بات الأمن السيبراني مسألة أساسية في السياسات التجارية منذ فترة ليست ببعيدة. وقد نُشرت في السنوات القليلة الماضية مجموعة تقارير إخبارية تحدثت عن الأمن السيبراني والتجارة وعن لجوء حكومات مختلفة إلى تحميل برمجيات تجسس أو برمجيات خبيثة أو ما شابه ذلك داخل منتجات يُعتمد عليها في تشغيل أجهزة الكمبيوتر وتُصدر إلى جميع أنحاء العالم. وفي معظم الحالات، عملت الحكومات مع شركات خاصة في بلدانها للقيام بذلك. في عصر إنترنت الأشياء، يمكن توصيل جميع المنتجات تقريباً بالإنترنت ويمكن استخدام معظمها أيضاً في التجسس وفي القيام بأنشطة مؤذية أخرى. علاوة على ذلك، وبما أنّ البيانات تُعد من الأصول المهمة، فإنّ الخدمات بدءاً من الخدمات المصرفية الدولية إلى أنظمة الدفع ومواقع الإنترنت التي تجتذب المستهلكين، تُعد أيضاً جزءاً من هذه الأصول.
اقرأ أيضاً: ما هو تأثير الخصوصية والأمن السيبراني على الشركات والأشخاص؟
في أواخر عامي 2016 و2017، على سبيل المثال، سُلطت الأضواء على دمية "صديقتي كايلا" (My Friend Cayla) التي يمكن تشغيلها بالصوت، نظراً لأن تكنولوجيتها يمكن استخدامها لجمع معلومات عن الأطفال أو أي شخص حاضر في الغرفة. في عام 2017، حظرت ألمانيا الدمية بدعوى أنها تحتوي على جهاز مراقبة ينتهك قوانين الخصوصية لديها. وهناك مثال آخر معروف هو الهجوم بفيروس "ستكسنت" (Stuxnet) في سنة 2010 على منشأة نطنز للتخصيب النووي في إيران. نُفذ الأمر عن طريق زرع برمجيات خبيثة بما فيها "ستكسنت" في أنظمة تحكم صناعية شُحنت إلى إيران، فكانت النتيجة تدمير العديد من أجهزة الطرد المركزي.
على الرغم من أنّ النزاعات التجارية بين الولايات المتحدة والصين أو الولايات المتحدة وروسيا حظيت باهتمام واسع في الصحافة والإعلام، إلا أنّ النزاعات التجارية المتصلة بالأمن السيبراني هي ظاهرة عالمية بحق. وكجزء من بحثنا المبدئي حول هذا الموضوع، حددنا 33 حالة قام فيها بلد بحظر استيراد منتج أو خدمة بسبب مخاوف تتعلق بالأمن السيبراني. في كل من هذه الحالات، أدت الظروف والإجراءات المختلفة إلى نتائج مختلفة. وشملت الحالات 19 بلداً في جميع أنحاء العالم، ويُرجح في المستقبل أن تشمل هذه الأنواع من النزاعات التجارية جميع البلدان المتقدمة تقريباً.
اقرأ أيضاً: ما سبب صعوبة تحقيق الأمن السيبراني؟
بما أنه من غير المجدي إجراء فحص شامل للبرمجيات والبرامج الثابتة والمكونات الصلبة لكل منتج بمفرده، ما الذي يجب أن تفعله البلدان والشركات لمنع الاختراقات السيبرانية؟ يتمثل أحد الأساليب البديهية ظاهرياً في استبعاد المنتجات التي يحتمل أن تكون خطرة من واردات بلدان مشكوك فيها. لكن هذا النهج يتطلب تحديد المنتجات الخطرة وأي البلدان مثيرة للشكوك، وهذه مهمة هائلة. ومثل هذه القيود يمكن أن تتحول بسرعة إلى سياسات مع ما يترتب على ذلك من آثار على التجارة الدولية والاقتصاد العالمي.
تحتاج الدول والشركات إلى التفكير في خياراتها. في الوقت الحاضر، لا يوجد إطار لفهم وتصنيف أوجه القلق الأمني السيبراني المتصل بالتجارة. ومن دون فهم واضح، قد تقوم الحكومات بتنفيذ سياسات تؤدي إلى اندلاع نزاعات سيبرانية، بينما ستكابد الشركات عناء مواكبة تطور المخاوف المتصلة بالأمن السيبراني والقيود المفروضة لحمايته. لقد طورنا إطاراً لتنظيم هذه الحالات بشكل منهجي استناداً إلى مقابلاتنا المتعمقة مع خبراء المجال.
