يتزايد اعتماد مجتمعاتنا على البنية التحتية الرقمية، لذلك فالتكنولوجيا ما زالت بطبيعتها عرضة للتأثر. حيث تتعرض سرية البنية التحتية لتكنولوجيا المعلومات والاتصالات وسلامتها وتوفرها للتهديدات السيبرانية السريعة التطور، بما في ذلك الاحتيال الإلكتروني وسرقة الملكية الفكرية والمعلومات الشخصية القابلة للتعرف وتعطيل الخدمات وإتلاف الممتلكات أو تدمريها وعمليات التجسس عبر البرمجيات الخبيثة. وقد بلغت القوة التحويلية لتكنولوجيا المعلومات والاتصالات والإنترنت كحافز للنمو الاقتصادي والتنمية الاجتماعية نقطة حرجة، حيث بدأت تتآكل ثقة المواطنين والثقة الوطنية في استخدام تكنولوجيا المعلومات والاتصالات جراء انعدام الأمن السيبراني.
ويعتبر الأمن السيبراني ممارسة لحماية الأنظمة الهامة والمعلومات الحساسة من الهجمات الرقمية. كما تعرف أيضا باسم أمن تكنولوجيا المعلومات (IT)، تم تصميم تدابير الأمن السيبراني لمكافحة التهديدات ضد الأنظمة والتطبيقات المتصلة بالشبكة، سواء كانت تلك التهديدات تنشأ من داخل أو خارج المنظمة.
فالأمن السيبراني هو عملية حماية الأنظمة والشبكات والبرامج ضد الهجمات الرقمية. تهدف هذه الهجمات السيبرانية عادةً إلى الوصول إلى المعلومات الحساسة أو تغييرها أو تدميرها؛ بغرض الاستيلاء على المال من المستخدمين أو مقاطعة عمليات الأعمال العادية. فما هي إذن الإجراءات التي وضعتها المملكة المغربية من أجل تحقيق الأمن السيبراني، وما هي تحديات تحقيق هذا الأخير؟
أولا: مجالات الأمن السيبراني
في سنة 2020، بلغ متوسط تكلفة خرق البيانات 3.86 مليون دولار أمريكي على مستوى العالم، و8.64 مليون دولار أمريكي في الولايات المتحدة. تشمل هذه التكاليف نفقات اكتشاف الخرق والاستجابة له، وتكلفة التوقف عن العمل وخسارة الإيرادات، والأضرار طويلة الأجل التي تلحق بسمعة الشركة وعلامتها التجارية. يستهدف مجرمو الإنترنت معلومات تحديد الهوية الشخصية للعملاء (PII) - الأسماء والعناوين وأرقام التعريف الوطنية (مثل أرقام الضمان الاجتماعي في الولايات المتحدة والرموز المالية في إيطاليا) ومعلومات بطاقة الائتمان - ثم بيع هذه السجلات في الأسواق الرقمية السرية. غالبًا ما يؤدي اختراق معلومات تحديد الهوية الشخصية إلى فقدان ثقة العملاء والغرامات التنظيمية وحتى الإجراءات القانونية.
تحتوي إستراتيجية الأمن السيبراني القوية على طبقات من الحماية للدفاع ضد الجرائم الإلكترونية ، بما في ذلك الهجمات الإلكترونية التي تحاول الوصول إلى البيانات أو تغييرها أو تدميرها ؛ ابتزاز الأموال من المستخدمين أو المنظمة؛ أو تهدف إلى تعطيل العمليات التجارية العادية. ويجب أن تتناول التدابير المضادة لهذه الهجمات ما يلي:
أمان البنية التحتية الحرجة - ممارسات لحماية أنظمة الكمبيوتر والشبكات والأصول الأخرى التي يعتمد عليها المجتمع للأمن القومي و / أو الصحة الاقتصادية و / أو السلامة العامة. أنشأ المعهد الوطني للمعايير والتكنولوجيا (NIST) إطار عمل للأمن السيبراني لمساعدة المنظمات في هذا المجال ، بينما تقدم وزارة الأمن الداخلي الأمريكية (DHS) إرشادات إضافية في هذا الأمر.
أمان الشبكة - تدابير أمنية لحماية شبكة الكمبيوتر من المتطفلين، بما في ذلك الاتصالات السلكية واللاسلكية (Wi-Fi).
أمان التطبيق - العمليات التي تساعد في حماية التطبيقات التي تعمل في أماكن العمل وفي السحابة. يجب أن يتم تضمين الأمان في التطبيقات في مرحلة التصميم ، مع مراعاة كيفية التعامل مع البيانات ، ومصادقة المستخدم ، وما إلى ذلك.
