لماذا يمكن أن يساهم وضع معايير أمن عالمية للإنترنت في توفير أساس لضمان الأمن والمساءلة

بقلم، أندي بوردي مدير الأمن في شركة هواوي تكنولوجيز الولايات المتحدة الأمريكية

أظهر الهجوم الإلكتروني الذي تم من خلال برامج شركة سولار ويندز وتمكن من اختراق العديد من الوكالات الفيدرالية الأمريكية والكثير من المؤسسات الأخرى في الولايات المتحدة الأمريكية وحول العالم بشكل واضح ومؤلم أننا بحاجة إلى مضاعفة جهودنا لوضع نهج أكثر شمولاً وشفافية لحماية شبكات اتصالاتنا. 

هذا هدف يسعى الاتحاد الأوروبي بكل جدية إلى تحقيقه. ففي العام الماضي، كان أمام الشركات مهلة نهائية للامتثال لنسخة جديدة ومعززة من أول قانون للأمن السيبراني في الاتحاد الأوروبي. كما أن لائحة أمن الشبكات وأنظمة المعلومات التي صدرت في عام 2016 تعزز النهج التنظيمي الأوروبي في إدارة مخاطر الأمن السيبراني الذي يتسم بدرجة أكبر من الرسمية والتوحيد، ويشجع على الارتقاء بالمعايير وتبني أدوات أكثر فاعلية وزيادة درجة الاتساق بين الدول الأعضاء في الاتحاد الأوروبي.

لا شك أن الاتحاد الأوروبي جاد بشأن حماية البيانات وقد لاحظ العالم ذلك. ففي مايو 2018، صدرت في أوروبا اللائحة العامة لحماية البيانات، التي تعد فعلياً أول قانون عالمي لحماية البيانات. ومنذ ذلك الحين، تم اعتماد هذه اللائحة أو استخدامها كنموذج في عدد من الدول خارج الاتحاد الأوروبي والكثير من الشركات. وفي شهر يوليو الماضي، قامت محكمة العدل الأوروبية بإلغاء إطار حماية الخصوصية بين الاتحاد الأوروبي والولايات المتحدة الأمريكية، وهو إطار عمل لتنظيم النقل التجاري للبيانات الشخصية بين الاتحاد الأوروبي والولايات المتحدة الأمريكية. وكان القصد من هذا الإطار جعل الشركات الأمريكية تمتثل للائحة العامة لحماية البيانات، ولكن محكمة الاتحاد الأوروبي قالت إنه غير كافٍ لحماية البيانات الخاصة لمواطني الاتحاد الأوروبي.

يجب الآن إيجاد بديل للشركات الأمريكية يلبي المتطلبات الأوروبية المتعلقة بخصوصية البيانات. وهذه فرصة جيدة لدعم الجهود التي يبذلها دعاة الخصوصية في الولايات المتحدة الأمريكية منذ أمد طويل لوضع تشريعات ولوائح خصوصية أمريكية شاملة. ونظراً لأهمية خصوصية البيانات والطبيعة العالمية للفضاء الإلكتروني، سيكون من واجب إدارة بايدن والاتحاد الأوروبي العمل مع الدول الأخرى لوضع إطار دولي شفاف لحماية الخصوصية يتضمن متطلبات واضحة وقابل للتدقيق من أجل تسهيل المساءلة. 

مع تزايد اعتماد الشركات والحكومات على الشبكات والأنظمة والخدمات التي تدعم تقنية الجيل الخامس، فإن هذا الاعتماد سيترسخ مع بدء الاستفادة من الإمكانات الكاملة لشبكات الجيل الخامس. لذلك، يجب على حكومة الولايات المتحدة الأمريكية العمل مع الشركات العاملة في هذا القطاع والمراكز الفكرية وغيرهم من أهل الخبرة لصياغة معايير موحدة للأمن السيبراني والخصوصية يمكن تدقيقها وتنطبق بتشكل متساوٍ على جميع الشبكات الخاصة والحكومية وسلسلة التوريد العالمية.