ما هي خيارات الدول؟
هناك العديد من الإجراءات المحتملة التي يمكن للحكومات اتخاذها، وذلك يتطلب مراعاة كل مما يلي بعناية:
عدم فعل أي شيء
يمكن للحكومات تقبل المخاطر المحتملة لحالة تمثل تحدياً للأمن السيبراني واختيار تجاهلها. في عام 2004، على سبيل المثال، اكتشفت المخابرات الفيدرالية الألمانية أنّ شركة تصنيع مكونات الكمبيوتر الصلبة نتبوتز (NetBotz) وكان مقرها حينها في الولايات المتحدة، تبيع كاميرات مراقبة ذات باب خلفي ترسل مقاطع فيديو إلى خوادم عسكرية أميركية. لم تفصح الاستخبارات الفيدرالية الألمانية عن الأمر حتى عام 2015، بعد أن اكتشفت مجلة الأمر وكتبت عنه.
اقرأ أيضاً: هل يؤدي التدريب الزائد إلى تقليل مخاطر الأمن السيبراني؟
تطوير حواجز استيراد
ستتخذ بعض الدول إجراءات لتنفيذ سياسات أو قوانين تجارية من شأنها أن تحد بشكل مباشر من استيراد بضائع دولية، مثل حظر ألمانيا استيراد لعبة "صديقتي كايلا".
تقييد المشتريات الحكومية
يمكن للحكومات أن تحظر على الأجهزة الحكومية استخدام وشراء بعض المنتجات. وعلى سبيل المثال:
- منعت الولايات المتحدة الأجهزة الحكومية والعسكرية من استخدام برمجيات شركة "كاسبرسكي لاب" الروسية لمكافحة الفيروسات الإلكترونية، والطائرات المسيَّرة التي تصنِّعها شركة دي جيه آي (DJI) الصينية.
- قامت الصين بإزالة معدات الشبكات من أنظمة "سيسكو" (Cisco) وبرمجيات الحماية الأمنية من أنظمة "مكافي" (McAfee) و"سيتريكس سيستمز" (Citrix Systems) من قوائم المشتريات الحكومية.
تطوير معايير السلوك
يمكن أن توافق الدول على عدم الانخراط في أنواع معينة من السلوكيات، مثلما حدث عندما وافقت الولايات المتحدة والصين على عدم القيام بالسرقة السيبرانية للملكية الفكرية لأغراض تجارية.
تضخيم الصراع
من ناحية أخرى، يمكن لبعض الدول اختيار الخيار المعاكس وتصعيد الصراع. على سبيل المثال، يُشار إلى توتر العلاقات بين الولايات المتحدة وروسيا باسم "الحرب الباردة 2.0".
ما هي الخيارات المتاحة للشركات؟
على الرغم من أنّ الإجراءات والمخاوف الحكومية غالباً ما تكون أكثر وضوحاً، إلا أنه ليس على الشركات أن تلعب دوراً سلبياً. يمكنها استباق هذه المشاغل واتخاذ إجراءات للحد من أو تخفيف عواقبها. وهناك العديد من الخيارات المتاحة:
التوصية باتخاذ إجراء
على سبيل المثال ، في 9 أغسطس/آب 2017، كتبت عشر شركات رئيسية للأمن السيبراني في الولايات المتحدة إلى روبرت لايتهايزر الممثل التجاري الأميركي لحثه على "إضافة قضايا الأمن السيبراني المتصلة بالتجارة في النسخة الجديدة من اتفاقية التجارة الحرة في أميركا الشمالية (NAFTA)".
اقرأ أيضاً: هل شركات التكنولوجيا الأميركية مستعدة لمواجهة تحديات الأمن السيبراني؟
الإذعان
كما ذكرنا سابقاً، اتخذت ألمانيا إجراء ضد دمية "صديقتي كايلا" بسبب مخاوف بشأن الخصوصية. تقبلت الشركة الأمر وتوقفت عن بيعها في ألمانيا.
