مسألة نضج الأمن السيبراني

بواسطة رقمنة نت في مارس 5, 2022

رقمنة

الاقتصادية ،أ.د.سعد علي الحاج بكري

عندما نتحدث عن النضج Maturity فنحن نتحدث عن حالة مستهدفة تشمل خصائص مطلوبة، يجب أن تتحلى بها منظومة مطروحة للتقييم والفهم والتطوير. فإن تحلت بها فهي تتمتع بالنضج المنشود، وإلا فليست كذلك. وفي هذا الإطار، لا يجوز نفي النضج تماما عن المنظومة التي لا تتمتع بجميع خصائص حالة النضج المطلوبة، فقد تكون المنظومة المطروحة متطورة تتجه في تطورها نحو اكتساب كامل الخصائص المستهدفة، لكنها لم تصل إلى تحقيق ذلك بعد. ففي مثل حالة التطور هذه تستحق المنظومة درجة في مستوى النضج، صحيح أن هذه الدرجة لا تكون مرضية من حيث وصول المنظومة إلى تحقيق كامل الخصائص المأمولة، لكنها تكون معبرة عن مدى اقترابها من أو ابتعادها عن الوصول إليها، وعلى هذا الأساس فإن للنضج درجات متعددة، وبالطبع يؤمل أن يجري التطور باتجاه الوصول إلى أفضلها.
يضاف إلى ما تقدم أمر آخر يتمثل في حقيقة أن خصائص حالة النضج، في المنظومات المختلفة، خصوصا المرتبطة بالموضوعات العلمية والتقنية ليست ثابتة أو ساكنة، بل هي ديناميكية متحركة، قابلة للتطوير مع التغير الذي تشهده هذه الموضوعات. ويمكن، على هذا الأساس أن نجد أن منظومة معينة كانت ناضجة تماما بالأمس، ولم تعد ناضجة بالقدر المطلوب اليوم بسبب المستجدات التي تغير معايير النضج المنشود.
ولعلنا نجد في أحيان كثيرة أن هناك منظومات تكون في مستوى النضج المطلوب لكنها تواجه تغيرات تسلب منها نضجها وتهبط بها إلى مستوى أدنى من النضج الجديد الذي بات عليها أن تتطور من أجل الوصول إليه. كما نجد أيضا منظومات أكثر رشاقة تراقب المستجدات، وربما تصنعها، وتسعى باستمرار إلى التطور نحو أفضل حالات النضج المتجدد المطلوب. وهكذا تبرز هنا الحاجة إلى تقييم درجات النضج للمنظومات المختلفة، بل جعل هذا التقييم دوريا من أجل إدراك متطلبات التطوير نحو النضج المنشود، والاستجابة لها.
في إطار ما سبق تبرز أفكار ما يعرف بنموذج النضج Maturity Model الذي يسعى إلى تقييم درجة النضج لحالة تقع في إطار موضوع النموذج. ولمثل هذا النموذج ثلاثة محاور رئيسة تتكامل معا في صياغته: محور معايير النضج للحالة المطروحة، ومحور مكونات مضمون هذه الحالة، ثم محور تقييم واقع هذه المكونات على أساس معايير النضج. في محور المعايير هناك مستويات النضج ودرجات تقييمها، وفي محور مكونات المضمون هناك مشهد حالة المسألة المطروحة، وأبعاد موضوعاتها المختلفة، أما في محور تقييم حالة مكونات المضمون، فهناك المؤشرات التي تقيس هذه الحالة على مقياس مستويات النضج.
