◄ نوظف تقنيات متقدمة للرصد الاستباقي للتهديدات السيبرانية

◄ بعض المؤسسات تغفل عن خطر تسرب المعلومات الشخصية خلال توظيف الذكاء الاصطناعي

الرؤية- سارة العبرية

قالت سيمران أديتاني مديرة الاستشارات السيبرانية بشركة ديلويت، إن التزام المؤسسات بمتطلبات قانون حماية البيانات الشخصية في سلطنة عُمان يشكّل فرصة استراتيجية لتعزيز الثقة وتسريع الابتكار، مؤكدة أن نجاح مواءمة برامج الخصوصية وحوكمة البيانات يمكن تعزيزه من خلال تبنّي أُطر قائمة على المخاطر ترتكز على ثلاثة محاور رئيسية هي: الكادر البشري، والعمليات، والتكنولوجيا، بما ينسجم مع الأهداف الوطنية للاقتصاد الرقمي والشفافية، ويحدّ من المخاطر ضمن ضوابط واضحة ومحددة.

وأضافت -في حوار خاص لـ"الرؤية"-، أن سلطنة عُمان أظهرت التزاما قويًّا بتعزيز موقعها لتكون رائدةً إقليما في قطاع الفضاء في مسارٍ يُشكِّل إحدى ركائز رؤية "عُمان 2040"، وذلك عبر استضافة مؤتمر الشرق الأوسط للفضاء خلال الأيام الماضية، مشيرة إلى أن هذا الطموح يستدعي مواجهة تحدٍّ مُعقَّد يتمثّل في تأمين البنية الأساسية للأقمار الاصطناعية ضدّ التهديدات السيبرانيّة المتقدّمة؛ وهذا الملف شكّلا أحد محاور التّركيز في "أكاديميّة الجيل القادم من قادة CIO وCISO التي استضافتها ديلويت الأسبوع الماضي.

وأوضحت أديتاني: "يقوم النهج الاستشرافي على توظيف تقنياتٍ متقدّمة مثل تقنيّة Silent Shield  لدى ديلويت، بما يَضمن الرصد الاستباقيّ للتهديدات والكشف المبكّر عنها، وعند الجمع بين هذه التقنيّة والمهارات القياديّة المختصّة التي تُنمّيها فعالياتٌ مثل "أكاديميّة الجيل القادم من قادة CIO وCISO "، نُعزِّز قدرتنا على تزويد عملائنا بالأساس الآمن الذي يَحتاجونه لتحويل الأهداف الطّموحة إلى واقعٍ ملموس".

وبينت أن دور المدير التنفيذيّ لتقنيّة المعلومات (CIO) والمدير التنفيذيّ لأمن المعلومات (CISO) تطور بصورة جذرية، من "حُرّاس التكنولوجيا" إلى مُيسِّرين للأعمال ومُحرِّكاتٍ للقيمة، بالتوازي مع ضمان الامتثال للمتطلّبات التنظيمية وإدارة مخاطر المؤسّسة، لافتة إلى أنه في ظلّ تبنّي استراتيجيّات الذّكاء الاصطناعيّ والحوسبة السّحابيّة، تحوّل تقييم المخاطر المرتبطة بهما إلى قرارٍ استراتيجيّ يُتّخذ على مستوى مجلس الإدارة، بما يحمله من تداعياتٍ تنظيميّة وماليّة فضلاً عن تداعيات قد تطال سمعة المؤسّسة، وأن هذا الواقع يفرض على المدراء التنفيذيّين لتقنيّة المعلومات وأمن المعلومات  المشاركة في اجتماعات مجالس الإدارة للمساهمة في صنع القرار واستكمال دورهم".

وذكرت مديرة الاستشارات السيبرانية بشركة ديلويت: "يتحمّل المدير التنفيذيّ لتقنية المعلومات اليوم مسؤولية التأكّد من أنّ التحول الرّقمي يولّد القيمة، مع بناء ضوابط حَوْكَمة البيانات ضمن المنظومة منذ مراحلة التصميم، وفي المقابل، لم يعُد دور المدير التنفيذيّ لأمن المعلومات يقتصر على الدفاع السيبراني؛ بل بات مؤتمنًا على الثقة الرقمية؛ حيث لا يُشرف على تشغيل ضوابط الأمن فحسب، بل أيضًا على القدرة على الصمود، ومخاطر الأطراف الثّالثة، وبصورةٍ متزايدة، حَوْكَمة الخصوصيّة والذّكاء الاصطناعي".

وقالت إن المؤسّسات تعتمد بصورة متزايدة على الذكاء الاصطناعي ودمجه في ممارساتها اليومية، وفي ظلّ استبدال المعاملات الورقية واليدوية والأساليب التقليدية بحلول الذكاء الاصطناعي، وتحسين توظيف الموارد، وأتمتة العمليات الروبوتيّة، غالبًا ما يُغفِل خطر تسرُّب البيانات الشخصيّة إلى منظومات الذكاء الاصطناعي، وهذا الخطر يعد من أكثر المخاطر التي يُستهان بها، وقد يُفضي إلى تعرُّض البيانات للتسريب والانكشاف وحدوث اختراقاتٍ لدى المؤسّسات".