التسوية
هددت روسيا بحظر تطبيق "تلغرام" للرسائل الخاصة المشفرة فوافقت الشركة على تسجيل نشاطها بموجب قوانين حماية البيانات الروسية الجديدة؛ مع ذلك قررت عدم تخزين معلومات المواطنين على الخوادم الروسية. وكمثال آخر، خرجت جوجل من السوق الصينية قبل ثماني سنوات لتجنب الاضطرار إلى فرض رقابة على نتائج بحثها بموجب قوانين الحكومة الصينية. وقررت الشركة مؤخراً العودة إلى الصين مع إجراء تغييرات متواضعة على تشغيل محرك البحث. وليس من الواضح بعد إن كان هذا الحل سيكون مقبولاً للطرفين.
تجنب السوق
تشمل الأمثلة النموذجية انسحاب جوجل من الصين في عام 2010 وسحب هواوي منتجات أجهزة شبكتها الصلبة من الولايات المتحدة في عام 2014، بعد إزالة منتجات الشركة الصينية من قوائم المشتريات الحكومية الأميركية وتقديم النصح لشركات الاتصالات الخاصة بعدم شراء منتجات هواوي.
التحدي
قد تلجأ الشركة إلى تحدي أو مهاجمة أنظمة الأمن السيبراني. على سبيل المثال، في 2016 تحدت شركة لينكد إن قوانين حماية البيانات الروسية وقالت إنها لن تنقل بيانات المستخدمين الروس إلى البلد. نتيجة لذلك، حظرت روسيا لينكد إن في عام 2017.
التعاون
وأخيراً، يمكن أن تختار الشركات العمل مع البلدان للتخفيف من الأثر السلبي للقوانين، أو حتى المشاركة في عملية وضع القواعد التنظيمية. ومن الأمثلة على ذلك كيف عملت هواوي مع حكومة المملكة المتحدة.
في عام 2011، وبسبب قلقها من التجسس المحتمل، رفضت الحكومة الأميركية عرضاً من شركة هواوي لبناء شبكة لاسلكية وطنية جديدة لموظفي الإسعاف والطوارئ. تبع ذلك فرض قيود حكومية إضافية على هواوي. وأخيراً، في عام 2014، قررت شركة هواوي الخروج من سوق الولايات المتحدة.
من ناحية ثانية، تستخدم المملكة المتحدة تكنولوجيا الشركة في البنية التحتية الوطنية. في عام 2010، افتتحت "مركز هواوي لتقييم الأمن السيبراني" لرصد المخاوف المتعلقة باستخدام التكنولوجيا. وتبع ذلك في بداية عام 2014 إنشاء مجلس إشرافي يصدر كل عام تقريراً عن أي مخاطر قد تنطوي عليها مشاركة هواوي في الشبكات المهمة في المملكة المتحدة. ومع ذلك، تجدر الإشارة إلى أنّ تقرير المجلس الإشرافي لسنة 2018 أثار مخاوف جديدة جِدية بشأن تكنولوجيا هواوي والمخاطر الأمنية التي يمكن أن تطرحها على أمن المملكة المتحدة.
مع استمرار تطور الاقتصاد الرقمي، سيلعب الأمن السيبراني دوراً حاسماً في التجارة الدولية. وبدلاً من اعتبار الأمن مجرد مسألة تنظيمية، يتعين على الحكومات التفكير في طرق كفيلة بتجنب المواجهات غير الضرورية وعلى الشركات أن تتصرف بطريقة استباقية لمعالجة المخاوف والتأثير على السياسة لتحسين النتائج لصالح الجميع فيما يتعلق بموضوع الأمن السيبراني والتجارة.
ملاحظة المؤلفين: حصل البحث الوارد ذكره في هذا التقرير على دعم جزئي من "مبادرة سياسة بحوث الإنترنت" التابعة لمعهد ماساتشوستس للتكنولوجيا (إم آي تي) وتمولها "مؤسسة هيوليت" (Hewlett)، ومن مبادرة "الأمن السيبراني" التابعة لكلية سلون للإدارة في معهد ماساتشوستس للتكنولوجيا بتمويل من تحالف يضم عدة مؤسسات.
اقرأ أيضاً: مسؤولية مجالس الإدارة تجاه الأمن السيبراني