قوانين جديدة قادمة حول خصوصية البيانات وأمنها

أرسل جوناثان ليتشو المهندس الذي تجاوز العشرين من عمره رسالة إلكترونية إلى شركة "زووم" في 26 مارس/ آذار، لإعلامها بأنه اكتشف خللاً في برنامجها، وهو ما سمح للقراصنة بالدخول سراً إلى كاميرات أجهزة كلّ من استخدم هذه الخدمة الشهيرة للاتصال عبر الفيديو. واستغرقت شركة زووم قرابة ثلاثة أشهر من العمل لحلّ المشكلة. وتجنباً للمجازفة، أطلقت شركة آبل تحديثاً جديداً للبرنامج الخاص بها لمعالجة هذه المشكلة. فماذا عن قوانين خصوصية البيانات؟

بعد ثلاثة أسابيع من مراسلة ليتشو لشركة زووم للمرة الأولى، ظهرت الشركة ضمن أحد أنجح فعاليات طرح العام الأولي في البورصة في عام 2019 حتى اليوم. أي أنه في الوقت الذي كانت البورصة تتوج فيه شركة زووم بالجوائز المالية، كان مهندس برمجيات شاب يكتشف نقاط ضعف تُعَرّض للخطر خصوصية وأمن جميع المستخدمين تقريباً.

قوانين خصوصية البيانات

كيف يمكن لهذين الأمرين أن يوجدا معاً في وقت واحد؟ والجواب على ذلك هو: أنّ الشركات ليست معدة لبيع البرامج الآمنة، وذلك لعدم وجود ما يحفزها على القيام بذلك، والمستهلكون لا يمتلكون بمفردهم إمكانية المطالبة بذلك.

اقرأ أيضاً: فريقك ليس بحاجة لعالم بيانات من أجل القيام بالتحليلات البسيطة للبيانات

ولكن عجز السوق عن ذلك لن يستمر طويلاً، فالحكومات تعمل على إقرار قوانين جديدة وتطبيقها بهدف ضمان اتباع معايير أعلى فيما يخص أمان البرمجيات وخصوصية البيانات، وهذا ما يعد بنهاية العصر الذي لا تختبر فيه شركات التقنية برامجها بما يكفي من ناحية ثغرات الأمن والخصوصية. ففي العام الماضي، أصبحت ولاية كاليفورنيا -مثلاً- أول ولاية أميركية تطبق المعايير الأساسية على البرمجيات المستخدمة في إنترنت الأشياء، ويمكن عن طريق وضع قائمة إصلاحات ضمن القوانين المقترحة فيما يتعلق بالخصوصية والأمن على مستوى الولاية إلى جانب مجموعة مقترحات على مستوى الحكومة الفيدرالية، فرض عقوبات على الأضرار التي يتسبب بها خرق الخصوصية أو الأمن. كما تشهد بلدان أخرى حول العالم مساع مماثلة، كالهند والبرازيل وغيرهما.

وعلى الرغم من أن هذه القوانين الجديدة لن تكون سريعة التطبيق، لأن القوانين التنظيمية معروفة ببطئها في التأقلم مع التحديات التقنية الجديدة، فإنها في طريقها نحو الإقرار فعلاً. وينبغي ألا تتمهل شركات البرمجيات وزبائنها من الشركات في القيام بما يجب. وبداية، يجب أن ترفع من مستوى الأمن من ناحية الترميمات التي تطبقها أو الحوادث التي تستجيب لها، بالإضافة إلى رفع مستوى الإجراءات كثيفة العمالة الحالية المخصصة لتجنب ثغرات الخصوصية والأمن. وهذا يعني أنّ الوقت سيصبح هو المقياس المركزي لتأمين بيانات الشركات، أي الوقت المخصص لاختبار البرمجيات التي تنشئها الشركات وتشتريها، والوقت المخصص لصيانة البرمجيات بمجرد توزيعها.

وسيشكل ذلك تغييراً كبيراً يبعدنا عن الممارسات التي أصبحت شائعة بكثرة، والتي تتمثل بتكليف فرق ضمان الجودة التي لا تتمتع بالموارد الكافية باكتشاف الثغرات والاستعانة بالتعهيد الخارجي لاختبار البرمجيات من خلال البرامج عديمة الكفاءة لتصيّد الأخطاء.

اقرأ أيضاً: عندما تحقق البيانات ميزة تنافسية

ويعتبر هذا النهج الجديد نتيجة حتمية نوعاً ما للانتشار الكبير لتبني التقنيات الرقمية، فكلما ازداد وقت استخدام الأنظمة القائمة على البرمجيات الرقمية، ازدادت الجهود التي نحتاج إليها بصورة جماعية من أجل ضمان أن تكون هذه الأنظمة آمنة. ويترجم ذلك إلى ازدياد عدد العاملين على الخصوصية والأمن الذين ينفقون المزيد من الوقت والموارد من أجل تأمين البرمجيات التي نستخدمها.

