كتب عاطف عبد الستار
ناقشت رانيا الروبي رئيس قطاع أمن المعلومات ببنك مصر، متطلبات وضروريات الأمن السيبراني وحماية المعلومات والبيانات لجميع القطاعات والأعمال على المستوى المؤسسي وكذلك لكافة المواطنين على المستوى الشخصي، حيث لا تطلب الحماية السيبرانية مزيداً من المصروفات بقدر ما تتطلب تحديد الأولويات والتوعية والعمل بمنهجية محددة لمواجهة المخاطر المحتملة، والاهتمام الرئيسي بقطاع أمن المعلومات وإقرار ضوابط وأكواد موحدة لضمان التزام جميع الجهات بمتطلبات حماية البيانات وأمن المعلومات.
جاء ذلك خلال استضافة رانيا الروبي في واحدة من أبرز حلقات بودكاست التكنولوجيا والأمن السيبراني وأمن المعلومات الذي يقدمها الإعلامي أسامة كمال وتبث مباشرة عبر مختلف منصات التواصل الاجتماعي وعبر صفحة الإعلامي أسامة كمال على الفيس بوك وصفحة مؤتمر ومعرض الأمن السيبراني Caisec”24 المرتقب انعقاده في نسخته الثالثة خلال الفترة من 3 إلى 4 يونيو المقبل 2024.
وقالت رانيا الروبي رئيس قطاع أمن المعلومات ببنك مصر، إن مسئوليات الأمن السيبراني لا تقع بكاملها على عاتق المبرمجين ومهندسي التكنولوجيا، فهناك مسئوليات يجب أن يعيها الموظفين والعاملين بمختلف قطاعات المؤسسة وكذلك هناك مسئوليات أخرى تتعلق بوعي العملاء والمستخدمين أنفسهم في التعامل مع حساباتهم ومعلوماتهم عبر الأدوات الرقمية.
وأوضحت أن كل موظف داخل أي مؤسسة لا يمكن أن يكون لديه الصلاحية للوصول إلى كل المعلومات بما في ذلك رئيس المؤسسة حيث يجب أن تكون صلاحيات الوصول مقيدة وفقاً للوظائف المحدد لكل إدارة ولكل موظف على حدة وفقاً لطبيعة العمل، وذلك لتفادي انتشار الأخطاء البشرية وكذلك السيطرة على أي عملية اختراق بحيث تكون مقيدة في نطاقها الضيق دون الانتشار إلى النطاقات الأخرى.
وأضافت أنه يجب على الموظفين والعاملين والعملاء إبلاغ الإدارة المختصة فوراً عند وقوع أي مشكلة أمنية أو عند الشعور بالضغط على روابط إلكترونية وعناوين اتصال زائفة والتي ربما تكون سبباً في فتح ثغرة داخل النظام لبدء اختراقه، وبالتالي من الممكن تدارك ذلك سريعاً قبل أن تتم عملية الاختراق بالكامل، ولا يجب أن يخشى الموظف أو العميل من الإبلاغ عن وقوع الاختراق أو الخطأ من جهته حتى لا تظل الثغرة قائمة دون علاج، كما أن الإفصاح عن الأخطاء يعزز من درجات الاستعداد والجاهزية لمواجهة هجمات شبيهة في مراحل مقبلة.
وأكدت أنه يجب على جميع المتخصصين في مجال أمن المعلومات التواصل الدائم فيما بينهم للكشف عن المخاطر المتوقعة ونقل الخبرات والتجارب لتفادي تكرار الأخطاء لدى مؤسسات أخرى، حيث يجب أن يكون هناك تواصل دائم لتبادل المعلومات والأفكار بين مسئولي الأمن السيبراني لأنه على الجانب الأخر هناك تواصل دائم بين “الهاكرز” المخترقين لتعزيز معلوماتهم وقدراتهم الإجرامية.
وذكرت أن معظم الهجمات حول العالم في السنوات الأخيرة كانت تتعلق بهجمات “الفدية” بما يشير إلى أن معظم الهجمات تكون بهدف تحصيل الأموال، ولذلك يستخدم هؤلاء “الهاكرز” أدوات تكنولوجية مكلفة ومتقدمة جداً لأنهم يستهدفون من خلالها تحقيق هجمات فدية تنتهي بطلب الأموال لفك الحذر عن البيانات المستولى عليها.
وبسؤالها عن الوضع الوظيفي لمدراء وخبراء الأمن السيبراني في الشركات والمؤسسات ومدى اهتمام الإدارة العليا ومجلس الإدارة بهذه الوظيفة الحيوية، أوضحت أنه في القطاع المصرفي على وجه التحديد فإن الاهتمام بإدارات الأمن السيبراني لم يعد خياراً يمكن التفكير فيه، بل إن هناك لوائح وقواعد صارمة من البنك المركزي المصري تفرض إنشاء لجنة من مجلس إدارة أي بنك لمتابعة أعمال الأمن السيبراني داخل هذا البنك.
