غياب إستراتيجية قومية لأمن المعلومات وأثره علي الأمن القومي السوداني في ظل التحول نحو الحكومة الإلكترونية
إن التحول نحو الحكومة الإلكترونية، ومن ثم المجتمع الرقمي ضرورة لا مناص منها لرفاه الناس ومعاشهم واقتصادهم ولتطور الدولة، وإن تقاعسنا عنها فسيمضي الناس من حولنا ونبقى متذيلين في كل شيئ!
لكن الإتجاه نحو الحكومة الإلكترونية يجب ألا يغفل ضرورة الحفاظ علي الأمن القومي بمفهومه الشامل، ولعل إستخدام تكنلوجيا المعلومات والإتصالات ICT بات من أكبر المهددات للأمن القومي للدول لما يصاحبه من مخاطر متعلقة بأمن المعلومات Cybersecurity Risk. ولقد فطنت الدول التي تطبق الحكومة الإلكترونية لتلك المخاطر، واتفقت المؤسسات المتخصصة والخبراء على أنه لزاماً على كل دولة أن يكون لها إستراتيجية قومية لأمن المعلومات، وهي تعتبر الوسيلة الوحيدة الفعالة لتلافي مخاطر أمن المعلومات.
ومما يؤسف له أننا في السودان ورغم توجهنا نحو الحكومة الإلكترونية وما تم فيها من عمل حتي الآن إلا أنه لا توجد إستراتيجية قومية لأمن المعلومات، وذلك يشكل خطراً كبيراً على الأمن القومي السوداني.
أحاول في هذه العجالة تسليط الضوء على مخاطر غياب الإستراتيجية على الأمن القومي، واقتراح موجهات عامة لوضع الإستراتيجية، وكيفية تطبيقها، وأهدف كذلك إلى إثارة الحوار بين المختصين، وتسليط الضوء على هذا الفراغ الخطير.
موقع السودان في الخريطة العالمية لأمن المعلومات:
يقوم الإتحاد الدولي للإتصالات ITU بإصدار تقرير المؤشر العالمي لأمن المعلومات Global Cybersecurity Index (GCI) ويقوم هذا المؤشر بقياس اداء الدول الاعضاء (193 دولة) فيما يتعلق بأمن المعلومات في خمس محاور هي:
1- التشريعات القانونية ووجود مؤسسات وأُطر عمل لتنفيذها.
2- وجود مؤسسات تقنية تتعامل مع قضايا أمن المعلومات.
3- وجود مؤسسات تنظيمية تنسق السياسات وتطور الخطط الإستراتيجية على المستوي الوطني.
4- بناء القدرات من ناحية البحث والتطوير والتعليم والتدريب.
5- التعاون والشراكات لتبادل المعلومات مع المؤسسات الوطنية والدولية.
وفي آخر إصدار لهذا المؤشر GCI 2017 حاز السودان المرتبة رقم 96 على مستوى العالم. ولقد سبقنا الأخوة في شمال الوادي ببون شاسع بإحرازهم المرتبة 14 عالمياً. ولعلي أُرجئ إحراز بلدنا لهذه المرتبة المتأخرة لغياب إستراتيجية قومية لأمن المعلومات تستهدف تطوير المحاور التي يغطيها المؤشر، ويقوم عليها إنشاء المؤسسات اللازمة.
قامت الجهات المعنية في السودان ببعض المجهودات مثل تشريع قانون جرائم المعلوماتية (تحت الإجازة)، وإنشاء فريق الإستجابة السريعة لمخاطر الكمبيوتر Computer Emergency Response Team (CERT) بالمركز القومي للمعلومات، إلا أن هذه المجهودات لا تكفي في ظل غياب إستراتيجية قومية وما يتبعها من مؤسسات وسياسات وضوابط ومعايير… الخ.
المخاطر على الأمن القومي – ناقوس الخطر ! :
في برنامج (حتي تكتمل الصورة) بقناة النيل الأزرق بتاريخ 18 أبريل 2011 أُستضيف السيد وزير الدفاع وقتها للتعليق علي حادثة قصف سيارة في شرق السودان بواسطة طائرات حربية مجهولة، وقال وزير الدفاع أن هذه السيارة كانت مراقبة منذ خروجها من الخرطوم إلي أن قُصفت بواسطة (شريحة!)، وإن صحت هذه المعلومة فهذا يعني ان شبكات الإتصالات بالبلاد مكشوفة ومبذولة للآخرين ليحصلوا علي ما يشاءون من معلومات! وشبكات الإتصالات تشكل عصب التحول الرقمي والحكومة الإلكترونية.
