نايجل موريس* في محاولة لتحقيق المزيد من الحماية للمستثمرين والمستهلكين، مع الارتقاء بمعايير الحماية المتوقعة من الهجمات الإلكترونية، نشهد اليوم ظهور موجة جديدة من اللوائح التنظيمية الشاملة التي «ستغير وجه العالم الذي نعرفه»نشهد في وقتنا الراهن تزايداً وتطوراً مستمراً في قدرة مجرمي الإنترنت على اختراق البنى التحتية لتقنية المعلومات. وتقبع المؤسسات المالية في منطقة دول مجلس التعاون الخليجي بشكل متزايد لتهديدات الأمن الإلكتروني، ولكنها بكل أسف غير مستعدة بما يكفي لمواجهة موجة التهديدات، مما يثير قلق المسؤولين التنفيذيين للشركات العاملة في المنطقة.وعندما يتعلق الأمر بمدى الجاهزية للتعامل مع مخاطر الأمن الإلكتروني، فهناك قاعدة لا جدال فيها تقول بأن الاستعداد لهذه التهديدات إما أن يكون كاملاً كما ينبغي أو غير كامل. فالتنبيهات والتحذيرات حول هذه المسألة بدأت منذ وقت طويل، ولم يعد الأمر يتعلق بكون مؤسستك عرضة لمخاطر الاختراقات والتهديدات الإلكترونية أم لا، بل بات يتعلق بتوقيت تعرضها لتلك التهديدات في وقت تغيَّر فيه النموذج المعتاد ولم تعد تهديدات الأمن الإلكتروني تشكل خطراً حديث العهد، بل باتت أكثر تطوراً وتعقيداً وأصبحت مسألة التصدي لها ضرورة حتمية. فالأمور تسير في اتجاه واحد فقط، وفي حال تركت بدون تشخيص أو علاج، فإن العواقب قد تكون وخيمة. لقد وضع مجرمو الإنترنت أصول وثروات المؤسسات المالية في دول مجلس التعاون الخليجي كأهداف رئيسية لهم. وفي حين أن تهديدات الأمن الإلكتروني تعتبر قضية عالمية، فإن إمكانات واستعداد المؤسسات العاملة في المنطقة لمكافحة هذه التهديدات تعتبر متأخرة مقارنة بنظيراتها في بقية أنحاء العالم.وفي الوقت الذي يسعى فيه مديرو الأصول في دول مجلس التعاون الخليجي إلى تنمية الأصول الخاضعة للإدارة، فإنهم يفشلون في جذب الأصول من المستثمرين المؤسسيين الفطنين والذين يدركون بالفعل مدى خطورة تهديدات الأمن الإلكتروني. فالمستثمرون المؤسسيون ومديرو الاستثمار في المنطقة بحاجة إلى حماية أنفسهم ومستثمريهم من التداعيات الوخيمة التي قد تنجم عن نجاح الهجمات الإلكترونية، بما في ذلك الخسائر المالية، وتسريب البيانات السرية، والضرر غير المحدود للسمعة، وتعطل الأعمال، وغير ذلك.والإحصاءات بهذا الشأن ليست مشجعة أبداً. فخلال استبيان أعدته مؤخراً مجموعة شركات «مارش آند ماكلينان» و«فايرفلاي»، للمؤسسات الأوربية، أشار 23% ممن شملهم الاستبيان إلى أنهم وقعوا ضحية لهجوم إلكتروني ناجح خلال الأشهر ال 12 الماضية. وقال نحو ثلثي المشاركين في الاستبيان إن التحصين ضد مخاطر الهجمات الإلكترونية هو من بين الأولويات الخمس لأقسام إدارة المخاطر ضمن مؤسساتهم؛ في حين قال 45٪ من المشاركين فقط إنهم يُعدونَ تقييماً رسمياً للأضرار المالية التي قد تنجم عن هجوم إلكتروني محتمل في إطار عملية إدارة المخاطر.