ما سبب صعوبة تحقيق الأمن السيبراني؟

4 دقائق
الأمن السيبراني للمؤسسات

بالتأكيد، سمعت السؤال التالي المتعلق بالأمن السيبراني للمؤسسات بشكل أو بآخر مرات عديدة: "بعد نحو 20 عاماً من المحاولات، وإنفاق مليارات الدولارات في الاستثمارات، لماذا ما تزال المؤسسات تصارع لتحقيق الأمن السيبراني؟"، في الحقيقة، يبدو أن المشكلة تتفاقم بدلاً من أن تُحل. ويتطلب الإجابة عن هذا السؤال أن ننظر إلى ما وراء الفحص التقني البحت للأمن السيبراني. إذ إن هناك تحديات تقنية على أرض الواقع لا محالة، فنحن لا نعرف، مثلاً، كيف نكتب رمزاً خالياً من الأخطاء. ولكن إذا نظرنا إلى التحدي من منظور أوسع، فسنجد أنه، حتى إذا عالجنا هذه التحديات التقنية، فإن الأمن السيبراني سيبقى مشكلة عصية على الحل، لثلاثة أسباب:

  • لأنها ليست مجرد مشكلة تقنية فقط.
  • تختلف قواعد العالم الإلكتروني عن قواعد العالم المادي.
  • لم تتطور بعد القوانين الخاصة بالأمن السيبراني وسياسته وممارساته على نحو كامل.

ويضم السبب الأول - وهو أن الأمن السيبراني أكثر من مجرد مشكلة تقنية - جوانب تتعلق بالاقتصاد، وعلم النفس البشري، وتخصصات أخرى، ناقشناها في مقالات أخرى ضمن هذه السلسلة للأمن السيبراني. ومع ذلك، فإن السببين الآخرين يسهمان بقوة أيضاً في جعل الأمن السيبراني مسألة صعبة، ويجب أخذهما بعين الاعتبار في أثناء مقاربتنا للمشكلة، لذلك سنركز عليهما في هذا المقال.

قواعد مغايرة في الفضاء السيبراني

يعمل العالَم السيبراني وفق قواعد مختلفة عن تلك الخاصة بالعالم المادي. ولا أقصد هنا القواعد الاجتماعية، بل القواعد الفيزيائية والرياضية الخاصة بالفضاء السيبراني. فالطبيعة العُقدية للشبكة التي تعمل بسرعة الضوء، تجعل مفاهيمَ المسافة والحدود والقرب ذات طبيعة مختلفة تماماً، ولهذا أثر عميق على هذا الأمن. أولاً، مع اختصار المسافات وتحول العالم لقرية صغيرة، فإن التهديدات قد تأتيك حرفياً من كل حدب وصوب ومن قبل أي شخص. ثانياً، لا تتبع الحدود في الفضاء السيبراني نفس الخطوط التي نفرضها في العالم المادي، وبدلاً من ذلك، تحددها أجهزة موجه الإنترنت "الراوتر" وجدران الحماية (Firewalls) والبوابات الأخرى. وثالثاً، بالنسبة لمفهوم القرب، فإنه لا يتعلق بالموقع المكاني، بل بمن هو المتصل وعبر أي مسار.

اقرأ أيضاً: هل يؤدي التدريب الزائد إلى تقليل مخاطر الأمن السيبراني؟

لذلك، يمكننا القول ببساطة إن نموذج عقليتنا في العالم المادي لن ينجح في الفضاء السيبراني. فعلى سبيل المثال، في العالم المادي، نوكل مهمة أمن الحدود للحكومة الفيدرالية، ولكن مع قوانين الفيزياء في الفضاء السيبراني، فإن شبكة كل فرد منا تقع على الحدود، فكيف يمكننا أن نوكل مهمة حفظ أمن الحدود للحكومة الفيدرالية بمفردها لو كان الجميع يعيش ويعمل على الحدود تماماً؟ وهناك مثال آخر: تحدث الجريمة في العالم المادي في موضع محدد، أي أنه ليسرق أحدهم شيئاً فسيكون موجوداً في موقع معين، وسيكون للشرطة نطاق سلطة محدد بناءً على الحدود الفيزيائية. أما في الفضاء السيبراني، فيمكن أن يوجد الفاعل في أي مكان ويرتكب فعلته وعندها لا يمكن تطبيق مفهوم نطاق السلطة هنا.

علاوة على ذلك، فالمبادئ التي يتيح وفقها الفضاءُ السيبراني للشركات الوصول لعملائها هي نفس المبادئ التي تتيح للأشخاص السيئين الوصول للشركات مباشرة. ومع ذلك، فلا يمكن أن توضع الحكومات لاعتراض طريق الأخيرة، دون أن تعترض بالضرورة طريق الأولى. ففي السياقات المادية، يمكن لمشاركة المعلومات بين الناس بالسرعة البشرية أن تعمل جيداً، ولكنها ستؤثر بشكل آخر في الفضاء السيبراني. وطالما نصرّ على محاولة تطبيق النماذج الخاصة بالعالم المادي على الفضاء السيبراني، فإنها ستقف عاجزة في مكان ما.

