تستحوذ قضية أمن البيانات على اهتمام كافة العاملين في مجال المال والأعمال وليس فقط عالم التكنولوجيا إذ تتداخل مع جميع القطاعات بالشكل الذي يجعلها قاسمًا مشتركًا في أحاديث الشركات من ناحية وهمًا تسعى قيادات الشركات لتأمينه من ناحية أخرى
من ناحيته فإن مركز دبي المالي العالمي أصدر تعديلات على لوائحه التنظيمية لحماية البيانات بما يعزز الإطار الحالي لحماية البيانات ضمن المركز ويرسخ مكانته الإقليمية في هذا المجال.
تتناول التعديلات الأسس اللازم اتباعها لضمان معالجة البيانات الشخصية بشكل أفضل بما يضمن تعزيز مستويات الأمان والمسؤولية الأخلاقية. وتقدم اللوائح المُعدّلة توضيحات تشمل: تقييم خرق البيانات الشخصية والتزامات الإبلاغ عنها بموجب اللائحة رقم 8، بما في ذلك الحالات التي يحصل فيها الوصيّ المؤقت على بيانات شخصية متروكة أو مفقودة بدون قصد؛ واستخدام البيانات الشخصية وجمعها لأغراض التسويق والتواصل، لا سيما فيما يتعلق بالإشعارات المناسبة عند استخدام أنظمة قد تحُد من حقوق الأفراد وتقيد بياناتهم الشخصية أو إزالتها، وإعدادات ملفات تعريف الارتباط الافتراضية، وشروط الموافقة، وذلك على النحو المنصوص عليه في اللائحة رقم 9؛ و صلاحيات التحقق والتنفيذ التي تقع ضمن سلطة المفوض في حالات إقدام المعالج أو المراقب المالي على ممارسات غير عادلة أو خادعة على النحو المُحدد في اللائحة رقم 2.6؛ ومعالجة البيانات الشخصية من خلال أنظمة التكنولوجيا الرقمية التوليدية بموجب اللائحة رقم 10.
وتتسم اللائحة رقم 10 بريادتها في مجالها باعتبارها أول لائحة يتم إصدارها على مستوى منطقة الشرق الأوسط وأفريقيا وجنوب آسيا فيما يخص معالجة البيانات الشخصية عبر أنظمة مستقلة وشبه مستقلة مثل الذكاء الاصطناعي أو تكنولوجيا التعلم الآلي التوليدي. ومن أبرز خصائص هذه اللائحة أنها تتيح الفرصة لمركز دبي المالي العالمي ليتبوء مكانة رائدة في هذا المجال ليمثل منصة لتعزيز وبحث أطر التوافق بين الإرشادات التوجيهية والمبادئ المتنوعة الصادرة عن الحكومات ذات السيادة والمنظمات غير الحكومية. ويعتبر إنشاء مساحة للتواصل والعمل لتطبيق المبادئ “الأنسب” لتطوير تكنولوجيا الذكاء الاصطناعي أمراً أساسياً لمعالجة البيانات الشخصية بطريقة أخلاقية باعتماد مثل هذه الأنظمة.
في سياق متصل، استطلعنا آراء قيادات الشركات الكبرى في قضية أمن المعلومات
غارتنر: على المؤسسات إدراك أهمية أمن البيانات
رافيشا تشوغ، المحلل الرئيس لدى “غارتنر”
ما من شكّ في أن البيانات تنطوي على أهمية بالغة لأية مؤسسة، وبالتالي فإن أمن البيانات يجب أن يتضمن حماية البيانات الحساسة المشتملة على معلومات التعريف الشخصي والمعلومات الصحية الشخصية ومعلومات البطاقات المصرفية، إضافة إلى البيانات الأخرى الخاضعة للتنظيم، والبيانات الواردة في الاتصالات الداخلية والخارجية. وقد يشمل أمن البيانات أيضًا الملكية الفكرية والمعلومات الحساسة أو السرية الأخرى وحالات الاستخدام المتزايدة باستمرار للبيانات والتحليلات، والتي تتضمّن التبني واسع النطاق للذكاء الاصطناعي.
