استراتيجيات الأمن السيبراني .. توجهات دولية «2 من 2»

نستكمل في هذا المقال ما بدأناه في المقال السابق، حيث طرحنا جزءا من مضامين الوثيقة التي تحمل عنوانا يقول: "دليل تطوير استراتيجية وطنية للأمن السيبراني"، وقد صدرت هذه الوثيقة عام 2018 عن الاتحاد الدولي للاتصالات ITU. طرح المقال السابق التعريف الذي تعتمده الوثيقة للأمن السيبراني، حيث بين جوانب الحماية المرتبطة بهذا الأمن، والعناصر المستهدفة بهذه الحماية، إلى جانب الوسائل المطلوبة لتحقيقها. وألقى المقال الضوء أيضا على المراحل الخمس للدورة الزمنية المتجددة لاستراتيجية الأمن السيبراني المقترحة التي تشمل: مرحلة البدء في إعداد الاستراتيجية، ومرحلة مراجعة الوضع الراهن وتحليله، ومرحلة توصيف الاستراتيجية، ثم مرحلة تنفيذها، إضافة إلى مرحلة المراقبة والتقييم، والعودة إلى دورة جديدة تتجدد فيها المراحل نحو تقديم الأفضل في إطار تطور المعطيات.
يناقش هذا المقال استكمالا لسابقه موضوعين رئيسين: أولهما الأسس أو المبادئ Principles التي ينبغي الاستناد إليها في وضع الاستراتيجية، وثانيهما الممارسات Practices التي يجب الاهتمام بها في تنفيذ الاستراتيجية. وتجدر هنا ملاحظة حقيقة أنه إذا كانت الأسس تقدم منطلقات الاستراتيجية، وإذا كانت الممارسات تهتم بشؤون تنفيذها، فإن التفاعل بين الجانبين مطلوب أيضا، والمقصود هنا هو ألا تغيب شؤون الممارسات عن وضع الاستراتيجية، وألا تغيب موضوعات الأسس عن عمليات التنفيذ.
تطرح الوثيقة تسعة أسس رئيسة. يرتبط أول هذه الأسس بالرؤية Vision التي تريدها الاستراتيجية، والمقصود بهذه الرؤية هو مشهد الحماية التي تتطلع الاستراتيجية إلى الإحاطة به. وترى الوثيقة أن هذا المشهد يجب أن يشمل كل ما يتعلق بدور الحكومة وخدماتها Whole of Government، وما يرتبط بنشاطات المجتمع Whole of Society. ويأتي الأساس الثاني بعد ذلك ليركز على الأسلوب Approach الذي يجب أن يستوعب شمولية مشهد الرؤية ويحلل أبعاده على أرض الواقع من جهة، ويتعرف على الأولويات Priorities المطلوبة التي تتوافق مع طبيعة الدولة صاحبة الاستراتيجية من جهة ثانية. ثم يبرز الأساس الثالث بعد ذلك موصيا بالشراكة الشاملة Inclusive Participation لجميع أصحاب العلاقة Stakeholders، مع تحديد الاحتياجات والمسؤوليات الخاصة بكل منهم.
يهتم الأساس الرابع برفاهية الاقتصاد والمجتمع، حيث يرى أن العالم السيبراني، بما يقدمه من فوائد للعالم المادي، يعطي وسيلة مهمة لتعزيز التنمية المستدامة Sustainable Development، وتفعيل الشمولية الاجتماعية Social Inclusiveness. لكن ذلك لن يتحقق إلا في ظل الحماية اللازمة للحالة المنشودة، وهذا ما يجب أن تأخذه الاستراتيجية بالاعتبار. ونصل هنا إلى الأساس الخامس الذي يؤكد ضرورة توافق الاستراتيجية مع مبادئ حقوق الإنسان. ويأتي بعد ذلك الأساس السادس الذي يرى أن على الاستراتيجية توفير المتطلبات اللازمة لإدارة المخاطر Risk Management بكفاءة، إضافة إلى تفعيل قدرة النشاطات الاقتصادية والاجتماعية على التكيف Resilience.
