العالم السيبراني ……. وحماية البنى الحرجة

بواسطة رقمنة نت في أغسطس 15, 2021

رقمنة

الاقتصادية- أ.د سعد علي الحاج بكري

يجمع هذا العنوان بين العالم السيبراني Cybersecurity والبنى الحرجة Critical Infrastructure: CI. وهو ينظر في هذا الجمع إلى العلاقة المهمة بينهما، ومتطلبات المدن الذكية Smart Cities وحاجتها إلى هذا الجمع، وطموح العالم تجاه بنائها. وكي يكون هذا الأمر واضحا، لا بد من التعرف على المكونات الرئيسة للمشهد العام للموضوع المطروح، ولعلنا نبدأ ذلك بالتعريف بالبنى الحرجة.
أوردت وثيقة الاتحاد الدولي للاتصالات ITU، الصادرة عام 2018، وعنوانها: “دليل تطوير استراتيجية وطنية للأمن السيبراني”، تعريفا للبنى الحرجة CI يقول: “إنها الأصول الأساسية اللازمة لتنفيذ وظائف أمن المجتمع وخدماته ونشاطاته الاقتصادية في الدولة المعنية”. وتضيف الوثيقة تعريفا آخر لمصطلح إضافي مكمل هو البنية المعلوماتية الحرجة CII، ويقول هذا التعريف عن هذه البنية: “إنها تقنيات المعلومات والاتصالات ICT وأنظمتها التي تعمل على تشغيل الوظائف والخدمات والنشاطات الخاصة بالبنية الحرجة”. وبناء على هذين التعريفين، نجد أن تقنيات العالم السيبراني تقع في صلب البنى الحرجة، بل تتحكم في وظائفها ونشاطاتها وخدماتها.
تبين الوثيقة في شرحها لما سبق، مكونات الأصول الأساسية للبنية الحرجة. وتشمل هذه المكونات: ما يرتبط بشؤون الطاقة بما يشمل الطاقة الكهربائية والنفط والغاز، وما يتعلق بالنقل برا وبحرا وجوا، والتجارة والتمويل المالي والنشاطات البنكية المختلفة، وخدمات المياه، والمياه الصالحة للشرب، والخدمات الرقمية بما يشمل خدمات الاتصالات وتقنيات المعلومات بشتى أنواعها، والرعاية الصحية، والخدمات التعليمية، وغير ذلك من مكونات الأصول الأساسية التي تحتاج إليها المجتمعات حول العالم.
تبرز في إطار ما سبق المدن الذكية التي تركز على الاستخدام الفاعل لتقنيات المعلومات والاتصالات في تفعيل البنى الحرجة. ويعرف الاتحاد الدولي للاتصالات هذه المدن في وثيقة أخرى خاصة بها قائلا: “إنها مدن متطورة، تستخدم تقنيات المعلومات والاتصالات، إضافة إلى وسائل تقنية أخرى، من أجل: تحسين جودة الحياة، وتطوير كفاءة أعمال المدينة وخدماتها، وتعزيز قدرتها على المنافسة، مع التأكيد على فاعلية استجابتها لمتطلبات الأجيال الحالية والمستقبلية، في القضايا الاقتصادية والاجتماعية والبيئية، وكذلك الثقافية. ومن الواضح أن هذا التعريف يؤكد دور البنية المعلوماتية الحرجة CII في إدارة البنية الحرجة CI من أجل كفاءة الأعمال وجودة الحياة واستدامتها. ويضاف إلى ذلك أن هذا التعريف ينطبق حاليا كليا أو جزئيا على كثير من مدن العالم، وأنه تعريف متطور يواكب التقدم المتواصل لكل من تقنيات البنيتين.
وهكذا نجد أن حماية تقنيات العالم السيبراني الخاصة بالبنية المعلوماتية الحرجة CII هي حماية أيضا للبنية الحرجة CI، وللاستفادة الفاعلة من معطياتها، فأي تهديد للأولى هو تهديد للثانية. وعلى هذا الأساس وضعت وثيقة الاتحاد الدولي للاتصالات سابقة الذكر توصيات تتضمن خمس ممارسات رئيسة لهذه الحماية، ورأت أنها يجب أن تكون جزءا من استراتيجيات الأمن السيبراني Cybersecurity للدول المختلفة. وسنلقي بعض الضوء على ممارسات الحماية هذه فيما يلي.