المسألة المطروحة في هذا المقال والذي يليه هي منظومة الأمن السيبراني Cybersecurity. فلهذه المنظومة أهمية كبرى حالية ومستقبلية، لأنها منظومة الأمن والأمان لمنظومة أكبر منها هي منظومة العالم السيبراني المتطورة مع تطور التقنيات الرقمية، وهذه المنظومة بدورها باتت جزءا مهما من منظومة الحياة، حيث تشمل خدماتها حماية مختلف نشاطات الإنسان الرقمية مهنيا واجتماعيا. اهتم الباحثون على مدى العقدين السابقين بوضع نماذج نضج لمنظومة الأمن السيبراني، وكان لكل منها تطبيقات، في إطار مدى شمولية التعريف بالمنظومة. ولعل النموذج الحديث والأكثر شيوعا من غيره هو النموذج الصادر في كتيب خاص، في شهر آذار (مارس) عام 2021، عن المركز العالمي لقدرات الأمن السيبراني التابع لقسم علوم الحاسب في جامعة أكسفورد البريطانية الشهيرة. ويحمل الكتيب عنوانا يقول نموذج نضج قدرات الأمن السيبراني في الدول CMM. ويتصف النموذج بأنه تحديث لنماذج سابقة، ويشمل في مضمونه خمسة أبعاد موضوعية رئيسة، تمثل منظومة قدرات الأمن السيبراني الوطنية في أي دولة من الدول. يطرح البعد الموضوعي الأول مسألة استراتيجية وسياسات الأمن السيبراني للدولة المعنية. ويهتم في هذا المجال بقدرة هذه الدولة على وضع استراتيجية تتضمن سياسات فاعلة قادرة على حماية الأمن السيبراني، وتحقيق الصمود أمام التحديات ومحاولات الاختراق، وحماية البنية الأساسية الحرجة. وتؤدي القدرة على تنفيذ مثل هذه الاستراتيجية إلى توفير بيئة آمنة لنشاطات العالم السيبراني يستفيد منها العمل الحكومي، والأعمال المهنية والتجارية المختلفة، بل المجتمع بأسره أيضا.
يختص البعد الثاني بمسألة ثقافة الأمن السيبراني والمجتمع. وتتضمن هذه المسألة فهم أبناء المجتمع للمخاطر التي يواجهها العالم السيبراني من جهة، وفهم وسائل الحماية من هذه المخاطر من جهة أخرى. ويدخل في هذا الإطار موضوع التواصل بشأن حماية الأمن السيبراني عبر الشبكات الاجتماعية من أجل إدراك أهمية هذه الحماية، وتوخي السلوك السليم تجاه هذه الحماية، وإبلاغ الجهات المختصة عن المخاطر حال حدوثها لتمكين مواجهتها ومنع أضرارها. ويهتم البعد الثالث، بعد ذلك، ببرامج التعليم والتدريب التي يجب توفيرها لبناء القدرات البشرية الواعية والمؤهلة للتعامل مع التحديات. فالخدمات الحكومية وغير الحكومية عبر العالم السيبراني تحتاج إلى مؤهلين لحمايتها والمستخدم الواعي مطلوب لتعزيز هذه الحماية، ولحماية تعامله مع المستخدمين الآخرين الذين يجب أن يتمتعوا بالوعي ذاته أيضا.
ويبرز البعد الرابع، بعد ما تقدم، ليركز على مسألة العوامل التنظيمية والقانونية للأمن السيبراني. ويشمل ذلك تنظيم السلوك العام الآمن للمتعاملين عبر العالم السيبراني، وتحديد الإجراءات القانونية التي يتم على أساسها ردع المخالفات والتحديات. ونصل إلى البعد الخامس والأخير في النموذج المطروح وهو البعد الخاص بمسألة معايير تحقيق الأمن السيبراني وتقنياتها. وغاية هذه المعايير والتقنيات هي مواجهة المخاطر والتحديات تنظيميا وإداريا من جهة، وتقنيا من جهة أخرى، بما يحقق تنفيذ أفضل الممارسات في تحقيق الحماية المنشودة.
تعطي الأبعاد الخمسة لنموذج نضج منظومة الأمن السيبراني، المعطى في هذا المقال، المشهد العام لمضمون هذه المنظومة. ويمكن استخدام هذا المشهد مرجعا لتقييم حالة منظومات الأمن السيبراني في الدول والمؤسسات المختلفة. لكن هذا الاستخدام يحتاج أيضا إلى تحديد معطيات لتقييم مستويات نضج مكونات هذه المنظومات من جهة، ووضع أساليب مؤشرات لهذا التقييم من جهة أخرى.

