البيانات هي شريان الحياة لعملية اتخاذ القرارات في الحكومات الرقمية. ولقد زاد اعتماد دولة الإمارات العربية المتحدة على الأنظمة القائمة على البيانات بشكل كبير في عصرنا الحالي، في ظل ما أطلقته من مبادرات، ومنها: مبادرة " البيانات أولاً – تحدي بيانات المدينة"، والتي تسعى إلى تسليط الضوء على الدور المتزايد للبيانات في بناء المدن الذكية.
ويرتبط انتشار التقدم التكنولوجي بزيادة مخاطر التهديدات السيبرانية. ووفقًا للدكتور محمد الكويتي، رئيس مجلس الأمن السيبراني لحكومة دولة الإمارات، فإنه يتوجب على البلاد حجب أكثر من 50،000 هجوم سيبراني، ويؤكد على أن هذا العدد قابل للزيادة. ونتيجة لذلك، أطلقت دولة الإمارات العربية المتحدة مبادرة "النبض السيبراني"، التي تستهدف نشر ثقافة الأمن السيبراني في مجتمع الإمارات، تماشيًا مع التحول الرقمي في جميع القطاعات.
وتأكيدًا منه على أن التعاون هو العنصر الأساسي لصد الهجمات السيبرانية، صرح نعيم يزبك، المدير العام لشركة مايكروسوفت الإمارات ، بأن الأمن السيبراني الفعال أصبح أكثر أهمية أمام هذا القدر الكبير من المخاطر التي يشهدها العالم الرقمي المعقد، ولذا، فالتكنولوجيا وحدها ليست كافية لمكافحة هذه التهديدات المتزايدة. كما تتطلب التكنولوجيا عقد شراكات بين الحكومات والشركات على صعيد مختلف القطاعات. وقد وقعت شركة مايكروسوفت الإمارات مؤخرًا مذكرة تفاهم مع مجلس الأمن السيبراني لحكومة دولة الإمارات، بشأن التعاون في مجال الأمن السيبراني، وتحدد مذكرة التفاهم إطارًا للتعاون بين الطرفين، من أجل إنشاء مجتمع معلومات آمن وعالمي. ووفقًا للشروط المنصوص عليها في مذكرة التفاهم، سيقوم مجلس الأمن السيبراني لحكومة دولة الإمارات وشركة مايكروسوفت بتبادل المعلومات في المجالات ذات الصلة بالأمن السيبراني، مع إيلاء اهتمام خاص بالتعاون الوطني، وشؤون الوقاية، والاستجابات للهجمات السيبرانية، إلى جانب تشجيع تبادل الخبرات، وأفضل الممارسات لمنع التهديدات السيبرانية والاستجابة لها. وقد اعتمدت الإمارات العربية المتحدة استراتيجية أمان "انعدام الثقة" لمواجهة هذه المخاطر، وتأمين المشهد الرقمي.
تطور الأمن السيبراني
اعتمد الأمن السيبراني بشكل كبير، ولفترة طويلة، على الدفاعات القائمة على الوقاية والحماية، ووضع الحواجز الخارجية، على افترض أن الأجهزة والمستخدمين داخل الشبكة، مصدر ثقة.
ومع ذلك، كشفت مشاهد التهديدات المتغيرة، عن أوجه القصور في هذا النهج، مع زيادة الاعتماد على التكنولوجيا السحابة، والتي تكون فيها حدود الشبكة غير واضحة. ركزت طرق الأمان التقليدية فيما سبق؛ مثل جدران الحماية، وبرامج مكافحة الفيروسات، على التهديدات الخارجية فقط. وبمرور الوقت، فقدت هذه الأساليب والتدابير الأمنية التقليدية المستخدمة فعاليتها بشكل تدريجي في صد التهديدات السيبرانية.
في الوقت نفسه، تزداد الهجمات الإلكترونية تطورًا وتعقيدًا، مما يستلزم اتخاذ کافة التدابير الأمنية الاستباقية، وفي مقدمتها تدريب الموظفين على ممارسات ومفاهيم الأمن السيبراني الأساسية. إلا أن هذا الأمر لن يعفي من حدوث بعض المخاطر، إذ لا تزال هناك احتمالية للتعرض للهجمات، حيث يمكن للأفراد والمؤسسات التي لديها صلاحية إمكانية الوصول المفتوحة أن تُعرض الدفاع للخطر بطريقة غير مقصودة، وهذا ما يُعرف عادًة باسم "التهديدات الداخلية".
