استحالة وجود تكنولوجيا المعلومات والاتصالات الآمنة دون وجود موردين جديرين بالثقة | مركز سمت للدراسات

استحالة وجود تكنولوجيا المعلومات والاتصالات الآمنة دون وجود موردين جديرين بالثقة

التاريخ والوقت : الإثنين, 6 ديسمبر 2021

أندرياس كوهن – جان بيتر كلاينهانز

تخلق التوترات الجغرافية السياسية المتزايدة بجانب اعتماد المجتمع المتزايد باستمرار على التكنولوجيا، لا سيما من البائعين في مجال تكنولوجيا المعلومات والاتصالات المتمركزين في دول معادية، تخلق مخاوف أمنية غير مسبوقة.

ونظرًا لأن تقنية الجيل الخامس والذكاء الاصطناعي والتقنيات الناشئة الأخرى قد تحولت إلى أصول استراتيجية، فإن التعقيدات التكنولوجية والانقسامات السياسية الدولية تجعل الأساليب التقليدية لضمان أمن تكنولوجيا المعلومات والاتصالات أقل موثوقية. كما أصبحت الثقة العامل الفاصل في الأمن السيبراني.

وهذا يضمن للمؤسسات الجديدة تقييم ما إذا كان البائعون وشبكتهم المعقدة من الموردين الفرعيين الذين يديرون سلاسل التوريد العالمية لتكنولوجيا المعلومات والاتصالات جديرة بالثقة. وهناك حاجة ماسة إلى التدقيق في بائعي مجال تكنولوجيا المعلومات والاتصالات لأننا جميعًا نعتمد بشدة على تكنولوجيا المعلومات والاتصالات. وتلعب مراكز الثقة المنشأة من قبل البائعين أو المستقلة دورًا رئيسيًا في تقييم المصداقية من خلال توفير الرؤى والشفافية التي تشتد الحاجة إليها لاتخاذ قرارات عمليات الشراء والعمليات الموضوعية والفعالة من حيث التكلفة، مع تقليل أي مخاطر بالنسبة للغير.

في المسرح السياسي العالمي المعاصر، يدافع صانعو السياسة عن الحظر والقيود التي تستهدف البائعين من الخارج ويدعون إلى إقامة تحالفات تكنولوجية بين الدول الديمقراطية المتشابهة التفكير التي تسعى إلى تقليل المخاطر وتجنب الاعتماد على الموردين الأجانب ودفع السياسات الصناعية المحلية. ومع ذلك، فإن بلد المنشأ ليس بأي حال من الأحوال مؤشرًا موثوقًا به للأمن السيبراني القوي، ولا تزال الحقائق الثابتة التي تدعم التهديدات الأمنية المزعومة غائبة. وفي نهاية المطاف، لن يميز الخصوم تقريبًا بين العيوب الأمنية المحلية أو الأجنبية في تكنولوجيا المعلومات والاتصالات، وسيستغلون كل نقاط الضعف التقنية أو البشرية في متناول اليد. وفي عالم تتمتع فيه سلاسل التوريد العالمية وتكنولوجيا المعلومات والاتصالات الشاملة بالقدرة على تعريض الأمن المادي والرقمي والسلامة للخطر، مما يؤدي إلى اضطراب وأضرار جسيمة، فإن مصداقية موردي تكنولوجيا المعلومات والاتصالات يعدُّ أمرًا ضروريًا للأمن.

تتطلب التعقيدات طرقًا جديدة للثقة ببائعي مجال تكنولوجيا المعلومات والاتصالات

تاريخيًا، اعتمدت الحكومات والشركات على توحيد وإصدار الشهادات لأنظمة تكنولوجيا المعلومات والاتصالات لفحص التكنولوجيا والحماية من نقاط الضعف الأمنية. وتوفر المعايير المشتركة، على سبيل المثال، إطارًا متفقًا عليه دوليًا لاختبار أمان المنتج والتصديق عليه؛ إذ يحدد متطلبات أمان المنتج ويصدق عليه معمل اختبار مستقل إذا تم استيفاء هذه المعايير. كما تعتبر شهادة تكنولوجيا المعلومات والاتصالات نهجًا ثابتًا، إذ تشهد الشهادة حالة أمان البرنامج في وقت معين.

لسوء الحظ، فإن واقع اليوم هو أن البرامج يتم تطويرها باستمرار – التحديثات المتكررة عن بُعد للأنظمة الكبيرة شديدة الترابط تجعل الاعتماد لمرة واحدة على مكون البرنامج عفا عليه الزمن. وتتفاقم حالة عدم اليقين المتعلقة بأمن تكنولوجيا المعلومات والاتصالات بسبب التعقيد المتزايد للبرامج والأجهزة وتطبيقاتها الواسعة النطاق في الصناعات الجديدة. فالسيارة الحديثة تعمل بأكثر من 100 مليون دليل من التعليمات البرمجية، وتحتوي معالجات الأغراض العامة اليوم على عدة مليارات من الترانزستورات.

إن هذا التعقيد يجعل من غير المحتمل أن نضمن بشكل منهجي، ناهيك عن الإثبات، عدم وجود تعليمات برمجية ضارة أو قابلة للاستغلال. ولزيادة الثقة في إدارة المخاطر، يجب أن يتحول حساب المخاطر من التقييم المفرد إلى متعدد الأساليب لأمن تكنولوجيا المعلومات والاتصالات، إذ يجب أن تكون مصداقية موردي تكنولوجيا المعلومات والاتصالات في المقدمة وفي المنتصف.

