مقالات رأى

مؤشرات الأمن السيبرانى

طباعة

نعيش حاليا فى عصر المعلومات والأرقام وتحليلاتها، ونجد العديد من المؤسسات الدولية تقوم سنويا بإصدار نشرات لمؤشرات متعددة، منها ما يرتبط بالاقتصاد أو التنافسية أو رأس المال البشرى أو الخدمات المختلفة كالصحة والتعليم، وعلى الرغم من بعض المآخذ على أسلوب صياغة تلك المؤشرات وخاصة المؤشرات الفرعية المكونة للمؤشر الرئيسى أو اختلاف طبيعة الأمر من دولة لأخرى، فإن تلك المؤشرات تعد من الأهمية بمكان لقياس مستوى الدولة مقارنة بالدول الأخرى، وكذا أيضا مدى التقدم-أو التراجع- المحقق من عام لآخر.

وفى مجال الأمن السيبرانى صدر تقرير مؤشر الأمن السيبرانى Global Cybersecurity Index (GCI)لعام 2020 من الاتحاد الدولى للاتصالات International Telecommunication Union (ITU) ، وبعد أن هدأت الضجة الأولى حول نتائجه التى تراوحت بين القبول التام والإيمان بالنتائج وبين الرفض التام وعدم الاعتراف بما جاء به، أرى أن الأمر يجب ألا يؤخذ بصورة انفعالية مرتبطة بالترتيب العام، أو ما الدول التى تسبقنا فى هذا المؤشر فقط مثلما اختزل البعض الأمر، ولكن من الضرورى تحليل المؤشرات الفرعية المكونة للمؤشر الرئيسى، ومن قبل ذلك نقد تلك المؤشرات والإجابة عن سؤال مهم عما إذا كانت عناصر المؤشر كافية للتدليل على معناه أو لا.

بداية وقبل الخوض فى التفاصيل يجب الإشارة إلى ثبات ترتيب مصر فى هذا المؤشر لعامى 2018 و2020 على التوالى عند المرتبة الـ 23عالميا والرابعة عربيا مع ارتفاع قيمة المؤشر من 84.2 إلى 95.84 وهو يشير إلى تحسن ملحوظ فى حدود 14% خلال العامين الماضيين.

الملحوظة الثانية المرتبطة بالدول التى تسبقنا ويأتى على رأسها الولايات المتحدة الأمريكية (الأولى على مستوى العالم فى هذا التقرير) بقيمة 100%، فإن الاختلاف بين الـ 23 دولة الأوائل لا يزيد على 5% فقط وهى نسبة صغيرة تجعل الاختلافات فى الترتيب ليست بالكبيرة على الإطلاق.

الملحوظة الثالثة هى أن حصول دولة على قيمة 100% من المؤشر يعد إشارة إلى أن عناصر المؤشرات الفرعية تحتاج إلى مراجعة؛ لأن هذا يعنى ببساطة أن أى تقدم تحققه الولايات المتحدة الأمريكية فى المستقبل لن يكون له أى انعكاس على قيمة المؤشر الخاص بها نظرا لوصولها إلى الدرجة القصوى، ولا رد على تلك النقطة إلا إذا كان الأمر يتم من خلال تنسيب كل درجات الدول إلى درجات الدولة الأولى مع إعطائها الدرجة النهائية (100%) وهو ما أشك فى حدوثه، وأعتقد أنه يؤكد ضرورة إضافة بعض المؤشرات الفرعية الجديدة أو تغيير فى عناصرها ليكون القياس أكثر دقة وشمولية، هذا بالإضافة إلى أن أمرا كهذا غير منطقى على الإطلاق، فلا يوجد ما يمكن أن يطلق عليه درجة تأمين 100%، كما أن الولايات المتحدة الأمريكية تعرضت قبل إصدار التقرير وبعده أيضا إلى العديد من الهجمات السيبرانية الكبيرة والمتوسطة والصغيرة، وهو أمر تطالعنا به الأنباء بصورة شبه يومية.