أمان السحابة - على وجه التحديد، الحوسبة السرية الحقيقية التي تقوم بتشفير البيانات السحابية في حالة الراحة (في التخزين) ، وفي الحركة (أثناء انتقالها إلى السحابة ومن وداخلها) وقيد الاستخدام (أثناء المعالجة) لدعم خصوصية العميل ومتطلبات العمل والامتثال التنظيمي للمعايير.
أمان المعلومات - تدابير حماية البيانات، مثل اللائحة العامة لحماية البيانات أو القانون العام لحماية البيانات (GDPR)، التي تؤمن بياناتك الأكثر حساسية من الوصول غير المصرح به أو التعرض أو السرقة.
تعليم المستخدم النهائي - بناء الوعي الأمني عبر المؤسسة لتعزيز أمان الأجهزة الطرفية. على سبيل المثال ، يمكن تدريب المستخدمين على حذف مرفقات البريد الإلكتروني المشبوهة ، وتجنب استخدام أجهزة USB غير معروفة ، وما إلى ذلك.
التعافي من الكوارث / تخطيط استمرارية الأعمال - أدوات وإجراءات للاستجابة للأحداث غير المخطط لها ، مثل الكوارث الطبيعية أو انقطاع التيار الكهربائي أو حوادث الأمن السيبراني، مع الحد الأدنى من تعطيل العمليات الرئيسية.
ثانيا: ضوابط الأمن السيبراني .
تهدف هذه الضوابط إلى توفير الحد الأدنى من المتطلبات الأساسية للأمن السيبراني المبنية على أفضل الممارسات والمعايير لتقليل المخاطر السيبرانية على الأصول المعلوماتية والتقنية للجهات من التهديدات Threats)) الداخلية والخارجية. وتتطلب حماية الأصول المعلوماتية والتقنية للجهة التركيز على الأهداف الأساسية للحماية، وهي:
سرية المعلومة (Confidentiality)؛
سلامة المعلومة(Integrity)؛
توافر المعلومة (Availability).
وتأخذ هذه الضوابط بالاعتبار المحاور الأربعة الأساسية التي يرتكز عليها الأمن السيبراني، وهي:
الإستراتيجية(Strategy)؛
الأشخاص (People)؛
الإجراء (Process)؛
التقنية (Technology).
ثالثا: التشريعات الوطنية في مجال الأمن السيبراني
تجدر الإشارة في الأول، إلى أن المغرب تم تصنيفه في التقرير الدولي حول الأمن السيبراني الصادر عن الاتحاد الدولي للاتصالات (ITU)، في الرتبة 50 من بين 182 دولة شملها هذا الجرد، والرتبة 7 عربيا خلف كل من السعودية أولا، والإمارات العربية التحدة ثانيا، وسلطنة عمان ثالثا، ومصر رابعا، وقطر خامسا، وتونس سادسا، وهذا الترتيب هو إشارة على أن الأمن السيبراني بالمملكة المغربية تعتريه مجموعة من التحديات وجب ربحها في قادم السنوات.
ففي سنة 2013، دخل حيز التنفيذ القانون رقم 75.12 المتعلق بالمصادقة على الاتفاقية العربية لمكافحة جرائم تقنية المعلومات، بالإضافة إلى القانون رقم 46.13 بالمصادقة على الاتفاقية الأوروبية 108 المتعلقة بحماية الأشخاص الذاتيين تجاه معالجة المعطيات ذات الطابع الشخصي، وأيضا القانون رقم 136.12 بالمصادقة على الاتفاقية الأوروبية 185 المتعلقة بمكافحة الجرائم الإلكترونية الموقعة ببودابست في 23 نوفمبر 2001 وعلى البروتوكول الإضافي لهذه الاتفاقية، الموقع بستراسبورغ في 28 يناير 2003 (مادة فريدة)، حيث تهدف هذه الاتفاقية وبروتوكولها الإضافي إلى مواصلة سياسة جنائية مشتركة تروم حماية المجتمع من الجرائم المعلوماتية، خاصة باعتماد التشريعات المناسبة وتعزيز التعاون الدولي، وتعد هذه الاتفاقية أول معاهدة دولية تتعلق بالجرائم الجنائية المرتكبة عبر الأنترنت والشبكات المعلوماتية الأخرى.
زيادة على القرار رقم 3/14 بخصوص تطبيق التوجيهات العامة لأمن نظم المعلومات (DNSSI)، والقانون رقم 132.13 بالمصادقة على البروتوكول الإضافي للاتفاقية رقم 108 لمجلس دول أوروبا المتعلقة بحماية الأشخاص تجاه معالجة المعطيات ذات الطابع الشخصي، كما صدر مرسوم رقم 2.15.712 بتاريخ22/03/2016 بتحديد إجراءات حماية نظم المعلومات الحساسة للبنيات التحتية ذات الأهمية الحيوية، والمرسوم مرسوم رقم 2.11.508 بتاريخ 21/10/2011 يحدث بموجبه اللجنة الاستراتيجية لأمن نظم المعلومات، ومنشور رئيس الحكومة رقم 3/2014 بتاريخ 10/03/2014 في موضوع تطبيق التوجهات الوطنية لأمن نظم المعلومات.
