اختراق وسرقة البيانات- صورة تعبيرية
أزمة اختراق الشركات الخاصة في الأردن تهدد التحول الرقمي
- يوثق هذا التقرير تعرض مواقع شركات خاصة في الأردن لخطر الاختراق وسرقة بياناتها وعملائها. فكيف يمكن صدّ الاختراقات وفق إجراءات وقائية عبر تفعيل قانون الأمن السيبراني وإقرار قانونٍ لحماية البيانات الشخصية.
تقرير فادي الحمارنة - تفاجأ مالك شركة خاصّة تقدم خدمات تكنولوجيا مالية في عمان باختفاء بيانات شركته، قبل أن تصله رسالة تهديد تفيد بطلب فدية بقيمة 0.3 من عملة البيتكوين، بما يقارب 8 آلاف دينار.
مالك الشركة الذي لم يشأ الإفصاح عن هويته، يقول لـ"رؤيا"، إنه رفض دفع الفدية، بسبب احتفاظه بنسخة من البيانات والصور المسروقة. وهكذا، أصلح العطل خلال يومين دون إبلاغ المركز الوطني للأمن السيبراني.
تعطيل في الويب
بعد ذلك تعاقد مع شركة دعم وحماية الأمن السيبراني، التي كشفت تعرض حساب السيرفر ِ(AWS) تقنية الحوسبة السحابية المقدم من شركة أمازون. وفي وقت لاحق، تعاقد مع مقدم خدمات حماية للأمن السيبراني لتفادي حدوثها لاحقا.
ويبدو أن المخترق - من خارج الأردن- فك شيفرة مفتاح الدخول على إحدى خدمات تقنية الحوسبة السحابية.
ويعرف (AWS Serverless Application Model) بأنه إطار عمل مفتوح المصدر لبناء تطبيقات خالية من الخوادم، ويوفر بناء واجهات البرمجة التطبيقية وقواعد البيانات، باستخدام عدة لغات برمجة.
حوادث متكررة
كشف المركز الوطني للأمن السيبراني أنه تعامل مع 544 حادثة استهداف الشبكة الآمنة للحكومة وعدد من الوزارات والمؤسسات الحكومية والمؤسسات الحيوية في النصف الأول من العام الماضي، بحسب تقرير الموقف الأمنى السيبراني 2022.
وأضاف التقرير أن نسبة الجرائم السيبرانية بلغت 71% لذات الفترة، من مصدر برمجيات خبيثة ترتبط بمجموعات قرصنة تهدف سرقة البيانات للابتزاز المادي.
لا وجود للاقتصاد الرقمي بغياب البيئة السيبرانية الامنة، ولا يمكن استقطاب الاستثمارات التكنولوجية دون حماية البيانات الشخصية، بحسب مدير إدارة السياسات في وزارة الاقتصاد الرقمي والريادة عبدالقادر بطاينة.
غياب إلزامية التحصين السيبراني
وقال المحامي وليد بشوتي، المختص في قضايا التكنولوجيا وقانون الاتصالات في حديثه لـ"رؤيا"، إن الشركات لا تحصن حماية نفسها سيبرانيًا، بسبب التكلفة المادية الباهظة المترتبة على ذلك؛ ما يعرّض بياناتها وبيانات العملاء للخطر.
وأضاف أن الحكومة الأردنية تعمل على تطوير الإطار القانوني الذي من شأنه اتباع أسس الحماية السيبرانية، وأن السياسات ماتزال ضمن إطار مسودات القانون.
وأشار مستشار الحوسبة السحابية إبراهيم أبو رجب إلى أن عدة أنواع اختراقات قد تحصل للشركات، بسبب عدم اتباعها معايير حماية إلزامية، منها اختراق أو تعطيل الخدمات الإلكترونية، أو اختراق الخوادم و الوصول إلى المعلومات، أو اختراق حسابات مزود خدمات الاستضافة واستغلال مصادر الشركة، في ظل تزايد مخاطر البرمجيات الخبيثة.
ويطمح البشوتي إلزام الشركات بصياغة منظومة داخلية لحماية أمانها السيبراني وبيانات عملائها من مخاطر الاختراق.
قانون رقم 16 لسنة 2019 (قانون الأمن السيبراني)
المادة 8\ب
تلتزم الوزارات والدوائر الحكومية والمؤسسات الرسمية والعامة والخاصة والأهلية بما يلي:
1- اتباع السياسات والمعايير والضوابط الصادرة عن المركز لكل قطاع وفقا لأحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه.
2- تزويد المركز بالمعلومات اللازمة لتمكينه من القيام بعمله وبما لا يتعارض مع القوانين النافذة.
3- إبلاغ المركز عن أي حادث يهدد الأمن السيبراني أو يتعلق بأمن الفضاء السيبراني والقيام بكل ما يلزم لتفادي وقوعه.
مسودة حماية البيانات الشخصية
وفي نيسان/ إبريل الماضي ناقشت لجنة الاقتصاد والاستثمار النيابية مشروع قانون حماية البيانات الشخصية لسنة 2022، وأكد وزير الاقتصاد والريادة أحمد الهناندة إن لكل شخص طبيعي الحق في حماية بياناته، ولا يجوز معالجتها إلا بعد الحصول على الموافقة المسبقة للشخص المعني أو في الأحوال المصرح بها قانونًا.
وقال البطاينة إن مجلس النواب يعمل على مناقشة مسودة قانون حماية البيانات الشخصية، لإلزام الشركات في القطاعين العام والخاص، بحماية بيانات عملائها ومنع تداولها، وبخلاف ذلك تكون الشركة عرضة للغرامة والمساءلة القانونية.
ويقول البشوتي إن هدف مسودة القانون حماية معلومات الشخص الطبيعي، وتحديد أسباب جمع المعلومات الشخصية، وألزم بحمايتها.
مضيفًا أنه على الشركة في حال حدوث اختراق سيبراني، أن تُبلغ الوحدة التنظيمية المختصة بحماية البيانات الشخصية، والتي ستُنشأ بموجب القانون في حال تم إقراره.
وفي سياق مشابه، راعى الاتحاد الأوروبي وفقا لقانون تنظيم حماية البيانات العامة، الشركات الصغيرة من تطبيق معايير الأمن السيبراني، ولم يلزمها بذات معايير الشركات الكبيرة.
وسمح تنظيم البيانات العامة الأوروبي للشركات جمع البيانات الشخصية، إذا وجد سبب مباشر ما بين الخدمة المقدمة ونوع المعلومات المطلوبة، أو وجود عقد يوضح الحاجة للحصول على البيانات الشخصية، شريطة موافقة صاحب العلاقة.