اعتماد الإمارات لاستراتيجية أمان "انعدام الثقة"
واعترافًا بالقيود والتحفظات على نماذج الأمن السيبراني التقليدية، اعتمدت الإمارات نموذجًا جديدًا، وهو نموذج أمان "انعدام الثقة". يقوم هذا النهج على مبدأ "لا تثق أبدًا، واحترس دائمًا". ويؤكد على أن المصادر الداخلية والخارجية قد تُشكل مصدرًا للتهديدات، مما يستلزم التحقق الدقيق لكل كيان يطلب إذن الوصول إلى الموارد. وعلى عكس نموذج الدفاع التقليدي القائم على الحواجز، لا يمكن الوثوق في أي مستخدم أو شبكة أو جهاز وفقًا لنموذج أمان "انعدام الثقة".
في إطار تفعيل الاستراتيجية الوطنية للأمن السيبراني، تم تضمين مبادئ انعدام الثقة بشكل استراتيجي. تعزز هذه الاستراتيجية التدابير والمبادرات لتعزيز الأمن السيبراني لدولة الإمارات، وتقييم المخاطر، والمراقبة المستمرة، وتقييم كل طلب وصول، والمصادقة عليه، واعتماده، قبل منح إمكانية الوصول له.
عقدت حكومة دولة الإمارات العربية المتحدة (ممثلة بالمجلس الوطني للأمن السيبراني) اتفاقيات تعاون مع شركات رائدة في مجال الأمن السيبراني؛ مثل: شركة مايكروسوفت، وشركة ديلويت، وغيرهم من خبراء الأمن السيبراني، لتصميم نماذج أمان "انعدام الثقة" التي تلائم المشهد التكنولوجي المتميز الذي تصنعه.
علاوة على ذلك، أطلقت دولة الإمارات العربية المتحدة مبادرات وحملات توعية مكثفة، للتوعية المجتمعية بالأمن السيبراني، مثل مبادرة "النبض السيبراني" ، والتي تهدف لتثقيف الأفراد والشركات والمؤسسات الحكومية، ورفع وعيهم بأهمية اعتماد ممارسات نموذج أمان "انعدام الثقة" وغيرها من تدابير الأمن السيبراني.
ولضمان تفعيل وتنفيذ استراتيجيات تعزيز الدفاع الرقمي في دولة الإمارات العربية المتحدة، لابد أن تتضمن معايير الامتثال التنظيمي. ولذا، تعمل الإمارات على وضع معايير صارمة للامتثال التنظيمي في مجال الأمن السيبراني، تنص على اعتماد مبادئ نموذج أمان "انعدام الثقة" على كافة المستويات. يُعرض خرق معايير الامتثال التنظيمي صاحبه للاحتجاز المؤقت، أو عقوبة السجن لمدة تتراوح بين ستة أشهر وسنة واحدة، أو غرامة تتراوح بين 150,000 ومليون درهم إماراتي.
فوائد تطبيق نموذح "انعدام الثقة" في دولة الإمارات العربية المتحدة
من خلال اعتماد هذه النقلة النوعية في أنظمة الأمن السيبراني، ستحقق دولة الإمارات العربية المتحدة الكثير من الفوائد لحماية نظامها الرقمي:
1. تحسين حماية البيانات:
عندما يتم فحص كل محاولة وصول، ستضمن المؤسسات حماية بياناتها. يقلل نموذج انعدام الثقة من فرص ومخاطر اختراق البيانات الناتج عن وصول غير المصرح به إلى بيانات الكمبيوتر أو التطبيقات أو الشبكات أو الأجهزة. تزداد أهمية تفعيل نموذح "انعدام الثقة" في الأمن السيبراني عند النظر في واقع التهديدات السيبرانية الضخمة التي تواجهها الشركات في دولة الإمارات العربية المتحدة.
وألقى تقرير صدر عام 2021 عن شركة سيبريزون، إحدى شركات الأمن السيبراني ، الضوء على الاتجاه المُقلق لهجمات برامج الفدية في الإمارات العربية المتحدة. ووفقًا للتقرير، اضطرت الشركات في دولة الإمارات لدفع أكثر من 5.1 مليون درهم إماراتي كفدية لاستعادة الوصول إلى أنظمتها خلال العامين الماضيين. وبسبب ذلك، أعلنت حوالي 42٪ من الشركات إغلاقها بسبب الهجمات. ووفقًا لتقدير الدكتور محمد الكويتي، فإن حجم الخسائر المالية الناتجة عن هذه الاختراقات تراوحت بين 4 - 5 مليون درهم. سيحقق نموذج أمان "انعدام الثقة" في دولة الإمارات العربية المتحدة نتائج تتجاوز مجرد منع اختراقات البيانات، بل تمتد لتشمل تغطية نطاق التهديدات السيبرانية بشكل عام.