وكشفت أن أعمال أمن المعلومات لم تعد جزءاً صغيراً من إدارة تكنولوجيا المعلومات “IT” داخل المؤسسة، ولكنها إدارة ضخمة جداً وتقوم بالتواصل المباشر مع مجلس الإدارة، وفي حالة عدم توفير أي إدارة للمتطلبات اللازمة لقيام فريق أمن المعلومات بدوره فإنه يجب على إدارة أمن المعلومات اللجوء فوراً إلى لجنة الأمن السيبراني بمجلس إدارة المؤسسة.
ولفتت رانيا الروبي رئيس قطاع أمن المعلومات ببنك مصر، إلى أن القطاع المصرفي لا يعارض مطلقاً أي متطلبات أو مصاريف يحتاجها قطاع أمن المعلومات للقيام بدوره على الوجه الأكمل، والأهم من تدبير مصاريف الحماية السيبرانية هو تحديد الأولويات لأن عنصري الزمن والتنظيم يؤثران بشكل كبير على قوة الحماية، لأن المسألة ليست كثرة الإنفاق ولكن لابد من فكر ومنهجية محددة لمواجهة المخاطر.
وبسؤالها عن أولوياتها اليومية كأحد قيادات الأمن السيبراني في مصر، قالت رانيا الروبي، إن الاطلاع الدائم سمة رئيسية لجميع العاملين في مجالات الأمن السيبراني لأن الكثير من الخبرات يتم اكتسابها وتعلمها من خلال متابعة تجارب الأخرين محلياً وعالمياً، بينما اليوم لم تعد المتابعة والاطلاع مقتصرة على المتخصصين لأن المخاطر السيبراني أصبحت تستهدف جميع المواطنين وبالتالي أصبح المواطن العادي في بحث مستمر عن المعرفة لحماية بياناته ومدخراته من الهجمات السيبرانية.
وأكدت أنه على صعيد العمل الداخلي لإدارات أمن المعلومات فإنه لابد من بناء فريق عمل متكامل في مختلف الاتجاهات والمجالات لأن الأمن السيبراني ليس عملاً فردياً وقد أصبح يضم العديد من التخصصات المهمة للغاية، وتحرص جميع المؤسسات دائمة على زيادة كفاءتها بالحصول على المعرفة والاستشارات اللازمة من جميع أنحاء العالم لأن صناعة الأمن السيبراني هي صناعة عالمية تواجه مخاطر عالمية وليست محلية فقط.
ومن جانبه ، قال الإعلامي أسامة كمال، إنه خلال مناقشات مؤتمر الأمن السيبراني Caisec”23 أكد الجميع أن القطاعات غير المالية لا تحظى بذات الاهتمام فيما يخص حماية المعلومات والأمن السيبراني، متسائلاً عن أسباب ذلك رغم توفير الدولة لكافة القوانين واللوائح والإجراءات الداعمة واللازمة للسير قدماً في تعزيز الأمن السيبراني على كافة مستويات الأعمال والقطاعات الحكومية والخاصة أيضاً.
وأجابت رانيا الروبي، قائلة إنه بالفعل هناك تفاوت واضح بين تطور أعمال الأمن السيبراني في القطاع المصرفي وفي باقي وزارات الدولة وقطاعاتها، ومع ذلك فإن كل وزارة أو قطاع ليس مطالباً بالعمل منفرداً حيث يجب أن يكون هناك خطة واضحة ولوائح لتحديد البنية المعلوماتية الحرجة الواجب حمايتها بشكل إلزامي.
وترى أن خطة التحول الرقمي وميزانيتها يجب منذ البداية أن تضع في الحسبان تكاليف التدريب السيبراني للموظفين والتوعية لجميع العاملين والعملاء وكذلك تكاليف إنشاء وتشغيل إدارة مستدامة لأمن المعلومات وذلك لحماية مكتسبات التحول الرقمي وضمان سلامة سير الأعمال التي سوف تصبح جميعها أو معظمها رقمية.
وأكدت أن الجهات المشاركة في عمليات التحويل الرقمي لبعض الأعمال والوزارات لديها بالفعل آلياتها الموثوقة للأمن السيبراني كما تقدم التوعية والتدريب وبرامج الحماية اللازمة مع تسليم المشروع وخلال إدارته وتشغيله، ولكن هناك حاجة دائمة لمزيد من التوعية والتأمين والاهتمام المستمر بتطوير ثقافة وأعمال أمن المعلومات على مستويات واسعة وشاملة.
واختتمت حديثها بضرورة إقرار كود شامل للالتزام به في تأمين المعلومات والأعمال من الهجمات السيبرانية لكل قطاع فيما يخصه من أولويات بحيث لا يتم التحرك نحو التحول الرقمي في القطاعين العام والخاص دونما الالتزام القانوني باتخاذ الإجراءات الحمائية المنصوص عليها في هذه القواعد أو هذا الكود الموحد، على أن يتم مناقشة مثل تلك الإجراءات والقواعد المقترحة خلال مؤتمر أمن المعلومات Caisec”24 الذي سيتم انعقاده في الفترة من 3 إلى 4 يونيو 2024.