تعزيز إطار عمل الأمن السيبراني في قطر من خلال الإصلاحات التنظيمية

Dr. R. Seetharaman

يمكن أن يؤدي الاستخدام الخبيث لتكنولوجيا المعلومات والاتصالات في الفضاء الإلكتروني إلى تعطيل الخدمات المالية وتقويض الأمن والثقة وتعريض الاستقرار المالي للخطر. وكان هجوم الفدية الإلكتروني “واناكراي” هذا العام هو واحد من الهجمات الإلكترونية الأخيرة التي استهدفت أجهزة الكمبيوتر التي تعمل بنظام التشغيل ميكروسوفت ويندوز عن طريق تشفير البيانات والمطالبة بدفع فدية بعملة بيتكوين. وقالت السلطات في أوروبا إن تأثير الهجوم طال أكثر من 10,000 مؤسسة و200,000 شخص في أكثر من 150 بلدًا. وعلى المستوى العالمي، تهدف مجموعة العشرين إلى تعزيز متانة الخدمات والمؤسسات المالية في دول المجموعة لمواجهة الاستخدام الخبيث لتكنولوجيا المعلومات والاتصالات، بما في ذلك الاستخدام الخبيث في الدول خارج مجموعة العشرين. وبغية تعزيز التعاون فيما بينها، طلبت دول مجموعة العشرين من مجلس الاستقرار المالي إجراء تقييم للوائح التنظيمية والممارسات الإشرافية ذات الصلة في دول المجموعة، فضلا عن تقييم التوجيهات الدولية القائمة، بما في ذلك تحديد الممارسات الفعالة.

ومن جهتها، وضعت دولة قطر رؤية لبناء وصيانة فضاء إلكتروني آمن لحماية المصالح الوطنية والحفاظ على الحقوق والقيم الأساسية للمجتمع القطري. ولتحقيق هذه الرؤية، تسعى قطر إلى تحقيق أهداف محددة تتمثل في حماية البنية التحتية المعلوماتية الحرجة، والتعامل مع الهجمات الإلكترونية والتعافي منها من خلال تبادل المعلومات والتعاون واتخاذ الإجراءات اللازمة في الوقت المناسب، ووضع إطار قانوني وتنظيمي يرمي إلى تعزيز أمن وكفاءة الفضاء السيبراني، كما تتضمن الأهداف تعزيز ثقافة الأمن السيبراني التي تقوم على الاستخدام الآمن والمناسب للفضاء السيبراني، وتطوير وتنمية قدرات الأمن السيبراني الوطنية. ومن أجل إحراز تقدم في تحقيق هذه الأهداف، ستقوم دولة قطر بتطوير وتطبيق القوانين واللوائح والسياسات الوطنية اللازمة لمعالجة قضايا الأمن السيبراني والجرائم الإلكترونية. والعمل على زيادة القدرات والإمكانيات التي تساهم في مكافحة الجرائم الإلكترونية، وبناء علاقات دولية قوية وتعزيزها بشكل دائم بهدف وضع معايير الأمن الإلكتروني. ويتعين أيضاً تشجيع الاستثمار في المجالات البحثية من أجل تطوير وتسويق تقنيات وحلول الأمن الإلكتروني المبتكرة. ويجب مراقبة الوضع الأمني للبنية التحتية المعلوماتية الحرجة بصورة دائمة، وكذلك العمل على تعزيز القدرات الاستجابية للحوادث الإلكترونية بشكل مستمر. وقد وضعت الحكومة القطرية خطة قوية للأعوام 2014-2018. وتم إعداد خطة عمل واضحة في ضوء الأهداف المحددة. هذا ويتعين على مختلف الهيئات والمؤسسات الحكومية، بما في ذلك وزارة الدفاع، ووزارة الاتصالات وتكنولوجيا المعلومات ووزارة الداخلية والنيابة العامة وغيرها من المنظمات، أن يتعاونوا مع العديد من الجهات الأخرى لتنفيذ هذه الإجراءات لصالح قطر. وقد أصدرت الحكومة القطرية قانون رقم 14 لعام 2014 للحد من الجرائم الإلكترونية في محاولة لزيادة أدوات مكافحة الجرائم الإلكترونية. هذا وتوازن المنهجية الجديدة للأمن الإلكتروني التي تنتهجها دولة قطر بين الحاجة إلى حماية منتجات وخدمات تكنولوجيا المعلومات والاتصالات مع الحاجة إلى توفير الفرص التي تزيد من المنافع والكفاءات التي تساهم في تطوير مجال تكنولوجيا المعلومات والاتصالات.

