يوثق هذا التقرير تعرض مواقع شركات خاصة في الأردن لخطر الاختراق وسرقة بياناتها وعملائها. فكيف يمكن صدّ الاختراقات وفق إجراءات وقائية عبر تفعيل قانون ....
تفاجأ مالك شركة خاصّة تقدم خدمات تكنولوجيا مالية في عمان باختفاء بيانات شركته، قبل أن تصله رسالة تهديد تفيد بطلب فدية بقيمة 0.3 من عملة البيتكوين، بما يقارب 8 آلاف دينار.
اقرأ أيضاً : المحارمة: 100% نسبة ارتفاع هجمات الفدية على المؤسسات الأردنية
مالك الشركة الذي لم يشأ الإفصاح عن هويته، يقول لـ"رؤيا"، إنه رفض دفع الفدية، بسبب احتفاظه بنسخة من البيانات والصور المسروقة. وهكذا، أصلح العطل خلال يومين دون إبلاغ المركز الوطني للأمن السيبراني.
بعد ذلك تعاقد مع شركة دعم وحماية الأمن السيبراني، التي كشفت تعرض حساب السيرفر ِ(AWS) تقنية الحوسبة السحابية المقدم من شركة أمازون. وفي وقت لاحق، تعاقد مع مقدم خدمات حماية للأمن السيبراني لتفادي حدوثها لاحقا.
ويبدو أن المخترق - من خارج الأردن- فك شيفرة مفتاح الدخول على إحدى خدمات تقنية الحوسبة السحابية.
ويعرف (AWS Serverless Application Model) بأنه إطار عمل مفتوح المصدر لبناء تطبيقات خالية من الخوادم، ويوفر بناء واجهات البرمجة التطبيقية وقواعد البيانات، باستخدام عدة لغات برمجة.
كشف المركز الوطني للأمن السيبراني أنه تعامل مع 544 حادثة استهداف الشبكة الآمنة للحكومة وعدد من الوزارات والمؤسسات الحكومية والمؤسسات الحيوية في النصف الأول من العام الماضي، بحسب تقرير الموقف الأمنى السيبراني 2022.
وأضاف التقرير أن نسبة الجرائم السيبرانية بلغت 71% لذات الفترة، من مصدر برمجيات خبيثة ترتبط بمجموعات قرصنة تهدف سرقة البيانات للابتزاز المادي.
لا وجود للاقتصاد الرقمي بغياب البيئة السيبرانية الامنة، ولا يمكن استقطاب الاستثمارات التكنولوجية دون حماية البيانات الشخصية، بحسب مدير إدارة السياسات في وزارة الاقتصاد الرقمي والريادة عبدالقادر بطاينة.
وقال المحامي وليد بشوتي، المختص في قضايا التكنولوجيا وقانون الاتصالات في حديثه لـ"رؤيا"، إن الشركات لا تحصن حماية نفسها سيبرانيًا، بسبب التكلفة المادية الباهظة المترتبة على ذلك؛ ما يعرّض بياناتها وبيانات العملاء للخطر.
وأضاف أن الحكومة الأردنية تعمل على تطوير الإطار القانوني الذي من شأنه اتباع أسس الحماية السيبرانية، وأن السياسات ماتزال ضمن إطار مسودات القانون.
اقرأ أيضاً : خبراء: انفلات الفضاء الإلكتروني يهدد الاقتصاد الوطني والأفراد
وأشار مستشار الحوسبة السحابية إبراهيم أبو رجب إلى أن عدة أنواع اختراقات قد تحصل للشركات، بسبب عدم اتباعها معايير حماية إلزامية، منها اختراق أو تعطيل الخدمات الإلكترونية، أو اختراق الخوادم و الوصول إلى المعلومات، أو اختراق حسابات مزود خدمات الاستضافة واستغلال مصادر الشركة، في ظل تزايد مخاطر البرمجيات الخبيثة.
ويطمح البشوتي إلزام الشركات بصياغة منظومة داخلية لحماية أمانها السيبراني وبيانات عملائها من مخاطر الاختراق.
قانون رقم 16 لسنة 2019 (قانون الأمن السيبراني)
المادة 8\ب
تلتزم الوزارات والدوائر الحكومية والمؤسسات الرسمية والعامة والخاصة والأهلية بما يلي:
1- اتباع السياسات والمعايير والضوابط الصادرة عن المركز لكل قطاع وفقا لأحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه.
2- تزويد المركز بالمعلومات اللازمة لتمكينه من القيام بعمله وبما لا يتعارض مع القوانين النافذة.
3- إبلاغ المركز عن أي حادث يهدد الأمن السيبراني أو يتعلق بأمن الفضاء السيبراني والقيام بكل ما يلزم لتفادي وقوعه.
وفي نيسان/ إبريل الماضي ناقشت لجنة الاقتصاد والاستثمار النيابية مشروع قانون حماية البيانات الشخصية لسنة 2022، وأكد وزير الاقتصاد والريادة أحمد الهناندة إن لكل شخص طبيعي الحق في حماية بياناته، ولا يجوز معالجتها إلا بعد الحصول على الموافقة المسبقة للشخص المعني أو في الأحوال المصرح بها قانونًا.
وقال البطاينة إن مجلس النواب يعمل على مناقشة مسودة قانون حماية البيانات الشخصية، لإلزام الشركات في القطاعين العام والخاص، بحماية بيانات عملائها ومنع تداولها، وبخلاف ذلك تكون الشركة عرضة للغرامة والمساءلة القانونية.
اقرأ أيضاً : الوطني للأمن السيبراني: على المؤسسات الإبلاغ عند التعرض لهجمات "الفدية"
ويقول البشوتي إن هدف مسودة القانون حماية معلومات الشخص الطبيعي، وتحديد أسباب جمع المعلومات الشخصية، وألزم بحمايتها.
مضيفًا أنه على الشركة في حال حدوث اختراق سيبراني، أن تُبلغ الوحدة التنظيمية المختصة بحماية البيانات الشخصية، والتي ستُنشأ بموجب القانون في حال تم إقراره.
وفي سياق مشابه، راعى الاتحاد الأوروبي وفقا لقانون تنظيم حماية البيانات العامة، الشركات الصغيرة من تطبيق معايير الأمن السيبراني، ولم يلزمها بذات معايير الشركات الكبيرة.
وسمح تنظيم البيانات العامة الأوروبي للشركات جمع البيانات الشخصية، إذا وجد سبب مباشر ما بين الخدمة المقدمة ونوع المعلومات المطلوبة، أو وجود عقد يوضح الحاجة للحصول على البيانات الشخصية، شريطة موافقة صاحب العلاقة.