بالإضافة إلى اللجنة الاستراتيجية لأمن نظم المعلومات الصارة بموجب المرسوم رقم2-11-508 والي تهدف إلى:
تحديد التوجهات الإستراتيجية؛
السيادة الرقمية؛
ضمان مرونة نظم المعلومات في الحكومة والمؤسسات العامة والبنية التحتية الحيوية.
وأيضا، المديرية العامة لأمن نظم المعلومات الصادرة بموجب المرسوم رقم 2-11-509 والتي تتحدد توجهاتها وأهدافها في:
وضع استراتيجية الأمن السيبراني الوطنية؛
ترخيص لمقدمي خدمات التوقيع الالكتروني وأدوات التشفير والمصادقة الإلكتروني.
وإنشاء كل من المركز الوطني للتنسيق والاستجابة لحوادث أمن المعلومات (MA-CERT)، والهيئة الوطنية لحماية المعطيات ذات الطابع الشخصي.
هذا إلى جانب التنصيص على القانون رقم 05.20 المتعلق بالأمن السيبراني، الذي يهدف إلى إنشاء إطار قانوني يسمح بتعزيز أمن أنظمة المعلومات في إدارات الدولة والجماعات الترابية والمؤسسات والمقاولات العمومية، وكل شخص اعتباري آخر يدخل في حكم القانون العام. وبموجب هذا القانون الذي أعدته إدارة الدفاع الوطني، سيتم إحداث لجنة إستراتيجية للأمن السيبراني ولجنة تابعة لها لإدارة الأزمات والأحداث السيبرانية الجسيمة، إضافة إلى السلطة الوطنية للأمن السيبراني.
وإحداث اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي بمقتضى القانون 08-09 الصادر في 18 فبراير 2009 المتعلق بحماية الأشخاص الذاتيين تجاه معالجة المعطيات ذات الطابع الشخصي. حيث تضطلع اللجنة بمهمة التحقق من أن عمليات معالجة المعطيات الشخصية تتم بشكل قانوني وأنها لا تمس بالحياة الخاصة أو بحقوق الإنسان الأساسية أو بالحريات. تتشكل اللجنة من شخصيات تتمتع بالحياد والنزاهة وتمتلك كفاءة في الميادين القانونية والقضائية وفي مجال المعلوميات.
رابعا: وضع إطار قانوني بشأن الجريمة السيبرانية
ينبغي في هذا الإطار، أن يتم وضع إطار قانوني وطني يحدد بوضوح ما يشكل النشاط السيبراني المحظور، وهو يهدف إلى الحد من الجرائم السيبرانية على الخط، وفي معظم الأحيان، تتخذ هذه المقدرة شكل تشريع بخصوص الجريمة السيبرانية، يمكن تحقيقه من خلال سن قوانين جديدة محددة، أو تعديل القائم منها.
كما ينبغي أن يتم التشجيع على تطوير القدرات على إنفاذ القانون السيبراني، بما في ذلك التدريب والتعليم لطائفة من أصحاب المصلحة الضالعين في مكافحة الجريمة السيبرانية (مثل القضاة والوكلاء العامين للملك، والمحامين وموظفي إنفاذ القانون والتحقيق الجنائي وغريهم من المحققين).
وينبغي أن تتلقى أجهزة إنفاذ القانون تدريبا متخصصا لتفسير وتطبيق قوانين الجرائم السيبرانية الوطنية (أي ترجمة القانون إلى مفاهيم تقنية والعكس)، والكشف الفعال عن الجرائم السيبرانية وردعها والتحقيق فيها ومقاضاة مرتكبيها، والتعاون الفعال مع دوائر الصناعة وهيئات إنفاذ القانون الدولية (مثل الإنتربول واليوروبول) للتصدي للجرائم السيبرانية ولتعزيز الأمن السيبراني، والعمل على إنشاء الهيئة الوطنية للأمن السيبراني بالمغرب.
خامسا: كوفيد-19 وتحديات الأمن السيبراني
يحارب العالم الآن تفشي فيروس كورونا كوفيد-19 غير المسبوق منذ أزيد من عام كامل. بالإضافة إلى آثاره الواضحة على صحة الأفراد واقتصادات بلدان بأكملها، تسبب انتشار المرض في حدوث تغييرات مفاجئة وجذرية في الحياة اليومية لملايين الأشخاص. انتقل العمل والدراسة إلى المنزل، وحلت مؤتمرات الفيديو محل الاجتماعات الاجتماعية والتجارية. وأدى التحول الهائل عبر الإنترنت إلى تفاقم مخاوف الأمن السيبراني.