وبيّنت أديتاني: "تبدو معظمُ منظومات الذكاء الاصطناعي بالنسبة إلينا كـ"صندوقٍ أسود"؛ إذ نجهل الخوارزميّات المُستخدمة، والتّحيّزات التي قد تُنتِجها، وكيف يُمكننا حذفُ البيانات بعد إدخالها، ومَن يطّلع عليها، ومُدّة الاحتفاظ بها، ولأيّ أغراض قد تُستخدم، ويُنشِئ ذلك نقاطًا عمياء قد تُعالِج ضمنها منظوماتُ الذكاء الاصطناعي بياناتٍ شخصية أو حساسة لغايات غير مُصدق عليها أو خارج الولايات القضائيّة المُعتمدة، ما قد يقود إلى حالات عدم امتثالٍ للمتطلّبات التّنظيميّة".

وتابعت قائلة إن تَتنامى مخاطرُ إعادة كشف الهويّة وفكّ التّشفير، وتَتفاقم بفِعل تهديد "احصد الآن، وفُكَّ التّشفير لاحقًا (Harvest Now, Decrypt Later) "؛ حيث تقوم جهاتٌ مُعادية اليوم بسحب بياناتٍ مُشفَّرة من المؤسّسات واستخراجها والاحتفاظ بها، على أساس أنّ الحواسيبُ الكمّيّة في المستقبل ستُصبح قادرةً على تعطيل فعاليّة التشفير المُستخدَم اليوم، ومع أنّ المؤسّسات اعتادت الاستثمار في إخفاء الهويّة والتّشفير، فإنّ التقدّم على صعيد الذّكاء الاصطناعيّ وبدايات حقبة الكمّ يُظهران أنّ هذه الضّمانات لم تَعُد كافية وحدها، ومن هنا تَبرز أهميّةُ التنظيم الاستباقيّ لمعالجة هذا التحدّي".

وذكرت أن الاتحاد الأوروبي، على سبيل المثال، يتّخذ خطواتٍ احترازية عبر القانون الأوروبي الكمّي للاستعداد للعصر الكمّي وما يحمله من تحديّات، وبالنسبة إلى المؤسّسات، يُعدّ التّخطيط لضوابط حماية البيانات بعد حلول العصر الكمّي ضرورةً مُلحّة اليوم لخوض هذه المعركة وتَحصين الثّقة للمستقبل، مع ضرورة تسليط الضوء على سبب تركيز لوائح الخصوصيّة على تقليل البيانات، وحصر الغرض من المعالجة، وتحديد مُدّة الاحتفاظ بها، وإجراء تقييماتٍ مستمرّة للمخاطر، وجميعها تصبّ في خانة مبادئ خصوصيّة البيانات التي لا تزال تُشكِّل جوهر حماية البيانات الشخصيّة في عصر الذكاء الاصطناعي".

وترى أديتاني أنه من الأخطاء الأكثر شيوعًا في هذا الصدد التّعامل مع الخصوصيّة على أنّها مُجرَّد خطوة روتينيّة لاستيفاء الامتثال وليس منظومة تشغيليّة مُتكاملة، مبينة: "السياسات موجودة، لكنّها قد تنفصل عن تطبيق الضوابط على أرض الواقع، فتتجاوز مبادئ "الخصوصيّة حسب التّصميم" أو اتّخاذ القرارات استنادًا إلى مخاطر الخصوصيّة، وبِفِعل هذه العوامل، تصعب الاستجابة لاستفسارات الجهات التّنظيميّة وطلبات أصحاب البيانات، بل حتّى لحوادث خرق البيانات".

ولفتت إلى أن غياب ثقافة الخصوصيّة يعد مشكلة أخرى شائعة في القطاع، وغالبًا ما ينظر كثيرون إلى الخصوصيّة على أنها مسؤولية الفِرَق القانونية أو فِرَق الامتثال، فيما تجري المعالجةُ الفعليّة للبيانات على مستوى وحدات الأعمال الأساسية، والموارد البشرية، وتقنيّة المعلومات، وغيرها، ومن دون مسؤولية واضحة مُدمَجة في الأدوار والحوافز، تبقى السياسات نظرية، ويظل المستخدمون غيرَ مدركين لأثرهم على امتداد دورة حياة إدارة البيانات الشخصيّة.

وقالت: "في المُحصَّلة، نادرًا ما تنجم إخفاقات الخصوصية عن نقصٍ في الوثائق أو البرمجيّات؛ بل ترتبط غالبًا بضعف التنفيذ وبغياب دمج متطلبات الخصوصيّة في العمليّات التشغيلية، الأمر الذي يتطلّب ترسيخ ثقافةٍ مؤسّسيّة تُراعي الخصوصية".