أ.د. محمد محمد الهادي
يجب أن تسعي الحكومات والمنظمات المعنية علي كافة توجهاتها في تأكيد أهمية الأخذ بأمن المعلومات والتوجيهات والمعايير المنظمة له، بالإضافة إلي ضرورة التواصل والتعاون والتنسيق في تنفيذ أمن المعلومات علي كافة المستويات المؤسسية والقطاعية والقومية والدولية.
تطوير السياسات: Policy Development
سبق استعراض موضوع تطوير سياسة أمن المعلومات (البند 4-4) عند استعراض موضوع متطلبات الأمن الطبيعي للمعلومات وضرورة تطوير سياسات الأمن الملائمة لذلك، إلا أن العرض التالي يرتبط بسبعة عوامل جوهرية يجب أن تتضمنها سياسة تطوير أمن المعلومات التي تتمثل في:
(1) إنسجام وتوافق توجيهات ومعايير الأمن عالميا:
توجد حاجة ملحة لإعداد توجيهات ومعايير أمن فنية ملائمة ترتبط بالمنتجات والنظم المستخدمة تراعي انسجام التطبيق الجغرافي المتسع والممتد علي أوسع نطاق علي مدي العالم لمعايير أمن سياسات نظم المعلومات World Wide Harmonization of Standards . إن تطوير توجيهات ومعايير أمن المعلومات يمثل المنتج التعاوني في نظم الأمن بين الحكومات ومنظمات التوحيد القياسي والمنتجين والموردين والمستخدمين لنظم المعلومات. وبينما يستهدف التوصل لمعايير منسجمة معا، مع مراعاة عدم وجود حل أمن واحد لكل المنظمات، فإن احتياجات الأمن تتنوع إلي حد كبير من قطاع لآخر، من شركة أو منشأة لأخرى، من إدارة أو وحدة تنظيمية لأخرى، أو من نظام معلومات لآخر، الخ. ويؤدي نقص أو عدم الفهم المتوازي للمستخدمين إلي مخاطر جمة خارج نطاق التوحيد التكنولوجي المطلوب.
وعلي ذلك تتمثل الخطوة الأولي في إعداد سياسة الأمن إلي ضرورة التعرف علي التنوع الضمني لحفظ وحماية نظام المعلومات ومدى احتياجات المستخدمين المتغايرة وفهمهم لذلك العامل الحاكم.
(2) ترويج الخبرة والمزاولة الأحسن:
ضرورة قيام كل الأطراف المعنية بأمن نظم المعلومات علي كافة مستوياتها وتنوعها بترويج خبراتها ومزاولاته الأحسن Promotion of Expertise and Best Practice في إعداد وتنفيذ سياسات أمن المعلومات الخاصة بها، بهدف تعزيز وترقية الخبرة والوعي بمفاهيم المزاولات الأحسن. ويشتمل ذلك علي تحديد الانطباعات الشخصية في تحليل المخاطر وإدارتها وتأمين النظم ومراجعتها. وقد تتنوع برامج إعداد سياسات الأمن المطبقة من قطاع لآخر أو من منظمة لأخرى. علي سبيل المثال، تختلف متطلبات سياسات أمن المعلومات في القطاع المصرفي عنها في القطاعات الأخرى.
(3) إبرام العقود الصحيحة:
يلاحظ أن أهداف الأطراف المختلفة المرتبطة بالمعاملات أو التصرفات الإلكترونية لا تختلف عما هو متواجد في المعاملات الورقية التقليدية لحد كبير. وبصفة عامة، فإن المشاركين في نقل المعلومات، سواء كانت إلكترونية أو ورقية، يريدون معرفة والتأكد من أن المعلومات المرسلة والمتدفقة هي المرغوبة وترد من مصادر معتمدة وموثوق منها، كما أنها تصل في الشكل المرغوب فيه غير المتغير وغير المعالج صوريا. وعلي الرغم من أن أهداف أطراف المعاملات الإلكترونية والورقية متشابهة لحد كبير، إلا أن الطريقة في تحقيق هذه الأهداف ليست متشابهة بالتبعية، حيث أنها تختلف فيما يتعلق بطرق إنشائها، استخدامها، إرسالها، تخزينها، والوصول إلي المعلومات فيها. كما تختلف أيضا الطرق المستخدمة لحماية المعلومات بها من الأضرار والمخاطر التي قد تواجهها.