وقد شهد العام 2017 أشد الهجمات الإلكترونية ضراوة في التاريخ. وساهم ظهور فيروس الفدية «وانا كراي» والبرنامج الخبيث «نوت-بيتيا»- الأكثر تدميراً وكلفة حتى اليوم- في تغيير مشهد الأمن الإلكتروني إلى الأبد. وتشير التقديرات إلى أن هجوم «نوت-بيتيا» وحده تسبب بخسائر اقتصادية بقيمة مليار دولار أمريكي. وإذا لم تكن الخسائر التي سببها هذان الهجومان مقنعة ومزعجة بما فيه الكفاية، فقد شهد شهر أغسطس 2017 فقدان السجلات الشخصية ل 150 مليون مستهلك وتبخّر خمسة مليارات دولار أمريكي من القيمة السوقية. ومهما كانت طريقة نظرك إلى هذه المسألة، فإن جميع المؤشرات مثيرة للقلق بشكل واضح. كما أن حوادث الهجمات الإلكترونية باتت أمراً شائعاً اليوم بعد أن كانت تعتبر ذات يوم بالحدث النادر والخارج عن المألوف.ومن المتوقع أن تتسبب الجريمة الإلكترونية بتكبيد الشركات في العالم خلال السنوات الخمس القادمة تكاليف بقيمة 8 تريليونات دولار. وخلال العام 2017، بلغ عدد الأجهزة المتصلة بالإنترنت نحو 8.4 مليار جهاز، أي أكثر من تعداد سكان العالم الذي يبلغ 7.6 مليار نسمة. ومن المتوقع أن يزداد عدد الأجهزة إلى 20.4 مليار جهاز بحلول العام 2020. ويشهد العالم اليوم تزايداً في الاعتماد على الإنترنت بسبب اتساع نطاق الترابط الرقمي بين الناس والأشياء والمؤسسات. ومما لا شك فيه أن الاعتماد المتزايد على الإنترنت والارتفاع الهائل في وتيرة الجرائم الإلكترونية أمران مرتبطان ببعضهما ارتباطاً وثيقاً.واستجابة لهذا التطور المثير للقلق، قام «تقرير المخاطر العالمية 2018» الصادر عن «المنتدى الاقتصادي العالمي»، هذا العام بترقية تصنيف «مخاطر الهجمات الإلكترونية واختراق أو سرقة البيانات أو الاحتيال عبر الإنترنت» ضمن قائمة المخاطر الخمسة الرئيسية من حيث احتمالية الحدوث. وفي العام 2017، لم تكن الهجمات الإلكترونية تشكل خطراً مستقلاً في تصنيفات المخاطر العالمية. وترى شركة «إي واي» بأن تهديدات الأمن الإلكتروني قد تطورت باعتبارها فئة مخاطر حرجة مستقلة لا يمكن النظر إليها كقضية تتعلق بالتكنولوجيا فحسب، وإنما كمخاطر تجارية وتشغيلية واسعة الانتشار مع احتمال أن تُحدِثَ تأثيراً كبيراً على الأصول والإيرادات والسمعة والسرية والربحية.وفي محاولة لتحقيق المزيد من الحماية للمستثمرين والمستهلكين، مع الارتقاء بمعايير الحماية المتوقعة من الهجمات الإلكترونية، نشهد اليوم ظهور موجة جديدة من اللوائح التنظيمية الشاملة. ومن المقرر طرح اللائحة العامة لحماية البيانات (GDPR) هذا العام 2018 في خطوة مهمة تفرض التزامات بعيدة المدى بخصوص الكشف عن الاختراقات الإلكترونية. ويشير المعلقون إلى أن هذه اللوائح «ستغير وجه العالم الذي نعرفه»، في حين أنها ستقتصر على دول الاتحاد الأوروبي، فإن مراكز مالية عالمية رائدة أخرى تتبنى بسرعة قوانين شاملة للحماية من التهديدات الإلكترونية. ومن المتوقع أن تؤدي مخالفة اللوائح الجديدة وعدم الامتثال لمتطلباتها إلى تكبد مليارات الدولارات من الغرامات سنوياً. وستقوم الحكومات والهيئات التنظيمية والمجالس الإشرافية ووسائل الإعلام والمستهلكون بتحري استجابات المسؤولين التنفيذيين للهجمات الإلكترونية التي تم الكشف عنها مؤخراً والتي ظلت في السابق غير معلنة. ويجب على المؤسسات المالية