تقضي الممارسة الأولى بتبني أسلوب لإدارة المخاطر Risk Management على كل من البنيتين الحرجتين، إضافة إلى القيام بتنفيذ هذا الأسلوب والتعامل مع هذه المخاطر والحماية منها. وتعطي وثيقة الاتحاد الدولي للاتصالات بعض التفاصيل في هذا الشأن، لكن هناك أيضا وثائق دولية وأخرى وطنية تفصيلية تطرح هذا الموضوع، لعل أبرزها وثيقة منظمة المواصفات المعيارية الدولية ISO التي تحمل الرمز ISO 27005.
ونأتي إلى الممارسة الثانية التي تركز على تبني نموذج حوكمة Governance Model يتمتع بوضوح المسؤوليات فيه Clear Responsibilities، بما يشمل مسؤوليات جميع أصحاب العلاقة في الجهات الحكومية وشركات القطاع الخاص والأفراد، في إطار البنيتين الحرجتين. وفي سبيل تمكين أداء المسؤوليات من قبل الجميع بشكل متكامل، تبرز الحاجة إلى تأمين قنوات اتصال فاعلة فيما بينهم.
تهتم الممارسة الثالثة بتعيين حد أدنى لحماية الأمن السيبراني Minimum Cybersecurity Baselines يتم على أساسه التعامل مع مختلف مكونات البنيتين الحرجتين، وما يقدمانه من خدمات. ومثال ذلك تعيين مستويين من الأمن للتمكن من النفاذ إلى هذه المكونات. وتجدر الإشارة هنا إلى أن هذا الحد الأدنى قد يتطلب تشريعا يعطي ضابطا حكوميا كما قد يحتاج أيضا إلى تدخل القطاع المختص في تحديد حد أدنى خاص بالقطاع، وذلك تبعا لطبيعة المكونات والخدمات المقدمة.
وتحرص الممارسة الرابعة على الاستجابة لتعددية أصحاب العلاقة بالبنى الحرجة. ولذلك ترى الحاجة إلى استخدام مجال واسع من أذرعة السوق Wide Range of Market Levers Utilizea. والمقصود هنا هو استخدام سياسات مناسبة لأمن البنى الحرجة، للإحاطة بكل المؤسسات ذات العلاقة ومتطلباتها وأولوياتها المختلفة. ونصل أخيرا إلى الممارسة الخامسة الخاصة بإقامة شراكات بين القطاعين العام والخاص Establish Public-Private Partnership، لما في ذلك من مصلحة أساسية للطرفين، وبالتالي للمجتمع بأسره. وترتبط مثل هذه الشراكة بالممارسات الأربع سابقة الذكر، وبأهداف الحماية وتوجهاتها الاستراتيجية، مع أخذ متطلبات الجهات المختلفة في الحسبان.
وهكذا نجد أن حماية البنى الحرجة في العالم السيبراني يتطلب من الدول وضع استراتيجيات للأمن السيبراني تشمل ممارسات تخص هذه البنى وتتطلب ممارسات تهتم بإدارة المخاطر، وممارسة حوكمة ذات مسؤوليات واضحة، وتحديد حدود دنيا للحماية تبعا للمتطلبات، والاستجابة بما يلزم لمثل هذه المتطلبات، إضافة إلى بناء شركات مفيدة بين أصحاب العلاقة.
ولعل من المناسب الإشارة أخيرا إلى أن العالم السيبراني لدولة من الدول ليس عالما مستقلا عن مثيله في الدول الأخرى، بل إنه عالم يضم جميع الأمم. وتأتي إيجابية ذلك من خلال الفوائد الجمة لتواصله الواسع، أما سلبية ذلك فتكمن في مصادر التحدي المشترك الكثيرة والمنتشرة على مدى العالم بأسره. وعلى ذلك، فإن وجود استراتيجيات لحماية الأمن السيبراني، خصوصا البنى الحرجة على مستوى كل دولة، أمر مستحب، بل ضروري أيضا، لكنه غير كاف والإضافة المطلوبة هنا هي استراتيجية دولية للأمن السيبراني والبنى الحرجة، تتضمن أسسا دولية وممارسات عامة، تتوخى التزام الجميع، من أجل عالم آمن يرضي الجميع.