانين الصارمة التي تحمي المعطيات الشخصية للمواطنين وتمنع مثل هذه التصرفات على المستوى التقني.
عند تحليل هذه الحادثة من منظور تقني، يتضح أن المشكلة ليست في نقص الحلول التكنولوجية، بل في سوء توظيفها وغياب استراتيجية متكاملة للتعامل مع البيانات الحساسة. لا يمكن الاكتفاء بإلقاء اللوم على الشركات الأجنبية المزودة للخدمات، فالمسؤولية الأساسية تقع على عاتق متخذي القرار الذين لم يلتزموا بالإجراءات الوقائية الضرورية، ولم يراعوا الضوابط القانونية المتعلقة بحماية البيانات الشخصية. تعزيز آليات الكشف المبكر عن الهجمات والتشفير المتقدم للبيانات هي خطوات أساسية، لكنها تبقى عديمة الفائدة إذا كانت السياسات الإدارية تتجاهل المخاطر الأساسية من خلال اتخاذ قرارات لا تراعي الأبعاد الأمنية.
تظهر هذه الحادثة أهمية التكامل بين الجانبين التقني والإداري في بناء منظومة أمن سيبراني فعالة. فتحسين الجدران النارية (Firewalls) ونظم الكشف عن التسلل (IDS) ضروري، لكن يجب أن يصاحبه تحول في الوعي الإداري والتزام صارم بالمعايير القانونية. الخطورة تكمن في أن المؤسسات الحكومية قد تستثمر ملايين الدراهم في حلول تقنية متطورة، ثم تقوض هذه الجهود بقرارات إدارية تتجاهل القواعد الأساسية للأمن السيبراني، كإيداع بيانات حساسة لدى طرف ثالث دون ضمانات كافية لحمايتها.
إن تدريب الفرق المختصة في الأمن السيبراني ضروري، لكنه يجب أن يترافق مع سياسة حازمة تُلزم جميع المسؤولين بالتقيد بالإجراءات الأمنية واحترام الإطار القانوني. فالقرارات الإدارية الخاطئة يمكن أن تُفشل أكثر الأنظمة التقنية تطوراً، وهذا ما حدث فعلاً في حالة وزارة التشغيل، حيث تم تجاوز المخطط الأمني للمؤسسة العمومية وإهمال القوانين التي تنظم حماية المعطيات الشخصية للأفراد.
وعلى مستوى أخر يجب إعادة النظر في آليات الرقابة والمساءلة المتعلقة بإدارة المعلومات الرقمية في المؤسسات الحكومية، وينبغي وضع إطار تشريعي يفرض عقوبات صارمة على المسؤولين الذين يتهاونون في تطبيق معايير الأمن السيبراني، ويتخذون قرارات ترقى إلى مستوى التفريط في أمن المعلومات الوطنية. كما يجب تعزيز الشفافية في عمليات التعاقد مع الشركات الخارجية، وضمان أن تكون هذه العمليات خاضعة لمعايير أمنية صارمة تحمي البيانات الوطنية من أي اختراق محتمل.
في الأخير، إن قضية أمن المعلومات في المؤسسات العمومية المغربية ليست مجرد تحدٍ تقني، بل هي تحدٍ إداري وسياسي وقانوني بامتياز. فالهجوم الذي تعرضت له وزارة التشغيل يجب أن يشكل نقطة تحول في التعامل مع هذا الملف، بحيث يتم الانتقال من مقاربة تقنية محدودة إلى مقاربة شاملة تأخذ بعين الاعتبار الجوانب الإدارية والقانونية والسياسية للمسألة. فالحديث عن الأمن السيبراني للمؤسسات الحكومية يتجاوز الحديث عن إجراءات تقنية بسيطة بين لوحة المفاتيح والعمليات المرسومة في الشاشة، الأمن السيبراني ضرورة استراتيجية لحماية المصالح الوطنية في عصر أصبحت فيه المعلومات أثمن من الذهب، والتفريط فيها يرقى إلى مستوى التهديد للأمن القومي.
المهدي كمال الحجام