ان مسألة نضج الأمن السيبراني، أي وصول هذا الأمن إلى حالة مستهدفة، هي حالة النضج، التي تحقق خصائص مطلوبة. وذكرنا حقيقة أن منظومات الأمن السيبراني، عموما لا تحقق بالضرورة جميع الخصائص المطلوبة، بل تحقق جزءا منها، أي لا تكون ناضجة تماما، لكن تتمتع بدرجة من النضج قد تقترب أو تبتعد عن النضج المنشود. وفي هذا الإطار، ذكرنا أن هناك نماذج تستهدف تقييم درجة نضج منظومات الأمن السيبراني، وركزنا على النموذج الصادر في آذار (مارس) عام 2021، عن المركز العالمي لقدرات الأمن السيبراني، التابع لقسم علوم الحاسب في جامعة أكسفورد البريطانية الشهيرة. ويحمل الكتيب عنوانا يقول “نموذج نضج قدرات الأمن السيبراني”، وجاء هذا النموذج تحديثا لنماذج سابقة، يستجيب لمتطلبات الأمن السيبراني المتجددة على مستوى الدول.
وكأي نموذج نضج في أي موضوع من الموضوعات، يشمل النموذج المذكور ثلاثة محاور رئيسة تتكامل معا في صياغته: محور معايير النضج للحالة المطروحة، ومحور مكونات هذه الحالة، ثم محور تقييم واقع هذه المكونات على أساس معايير النضج. في محور المعايير هناك مستويات النضج ودرجات تقييمها، وفي محور مكونات المضمون هناك مشهد حالة المسألة المطروحة، وأبعاد موضوعاتها المختلفة، أما في محور تقييم حالة مكونات المضمون، فهناك المؤشرات التي تقيس هذه الحالة على مقياس مستويات النضج. وطرح المقال السابق جانب أبعاد مكونات المضمون، وذكر أنها تشمل خمسة أبعاد رئيسة، هي: استراتيجية وسياسات الأمن السيبراني، وشؤون الثقافة والمجتمع الذي ترتبط به، والقدرات البشرية الواعية والمؤهلة في مجال هذا الأمن، والعوامل التنظيمية والقانونية، إضافة إلى معايير تحقيق هذا الأمن.
وهكذا يكون المقال السابق، قد رسم مشهد أبعاد مضمون الأمن السيبراني. ويحتاج الأمر، كي يعطي النظرة الشاملة إلى مسألة النضج، ويمكن القدرة على تقييمها إلى تحديد معايير لتقييم مستويات نضج مكونات منظومات الأمن السيبراني من جهة، وإلى وضع أساليب ومؤشرات لهذا التقييم من جهة أخرى. وهذا ما سيتم طرحه ومناقشته فيما يلي.
ولعلنا نبدأ بطرح أساليب ومؤشرات تقييم الأمن السيبراني لأنها ترتبط بأبعاد المضمون الخمسة، بل إنها تنطلق من تحليل عناصر هذه المكونات. فهي تعتمد على بناء صورة هرمية لكل بعد من الأبعاد الخمسة لمضمون مشهد الأمن السيبراني. في هذا الإطار، يقسم كل بعد إلى عوامل يختص كل منها بجزء من أجزاء البعد، حيث تمثل هذه الأجزاء معا كامل البعد المطروح. ثم يقسم كل عامل من هذه العوامل إلى جوانب تمثل عناصره، حيث تمثل هذه العناصر كامل العامل المطروح. ويتم بعد ذلك تحديد مؤشرات لتقييم كل جانب من الجوانب المعطاة.
ولعل من المناسب، تقديم مثال على ما سبق يختص بأحد الأبعاد الخمسة، وليكن البعد الثالث، أي بعد “القدرات البشرية الواعية والمؤهلة في مجال هذا الأمن”. يتضمن هذا البعد أربعة عوامل رئيسة، هي: عامل بناء الوعي السيبراني، وعامل تعليم الأمن السيبراني، ثم عامل التدريب المهني على شؤون الأمن السيبراني، وأخيرا عامل البحث والابتكار في مجال الأمن السيبراني.