وعلي ذلك، فإن التحدي الذي يواجه المؤسسات والمنظمات المختلفة يتمثل في إعادة المعاملات والتأكد من صحتها بنفس مستوي الثقة التي تتوافر حاليا للمعاملات الورقية التقليدية. وقد يتحقق ذلك من خلال عدد من الطرق منها:
· إمكانية تطبيق القواعد الحالية للمعاملات الإلكترونية.
· إمكانية تعديل القواعد الحالية وتطوير قواعد جديدة.
· إمكانية تطبيق الوسائل التكنولوجية الحديثة.
· القيام بدراسات إضافية وتحسين القوانين والتشريعات التجارية التي تتضمن المعاملات الإلكترونية.
· تقوية المسئوليات القانونية المرتبطة بصحة العقود والتعاقدات.
(4) تخصيص المخاطر والمسئولية القانونية:
تؤثر ندرة تواجد قواعد للعقوبات والجزاءات التي تختص بتحديد الأضرار الناتجة من مدي تدني وانخفاض الإجراءات الأمنية وترتبط بتخصيص هذه المخاطر والمسئوليات القانونية Allocation of Risks and Liabilities علي فعالية وكفاءة النظم المطبقة لأمن المعلومات. وقد تشتمل هذه القواعد علي كل الأطراف المتضمنة في إجراءات الأمن كالبائعين ، الموزعين، مشغلي الاتصالات، مقدمي الخدمات، المستخدمين، الخ. كما تتضمن نظما عديدة تستخدم في نقل المعلومات التي تكون خارج سيطرة أو مراقبة معالج المعلومات المختص. وقد تكون حقوق وواجبات الأطراف المتضمنة في أمن النظام غير واضحة في حالات الأخطاء، حذف البيانات أو تشويهها مما قد يؤدي أيضا إلي فشل النظام وما يتعرض له من حوادث جمة.
وتتضح الحاجة لتواجد قواعد أمن المعلومات المرتبطة بتخصيص المخاطر والمسئولية القانونية عنها عند سرقة أو فقد اعتمادات إلكترونية محولة بين المؤسسات المصرفية أو المالية عبر الحدود الدولية علي سبيل المثال. وقد تتضمن هذه التحويلات كميات نقدية كبيرة وهي مزاولات مالية شائعة جدا. وفي حالة عدم كفاية قواعد تخصيص المخاطر والمسئولية القانونية حيال ذلك، يجب العمل علي تطويرها في نطاق سياسة الأمن لتحديد المسئوليات القانونية في حالات الاحتيال والغش والتحويلات السلكية واللاسلكية المتسمة بالإهمال وعدم الموثوقية منها.
(5) العقوبات والجزاءات:
تعتبر العقوبات والجزاءات Sanctions في استخدام نظم المعلومات وسائل مهمة لحماية اهتمامات الأطراف المتضمنة المعتمدة علي هذه النظم في توافر بياناتها وسريتها وخصوصيتها في مواجهة أي هجمات تعرضها للضرر والإفشاء والإتلاف. ومن أمثلة هذه الهجمات التي تعطل نظم المعلومات الفيروساتViruses ، أو الديدان Worms التي قد تؤدي إلي تبديل البيانات، الوصول غير القانوني، الاحتيال أو خداع الحاسب الآلي، إعادة استنساخ البرمجيات بأسلوب غير معتمد، الخ. وللتغلب علي هذه المخاطر قد تختار المؤسسات والمنظمات المختلفة تنوع من الطرق والأساليب للتعرف عليها ووصفها. ويوجد اتفاق دولي علي أساس المحور المطلوب لمجابهة الأخطار والأضرار التي ترتبط بأمن نظم المعلومات من خلال القوانين الجنائية والمدنية التي تسنها الجهات التشريعية في دول العالم. وينعكس ذلك بالطبع علي تطوير القوانين والتشريعات المرتبطة بحماية البيانات والحد من جرائم الحاسبات الآلية.