وفي العام 2013 غادر المتعاقد مع وكالة الأمن القومي الأمريكي NSA وموظف وكالة المخابرات الامريكية CIA السابق إدوارد سنودن Edward Snowden مقر عمله في مقر NSA بهاواي إلي هونغ كونغ منشقاَ عن وكالة الأمن القومي NSA لاسباب يراها أخلاقية، وفي معيته مستندات قدرت بحوالي 1.7 مليون وثيقة تخص الوكالة. كشف سنودن عن برامج تجسس تقنية عالمية هائلة – مثل برنامج PRISM – تقوم بها أجهزة الأمن والمخابرات الأمريكية وحلفاؤها بالتعاون مع شركات التكنلوجيا وبإستخدام تقنيات متقدمة، ولا يكاد يُستثنى أحد أو دولة من هذه البرامج، ولا يسع المجال هنا لذكرها لكثرتها، وأحيل القارئ للإستزادة منها وإدراك حجم المخاطر لمطالعة ما كتب عن سنودن في Wikipedia.
والجدير بالذكر أنني قمت بزيارة في العام الماضي (2017) لمركز بيانات Data Center عملاق يخص أحد شركات تقنية المعلومات الصينية ولفت انتباهي أن كل معدات مركز البيانات من سيرفرات ومبدلات switches وموجهات routers وغيره من صناعة شركات صينية فقط. فاستفسرت مرافقي الصيني عن ذلك، فأفادني أنه بعد حادثة إدوارد سنودن صدرت توجيهات صارمة من الدولة بأن تكون كل معدات تقنية المعلومات المستخدمة في المؤسسات الصينية مصنوعة وطنياً حفظاً للأمن القومي.
ومؤخراً بدأت الولايات المتحدة منع شراء معدات تقنية المعلومات من الشركات الصينية مثل Huawei و ZTE خوفاً من التجسس الإلكتروني، كذلك منع الجيش الأمريكي عناصره من شراء الهواتف النقالة التي تنتجها الشركتين الصينيتين لأسباب أمنية.
وقد صدر تقرير من الCIA يشير إلى ان وكالة الأمن القومي NSA سجلت وجمعت في العام 2017 حوالي 534 مليون مكالمة ورسالة لأمريكيين داخل الأراضي الامريكية، وكذلك أشار التقرير لإزدياد جمع المعلومات إلكترونياً عن أجانب مقيمين خارج الولايات المتحدة من خلال ما يعرف ب FISA section 702 وهو تشريع يجيز لوكالة الأمن القومي NSA التجسس على الأجانب خارج الولايات المتحدة من خلال وسائل الإتصالات وتقنية المعلومات دون الحصول على إذن قضائي.
الحكومة الإلكترونية – معلومات ضخمة وحساسة:
إن الحكومة الإلكترونية تهدف إلى استخدام وسائط الإتصالات والبرمجيات والحواسيب والهواتف والإنترنت لتقديم الخدمات إلكترونياً للمواطنين بكل فئاتهم، وذلك يستلزم تبادل العمليات والمعلومات والأموال بين مؤسسات الحكومة والمواطنين والعكس، ومؤسسات الحكومة فيما بينها، ومؤسسات الحكومة وموظفيها، ومؤسسات الحكومة مع أصحاب المال والأعمال والعكس. وهذه المعاملات تشتمل قواعد بيانات ضخمة، ومعلومات حساسة تخص الأفراد والمؤسسات، وأسرار تجارية وصناعية… الخ. لذلك فإن التحول نحو الحكومة الإلكترونية يستلزم أن يكون أمن المعلومات الشامل عنصراً أساسياً وفي قلب منظومة الحكومة الإلكترونية وإلا سيكون الأمن القومي في خطر عظيم.
المهددات المحتملة لمنظومات الحكومة الإلكترونية:
التجسس المعلوماتي الإلكتروني: وتقوم به أجهزة المخابرات للحصول علي المعلومات عن الدولة المستهدفة، او مؤسسات بها، أو افراد منها بواسطة الوسائل الإلكترونية مثل الإختراق، والإعتراض، والإستراق، وزراعة البرامج الخبيثة، وتسجيل المحادثات وغير ذلك.
التجسس الإقتصادي والصناعي الإلكتروني: ويقصد به معرفة قدرات الدولة الصناعية خاصة في الصناعات الإستراتيجية، أو يتجسس المتنافسون مثل الشركات على بعضهم لإضعاف القدرة التنافسية، أو الحصول على الأسرار الصناعية من مخططات وتصاميم وغيره. وكذلك يمكن التجسس للحصول على المعلومات الإقتصادية أو المالية مثل الحسابات البنكية وغيرها.
التخريب الإلكتروني: ويشمل تخريب نظم المعلومات، او مسح وتشفير البيانات، أو حجب الخدمة، أو كشف المعلومات، أو تزييفها، وقد يكون متعمداً لتحقيق خسائر إقتصادية، أو لمحو أدلة مهمة، أو لتخريب النظام المالي والمصرفي. وقد يكون متعمداً فردياً للإبتزاز المادي، أو من دولة أخرى لتحقيق اهداف إستراتيجية، أو حتى من هواة، لكنه في النهاية يشكل خطراً على الدولة أو المؤسسة، وقد تكون الخسائر مادية أو سياسية أو معنوية أو مجتمعة.