شكلت هجمة سولار ويندز تذكيراً ضرورياً بحجم قدرات الهجوم والمراقبة التي يمتلكها الأطراف الأكثر تطوراً في مجال الفضاء السيبراني في العالم. فهم لا يحتاجون إلى إذن أو موافقة من موردي معدات الاتصالات أو مشغلي شبكات الاتصالات أو غيرهم في سلسلة التوريد. وأرى أنه يجب علينا تبني نهج انعدام الثقة الذي دعا إليه ويليام إيفانينا، مدير المركز الوطني لمكافحة التجسس والأمن في الولايات المتحدة الأمريكية. ويعني انعدام الثقة أنه لا ينبغي الوثوق أبداً في أي تقنية خارجية لم يتم اختبارها، ويجب بدلاً من ذلك التحقق منها. هذا النهج يمكن أن يوفر أساساً موضوعياً وشفافاً لمعرفة المنتجات والخدمات التي تستحق الثقة. فيجب أن نفترض أن الشبكات قذرة ونتصرف بناءً على ذلك. ولا يجوز طبعاً الوثوق بأي جهة، أو حتى التساهل في اتخاذ تدابير العناية الواجبة، لمجرد أن لهذه الجهة سمعة جيدة أو بسبب المكان الذي يوجد فيه مقرها الرئيسي أو لأنه سبق لنا العمل معها في الماضي.

بالإضافة إلى وضع إطار للأمان والخصوصية يقوم على معايير واضحة وموحدة وأفضل الممارسات ويعكس المسؤولية المشتركة عن معالجة المخاطر في مجال تكنولوجيا المعلومات والاتصالات، نحن بحاجة إلى برامج وبروتوكولات لضمان الوفاء بتلك المعايير. ويمكن أن يشمل ذلك إخضاع المنتجات والمكونات الهامة التي تسمح ببناء الثقة من خلال التحقق لعمليات تحقق مستقلة وشاملة وقابلة للتدقيق.

هناك أنظمة شهادات أمنية مختلفة تم تطويرها على مدار الأعوام الثلاثين الماضية لتقييم الأوضاع الأمنية للبائعين والمشغلين. ومن أمثلة المعايير التحسينان الأمنيان الأخيران على الاتصالات بشبكة الجيل الخامس، وهما المواصفات اللازمة لضمان الأمن SCAS، وبرنامج ضمان أمن معدات الشبكة NESAS. هذان مثالان على اللوائح الواضحة والمحددة التي تعزز الأمن. ويمكن تعديل معايير الاختبار بما يتناسب مع مستويات مختلفة من ضمان الأمن تبعاً لبيئة المخاطر، مما يسمح بضمان معالجة المخاطر حتى في أصعب الظروف.

إن توحيد معايير الأمن السيبراني ووضع بروتوكولات لضمان الامتثال، بما في ذلك توحيد إجراءات التحقق والاختبار، يمكن أن يساعد في تعزيز مستوى ضمان الأمن وإيجاد بيئة عمل أكثر تنافسية وشفافية. وخلافاً لما هو عليه الحال في عالمنا الذي تتعدد فيه المعايير وتتباين سلاسل التوريد، من المرجح أن يؤدي وجود فضاء سيبراني تحكمه معايير موحدة إلى تقوية المنافسة وتحسين الجودة وخفض التكاليف وتشجيع الابتكار وتعزيز الأمن وزيادة المرونة.

وتجديد التزامنا بالعمل معاً للحد من المخاطر وتعزيز المرونة في الفضاء السيبراني يكتسب أهمية في ظل الظروف الحالية غير المستقرة أكثر مما كان عليه في أي وقت مضى.

آندي بوردي  يشغل أندي منصب مدير الأمن في شركة هواوي تكنولوجيز الولايات المتحدة الأمريكية، ويتولى الإشراف على برنامج ضمان الأمن السيبراني في شركة هواوي في الولايات المتحدة الأمريكية. اقرأ لمحة كاملة عن مسيرته المهنية هنا.