كيف يمكن مواجهة خطر الهجمات الإلكترونية على الاقتصاد؟

لم تعُد الهجمات الإلكترونية سببًا للقلق على الأمن القومي للدول فقط، بل صارت أيضًا خطرًا على الاقتصاد؛ نظرًا لتنامي إسهام تكنولوجيا المعلومات والاتصالات في الناتج الاقتصادي، الأمر الذي يستلزم فهم الآليات الاقتصادية المرتبطة بالأمن الإلكتروني، وصياغة سياسات اقتصادية تتغلب على نقص البيانات الموثوقة وتأثير العوامل الخارجية كإحجام الشركات عن توفير الحماية الكافية.

وفيما يلي بعض الأرقام الدالة على تنامي دور التكنولوجيا الرقمية في الاقتصاد:

    • في عام 2012 مثلت صناعة المعلومات 60% من القيمة المُضافة، و4% من التوظيف، و12% من إجمالي الاستثمارات الثابتة في دول “منظمة التعاون الاقتصادي والتنمية”.
    • شكلت براءات الاختراع ذات الصلة بتكنولوجيا المعلومات والاتصالات 40% من براءات الاختراع المُودَعة بموجب “معاهدة التعاون بشأت البراءات”.
    • في عام 2014 وظّف القطاع الرقمي، وهو شريحة فرعية من تكنولوجيا المعلومات والاتصالات، 1.4 مليون شخص بنسبة 7.3% من اقتصاد المملكة المتحدة.

ويكفي تصور النشاط اليومي على الإنترنت ويشمل مليارات المشاهدات لمقاطع الفيديو في “يوتيوب”، ومليارات من عمليات البحث في “جوجل” ورسائل البريد الإلكتروني، وعشرات الملايين من التغريدات في “تويتر” والصور في “إنستجرام” ومكالمات “سكايب” والمشتريات من مواقع التجارة الإلكترونية.

يوم في حياة الإنترنت

رسم من “تقرير التنمية الدولية” الصادر عن البنك الدولي ليوم في حياة الإنترنت يعتمد على بيانات نهاية مايو/أيار 2015 من موقع internetlivestats

بالإضافة إلى التوسع السريع للتكنولوجيا الرقمية، فإنها بطبيعتها تُعمِّق الترابط بين مختلف قطاعات الاقتصاد، ولذلك تتعدى أضرار الهجمات الإلكترونية الأفراد والمؤسسات المُستهدفة. كما أن انتشار فكرة انعدام الأمن الإلكتروني قد يُبطئ وتيرة تبني التكنولوجيا الجديدة لدى مؤسسات وقطاعات مختلفة، ما يُؤثر سلبًا على الإنتاجية.

ويتطلب تعزيز أمن الفضاء الإلكتروني إدراك ارتباط الأمن الإلكتروني بالحوافز الاقتصادية، وليس فقط بصياغة جيدة للتعليمات البرمجية.

وكشفت دراسة أجُريت قبل أكثر من خمسة عشر عامًا تباين مُعدل تكرار حوادث الاحتيال في أجهزة الصراف الآلي بين البلدان بحسب تنظيم المسؤولية وليس الإمكانات التقنية للمهاجمين. وفي الولايات المتحدة تتحمل المصارف الخسائر المالية الناجمة عن حوادث الاحتيال باستثناء الحالات التي يثبت فيها القصد الإجرامي لدى العملاء، ولذلك تشهد مُعدلًا أقل من الحوادث مُقارنةً بالدول التي تقع فيها الخسائر على عاتق العملاء.

وبينما تُشكل الهجمات المتطورة المعروفة باسم “التهديدات الدائمة المتقدمة” جزءًا مهمًا من مشكلات الأمن الإلكتروني، إلا أن الهجمات البسيطة تُسبب خسائر كبيرة على الرغم من إمكانية منعها بمزيجٍ من التدريب الأمني الأساسي وبرامج الحماية والممارسات التنظيمية الجيدة. (اقرأ أيضًا عن أهمية التدريب لتحقيق الأمن الإلكتروني)

ومن أمثلة الهجمات التي سلكت سبيلًا غير مُتوقع تعرض نظام نقاط البيع في متاجر “تارجت” الأمريكية للتجزئة لاختراق في عام 2013، وتسبب في خسائر بقيمة 300 مليون دولار، وحدث الاختراق من خلال السيطرة على حساب يعود لشركة تكييف الهواء التي لم تُطبق معايير أمنية قوية.

وفي عام 2017 استخدام القراصنة أسلوب اختطاف “نظام أسماء النطاقات” لتوجيه جميع الزيارات لموقع بنك برازيلي على الإنترنت إلى مواقع تصيّد، وعلى مدار خمسة ساعات سرقوا المعلومات الائتمانية الخاصة بكل عميل حاول تسجيل الدخول لحسابه في البنك.