وفي نفس الوقت، يمكن التعرف علي كثير من العوامل التي قد تتفاقم نحو الأسوأ وتلك التي تقلل وتلطف من خطورة الأداء والتصرف المعين. وتحدد نيات الطرف المختص، نوع البيانات المتأثرة (كما في حالة بيانات الأمن القومي أو البيانات الطبية)، مدى الضرر الناجم، والمدى الذي يتعدى فيه الطرف المتضمن الاعتماد الممنوح له. وتتمثل العقوبات الإدارية المرتبطة بالانتهاكات أو الاعتداءات عن أمن المعلومات علي الغرامات التي قد تفرضها المنظمة أو الجهاز الإداري المختص التي تعتبرها كثير من الدول كافية إلي حد ما في مجال حماية البيانات. هذا إلي جانب، الأنواع الأخرى من العقوبات المرتبطة بمقاييس الانضباط أو العقوبات المدنية المختلفة.
وفي هذا النطاق ممكن أن يمتد مدى التعاون العربي والدولي في الأمور المرتبطة بقانون العقوبات علي جرائم أمن المعلومات بحيث تتضمن المساعدة المشتركة وتبادل المعلومات وتسليم المتهمين وغيرها من مجالات التعاون لحماية المعلومات وتأمينها بين الدول.
(6) الكفاءة القضائية:
إضافة إلي كفاءة المحاكم القانونية المرتبطة بأمن المعلومات ونظمها، قد يرغب البعض إعطاء المنظمات أو الأجهزة الإدارية المعينة حقوقا لفرض العقوبات الإدارية.
وقد تفرض وتخلق خاصية تدفق البيانات والمعلومات بين حدود الدول من جهة وحركة المنتهكين من جهة أخرى مشكلات كبيرة لمحاكمة جرائم الحاسبات والمعلومات. وعلي ذلك يجب توافر قواعد منسجمة خارج نطاق القوانين والتشريعات القومية، وخلال أو أثناء تطوير هذه القواعد، يجب أن تقوم كل دولة بمراجعة مدي ملاءمة تشريعاتها وقوانينها المحلية حتى يمكن التعامل مع الهجمات والأخطار المعلوماتية المتدفقة عبر الحدود. كما أنه في حالة الدول التي قد تعترف التعاليم والمذهب المتواجدة بها علي إمكانية حدوث أحد عناصر الجرائم المعلوماتية من جهة، أولا تعترف كليا بهذه الجرائم من جهة أخرى ، تبزغ الصعوبات لتطبيق قوانين جناية الحاسبات أو الجرائم المعلوماتية. وفي هذه الدول، يصبح من الضروري إدخال قواعد قانونية خاصة. علي سبيل المثال، سنت المملكة المتحدة قانونا لسوء استخدام الحاسب Computer Misuse عام 1999 عندما يحدث التطفل أو الاختراق في المملكة المتحدة أو أن التداخل البيني يؤثر علي استخدام الحاسبات فيها.
وعندما اقتراف مواطن جريمة كمبيوترية في ولاية أو دولة أخرى، قد تظهر مشكلات عند اكتشاف الجريمة وتواجد مرتكبها في دولة المنشأ. وكثير من الدول لا تسلم مواطنيها للمحاكمة علي الجرائم المعلوماتية لدولة أخرى. وفي هذه الحالات، يجب امتداد قواعد تسليم الخارجين علي القانون أو إمكانية نقل وقائع محاكماتهم إلي الدول المقترف بها الجريمة المعلوماتية. وسوف يسهم ذلك في تسهيل اتفاقات المساعدة المشتركة بين الدول والتعاون الإقليمي والدولي ونقل وقائع محاكمات الجرائم المعلوماتية في الأمور التي تخص أمن نظم المعلومات.
(7) الأدلة والبراهين:
أمن نظم المعلومات التي يحسن تعزيز دقة بياناتها ومعلوماتها وتكاملها وتوافرها، تزداد قدراتها واعتمادها علي هذا الرصيد من البيانات والمعلومات، مما قد يساعد في إدخال واستخدام هذه المعلومات الموثوق منها كأدلة وبراهين موثقة في الوقائع الإدارية والقانونية. وفي إطار قواعد الأدلة والبراهين الواضحة في القانون المدني والقانون الجنائي وفي الوقائع الإدارية تصبح نظم المعلومات أكثر أمنا وتقدم تنبؤات أكثر دقة للأفعال والتصرفات المتضمنة. وعلي الرغم من ذلك، قد تعرض السجلات الإلكترونية الحالية بعض المشكلات لقوانين الأدلة المتواجدة بالفعل.