الأطر القانونية والسياسية 

النقطة التالية للنقاش؛ هي أن الفضاء السيبراني لا يزال مجالاً حديث العهد من وجهة نظر قانونية وسياسية. إذ يوجد الإنترنت والفضاء السيبراني، بالنمط الحديث، منذ حوالي 25 عاماً فقط، وكانا يتغيران باستمرار خلال تلك الفترة. ولذلك، لم نتمكن من تطوير الأطر الشاملة التي نحتاجها. في الحقيقة، لا نملك حتى الآن إجابات واضحة عن أسئلة رئيسية، مثل:

  • ما هي نسبة التقسيم الصحيحة للمسؤوليات الدفاعية بين الحكومات والقطاع الخاص؟
  • ما هو مستوى الاهتمام الذي علينا أن نتوقع من الشركات ممارسته في تعاملها مع بياناتنا؟
  • كيف ينبغي على الجهات الرقابية التعامل مع الأمن السيبراني في الصناعات المسؤولة عنها؟
  • ما هي الإجراءات المقبول اتخاذها بالنسبة إلى الحكومات والشركات والأفراد، وما هي الإجراءات غير المقبولة؟
  • من هو المسؤول عن عيوب البرامج؟
  • كيف يمكننا تحميل المسؤولية للأفراد والمؤسسات عبر الحدود الدولية؟

وقد بدأت بعض الإجابات بالظهور فعلاً. فعلى سبيل المثال، علينا ألا نتوقع من الحكومة الفيدرالية حماية كل الشركات من كل التهديدات الإلكترونية طيلة الوقت، لأن ذلك ببساطة ليس عملياً وليس مرغوباً به كذلك، لأنه سيؤثر، على نحو كبير، في الطريقة التي نُجري بها أعمالنا. ومن ناحية أخرى، لا يمكننا أن نتوقع من معظم المؤسسات إحباط أنشطة المخترقين المرخّصين من الدولة. إذاً، كيف يمكننا حلّ هذه المعضلة؟

اقرأ أيضاً: هل شركات التكنولوجيا الأميركية مستعدة لمواجهة تحديات الأمن السيبراني؟

ربما علينا أن نستعير مفاهيمَ من مجال الاستجابة للكوارث، ونوزع المسؤولية بأسلوب سلس يتكيف بمرور الوقت مع الاستجابة للظروف المتغيرة. ففي الاستجابة للكوارث، يبقى التأهب والاستجابة الأولى ضمن المستوى المحلي، أما إذا تسبب حادث معين بسحق فرق الاستجابة المحلية أو حتى أنذر بذلك، فيمكن عندها أن تتدخل مستويات أعلى من الحكومة باطراد. ويمكننا تطبيق هذه المبادئ لتحديد المسؤولية في الفضاء السيبراني – بمعنى أن تبقى الشركات والمؤسسات مسؤولة عن أمن شبكاتها الخاصة، إلى حد ما. لكن في حال أصبح واضحاً أن الدولة متورطة، أو حتى شكّت الحكومة الفيدرالية بأن الدولة متورطة ومعرضة للأذى، عندها ستبدأ الحكومة ببذل جهدها لمعالجة الأمر. وستكون الإجابة الكاملة عن هذه الأسئلة هي المهمة الرئيسة لسياسة الأمن السيبراني خلال السنوات الخمسة إلى العشرة القادمة.

اقرأ أيضاً: مسؤولية مجالس الإدارة تجاه الأمن السيبراني

ومن المؤكد أننا سنستمر بالفشل طالما بقينا نتعامل مع مسألة الأمن السيبراني بوصفها مشكلة تقنية وتستلزم حلولاً تقنية. لكننا سنحقق تقدماً إذا طورنا، بدلاً من ذلك، حلولاً لمعالجة الأسباب الكامنة وراء جعل الأمن السيبراني مشكلة صعبة. وتعتبر مجموعة "سايبر ثريت ألايانس (سي تي أيه)" (Cyber Threat Alliance) مثالاً على اتباع هذا النهج. (إفصاح: أنا رئيس هذه المجموعة) منذ أكثر من سنتين بقليل، استنتجت مجموعة من الممارسين في مجال الأمن السيبراني من عدة مؤسسات أن نموذج العمل المتبع ضمن هذا المجال لم يكن يقدم النتائج المرجوة، وقررت تلك المجموعة تبني نموذج جديد وهو العمل سوياً بإيمان قوي للبدء بمشاركة معلومات التهديد بطريقة آلية، وبمساهمة كل واحد منهم في النظام، ومع سياق التهديدات أُعطي هذا العمل وزناً أكبر. إن هيكل هذه المجموعة هو محاولة للتعامل مع العيوب المعروفة من خلال جهود مشاركة المعلومات الموجودة. وهكذا، إذا استطعنا الاستمرار للابتكار بهذه الطريقة، فسنتمكن أخيراً من البدء في إحراز بعض التقدم المتعلق بموضوع الأمن السيبراني للمؤسسات لمعالجة هذه المشكلة العصية على الحل.

اقرأ أيضاً: ماذا يمكن أن تفعل البلدان والشركات عندما تتداخل التجارة مع الأمن السيبراني؟

تنويه: يمكنكم مشاركة أي مقال من هارفارد بزنس ريفيو من خلال نشر رابط المقال أو الفيديو على أي من شبكات التواصل أو إعادة نشر تغريداتنا، لكن لا يمكن نسخ نص المقال نفسه ونشر النص في مكان آخر نظراً لأنه محمي بحقوق الملكية الدولية. إن نسخ نص المقال بدون إذن مسبق يعرض صاحبه للملاحقة القانونية دولياً.

جميع الحقوق محفوظة لشركة هارفارد بزنس ببليشنغ، بوسطن، الولايات المتحدة الأميركية 2024 .

المحتوى محمي