ويفتح النمو المستمر في إنترنت الأشياء مجالًا غير مسبوق من المنافع والمخاطر، ويُقدم مثالًا على تقنيات جديدة مُتعددة الإمكانات واحتمال التأخر في الاستفادة منها إذا لم تُعَالج تحديات الأمن الإلكتروني على الصعيدين الاقتصادي والتقني. وتجاوزت الهجمات من خلال أجهزة إنترنت الأشياء نطاق الافتراضات النظرية؛ ففي عام 2016 اسُتخدمت نحو مائة ألف من كاميرات الويب والمراقبة لتعطيل عمل مواقع كبيرة منها “تويتر” و”ريديت”.

نمو سوق إنترنت الأشياء

يُتوقع أن تشهد السوق العالمية لإنترنت الأشياء نموًا سريعًا ليصل عدد الأجهزة إلى 75.4 مليار جهاز بحلول عام 2015 استنادًا إلى بيانات “آي إتش إس ماركيت” لخدمات المعلومات

سياسات الأمن الإلكتروني: حلول وتحديات

تضمن السياسات المُناسبة الوقاية من حوادث الأمن الإلكتروني، لكن حتى مع افتراض وجود الإرادة السياسية تبقى عقبتان: الأولى: الخلل في فهم الاقتصاد الجزئي للأمن الإلكتروني، والثانية: غياب البيانات الموثوقة حول الهجمات الإلكترونية.

وتشمل مُحددات الاقتصاد الجزئي لغياب الأمن الإلكتروني: أولًا: خضوع أسواق الأجهزة والبرمجيات لعوامل خارجية مثل زيادة قيمة المُنتَج بالتوازي مع زيادة عدد مستخدميه، وتتوافر أمام الشركة التي تفوز بإقبالٍ سريع من المستهلكين فرصة وضع معايير عامة وتشكيل التصور السائد عن المُنتَج، وبالتالي جذب المزيد من المستهلكين.

وتُسبب هذه الفكرة احتكار القلة السائد في أسواق البرمجيات والأجهزة، كما تُبرر مبدأ “طرح المنتج أولًا ثم تقديم التصويبات لاحقًا”. ونظرًا لأن الجانب الأمني لا يزال غير ضروري بالنسبة لأغلب المستهلكين، يتم التغاضي عنه وسط سباق التسويق السريع، وتُطرَح منتجات وخدمات تعاني عيوبًا أمنية أساسية.

ثانيًا: التداعيات السلبية لضعف الأمن الإلكتروني. وربما لا تقع أضرار الاختراق على الأفراد والمؤسسات المستهدفة وحدها، وتحتفظ الكثير من الأنظمة الإلكترونية بمعلومات عن عملائها تفوق مُلاكها. ومثلًا كشفت الهجمات على شركة “أنثيم” الأمريكية للتأمين الصحي وخدمة “ياهو” للبريد الإلكتروني البيانات الطبية والشخصية لآلاف المستهلكين. كما يتجنب القراصنة في كثيرٍ من الأحيان التوجه إلى مباشرةً إلى أهدافهم، ويتحكمون أولًا في أجهزة غير محمية ثم يستخدمونها لشن هجماتهم.

الأمن الإلكتروني/ الأمن السيبراني

على الرغم من ارتفاع معدلات الهجمات الإلكترونية وأضرارها إلا أن الأمن الإلكتروني لا يحظى بعد بما يكفي من الاستثمارات والتشريعات

ومع ذلك، لا يزال الوعي بتنامي التهديدات على الأمن الإلكتروني محدودًا، وبالتالي لا تُخصَص استثمارات كافية لتأمين أنظمة تكنولوجيا المعلومات. وحتى مع وجود الاهتمام يتنصل المنتجون من المسؤولية بدعوى أن تحملهم أعباء مالية عن الأخطاء التي لا يُمكن تجنبها في الأجهزة والتعليمات البرمجية سيُعيق الابتكار. ومن المُمكن أن يتغير التصور العام وموقف المشرعين كليًا إذا ما وقعت حوادث مثل تسبب سيارة ذكية مُختَرقة في مقتل شخص. (طالع تحذير رئيسة “جنرال موتورز” من تعرض السيارات ذاتية القيادة للاختراق)

وهناك خيارات مُتعددة للحد من التأثيرات السلبية، يسعى أغلبها للموازنة بين الحاجة إلى إدارة تكاليف الاختراقات من ناحية، وإعفاء الأشخاص العاديين الذين يتسبب اختراق أجهزتهم في مهاجمة مؤسسات أكبر من تحمل تكاليف الأضرار من ناحيةٍ أخرى. ومنها مثلًا تحمل الشركات المتخصصة كالتي تُقدم خدمات الإنترنت جزءًا من خسائر الهجمات التي تنتقل عبر شبكاتهم.