التعليم والتدريب علي أمن المعلومات:
تتمثل المهمة الأولي في أمن المعلومات زيادة الوعي بالأمن لكل مستويات المجتمع المعاصر، في الأجهزة الحكومية والمنظمات والمؤسسات العامة والخاصة وكل الأفراد المستخدمين والمتعاملين مع نظم المعلومات، والتعرف علي أهمية وأهداف أمن المعلومات والمزاولات الأحسن لإجراءات الأمن. ويتضمن دعم الوعي بأمن المعلومات التعرف علي المخاطر الكامنة وتطوير التوافق الاجتماعي لاستخدام نظم المعلومات بطريقة ملائمة.
ومن الضروري عند بناء الوعي بأمن المعلومات تعاون كل الأطراف المعنية والتزام الإدارة المختصة وعلي وجه الخصوص الإدارة العليا بذلك. كما يجب أن تتضمن برامج التعليم والتدريب علي موضوعات التوعية بأمن المعلومات التي توجه لفئات المستخدمين ورجال الإدارة علي كافة مستوياتهم الإدارية وأخصائيي الصيانة ومديري نظم المعلومات (مديري البرمجيات، مديري التشغيل، مديري الشبكات) ومديري تطوير البرمجيات والنظم، والمديرين المكلفين بأمن نظم المعلومات ومراجعي نظم المعلومات الداخليين أو الخارجيين المستقلين.
علي سبيل المثال، يجب تدريب المراجعين المؤهلين مهنيا علي فحص وتدقيق وتقويم نظام المعلومات، كما يجب أن يمتلك هؤلاء المراجعين معرفة متعمقة عن تخطيط وتطوير وتشغيل نظم المعلومات، بالإضافة إلي امتلاك الخبرة الفعلية في أداء مراجعات نظام المعلومات.
ومن المهم أيضا تقديم نوعية بأمن المعلومات ونظمها للمسئولين عن تعزيز القانون وخاصة لرجال الشرطة، المحققين، القضاة، رجال النيابة العامة، الخ.
وبذلك تهدف برامج التعليم والتدريب دعم التوعية الضرورية بأهداف نظم المعلومات، والأداء الأخلاقي في استخدامها، وتطبيق إجراءات ومزاولات أحسن للأمن.
تقوية الأمن وإصلاحه وتبادل المعلومات والتعاون:
(1) تقوية الأمن وإصلاحه:
يجب تواجد أساليب أمن ملائمة ممكن الوصول إليها كمقدمة لصيانة وتقوية الحقوق المرتبطة بأمن نظم المعلومات وإصلاح أي انتهاكات لهذه الحقوق. ويتضمن ذلك الوصول إلي المحاكم المختصة وتوفير أساليب التحري الملائمة للسلطات المختصة. وتتضمن اختراقات أمن نظم المعلومات فشل أدائها، تعمد إفسادها، سرقة بياناتها، انتهاك خصوصيتها، إفشاء سريتها، الخ.
وتوجد حاجة ملحة لبرامج تعليم واتصال وتعاون أحسن، ومشاركة المعلومات بين إدارات وأجهزة تنفيذ القانون، مشغلي قنوات الاتصالات، مقدمي الخدمة، والبنوك علي كافة المستويات الوطنية والإقليمية والدولية. وفي هذا الصدد، يجب تعاون سلطات تنفيذ وتقوية وتنقيح القانون مع كافة الأطراف المعنية بأمن المعلومات لتسهيل الاستخبارات والتحري في الدول الأخرى.
وفي هذا لإطار يجب:
· تقديم وسائل أمن ملائمة يمكن الوصول إليها لتقوية وصيانة الحقوق النابعة من تنفيذ توجيهات ومعايير الأمن.
· تقديم المساعدة والدعم الفوري فيما يتصل بالأمور الإجرائية والاستخباراتية المرتبطة بانتهاكات أمن نظم المعلومات
(2) تبادل المعلومات:
تتبادل الحكومات ووحدات القطاع العام والقطاع الخاص المعلومات فيما بينها، وتنشئ إجراءات لتسهيل وتبادل المعلومات المرتبطة بتوجهات ومعايير الأمن التي تعمل علي تنفيذها. وكجزء من الجهود المبذولة حيال تبادل المعلومات تنشر المقاييس والمزاولات والإجراءات التي تنشأ لمراقبة توجيهات أمن المعلومات مما يستدعي القيام بالتالي:
- تبسيط تبادل المعلومات عن توجيهات ومعايير الأمن والعمل علي تنفيذها.