يركز الأساس السابع على حاجة الاستراتيجية إلى تغيير سلوك Behavior أصحاب العلاقة، بما يتناسب مع متطلبات الحماية المنشودة. ويدعو في هذا المجال الإدارة الحكومية المسؤولة عن الاستراتيجية وتنفيذها إلى استخدام الوسائل Instruments اللازمة لتحقيق ذلك. وتشمل هذه الوسائل: التشريعات، والأنظمة، والمعايير الفنية، والحوافز، وبرامج التوعية والتدريب، وغير ذلك. ويبرز الأساس الثامن هنا ليؤكد ضرورة ارتباط الاستراتيجية بالإدارة الحكومية العليا من أجل تأمين القيادة Leadership المناسبة لها، والتمكن من تأمين ما تحتاج إليه من موارد Resources بشرية ومالية. ونصل أخيرا إلى الأساس التاسع الذي يهتم بحاجة الاستراتيجية إلى بناء منظومة رقمية Digital Ecosystem من الثقة Trust والتعاون بين جميع المستفيدين بما يشمل الأفراد ومؤسسات الأعمال والجهات الحكومية.
بعد الأسس التي ينبغي الاستناد إليها في وضع الاستراتيجية، ننتقل إلى الممارسات التي تطرحها الوثيقة في التعامل مع الاستراتيجية، والمجالات السبعة التي تستهدفها. المجال الأول المستهدف هو الحوكمة Governance. والممارسات المرغوبة في إطاره هي: تأمين الدعم الكافي والموارد اللازمة للاستراتيجية، وإقامة هيئة مسؤولة عن الاستراتيجية تتمتع بالكفاءة اللازمة، وتأكيد التعاون مع الجهات الحكومية والقطاعات الأخرى، وتحديد خطوات تنفيذ الاستراتيجية. أما المجال الثاني المستهدف فهو إدارة مخاطر الأمن السيبراني على المستوى الوطني. والممارسات المطلوبة هنا هي: تحديد أسلوب عام ومنهجية مشتركة Common Methodology لهذه الإدارة، وبيان خصوصيات المخاطر في القطاعات المختلفة، ووضع سياسات حماية من المخاطر المختلفة.
يرتبط المجال الثالث للممارسات بالاستعداد للمخاطر والتكيف في مواجهتها Preparedness & Resilience. وتشمل هذه الممارسات: بناء القدرات اللازمة للاستجابة للحوادث السيبرانيةCyber Incident، ووضع خطط طوارئ Contingency Plans، وتعزيز الشراكة في المعلومات الأمنية، إضافة إلى إجراء اختبارات أمنية. ويهتم المجال الرابع بالبنى الحرجة والخدمات الأساسيةCritical Infrastructure & Essential Service ويتصف هذا المجال بأهمية خاصة، سنعود إليها في مقال خاص - بمشيئة الله.
ونأتي إلى المجال الخامس الذي يهتم بتوعية الإنسان Awareness وبناء الإمكانات البشريةHuman Capabilities. وتشمل الممارسات المطلوبة في هذا المجال: وضع مناهج مناسبة، ورفع مستوى الوعي، وتدريب المهارات وتحفيزها، وتفعيل البحث العلمي والإبداع والابتكار في موضوعات الأمن السيبراني وما يرتبط بها. ويركز المجال السادس على الجوانب التشريعية والتنظيمية Legislation & Regulations، ويتضمن ذلك: شؤون الجرائم السيبرانية، وحقوق الحماية، والالتزامات المطلوبة، وإجراءات التعامل بين أصحاب العلاقة، ودعم التعاون القانوني الدولي. ونصل إلى مجال التعاون الدولي في إطاره العام الذي يتضمن ممارسات مثل: الاهتمام المشترك بالأمن السيبراني كأولوية عالمية، والمشاركة في الحوار الدولي بهذا الشأن، وتأكيد التعاون والعمل المشترك الرسمي وغير الرسمي في القضايا المرتبطة به.
وهكذا تتكامل أفكار التوجهات الدولية بشأن استراتيجيات الأمن السيبراني التي طرحتها وثيقة الاتحاد الدولي للاتصالات، فقد قدم المقال السابق تعريفا متكاملا للأمن السيبراني، وطرح المراحل الخمس للدورة الزمنية لاستراتيجيات هذا الأمن من البدء بالإعداد حتى التنفيذ والمتابعة والانتقال إلى دورة جديدة، ثم بين المقال الحالي الأسس التسعة التي ينبغي أن تستند الاستراتيجية إليها، وأعطى المجالات السبعة التي تحتاج إلى ممارسات خاصة في تنفيذ الاستراتيجية على أفضل وجه ممكن.