إن العديد من المؤسسات تواصل رحلة الانتقال إلى السحابة من خلال اعتماد بيئات سحابية متعددة وبنىً تقنية هجينة. هذا المشهد المتغيّر أدّى إلى شعور المؤسسات بالقلق في شأن الأخطاء التي قد تقع في إجراءات الضبط التقني والثغرات التي قد توجد في البيئات السحابية. لذلك، ولمنع أي تسريب للبيانات، ينبغي للمؤسسات إعطاء حماية البيانات الأولوية اللازمة على امتداد نماذج عملها، كنموذج تقديم البنى التحتية كخدمة (IaaS)، وتقديم المنصات كخدمة (PaaS)، وتقديم البرمجيات كخدمة (SaaS).
ثمّة توجه شائع آخر يتمثل بظهور الذكاء الاصطناعي التوليدي وزيادة الإقبال عليه. وقد بات ChatGPT والذكاء الاصطناعي التوليدي يحصدان اهتمامًا واسعًا في عديد القطاعات نظرًا لما يتمتعان به من قدرة على إحداث تغيير جذري في عمل كثير من التخصصات. وبينما يواصل المختصون من مختلف القطاعات استكشاف ما يمكن للتطبيق الشهير ChatGPT أن يفعله، فقد بدأت تتوارد الأخبار حول حوادث أمنية لتسرب البيانات الحساسة. ولعلّ من أبرز الأمثلة على الإجراءات المتخذة إقدام شركة “سامسونغ” على حظر استخدام ChatGPT على الأجهزة المملوكة للشركة والشبكات الداخلية بعد أن قام موظفوها بتحميل شيفرات برمجية مصدرية إلى التطبيق للتحقق من وجود أخطاء فيها، كذلك لجأت “أبل” وبعض البنوك الأمريكية الكبرى إلى اتخاذ إجراءات مماثلة لتقييد الاستخدام الداخلي لـ ChatGPT وأدوات الذكاء الاصطناعي التوليدي الأخرى، ما جعلنا نبدأ في تلقي أسئلة من عملائنا حول أفضل السبل لتجنّب حوادث تسرّب البيانات وإدارة مخاطر اعتماد الذكاء الاصطناعي التوليدي.
ومع أن OpenAI، الشركة المطورة لـ ChatGPT قد كشفت عن وجود عدد من عناصر التحكّم في البيانات في خدمة التطبيق، والتي تمكّن المؤسسات من إيقاف سجل الدردشة واختيار حظر وصول ChatGPT لتدريب نماذج أعمالها، ما زالت العديد من المؤسسات لا تشعر بالارتياح إزاء إرسال موظفيها بيانات حساسة إلى هذه الخدمة. إن بوسع وحدة “بروكسي التمرير” العاملة بتقنية “إرسال الأحداث عبر الخادم” SSE إخفاء البيانات الحساسة أو تنقيحها أو حظرها أثناء إدخالها في ChatGPT. لذلك ينبغي للمؤسسات استخدام خيار الحظر لمنع إدخال البيانات الحساسة إلى ChatGPT من واجهات الويب أو واجهات برمجة التطبيقات. كذلك يوصى بحظر تحميل البيانات الحساسة إلى فئة “الذكاء الاصطناعي التوليدي” الجديدة التي يعمل بعض موردي SSE على إنشائها. إن أدوات منع فقدان البيانات تتمتع أيضًا بالقدرة على اكتشاف البيانات الحساسة في حالات الراحة والنشاط والاستخدام، لذا يمكن للمؤسسات اللجوء إلى هذه القدرة لمنع تحميل البيانات الحساسة إلى تطبيقات الذكاء الاصطناعي.