نحو إستراتيجية قومية لأمن المعلومات:
إن الإستراتيجية القومية لأمن المعلومات ضرورة ملحة ولاغنى عنها، وقد قامت حوالي 70 دولة من دول العالم بوضع إستراتيجيات قومية لأمن المعلومات، وكذلك فإن الإتحاد الدولي للإتصالات وضع خطة إستراتيجية موجهة.
ماهي الخطة الإستراتيجية القومية لأمن المعلومات؟
الإستراتيجية القومية لأمن المعلومات عبارة عن سياسات توجه الرؤية المستقبلية لأمن المعلومات بالبلد، وتحدد الاولويات، والمبادئ، والطرق التي يجب أن تستخدم لإدارة مخاطر أمن المعلومات. ولتكون الخطة فعالة يجب ان تلبي التالي:
1- رفع وعي العاملين بالدولة، والقطاع الخاص، والمواطنين بضرورة أمن المعلومات ومخاطره.
2- ان تحدد بصورة دقيقة وقاطعة الأولويات، والمبادئ الحاكمة، والسياسات المنظمة، والبرامج العملية لإنجاز ماسبق.
3- توضح مهام وأدوار كل أصحاب الشأن من المؤسسات الحكومية وغير الحكومية في تطبيق الإستراتيجية.
4- وضع الأهداف، والمخرجات المتوقعة، والمعايير التي يتم بها قياس الأداء في تنفيذ الإستراتجية.
5- ضمان الموارد المادية والبشرية اللازمة لتنفيذ الخطة الإستراتيجية.
تطبيق الإستراتيجية القومية لأمن المعلومات:
إن وضع وتنفيذ إستراتيجية قومية لأمن المعلومات ذات فعالية يستلزم تبني ووضع الإستراتيجية من قبل مستويات عليا في الدولة، ومن ثم العمل في عدة محاور لتنفيذها، وفي تقديري يمكن أن تشمل هذه المحاور التالي:
1- إنشاء مركز قومي لأمن المعلومات ليكون مؤسسة تقوم بالتالي:
– وضع الخطط التشغيلية، والمعايير، والسياسات التنظيمية، والضوابط… الخ في إطار الخطة الإستراتيجية والإشراف علي تنفيذها.
– إختبار معدات تقنية المعلومات والبرمجيات للتأكد من مطابقتها للمعايير الموضوعة وخلوها من الثغرات والمهددات الأمنية وإصدار شهادات صلاحية بذلك. ويجب ألا تستخدم أي معدات او برامج في القطاع العام ما لم تكن مجازة من المركز القومي لأمن المعلومات.
– التدريب ورفع القدرات.
– القيام بالدراسات والبحوث
2- تفعيل دور فريق الإستجابة السريعة لمخاطر الكمبيوتر CERT وربطه بكل مؤسسات القطاع العام للقيام بدوره، ومما يؤسف له أنني سألت عدد من العاملين في تقنية المعلومات بالقطاع العام وفي مؤسسات ذات أهمية عن مركز CERT فوجدت معظمهم لا يعرف دوره، وبعضهم لم يسمع به أصلاً.
3- توطين صناعة تقنية المعلومات: إن توطين صناعة تقنية المعلومات خاصة فيما يلي جانب المعدات مثل المبدلات switches والموجهات Routers وجدران النار Firewalls يعتبر مهماَ جداً، وكما أسلفت فإن دولة مثل الصين منعت إستخدام أجهزة تقنية المعلومات غير المصنعة وطنياً في المؤسسات ذات الصلة بالدولة، وذلك للمخاطر المتوقعة من ثغرات وأبواب خلفية Backdoors تسمح بجمع المعلومات عبر تلك الأجهزة. لكن توطين هذه الصناعة قد يكون غير مجدي للقطاع الخاص ويجب على الدولة أن تتبناه كصناعة إستراتيجية ودعم البحث والتطوير والتصنيع في هذا المجال.
4- العمل علي تطوير وتحديث القوانين التجارية والجنائية لتستوعب التطورات في مجال تقنية المعلومات.
إن وضع وتنفيذ إستراتيجية قومية لأمن المعلومات ضرورة عاجلة لا تحتمل التأخير وإلا ستكون العواقب وخيمة على الأمن القومي للبلد. وسنجني الخراب من وراء تطبيق الحكومة الإلكترونية بدلاً من أن تيسر لنا حياتنا، وتطور دولتنا ومجتمعنا وإقتصادنا.
بقلم
هشام أحمد علي
كفيت و وفيت د. هشام
مقال في الصميم