لقد خلقت جائحة الفيروس التاجي تحديات جديدة سواء بالنسبة للدولة أو بالنسبة للشركات لأنها تتكيف مع نموذج التشغيل الذي أصبح فيه «العمل من المنزل أو العمل عن بعد» الوضع الطبيعي الجديد. إذ تعمل كل من الدولة والشركات على تسريع تحولها الرقمي، وأصبح الأمن السيبراني الآن مصدر قلق كبير. وقد تكون الآثار المترتبة على السمعة والتشغيل والقانون والامتثال كبيرة إذا تم تجاهل مخاطر الأمن السيبراني.
فبين فبراير ومايو من سنة 2020، تأثر أكثر من نصف مليون شخص على مستوى العالم بالانتهاكات التي سُرقت خلالها البيانات الشخصية (مثل الاسم وكلمات المرور وعناوين البريد الإلكتروني) لمستخدمي مؤتمرات الفيديو (video conferencing) وبيعها على شبكة الإنترنت المظلمة (dark web)، عبر استخدام بعض المتسللين لأداة تسمى «OpenBullet».
كما أنه يقع 47% من الأفراد في عمليات التصيد الاحتيالي أثناء العمل من المنزل، حيث يرى المهاجمون الإلكترونيون (Cyber-attackers) الوباء على أنه فرصة لتكثيف أنشطتهم الإجرامية من خلال استغلال ضعف الموظفين (من ناحية استعمال آمن للانترنت وللمحتوى الرقمي) الذين يعملون من المنزل، والاستفادة من اهتمام الناس القوي بالأخبار المتعلقة بفيروس كورونا (مثل المواقع الإلكترونية الخبيثة المزيفة ذات الصلة بفيروس كورونا)، إلى جانب اعتبار آخر مهم هو أن متوسط تكلفة خرق البيانات الناتج عن العمل عن بعد يمكن أن يصل إلى 137000 دولار.
ففي الثامن من يوليو، أفادت شرطة مدينة لندن أنه منذ يناير 2020 فقد أكثر من 11 مليون جنيه إسترليني بسبب عمليات الاحتيال بسبب فيروس COVID-19. أما في سويسرا ، فقد تعرض واحد من كل سبعة مشاركين في دراسة استقصائية لهجوم إلكتروني خلال فترة الوباء.
لذلك، ينبغي إعطاء الأمن السيبراني مزيدا من الاهتمام في ضوء التهديدات المتزايدة أثناء الوباء، وفي خضم الموجات المتتالية والطفرات الجديدة الناتجة عنه، يجب على المؤسسات والشركات أن تكون استباقية في معالجة التهديدات وتخطيط طرق لمنع الهجمات الإلكترونية الناجحة بدلا من الاستجابة عند حدوثها. ومع ذلك ، على الرغم من أهمية تدابير المنع، إلا أن هناك حاجة أيضا إلى القدرة على اكتشاف الهجمات الإلكترونية والاستجابة لها واستعادتها. فهناك طرق لتقليل احتمالية وتأثير الهجوم السيبراني، لكنها تتطلب إجراءات مركزة وتخطيطًا. تحتاج الشركات إلى جعل ممارسات العمل عن بُعد مرنة في مواجهة الهجمات الإلكترونية وتعزيز تطويرها وتطبيق تدابير الأمان.
لقد علمنا وباء فيروس كورونا كوفيد-19 أن الاستعداد هو مفتاح النجاح في الحد من المخاطر المتعلقة بالهجمات الإلكترونية، حيث تساعد القدرة على الاستجابة السريعة للأحداث غير المتوقعة على تقليل تأثير الهجوم الإلكتروني. لذلك وجب العمل أن يكون الإنسان مستعدا لمثل هذه الهجمات الإلكترونية بدون أن يقع في الخطأ، فلا يوجد شخص واحد على قيد الحياة لا يخطئ أبدا، في الواقع، يعد ارتكاب الأخطاء جزءا أساسيا من التجربة البشرية - إنه كيف ننمو ونتعلم. لكن في مجال الأمن السيبراني، في غالب الأحيان لا يتم التغاضي عن الأخطاء البشرية كونها مكلفة لدرجة كبيرة. فوفقا لدراسة أجرتها شركة IBM ، فإن الخطأ البشري هو السبب الرئيسي لـ 95 % من انتهاكات الأمن السيبراني.
يجب أن يأتي التخفيف من الخطأ البشري من زاويتين: تقليل الفرص وتثقيف المستخدمين. كلما قلت فرص الخطأ، كلما قل اختبار المستخدمين لمعرفة معرفتهم - وكلما زادت معرفة المستخدمين لديك، قل احتمال ارتكابهم للخطأ حتى عندما يواجهون فرصة للقيام بذلك.
يونس مليح، دكتور في القانون العام والعلوم السياسية
يونس مليح