2. تقليل معدل الهجمات:
يؤدي اعتماد نموذج أمان "انعدام الثقة" إلى حدوث انخفاض ملحوظ في معدل الهجمات السيبرانية. يمكن تحقيق هذا الهدف باستخدام النموذج الذي يؤكد على مبادئ المراقبة الدقيقة، ومنح المستخدمين المستويات الأدنى من الصلاحية، مما يحد من قدرة المهاجمين على اختراق الشبكة.
في الإمارات العربية المتحدة، تمثل هذه الاستراتيجية ممارسة فعالة وأولوية قصوى في مجال الأمن السيبراني. وفقًا لتقرير صدر بعنوان: "مستقبل الأمن السحابي في منطقة الشرق الأوسط" الذي كان خلاصة دراسة واستطلاع موسع إلى أن 56% من خبراء الأمن السحابي في المنطقة يضعون استراتيجية انعدام الثقة على رأس أولوياتهم للسنوات المقبلة.
تؤكد استراتيجية انعدام الثقة على منح الأجهزة والمستخدمين المستويات الأدنى من صلاحية الوصول، بما يلائم مهامهم، وإغلاق كافة الثغرات التي يُتوقع أن يقوم المهاجمين باستغلالها، مما يقلل من معدلات الهجوم المحتملة.
3. تعزز الابتكار:
يتيح نموذج انعدام الثقة بيئة آمنة، تعزز التوسع في استخدام تطبيقات الحوسبة السحابة. ويؤكد على أهمية الاعتماد على الخدمات السحابية المتقدمة، على سبيل المثال، تقنية إنترنت الأشياء (IoT)، البلوكشين، والذكاء الاصطناعي.
بسبب إمكانات الحوسبة السحابية، من مرونة الاستخدام، وسهولة التوسع في التخزين بناءً على احتياجات المستخدم النهائي، وإمكانية استخدام السحابة الخاصة، أو استخدام نموذج مختلط من الخدمات السحابية الخاصة، والعامة، والأنظمة المحلية، بناءً على احتياجات المؤسسة. أكد 43٪ من المشاركين في التقرير السابق أن الأمن هو العامل الأكثر أهمية في اتخاذ قراراتهم، عندما يتعلق الأمر باختيار مزود خدمات السحابة، أما فيما يتعلق بخططهم لحماية بياناتهم على المنصات السحابية، اختار معظم المشاركين المصادقة متعددة العوامل، باعتبارها هدفًا رئيسًا (45%)، يليها كل من التشفير وتدريب فريق العمل (32% لكل منهما)، وكشف التقرير عن تراجع أهمية كلمات المرور كاستراتيجية للأمن السيبراني، حيث قال 16% فقط من المشاركين إنهم سيتبعون استراتيجية قائمة على كلمات المرور. ولذا، يجب منح الوصول إلى الموارد استنادًا إلى مبادئ نموذج أمان انعدام الثقة، مثل هوية المستخدم، الموقع، حالة الجهاز، الخدمة، تصنيف البيانات، والحالات غير الطبيعية. يساعد هذا الإجراء في تقييم مستوى المخاطر، وتحديد مستوى الوصول المناسب.
تتيح جدران الحماية وبرامج مكافحة الفيروسات نطاق أمان محدود للشبكات، ثبت عدم فعاليته في التصدي للتهديدات الداخلية والخارجية المتطورة، يمكن للمؤسسات في دولة الإمارات العربية المتحدة التحول نحو نموذج أمان انعدام الثقة. تتمثل فعالية هذا النموذج في الحد من الثقة المطلقة الممنوحة لكافة الأجهزة والمستخدمين والبرامج، بحيث يتم منح صلاحية الوصول بناءً على سياسة مستندة على تحديد الهوية، والتحقق المستمر باستخدام النهج القائم على المخاطر، وذلك بالنسبة لكافة المستخدمين والأجهزة والتطبيقات المرتبطة بها.