وبدأت أغلب الدول الأعضاء في “منظمة التعاون الاقتصادي والتنمية” صياغة تشريعات للأمن الإلكتروني تُقدم حلولًا جزئية مثل اشتراط إعلام الجمهور في حالة حدوث اختراقات، وتحديد معايير أمنية لأنظمة البنية التحتية الحيوية. وفي قطاعات التكنولوجيا الواعية بالمخاطر الأمنية تتكامل الالتزامات الوطنية الصارمة مع معايير دولية ومُحددات لأفضل الممارسات. (المزيد عن خطة اتصالات الأزمة لأجل معالجة حوادث خرق البيانات)

ترتيب البلدان الأكثر استعدادًا لمتطلبات الأمن الإلكتروني من "المؤشر العالمي للأمن الإلكتروني" 2015

البلدان السبع الأكثر استعدادًا لمتطلبات الأمن الإلكتروني بحسب “المؤشر العالمي للأمن الإلكتروني” لعام 2015 وتشترك بعض الدول في نفس الترتيب

وتفرض التشريعات في الدول المتقدمة على المؤسسات المالية إجراءات قوية للتدقيق وقواعد واضحة للمسؤولية؛ بسبب جاذبية هذا القطاع أكثر من غيره لهجمات القراصنة. ومثلًا ابتداءً من عام 2018 سيتوجب على مقدمي خدمات المدفوعات في الاتحاد الأوروبي الالتزام بمعايير أمنية قوية للأمن الإلكتروني في نظم المدفوعات الرقمية. (تعرف على الردع الإلكتروني كأسلوبٍ مُقتَرح لتعزيز الأمن)

وبمقدور المصارف المركزية وغيرها من الجهات التنظيمية في القطاع المالي فرض قواعد على المؤسسات الخاضعة لإشرافها مثل الكشف عن حوادث القرصنة الإلكترونية، كما تستطيع الإسهام في صياغة معايير أمنية، وحتى إن كانت غير مُلزمة فإنها ستكون مرجعًا دوليًا للقوانين الوطنية.

لكن لا يكفي تأمين قطاع واحد لضمان أمن الفضاء السيبراني. ومن الضروري التوصل إلى سياسات على مستوى الاقتصاد ككل؛ لا تقتصر على أنواعٍ بعينها من الهجمات كتلك التي تتضمن بيانات شخصية، أو تهتم بمؤسسات البنية التحتية أو مقدمي خدمات معينة فقط.

وتستلزم السياسات الجيدة توفير ما يكفي من البيانات الجيدة والمُحدثة. وغالبًا ما يتداول الإعلام إحصاءات تُصدرها شركات مُتخصصة في الدفاعات الإلكترونية، ما يُشير إلى تضارب واضح في المصالح. كما لا تُتاح المعلومات الأساسية للجمهور العام.

وتمت القليل من المحاولات للتوصل إلى بيانات جيدة وشفافة منها دراسة الحكومة البريطانية لاختراقات الأمن الإلكتروني، وأجرتها للمرة الأولى في عام 2016، وأصدرت أحدث نتائجها في أبريل/نيسان من العام الحالي، وكشفت أن 46% من الشركات البريطانية تعرضت لهجومٍ إلكتروني واحد على الأقل خلال الأشهر الاثنى عشر التي سبقت الدراسة. وتزيد الهجمات كلما توسع نشاط الشركات. وبينما لم ينجم عنها خسائر مالية كبيرة، إلا أن توزيع الأضرار تفاوت من شركةٍ إلى أخرى.

وأجرى البنك المركزي الإيطالي دراسةً مُماثلة أقل تفصيلًا خلصت إلى أن نسبة تقل عن 2% من الشركات لا تستخدم أية تدابير لحماية أمنها الإلكتروني، وأعلنت نحو ثلث الشركات عن تعرضها لهجوم إلكتروني خلال الفترة التي شملتها الدراسة. وعند احتساب إحجام بعض الشركات عن كشف اختراقات الأمن الإلكتروني وعجز أخرى عن اكتشافها وصلت نسبة الشركات التي تعرضت لهجمات إلكترونية إلى 45.2%، وتزيد المخاطر لدى الشركات ذات الأعمال الدولية والمتصلة بالتكنولوجيا.

ومن شأن هذه البيانات ومثيلاتها أن تُقدم رسائل تنبيه للحكومات والمؤسسات المعنية، ومن الضروري جمع المزيد منها استنادًا على تعريفات دولية مُتفق عليها وإتاحتها للباحثين مجانًا لصياغة الحلول اللازمة على المستويات التقنية والاقتصادية والقانونية. (اقرأ أيضًا: ثماني توصيات للحكومات من أجل تحسين أمنها الإلكتروني)

المصدر

الصور: 1 2 3 4 5