يشمل “عامل بناء الوعي السيبراني” أربعة جوانب رئيسة: جانب وجود مبادرات حكومية لتعزيز الوعي بالأمن السيبراني، وجانب وجود مبادرات مثيلة يطرحها القطاع الخاص، ثم جانب وجود توعية خاصة للمديرين وأصحاب المواقع المؤثرة في القطاعين العام والخاص، وبما يشمل الأكاديميين وشخصيات المجتمع المدني، ويضاف إلى ذلك طرح كيفية تنفيذ التوعية المنشودة. ويتضمن عامل تعليم الأمن السيبراني جانبين رئيسين: جانب تقديم هذا التعليم عبر برامج متطورة تواكب المعطيات المتجددة، وتقود إلى مؤهلات وتخصصات تغطي مجالات هذ الأمن، ثم جانب إدارة هذا التعليم وبرامجه. ونأتي إلى عامل بناء الوعي السيبراني، وله جانبان أيضا هما: جانب تقديم التدريب المنشود، وجانب تحديثه تبعا للمتطلبات والخبرات المتجددة. ونصل أخيرا إلى عامل البحث والابتكار في مجال الأمن السيبراني، وله جانب واحد هو: جانب تفعيل البحث والتطوير في هذا المجال.
وهكذا نجد أن بعدا واحدا من الأبعاد الخمسة للأمن السيبراني يتفرع هرميا إلى أربعة عوامل، وتتفرع هذه العوامل بدورها إلى تسعة جوانب، ثم يتفرع كل من هذه الجوانب إلى مؤشرات تفصيلية تسمح بتقييم حالة متطلباته. وتلقى الأبعاد الأربعة الباقية تفريعات هرمية مماثلة بأعداد مختلفة من العوامل، ومن الجوانب المرتبطة بها. ويبلغ مجمل عدد العوامل للأبعاد الخمسة “23 عاملا”، كما يبلغ عدد الجوانب المرتبطة بهذه العوامل “62 جانبا”.
يتم تقييم كل من الجوانب المطروحة من خلال مؤشرات تعبر عن حالة مضامينها تبعا لمعايير تتوزع على خمسة مستويات متدرجة تعبر عن مدى النضج الذي وصلت إليه حالة الجانب المطروح. يعبر المستوى الأول عن بداية التفكير في الأمر، ويمثل المستوى الثاني حالة وجود إجراءات بشأنه، ويبين المستوى الثالث وجود دليل على حالة متطورة، ويعبر المستوى الرابع عن حالة فاعلة، ثم يأتي المستوى الخامس متوافقا مع حالة النضج المستهدفة للجانب المطروح. وعلى أساس تقييم جوانب كل عامل، يتم تقييم هذا العامل، وعلى أساس تقييم العوامل، يتم تقييم مجمل حالة الأمن السيبراني المطروحة.
لا شك أن مسألة نضج الأمن السيبراني مسألة ذات أهمية كبيرة في هذا العصر، بل إن هذه الأهمية تتزايد باطراد، مع ازدياد الإبداع والابتكار في تطوير تقنيات العالم السيبراني الرقمية، وتطوير تقنيات الذكاء الاصطناعي المرتبطة بها، والتطبيقات الكثيرة المختلفة في هذا المجال. ومن المتوقع بالطبع، مع هذا التطور، أن تتطور أيضا متطلبات نضج الأمن السيبراني، خصوصا أن التحديات تزداد بازدياد معطيات هذه التقنيات وتطبيقاتها، وهو ما يجب الاستجابة له في تحديد تغيرات النضج المستهدف، والعمل بالتالي على الارتقاء المتواصل به، والتقييم على أساس ذلك. والغاية المنشودة هي الحفاظ على عالم سيبراني آمن يجعل من حياتنا في العالم الحقيقي أجدى كفاءة وأكثر فاعلية.