الملحوظة الرابعة مرتبطة بتعريف المؤشرات الفرعية الخمسة، وهى (الشق التشريعى المرتبط بالقوانين المنظمة للفضاء الإلكترونى، ثم الشق الفنى المرتبط بالأنظمة الفنية الموجودة لحماية الشبكات وقواعد البيانات والمعاملات الإلكترونية، ثم الشق التنظيمى المرتبط بوجود استراتيجيات قومية لأمن السيبرانى وعلى مستوى المؤسسات أيضا، ثم الشق المرتبط بالتدريب ورفع كفاءة العنصر البشرى العامل فى هذا المجال، وأخيرا الشق المرتبط باتفاقات التعاون بين المؤسسات المختلفة داخل الدولة وأيضا على المستويين الإقليمى والدولى). وهنا تكون الملحوظة الأساسية أن كل تلك العناصر لا يمكن من خلالها قياس درجة التأمين فقط؛ نظرا لأنها كلها عناصر مرتبطة بمدخلات العملية التأمينية فقط، وهو أمر مشابه لقياس درجة التأمين لحاسبك الشخصى من خلال الإفادة عن وجود برامج مضادة للفيروسات والهجمات وأيضا مدى التدريب الفنى الذى حصلت عليه والقواعد المنظمة للعمل، وهى عناصر مهمة لاشك، ولكن لا يمكن عدَّها من العناصر الوحيدة لقياس درجة الأمان دون النظر إلى عدد الهجمات الحقيقية التى تم شنها على الأنظمة الفنية ونسبة الهجمات الناجحة مقارنة بتلك التى تم صدها، وأيضا تأثير تلك الهجمات فى عمل تلك الأنظمة، وأيضا التأثيرات الأخرى فى الاقتصاد والاستثمار واستمرارية أداء الأعمال وغيرها.

ولكن، بالطبع، الإفصاح عن تلك البيانات والمعلومات المهمة والحاكمة أمر فى غاية الصعوبة، وربما يصل أحيانا إلى حد الاستحالة؛ نظرا لأن العديد من المؤسسات حول العالم ربما لا تعرف ولا تشعر بأن اختراقا قد حدث لها، أو قد تقوم بإخفاء تلك الأنباء، أو تقوم أحيانا بالإدلاء ببيانات غير حقيقية عن زمن التعطل والخسائر الناجمة، أو ترجع ما حدث إلى وجود خطأ تقنى دون إضافة أى تفاصيل، فالسمعة مهمة وأخبار الاختراقات وتسريب البيانات تضر بموقف المؤسسات والشركات وقيمة أسهمها فى البورصة ومدى ثقة العملاء وحاملى الأسهم ومدى تعاون المؤسسات والشركات الأخرى معها، كما أنه قد يزج بالشركة إلى ساحات القضاء ودفع تعويضات كبيرة للضحايا ولمفوضية حماية البيانات الشخصية التابعة لها التى تقوم بهذا العمل ضمن أنشطة أخرى يتم النص عليها فى قوانين حماية البيانات الشخصية بدولها.

والخلاصة أنه وعلى الرغم من الاعتبارات السابقة فإن مؤشر الأمن السيبرانى لا يستقيم دون وضع الهجمات وتأثيراتها فى الحسبان؛ فالسلاح لا يختبر إلا فى رد الهجمات وإحباطها.

نقطة أخيرة عن هذا التقرير الذى تم عنونته بتقرير "مؤشر الأمن السيبرانى العالمى 2020" الذى صدر فى منتصف عام 2021، ومنذ ذلك التاريخ لم يصدر الاتحاد الدولى للاتصالات أى تقارير أخرى، ولكن تجرى التحضيرات حاليا لإعداد تقرير جديد لتتمكن الدول من المقارنة والتحسين.

وحتى صدور هذا التقرير لا يسعنا إلا البحث على شبكة الإنترنت، لنجد مجموعة كبيرة من التقارير السنوية التى تصدرها شركات أمن المعلومات أو الجامعات والمعاهد المتخصصة، ومثال ذلك، التقرير الصادر فى نوفمبر الماضى من مجلة MIT Technology Reviewالتابعة لمعهد ماسيشيوتس للتكنولوجيا Massachusetts Institute of Technology,بالولايات المتحدة الأمريكية، الذى يشير إلى أن الاستثمار فى أمن المعلومات قد تخطى حاجز الـ 172 مليار دولار عام 2022 مع التوقع بوصوله إلى 267.3 مليار دولار بنهاية عام 2026 وذلك بمعدل زيادة سنوية فى حدود 11%، كما يحتوى هذا التقرير على مقارنة أكبر 20 اقتصادا على مستوى العالم فقط، ما يشير إلى أن ترتيب الدول الخمس الأولى، جاء كما يلى: أستراليا–هولندا-كوريا الجنوبية- الولايات المتحدة الأمريكية-كندا.

 

طباعة

    تعريف الكاتب

    م. زياد عبد التواب

    م. زياد عبد التواب

    خبير التحول الرقمي وأمن المعلومات، الرئيس السابق لمركز المعلومات ودعم اتخاذ القرار برئاسة مجلس الوزراء