الأمن «السيبراني» .. ومعضلة حمايته

أمامنا في هذا العنوان وصف للأمن بمصطلح غير مألوف لدى كثيرين وهو "السيبراني". ولعلنا لذلك نبدأ بطرح جذور هذا المصطلح والمفهوم الذي بات متعارفا عليه بشأنه، قبل أن ندخل إلى تفاصيل الموضوع. يعود منشأ كلمة سيبراني Cybernetic إلى اللغة اليونانية، وبالذات إلى كلمة "كبيرنتيك" Kbernetike. وتحمل هذه الكلمة معنى يدمج بين المقصود بالتوجيه Steering والمقصود بالحوكمة Governance. ولكل من التوجيه والحوكمة إطارواسع من التأثير، فالتوجيه يكون عادة في إطار واسع المدى يتضمن أبعادا وخيارات مختلفة؛ كما أن الحوكمة ترتبط بتنظيمات وإجراءات يمكن تطبيقها في مجالات كثيرة.
استخدم نوربرت فينر Norbert Wiener، أستاذ الرياضيات في معهد ماساشوستس التقني MIT، مصطلح السيبراني لأول مرة، عام 1948، من أجل وصف نظام التغذية الراجعة Feedback الذي وضعه، والذي يعمل على الاستفادة من مخرجات الأنظمة في ضبط مدخلاتها، وفي التحكم فيها، واستقرار أدائها. ورأى فينر أنه يمكن تطبيق هذا النظام على نطاق واسع، وفي مختلف المجالات، ليس العلمية فقط، بل الإنسانية أيضا. ووضع لذلك كتابا بعنوان "السيبرانية أو التحكم والاتصال في الحيوان والآلة".
يرتبط وصف السيبراني في الوقت الحاضر بالشبكات الحاسوبية والإنترنت؛ وعندما يقال الفضاء السيبراني Cyberspace، فإن المعنى المقصود هو: كل ما يرتبط بالشبكات الحاسوبية والإنترنت، والتطبيقات التي تنفذها، والخدمات التي تقدمها، في مختلف مجالات الحياة، على مستوى العالم بأسره. ويلاحظ أن هذا المعنى يتصف بالمدى الواسع، والأنظمة المتعددة، والتطبيقات المختلفة، والخدمات التي تصل إلى الجميع. وعلى هذا الأساس، يكون الأمن السيبراني هو تقديم الحماية اللازمة للفضاء السيبراني.
ينطلق الأمن السيبراني من التوجه نحو حماية أرصدة Assets الفضاء السيبراني التي تشمل محتويات هذا الفضاء من جهة، وتتضمن عوامل معنوية مختلفة أخرى من جهة ثانية. تشمل المحتويات معلومات ترتبط بالأطراف المختلفة، من مؤسسات وأفراد، ضمن الفضاء السيبراني؛ وتتضمن أيضا تقنية تخزن هذه المعلومات وتعالجها وتنقلها عبر الشبكات؛ كما تشمل إجراءات أعمال تنفذ مهمات تؤدي خدمات مختلفة؛ ويضاف هنا أيضا الأفراد القائمون على كل ذلك. وتضم العوامل المعنوية سمعة أطراف الفضاء السيبراني خصوصا المؤسسات والدول المختلفة.
وترتبط حماية الأرصدة بشروط ومؤشرات أداء أشهرها عناصر ثلاثة هي: حماية العمل وإتاحة الخدمات دون انقطاع Availability ؛ وحماية سلامة المعلومات Integrity من أي تخريب أو تشويه أو تعديل؛ وحماية خصوصية المستخدم Confidentiality سواء كان فردا أو مؤسسة أو ربما دولة. ثم هناك أيضا حماية الأرصدة من الكوارث الطبيعية الطارئة، أو الكوارث التخريبية المقصودة، ولعل من أهم سبل الحماية في هذا المجال، وجود مراكز حاسوبية ووسائل اتصال مكررة تعمل كبديل عند الحاجة، ضمن إطار الفضاء السيبراني. وتأتي الحماية المطلوبة لأرصدة الفضاء السيبراني نتيجة وجود مخاطر Threats تهدد هذه الأرصدة وتتحدى إتاحتها وسلامة المعلومات فيها وخصوصيتها. وقد تأتي هذه المخاطر نتيجة حوادث غير مقصودة، مثل الأعطال الفنية، وانقطاع الطاقة الكهربائية، والممارسات غير السليمة، والإهمال، والأحداث البيئية غير المتوقعة، وغير ذلك. وقد تتولد المخاطر من مصادر شريرة معادية، تسعى إلى تعطيل الأجهزة بأساليب مختلفة، مثل اختراقها بفيروسات حاسوبية وبرامج خبيثة أخرى، تعبث بما فيها من معلومات، تكشف سريتها، أو تشوهها، أو تلغيها، أو تقوم بتنفيذ أعمال ضارة أخرى تستهدف الأرصدة المختلفة. وقد تكون مثل هذه الاختراقات غير مباشرة، حيث تأتي مبرمجة وفق جدول زمني، أو تمكث مخزنة بانتظار إشارات تفعيل، تؤدي إلى انطلاقها نحو الأعمال الخبيئة المصممة من أجلها.