ومع ذلك، لا يمكن إلا أن يستمر تسرّب البيانات عبر تقنيات الذكاء الاصطناعي التوليدي، لذا يجب على المؤسسات تدريب الوحدات اللغوية الكبيرة (LLM) التابعة للنطاق الخاص بها باستخدام بيانات خاصة بها، ما سيتيح أقصى قدر من التحكّم في حماية البيانات الحساسة، وهذا هو الخيار الأفضل من منظور أمن البيانات، لكن هذا النهج ليس قابلًا للتطبيق إلا في المؤسسات التي تتمتع بمهارات تعلم الآلات والتعلّم العميق المناسبة، ولديها ما يكفي من الموازنات وموارد الحوسبة.
طارق عباس مدير أول لهندسة النظم في منطقة الشرق الأوسط وإفريقيا ورابطة الدول المستقلة وتركيا لدى شركة “بالو ألتو نتوركس”
تُعدّ حماية البيانات الحساسة والقيّمة أمرًا بالغ الأهمية لأسباب عديدة، وهذا يعكس صورة الدور المهمّ الذي تلعبه البيانات في عالمنا الرقمي. كذلك يُعدّ أمن البيانات مسألة حيوية لحماية خصوصية المؤسسات والأفراد، والحماية من الأفعال غير المصرح بها، كالوصول والإفصاح والتعديل، إضافة إلى الحماية من فقدان البيانات. وبوسع المؤسسات الكشف عن أي انتهاك للبيانات وإيقافه في الوقت المناسب من خلال اتخاذ الخطوات الصحيحة، ما يضمن استمرارية الأعمال، نظرًا لاعتماد معظم المؤسسات اعتمادًا كبيرًا على البيانات في عملياتها اليومية.
وتتضمن بعض الخطوات الأساسية التي تقترحها شركة بالو ألتو نتوركس لضمان أمن البيانات، تحديد المعلومات الرقمية وتصنيفها، وإنشاء ضوابط الوصول وآليات التشفير، وتنفيذ عمليات المصادقة والترخيص المناسبة، واعتماد طرق تخزين ونقل آمنة. بالإضافة إلى إجراء مراقبة مستمرة والحرص على اكتشاف الحوادث الأمنية المحتملة.
مع استمرار العالم في التحوّل الرقمي، يتواصل النموّ في حجم البيانات وقيمتها بسرعة، ما يجعل إحدى الأولويات القصوى للمؤسسات تكمن في توفّر البيانات التي يجب أن يُتاح للمستخدمين المصرّح لهم فقط أن يصلوا إليها عند الحاجة، ما يمنع انقطاع العمليات المؤسسية المهمة ويجنّب المؤسسات حوادث تسرّب البيانات، لا سيما وأن حادثَ اختراق واحدًا للبيانات سيكون كفيلًا بفقدان الثقة.
لقد تطور أمن البيانات على مر السنين، ونما من التركيز على تأمين الأنظمة المحلية ليصل إلى حماية البيئات السحابية المعقدة والموزعة، خاصة مع قيام الشركات والحكومات والأفراد بنقل كميات هائلة من المعلومات إلى المنصات الرقمية.
إن بعض الاختلافات الرئيسة بين منظومات أمن البيانات التقليدية المطبقة داخل المؤسسات، ونظيرتها السحابية تكمن أساسًا في قدرات التحكّم ومدى عُمق الرؤية وشمولها. ففي الإعدادات الخاصة بالمنظومات الداخلية، تتمتع المؤسسات بالتحكّم الكامل في البنية التحتية والبيانات الخاصة بها، مع القدرة على تأمين خوادمها تأمينًا ماديًا وإدارة أمن شبكتها وعناصر التحكّم في الوصول وتشفير البيانات إدارة مباشرة.
في المقابل، يتضمن أمن البيانات السحابية تحكمًا جزئيًا من جانب مقدّم الخدمة السحابية، ما يجعل المؤسسات هذه الحالة تفتقر إلى درجة عالية من التحكم المادي والمباشر في بنيتها التحتية، الأمر الذي يصعّب الرؤية خلال المشكلات الأمنية.