في دول مجلس التعاون الخليجي التحرك في اتجاه مماثل وعدم الانتظار إلى أن يفرض المنظمون في المنطقة متطلبات مماثلة. ويمكن اعتماد خطوات فعالة للتعامل مع تهديدات الأمن الإلكتروني، أولها، اعتماد سياسة مساءلة بين المسؤولين التنفيذيين. لقد تغيرت الأولويات بالنسبة للمسؤولين التنفيذيين، وحجز الأمن الإلكتروني مكاناً راسخاً ضمن قائمة المخاطر التي قد تواجهها الشركات وباتت مسؤولية الحماية من التهديدات الإلكترونية تقع على عاتق مجلس الإدارة. وفي حين أن مفاهيم الأمن الإلكتروني قد تكون غريبة بالنسبة لكثير من المسؤولين التنفيذيين وأعضاء مجالس الإدارة، فإن حماية مؤسستك ضد هذا النوع من المخاطر ليست كذلك. ويدرك المسؤولون التنفيذيون ذوو الخبرة والفطنة وجود فجوات ضمن البنيات التحتية التقنية لمؤسساتهم ويقومون بتوظيف الموارد اللازمة لسد تلك الفجوات. ومن خلال تحديد مسار الأمور ابتداءً من قمة الهرم، ينبغي على مجالس الإدارات تنفيذ سياسات رسمية خاصة بالبيانات والأمن الإلكتروني بجانب اتباع الإجراءات المناسبة للتوعية بجوانب الحوكمة الجيدة والحماية من تهديدات الأمن الإلكتروني.الخطوة الثانية تكون بفهم طبيعة التهديدات، ويمكن ذلك عبر إجراء تقييم احترافي لفهم نطاق التهديد ونقاط ضعف مؤسستك. كما لا بد من فهم حجم وحِدّة ثغرات البرامج غير المصححة في بيئة تقنية المعلومات الخاصة بمؤسستك.ثالثاً، إجراء التغييرات اللازمة، بحيث يتم تعزيز البنية التحتية لتقنية المعلومات من خلال معالجة نقاط الضعف المحددة بناء على تقييم التهديد بشكل شامل. كما ينبغي التخفيف من مخاطر الاختراقات الإلكترونية بشكل أكبر من خلال تقليل الثغرات الأمنية التي يمكن أن يستخدمها قراصنة الإنترنت للولوج إلى بيانات مؤسستك.رابعاً، يجب توعية الموظفين، حيث لا ينبغي التقليل من أهمية دور الخطأ البشري في نجاح الهجمات الإلكترونية. فالسلوك البشري الصحيح يعتبر جزءاً لا يتجزأ من نجاح استراتيجية الحماية ضد تهديدات الأمن الإلكتروني. ويجب أن يتم تنفيذ برامج تدريبية وتوعوية للمستخدمين في مؤسستك لتجنب الأخطاء البشرية.وخامساً، مراقبة البنية التحتية التقنية، فعليك القيام بإنشاء إطار لرصد شبكة تقنية المعلومات باستمرار في مؤسستك، بما في ذلك تحديد وتطبيق التصحيحات اللازمة للبرمجيات المستخدمة، وإبلاغ الإدارة التنفيذية بأي مخاطر وتهديدات إلكترونية محتملة. كما يجب إعادة تقييم بيئة تقنية المعلومات والتهديدات الناشئة بانتظام لضمان مواكبة تغيرات مشهد الأمن الإلكتروني باستمرار. ويمثل الفشل في التعامل بجدية تامة مع واقع تهديدات الأمن الإلكتروني مجازفة حقيقية. ومن خلال تضمين مساءلة الإدارة التنفيذية وفهم طبيعة التهديدات وتنفيذ التغييرات اللازمة وتثقيف الموظفين ومراقبة البنية التحتية لتقنية المعلومات باستمرار، تكون مؤسستك قد اتخذت إجراءات فعالة للتخفيف من مخاطر الأمن الإلكتروني التي لا حصر لها والتي تمثل تحدياً كبيراً لجميع المؤسسات في عصر التطور التكنولوجي المتسارع. *رئيس وحدة المخاطر التشغيلية الإقليمي لدى «ميرسر لاستشارات الاستثمار».