وقد أصدر السادة/ مصرف قطر المركزي إطار عمل مفصلاً لمكافحة المخاطر والجرائم الإلكترونية. وتتمثل النقاط الرئيسية لهذا الإطار في إدارة مخاطر التكنولوجيا؛ والهيكل التنظيمي المحدد لمخاطر التكنولوجيا وخارطة الطريق المحددة لاستمرارية الأعمال، وإطار عمل إدارة الحوادث الإلكترونية والعمليات الاحتيالية؛ وتفاصيل عمليات مراقبة المخاطر. وقد أصدر كذلك السادة/ مصرف قطر المركزي العديد من الضوابط القوية التي يتعين على البنك الالتزام بها وتطبيقها. هذا ويوجد لدى البنوك معلومات حساسة مثل سجلات العملاء، وبيانات الحسابات، فضلاً عن البيانات الشخصية مثل الأسماء وتواريخ الميلاد والعناوين وأرقام الهوية القطرية وغيرها من البيانات الأخرى. ويجب على البنوك اتخاذ جميع التدابير اللازمة لضمان أمن وسلامة هذه السجلات.

هذا ويصدر السادة/ مصرف قطر المركزي العديد من التعميمات بصورة منتظمة بغرض مكافحة الجرائم السيبرانية في القطاع المالي. وقد أصدرت دولة قطر قانوناً جديداً يتعلق بخصوصية وحماية البيانات الشخصية بموجب القانون رقم 13 لسنة 2016 “قانون حماية البيانات”. ويهدف هذا القانون إلى وضع درجة معينة من الحماية، ويحدد المبادئ التوجيهية لمعالجة البيانات الشخصية داخل دولة قطر. ويتضمن القانون أحكاماً تتعلق بحقوق الأفراد في حماية خصوصية بياناتهم الشخصية. ويجب على البنوك العاملة في قطر أن تنظر في اتخاذ بعض الخطوات التحوطية وفقا لقانون الخصوصية مثل: (1) زيادة مستوى الوعي على الصعيد الداخلي وبين أوساط مقدمي الخدمات (2) استعراض الوثائق والاتفاقات والسياسات الداخلية وإخلاء المسؤولية والموافقات من منظور الامتثال لقانون حماية البيانات وتحديد المسائل التي يتعين معالجتها (3) إجراء دورات تدريبية داخلية على مستوى الإدارات ذات الصلة مثل دائرة تكنولوجيا المعلومات والدائرة القانونية وقسم التسويق والدعم الفني وغيرها من الجهات المعنية لمعالجة أي أسئلة أو مخاوف قد تكون لدى العملاء فيما يتعلق بقانون حماية البيانات وحقوقهم (4) تحديد القضايا المحتملة على نطاق واسع، والتشاور داخلياً واتخاذ الخطوات اللازمة لتصحيح هذه المسائل ووضع التدابير الاحترازية المناسبة في حال وجود أي خطر (5) إعادة النظر في جميع التدابير الأمنية التي يطبقها البنك ومقدمو الخدمات وتقييم ما إذا كان بالإمكان اتخاذ أي خطوات أخرى أو إجراء أي استثمارات لحماية بيانات العملاء. وعلى العموم، فإننا نشهد تطورا فيما يخص إطار الأمن السيبراني في قطر من خلال الإصلاحات التنظيمية التي ستعود بالفائدة على القطاع المصرفي في قطر.