في الآونة الأخيرة، وفي ظلّ ملاءمة الإعدادات الخاصة بالبيئات السحابية المتعددة والبيئات الهجينة لنماذج أماكن العمل الحالية، أصبحت إدارة الأمن أكثر تعقيدًا، لا سيما عند الجمع بين منصتين سحابيتين.
وأصبح أمن البيانات السحابية اليوم يواجه مجموعة من التهديدات، لذا فإن بناء الدفاعات المناسبة لا بدّ أن يبدأ بفهم تلك التهديدات؛ فحوادث اختراق البيانات قد تنتج عن عدة عوامل، مثل كلمات المرور الضعيفة، وإعدادات الأمن التي تُضبط بشكل خطأ، والواجهات البرمجية وقواعد البيانات الخلفية الضعيفة، فضلًا عن هجمات التصيّد.
أما الهجمات الرقمية فيمكن أن تحدث في أشكال عديدة، بدءًا من حقن SQL، ومرورًا بهجمات الفدية التي عادةً ما تعطّل سير العمليات المؤسسية.
قد يكون التهديد المحتمل الآخر هو الهجمات بالبرمجيات الخبيثة التي تشمل الديدان والتروجانات وبرمجيات الفدية وبرمجيات التجسّس، وبالتالي فإن اتخاذ تدابير مكافحة البرمجيات الخبيثة لتحقيق الأمن الشامل أمر في غاية الأهمية.
إن شركة بالو ألتو نتوركس توصي المؤسسات باستخدام مجموعة متنوعة من تقنيات الأمن التي تركز على البيانات، مثل تأمين بنية الشبكة السحابية، والتشفير الشامل، وتصنيف البيانات، وإخفاء البيانات، والنسخ الاحتياطي للبيانات. أما عند الرغبة في حذف البيانات من أنظمة التخزين، أو تدمير الوسائط المادية، فمن الضروري الحرص على التخلّص من البيانات بطريقة آمنة. وبوسع المطورين ومهندسي الأمن تعزيز أمن البيانات باستخدام البنى القائمة على نموذج “انعدام الثقة”.
من ناحية أخرى، قد يكون تأمين البيانات الضخمة صعبًا على البعض بسبب الحجم الهائل للبيانات وتنوعها وسرعتها، إذ يتطلب ذلك من المؤسسات الحفاظ على الخصوصية في البيانات الضخمة وإدارة التحكّم في الوصول واستخدام خوارزمياتٍ وآليات تشفير قوية. كذلك تُعدّ المراقبة والتحليل الفوريين للبيانات مسألة ضرورية للكشف عن الحالات الشاذة في حركتها والانتهاكات الأمنية المحتملة، بجانب الحاجة إلى التقييم الدقيق عند اختيار البائعين الخارجيين، لضمان أنهم يتّبعون الممارسات الأمنية.
ثمّة عامل مهم آخر في أمن البيانات هو العنصر البشري، لذلك تأتي أهمية تدريب المستخدمين وتوعيتهم وأخذ التهديدات الداخلية والأخطاء البشرية دائمًا في الحسبان.