ونظرا لامتداد الفضاء السيبراني امتدادا كبيرا يشمل العالم بأسره، فإن مصادر المخاطر تتمتع بالامتداد ذاته، لأن كل وحدة أو عنصر متصل إلى هذا الفضاء يمكن أن يكون مصدرا للمخاطر. وعلى ذلك، فإن حماية الأمن السيبراني لمؤسسة أو مؤسسات، أو دولة، ضمن الفضاء السيبراني، تستوجب دراسة المخاطر، على مدى هذا الفضاء، والتعرف على مصادرها ومتطلباتها واحتمالات حدوثها، إضافة إلى تحديد مدى أثرها في الأرصدة المختلفة، خصوصا الأرصدة الرئيسة المهمة.
ونصل هنا إلى متطلبات الحماية من المخاطر، ويكون ذلك عادة من خلال ضوابط Controls يمكن أن تؤدي إلى التخلص منها أو الحد من تأثيرها في الأرصدة. وتشمل مثل هذه الضوابط: أنظمة تقنية تحميها من الفيروسات والبرامج الخبيثة؛ ووسائل إدارية تحدد الممارسات السليمة، وتحد من الإهمال؛ إضافة إلى حراسة مادية لحماية المراكز الحاسوبية المهمة.
اهتمت المنظمات الدولية والوطنية المتخصصة بوضع معايير تحدد مثل هذه الضوابط، وتوصي المؤسسات بالعمل على وضعها موضع التنفيذ. وتضمنت هذه المنظمات كلا من: "الاتحاد الدولي للاتصالات ITU"؛ و"منظمة المعايير الدولية ISO"؛ و"المعهد الوطني الأمريكي للمعايير والتقنية NIST"؛ و"المعهد البريطاني للمعايير BSI"؛ وغيرها. ولعل من أهم وثائق التوصيات على المستوى الدولي: التوصية العامة لإدارة أمن المعلومات:ISO 27001؛ والتوصية الخاصة المكملة لها في مجال الأمن السيبرانيISO 27032.
يحتاج جميع الأفراد وتحتاج جميع المؤسسات، ضمن الفضاء السيبراني الكبير، إلى الحماية من المخاطر، لكن هذه المخاطر تختلف في مدى حدوثها ومستوى خطورتها بين فرد وآخر، وبين مؤسسة وأخرى. يضاف إلى ذلك أن مستوى الحماية المطلوب يختلف أيضا بين فرد وآخر، ومؤسسة وأخرى، تبعا لطبيعة عملها، والمخاطر التي تتعرض لها. وكما أن هناك تكاليف تسببها المخاطر عند حدوثها، هناك تكاليف للضوابط التي يجري تنفيذها. ويستوجب ذلك دراسات للتوازن بينهما، ولو أن هذا التوازن يعتمد على احتياجات الفرد أو المؤسسة المعنية. وكثيرا ما نجد أن المؤسسات الكبرى التي تتعامل تجاريا أو إداريا مع مؤسسات أخرى، تشترط على هذه الأخيرة ضرورة استخدام ضوابط محددة، كي تحظى التعاملات بينهما، عبر الفضاء السيبراني، بالحماية المنشودة.
بات الفضاء السيبراني، في الوقت الحاضر، جزءا من حياة قطاع كبير من الأفراد والمؤسسات العامة والخاصة على مستوى العالم. ونتيجة لذلك فإن المخاطر، على أي طرف من هذه الأطراف، يمكن أن تأتي من أي طرف آخر على مدى هذا الفضاء. وعلى هذا الأساس، لا بد من ضوابط تؤدي إلى الحماية من هذه المخاطر. وهناك توصيات دولية مهمة ومعطيات متجددة بشأن مثل هذه الضوابط يجب أخذها في الاعتبار، تبعا لاحتياجات كل فرد، وكل مؤسسة.