كسب الثقة من خلال التحقق المستمر

أنشأ بائعو تكنولوجيا المعلومات والاتصالات الرائدون مراكز ثقة كطريقة للحكومات والعملاء من الشركات لتقييم أمان منتجاتهم وخدماتهم. وإذا تم القيام به بشكل صحيح، يمكن لمراكز الثقة توفير الشفافية اللازمة لتقييم مصداقية البائعين. كما يكتسب المشترون رؤى حول دورة حياة تطوير البرامج الآمنة للمورد وإدارة الجودة وإجراءات الأمان، بالإضافة إلى العمليات التجارية وإدارة البائعين الخارجيين. كذلك يستفيد الخبراء الخارجيون بإتاحة الفرصة لهم لفحص أمان وجودة الكود. وتوفر مراكز الثقة رؤى مباشرة حول كيفية قيام البائع بتطبيق أفضل الممارسات الأمنية المشتركة للصناعة بشكل جيد والسماح للمشترين بتقييم ما إذا كانت هذه المنتجات والخدمات تلبي متطلبات الأمان الخاصة بهم، أو ما إذا كانت هناك حاجة إلى ضمانات إضافية لجعل المخاطر المتبقية مقبولة. وبمرور الوقت، تساعد مراكز الثقة في بناء الثقة بين البائعين والمشترين.

العلاقات الموثوقة بين الحكومات وبائعي مجال تكنولوجيا المعلومات والاتصالات

في الوقت الحالي، يعد تشغيل مراكز الثقة نتيجة للضغوط الحكومية على البائعين لإثبات ما إذا كانت منتجاتهم جديرة بالثقة؛ قواسم مشتركة يتشاركونها، على الرغم من الاختلافات في التشغيل والإعداد. ولعب مركز الشفافية التابع لشركة Microsoft في بكين دورًا أساسيًا في تأمين الوصول إلى السوق الصينية وتمكين بيع أنظمة تشغيل Windows إلى الحكومة الصينية. وكان مركز هواوي لتقييم الأمن السيبراني في المملكة المتحدة حاسمًا في القرار الأولي بالسماح لشركة تصنيع معدات الاتصالات الصينية ببيع معدات شبكاتها من الجيل الثالث والرابع إلى مشغلي الاتصالات البريطانيين. كما تعد شركة كاسبر سكاي، وهي شركة لمكافحة الفيروسات ومقرها موسكو، أحدث شركة تكنولوجيا وشركة الأمن السيبراني الوحيدة، إذ افتتحت مراكز ثقة بعد حظر عام 2017 بسبب مخاوف التجسس المزعومة لبيع منتجاتها إلى الحكومة الأميركية. ومنذ إطلاق مبادرة الشفافية العالمية من شركة كاسبر سكاي في عام 2017، افتتحت الشركة مراكز شفافية في زيورخ ومدريد وكوالالمبور وساو باولو، وستتبعها مقاطعة نيو برونزويك في كندا في العام الجاري.

وتوضيحا لذلك، قدم مركز هواوي لتقييم الأمن السيبراني نظرة ثاقبة للحكومة البريطانية حول النضج الهندسي لشركة هواوي، مما أدى إلى استنتاج المركز الوطني للأمن السيبراني أن الشركة المصنعة للمعدات الصينية هي “بائع عالي المخاطر”. كما حدد تقرير الرقابة السنوي لشركة هواوي العديد من أوجه القصور في ممارسات تطوير برمجيات هواوي التي قادت حكومة المملكة المتحدة إلى التشكيك في الأمن السيبراني لمعدات شبكة هواوي وجودة واتساق عمليات تطوير البرمجيات. 

وردًا على ذلك، أعلنت هواوي أنها ستستثمر ملياري دولار أميركي لتجديد عملياتها الهندسية وتعزيز الأمن السيبراني. ولم تكن مثل هذه الأفكار ممكنة بدون مركز ثقة مثل مركز هواوي لتقييم الأمن السيبراني؛ إذ توفر هذه المراكز النفوذ لمحاسبة الموردين وإطلاق الإجراءات التصحيحية التي تعزز الأمن، مما يؤدي في النهاية إلى زيادة رأس مال ثقة البائع. ولرفع المستوى عبر الصناعة، يجب تطبيق تدابير الضمان الواعية بالمخاطر بالتساوي على جميع البائعين؛ إذ بلد المنشأ ليس عاملاً محددًا في الأمان الفني.

الارتقاء بالمصداقية باعتبارها الغاية النهائية

يدعم الارتفاع الأخير لمراكز الثقة حقيقة أن الحكومات والمشترين بحاجة إلى مؤشرات أفضل لمصداقية البائعين لتعزيز الأمن السيبراني العام، لا سيما في ضوء المخاطر المتزايدة المتعلقة بالأمن القومي والتوترات الجغرافية السياسية على نطاق أوسع. كما أن الثقة ليست أمرًا مسلمًا به، يجب أن يتجاوز نهج الصناعة للأمن أنظمة تكنولوجيا المعلومات والاتصالات الآمنة إلى المصداقية التي تدعم الشفافية لجميع البائعين والعلاقات الموثوقة بين البائعين والحكومة. وتعتبر مراكز الثقة ضرورية في تحديد مدى مصداقية بائعي مجال تكنولوجيا المعلومات والاتصالات. إن تعزيز الأمن السيبراني من خلال التحقق المستمر وتدابير التخفيف الفعالة الواعية بالمخاطر، هو مسؤولية مشتركة يجب على بائعي مجال تكنولوجيا المعلومات والاتصالات والمشغلين والمشترين الوفاء بها بشكل مشترك لتأمين تكنولوجيا المعلومات والاتصالات لجميع أفراد المجتمع.

إعداد: وحدة الترجمات بمركز سمت للدراسات

المصدر: orfamerica

النشرة البريدية

سجل بريدك لتكن أول من يعلم عن تحديثاتنا!

تابعونا على

تابعوا أحدث أخبارنا وخدماتنا عبر حسابنا بتويتر