جيمي كوليير، كبير مستشاري استخبارات التهديدات الإلكترونية، مانديانت
يشير استبيان عالمي أجرته مانديانت مؤخراً إلى أن 96% من صناع القرار الأمني يدركون أهمية فهم التهديدات المحتملة التي تستهدف شركاتهم ومؤسساتهم. ومع ذلك، يكشف الاستبيان أن الأغلبية – 79٪ (من المشاركين في الاستبيان ذاته) يقومون غالباً باتخاذ قرارات دون الحصول على معلومات قيمة أو كافية حول خصومهم. يسلط هذا الضوء على أهمية تفعيل استخبارات التهديدات، فالتساهل بذلك يشكل تحدّياً للعديد من المهام الأمنية. ولهذا، من الضروري وضع منهجية قائمة على استخبارات التهديدات الأمنية كحل، فهي تقدم العناصر الأساسية لقاعدة استخبارات قوية داخل الشركات. يساعد تنفيذ هذا النهج في التغلب على التحديات من خلال تفعيل استخبارات التهديدات وتوفير قاعدة أساسية تزدهر عبرها إمكانات وقدرات الاستخبارات، مما يمثل فرصة للشركات لسد الفجوة القائمة بين المعرفة وعملية صنع القرار، وتعزيز قدراتها على الاستجابة للتهديدات بشكل استباقي. ولتنفيذ هذا النهج القائم على استخبارات التهديدات بنجاح، من الضروري وجود استراتيجية واضحة. قد يبدو هذا المفهوم بسيطاً، إلا أن التركيز المستمر على احتياجات أصحاب المصلحة يتطلب الانضباط والتنظيم والوعي المستمر. لحسن الحظ، فإن بناء نهج قائم على المتطلبات واستدامته أمر قابل للتحقيق وخالٍ من التعقيدات.
وضع إطار عمل قائم على المتطلبات:
يمكننا مقارنة مفهوم النهج القائم على المتطلبات بعملية دورية أو منهجية تشبه إلى حد كبير دورة حياة معلومات التهديدات، والمعروفة أيضاً باستخبارات التهديدات. ومع ذلك، يتم تصوير دورة حياة استخبارات التهديدات غالباً بطريقة مجردة إلى حدٍّ ما تفتقر إلى التحليل المفصل لطريقة عمل كل مرحلة.
حتى تتمكّن من تطوير فهم عملي لسير العمل، تحتاج فرق استخبارات التهديدات السيبرانية إلى التركيز على تحديد عملياتها. يتضمن الإطار عدة ركائز أساسية، منها:
وضع صورة واضحة وتحليلية لأصحاب المصلحة: يتضمن ذلك تحديد مستهلكي استخبارات التهديدات داخل الشركة أو المؤسسة، وفهم أدوارهم ومهامهم، وتحدياتهم، وكيف يمكن لاستخبارات التهديدات السيبرانية مساعدتهم.
متطلبات الاستخبارات: تركز هذه الخطوة على تحديد الاحتياجات المحددة لجمع الاستخبارات، أو تحليلها، أو إنتاجها أو تفعيلها، مما يضمن أن تتواءم الجهود مع الأهداف التنظيمية وأن تكون ذات أهداف لها معنى.
ملف تعريف التهديدات السيبرانية: من خلال إنشاء ملف تعريف التهديد السيبراني، تكوّن فرق استخبارات التهديدات السيبرانية سياقاً مهماً حول التهديدات الرئيسية في القطاعات والصناعات والمناطق التي تنتمي لها مؤسساتهم، مما يساعدهم في تحديد أولوياتهم الاستخباراتية بشكل فعال.
يمثل تنفيذ أي إطار أو منهجية تحدياً كبيراً. ولكن، عند وضعه قيد التنفيذ، أثبت اعتماد نهج قائم على المتطلبات أنه قابل للتحقيق. تتضمن الخطوات: الاهتمام بملفات تعريف أصحاب المصلحة ومتطلبات المعلومات الاستخبارية وتكوين صورة واضحة لها، واتباع مشورة الخبراء، وجمع الآراء الفعالة ودمجها.
في مشهد التهديدات الحالي النشط والمتغير باستمرار، يبرز اعتماد نهج قائم على المتطلبات كضرورة حاسمة لفرق استخبارات التهديدات للحفاظ على موقف استباقي ضد التهديدات السيبرانية. من خلال مواءمة الجهود والاستخبارات مع احتياجات ومتطلبات أصحاب المصلحة، ستتمكن المؤسسات من صياغة ووضع استراتيجية أقوى للدفاع، واتخاذ قرارات أكثر استنارة، وتخصيص مواردها بشكل أمثل، مما يؤدي بشكل عام إلى وضع أمني محصن.