- نشر المقاييس والمزاولات والإجراءات التي تنشأ لمراعاة أمن المعلومات.
(3) التعاون:
يجب أن تطور الحكومات كل من أجهزة القطاع العام والقطاع الخاص مقاييس ومزاولات وإجراءات أمن سهلة ومتوافقة مع تلك المطورة من قبل الأطراف الأخرى التي تذعن وتستجيب للتوجيهات والمعايير. كما يجب أن يراعي في تطوير هذه المقاييس والمزاولات تجنب أي تعارض وصعوبات في التطبيق. وبذلك يصبح التعاون الأساس الذي تطور به القوانين والإجراءات المطبقة علي كافة المستويات المحلية والوطنية والإقليمية والدولية.
الخلاصة
استعرض هذا العمل المرتبط بتوجهات أمن وشفافية المعلومات في ظل الحكومة الإلكترونية، التوسع الكبير في استخدام تطبيقات وخدمات نظم المعلومات الإلكترونية المحملة علي كافة أنواع شبكات المعلومات (الشبكات المحلية، شبكات الإنترانت، شبكات الإكسترانت، شبكة المجال العريض وشبكة الإنترنت) التي تعتمد بعضها علي بعض، وقابليتها للتعرض للإضرار المختلفة وحاجتها لبناء الثقة فيها، وقد أدي كل ذلك إلي تعظيم موضوع أمن المعلومات ونظمها في البيئات الرقمية. وحدد مفهوم أمن المعلومات وطبقاته المختلفة، وإطاره، ومكوناته ومحاوره مع ربطه بالتهديدات التي يتعرض لها أمن نظم المعلومات والأضرار التي قد تنجم من قصور إجراءات الأمن، مع تعزيز أمن نظم المعلومات القائمة.
وناقش هذا العمل أيضا متطلبات أمن المعلومات المختلفة التي ترتبط بالأمن الطبيعي لأجهزتها وبرمجياتها وشبكاتها، وتوضيح عمليات التحقق من أمن المعلومات من حيث التعريف، الاعتماد، الإدارة والمراجعة لها، مع تنفهم طرق وأساليب استخدام نظم الأمن، وتطوير السياسة الموجهة وإجراءات المحاسبة والتنفيذ المحتاج إليها. كما عرضت الدراسة الحالية اعتبارات وأبعاد أمن المعلومات، حيث تتمثل الاعتبارات في عدم تواجد نظم أمن محققة بالكامل، والتوازن بين المخاطرة والتكلفة وبين الحاجة للأمن وعدم الرضى عن الوضع القائم. أما أبعاد أمن المعلومات وخاصة ما يرتبط منها بمعيار إدارة أمن المعلومات للمنظمة الدولية للتوحيد القياسي ISO 177799 فتشتمل علي سياسة الأمن، تنظيم الأمن، تصنيف الأصول ورقابتها، أمن الأفراد، الأمن الطبيعي والبيئي، الرقابة علي الوصول، تطوير النظم وصيانتها، إدارة استمرارية الأعمال والتوافق.
كما وضح هذا العمل ضرورة إيجاد توجيهات ومعايير أمن المعلومات فيما يتعلق بالغرض العام منها ومجالها والمفاهيم الخاصة بها بالإضافة إلي تحديد المبادئ العامة منها، وكيفية تنفيذ أمن المعلومات من حيث تطوير سياسة خاصة الأمن تتسم بالانسجام مع المعايير الدولية وتروج للأطراف المعنية وتحدد المخاطر المختلفة والمسئولية القانونية وما يرتبط بها من عقوبات وجزاءات.
ويلاحظ أن هذا العمل يؤكد بناء الثقة والأمن في استخدام تكنولوجيا المعلومات والاتصال، ويحدد تعزيز إطار الطمأنينة المرتبط بأمن المعلومات وأمن الشبكات وصيانة الحقوق والسرية والخصوصية تعتبر شروطا مسبقة لبناء وتعزيز جهود إقامة الحكومة الإلكترونية وصولا لمجتمع المعلومات المستهدف.