استراتيجيات تطوير برامج الأمن في الشركات

ويمكن للشركات التي تطور البرمجيات وتوزعها أن تعدّ نفسها عن طريق اتباع استراتيجيتين اثنتين.

تتمثل الأولى في تركيز هذه الشركات على تضمين عمليات الأمان في تصميم البرمجيات ودورة حياة توزيعها في أبكر وقت ممكن وكلما كان ذلك ممكناً

وهناك عدد من الطرق الموجودة فعلاً ويمكن للشركات الاعتماد عليها من أجل تحقيق ذلك، إذ يمكن لموردي البرمجيات الاقتداء بنماذج مثل ما يسمى حركة ديفسيكوبس (DevSecOps movement) التي تتفرع عن الحركة الأكثر شهرة ديفوبس (DevOps)، وهي تُدخِل العاملين على الأمن مباشرة في المسار المستمر للتطوير والعمليات (ومن هنا جاء اسمها). ويمكن للشركات التي تشتري البرمجيات أن تتابع باستمرار حالات الهجوم السطحي الذي تتعرض له، وضمان أن تقوم "الفرق الحمراء" التي تحاكي المهاجمين بسبر شبكاتها ومراقبة وضعها الأمني بفعالية.

اقرأ أيضاً: علم البيانات وفن الإقناع

وبغض النظر عن الطريقة التي تختارها الشركة، سيكون واجباً عليها أن تثبت أن ضوابط الأمن والخصوصية ليست مجرد أمر ثانوي، بل هي مطلب جوهري بحد ذاتها. وبالنتيجة، ستكون الشركات مطالبة بالتتبع الدقيق للوقت والموارد المبذولة لاختبار جميع البرمجيات التي تنشئها أو تديرها وتأمينها.

أما الاستراتيجية الثانية فهي أيضاً تحتاج إلى وصل الموارد التي تنفقها الشركة على الخصوصية والأمن بحجم شيفرة البرمجة التي تسعى لحمايتها ومدى تعقيدها

ومع تزايد سطور شيفرة البرمجة في أي نظام برمجي، أو مع توسع قاعدة مستخدميه، سيكون واجباً على المؤسسات زيادة جهودها من أجل حماية خصوصية مستخدميها وأمنهم أيضاً.

إن ربط كثافة برامج حماية البيانات بحجم الاحتياجات الأمنية الأساسية وتعقيدها هو تحديداً ما تطالب به القوانين السارية والمقترحة التي يطالب كثير منها بفرض استخدام برامج محددة قائمة على الأدلة وقابلة للتكيف من أجل حماية البيانات. ومن ضمن هذه القوانين قانون حماية البيانات في أوهايو وأحد القوانين المقترحة في نيو جيرسي. يتوافق هذا النهج مع مجموعة كبيرة من الأبحاث التي تربط احتمالات ثغرات البرامج وعيوبها بتعقيد الشيفرة البرمجية وحجمها.

ولا ينبغي أن يكون هذا النوع من الاستجابة التنظيمية مفاجئاً لقطاع البرمجيات، فبعد وقوع انتهاكات أمنية كبرى على سبيل المثال، تفرض الجهات المشرعة هذا النهج فعلاً على بعض أكثر الموردين إساءة، وتطالبهم بإجراء التدقيق والاختبار والمراجعة اعتماداً على عمالة مكثفة للغاية. وقد جرى توضيح ذلك في التسوية التي توصلت إليها شركة الشبكات العالمية العملاقة دي-لينك (D-Link) مع لجنة التجارة الاتحادية في بداية شهر تموز/يوليو، حيث وافقت فيها شركة دي-لينك على "برنامج أمن البرمجيات" الذي يتمتع بمنحى عملي وتدقيق مكثف، ويستمر على مدى 20 عاماً. كما تعتبر التسوية الأخيرة بين فيسبوك ولجنة التجارة الفدرالية، التي تتطلب برنامجاً هائلاً جديداً لمراقبة الخصوصية مثالاً آخر على هذا النهج.

اقرأ أيضاً: طريقة مبتكرة تستند إلى البيانات لتوظيف الموهوبين

وقريباً، ستصبح الفكرة ذاتها حول ترك اختبار الأمن لأمثال المهندس الشابّ جوناثان ليتشو في العالم أكثر من مجرد مسؤولية علاقات عامة، إنها ستصبح ثغرة قانونية خطيرة أيضاً، ولهذا يجب الانتباه إلى قوانين خصوصية البيانات بشكل أكبر.

اقرأ أيضاً: علم البيانات المدفوع بالفضول