من هذا المنطلق استهدف هذا العمل ترويج ثقافة مجتمعية للأمن تطور خططا وسياسات لها تنفذ بالتعاون مع كل الأطراف المتضمنة في أمن المعلومات. وفي إطار التوعية المستمرة بثقافة الأمن والتدريب عليها يمكن تعزيز الأمن ذاته وضمان حماية البيانات وسريتها وخصوصيتها والعمل علي توافرها للأطراف المعتمدة فقط وسوف يؤدي ذلك بالطبع إلي احترام المواطنين لبرامج ومشروعات الحكومة الإلكترونية والولوج بخطي ثابتة نحو مجتمع المعلومات ذات التوجه التنموي ورفع مستوي معيشة وحياة الفرد والمجتمع.
وعلي هذا النهج، دعت الدراسة الحكومات ووحدات القاع العام والقطاع الخاص وكل الأطراف المعنية بأمن نظم المعلومات إلي اتخاذ الخطوات اللازمة لحماية أمن وشفافية النظم طبقا لمبادئ توجيهات ومعايير الأمن التي طورتها المنظمات الدولية المختصة ، فيما يلي مجموعة من النتائج المستنتجة من هذا العمل:
· إقامة أطر سياسية وتنظيمية وقانونية لمواجهة الأمور المتعلقة بمخاطر الأمن كالقرصنة وإدارة أسماء النطاق وحماية المواطنين وتوسيع هذه الحماية في البيئة الرقمية.
· تطوير سياسة أمن المعلومات وتشجيع تطبيقها وتطويعها لبرامج وسجلات الحكومة الإلكترونية.
· تدعيم الخبرة والمزاولة الأحسن لأمن نظم المعلومات من خلال تطوير التوجيهات والمعايير الفنية علي نطاق واسع والاستعانة بما هو مطور عالميا.
· تنظيم حملات عامة لنشر الوعي تهدف إلي تحسين معرفة الجمهور وتفهمهم بأهمية أمن المعلومات وحقوق الملكية الفكرية وحماية البرمجيات.
· تعزيز المبادرات التي تضمن التوازن العادل بين حقوق الملكية الفكرية ومصالح مستخدمي المعلومات في مجالات البرمجيات والتجارة الإلكترونية والحكومة الإلكترونية، الخ.
· تحديد وتخصيص المخاطر والمسئولية القانونية المتصلة بفشل أمن المعلومات، وما يرتبط بها من جزاءات وعقوبات إدارية وجنائية ترتبط بسوء الاستخدام أو تعمد الضرر.
· إصدار القوانين والتشريعات التي تحدد صحة العقود والوثائق المنشأة والمنفذة من قبل نظم المعلومات، وكفاية المحاكم التشريعية في تطبيق قواعد الأمن، وتسليم المتهمين في جرائم أمن المعلومات، وأساليب الحصول علي البراهين والأدلة والموافقة عليها في قواعد وبنود القانون المدني والقانون الجنائي، الخ.
وعلي الرغم من تعقد موضوع أمن وشفافية المعلومات، إلا أنه يمكن توفير بعض الأفعال المنطقية التي تساعد في تقليل مشكلات ومخاطر الأمن التي تتسبب في عدم أمن النظم. وفي هذا الصدد يمكن التوصية بالتالي:
· إدراك مشكلة أمن المعلومات وضرورة العمل علي حماية وتأمين نظم المعلومات وشبكات نقلها.
· استنباط استراتيجيات وسياسات أمن ملائمة.
· علاج إجراءات قصور أمن المعلومات البسيطة والتي تنفذ مرحليا.
· البحث عن مساعدات مهنية وتعاون من كافة الأطراف المحلية والوطنية والإقليمية والدولية في مجالات أمن المعلومات.
· تطبيق التوجيهات والمعايير الدولية والمزاولات الأحسن في أمن المعلومات.
· تعريف الفجوات الخاصة بأمن المعلومات المتواجدة في التشريعات والقوانين الوطنية والعمل علي تلافيها.
· حث الأمم المتحدة علي سن وإصدار قانون عن أمن المعلومات في الفضاء الخارجي Cyber-Space .