يُعتبر الأمن السيبراني واحد من أهم التحديات التي تواجه العالم في الوقت الحالي، ولا تختلف ليبيا عن غيرها في هذا الصدد، إذ تشهد البلاد زيادة ملحوظة في التهديدات السيبرانية التي تتزايد تصاعدياً مع التقدم التكنولوجي واعتماد الأفراد والمؤسسات على الإنترنت في مختلف جوانب حياتهم.
وفي هذا السياق، صدر بتاريخ 31 مارس 2024 عن وزارة الاقتصاد والتجارة في ليبيا قرار بتنظيم نشاط مزاولة خدمات الأمن السيبراني، والذي يحتاج إلى تحليل دقيق لتقييم مدى توافقه مع الوضع الراهن للأمن السيبراني في البلاد.
وبعد دراسة القرار رقم (150) لسنة 2024م الصادر عن وزير الاقتصاد والتجارة بشأن تنظيم نشاط خدمات الأمن السيبراني، يظهر أن هناك توازناً مهماً بين الضرورة لتنظيم هذا النشاط، وبين التحديات التي قد تواجهه الشركات والأفراد في هذا المجال.
وفي بداية وقبل تقديم الملاحظات على هذا القرار، من المهم أن ننوه أن غياب القوانين المنظمة لحماية البيانات الشخصية وتنظيم عمليات الأمن السيبراني قد تخلق تعارضاً فنياً في تحديد مجالات الأمن السيبراني، الأمر الذي قد يؤدي إلى تضارب في تعريف ووصف وأهداف نطاق الأمن السيبراني بين القرارات والقوانين، وبالتالي من الضروري أن تتولى السلطة التشريعية في البلاد وضع قوانين مفصلة ومنظمة لحماية البيانات الإلكترونية، وهذا يمثل الخطوة الأساسية التي ينبغي اتخاذها لتوحيد وتنظيم مجال الأمن السيبراني وهي :
أولاً: يتضح من المادة الأولى أن القرار يهدف إلى تحديد المصطلحات والمفاهيم المتعلقة بالأمن السيبراني، وهو خطوة إيجابية تسهم في توحيد الفهم والتطبيق للأنظمة والقوانين، ومع ذلك يمكن تبسيط بعض المصطلحات لجعلها أكثر وضوحاً وفهماً لدى الأطراف المعنية دون المساس بدقتها، ففي تعريف الأمن السيبراني الذي تم تعريفه في القرار، على أنه “تنفيذ كل ما يتوجب القيام به من أجل ضمان سرية وتوافر وتكامل أي أصل مادي أو معنوي متواجد على البنية المعلوماتية وبنية الاتصالات أو يمر بها أو يتأثر بما قد تشمله من أخطار وتهديدات، وهذا التعريف يعتبر تعريفاً واسعاً ومعقداً لمصطلح الأمن السيبراني، ولتبسيط هذا المفهوم دون التأثير على دقته، يمكن تقديم تعريف بطريقة أكثر بساطة مثل “الأمن السيبراني هو الإجراءات والتدابير المتخذة لحماية الأنظمة الرقمية والمعلومات من التهديدات والهجمات الإلكترونية” هذا التبسيط يسهّل فهم المفهوم لدى الجمهور العام، والأطراف المعنية دون الحاجة للخوض في تفاصيل تقنية معقدة، ومع ذلك يجب التأكد من أن التبسيط لا يفقد من دقة المفهوم، ولا يغفل عن أهمية الجوانب الأساسية للأمن السيبراني.
ثانياً: بين القرار في المادة الثانية بعض الخدمات الأمنية السيبرانية المقدمة والمرخص بها، لم يغط جميع الخدمات الممكن تقديمها، مما قد يؤدي إلى عدم وضوح بعض الجوانب المتعلقة بنطاق التراخيص والخدمات المتاحة، وبالتالي قد تواجه الشركات تعقيدات إدارية في فهم القواعد واللوائح المطبقة.
وهناك العديد من الخدمات الأمنية السيبرانية التي يمكن أن تكون ضمن القائمة المرخصة مثال:
1- خدمات تقييم الأمن السيبراني والمراجعة، هذه الخدمات تتضمن تقييم الأمن السيبراني للمنشآت، وتقديم توصيات لتحسين مستوى الأمان.
2- خدمات التدريب على الأمن السيبراني، وهذه خدمات تقدم دورات تدريبية في مجال الأمن السيبراني لزيادة الوعي والكفاءة بين الأفراد والمؤسسات. 3- خدمات الاستخبارات السيبرانية، وهذه خدمات تقدم معلومات عن التهديدات الحالية والمحتملة، والتحليل الاستباقي للتهديدات والرصد المستمر للتهديدات الجديد.
4- خدمات الرقابة التكنولوجية والإمتثال للقوانين، لمساعدة الشركات للامتثال للقوانين والتنظيمات المحلية والدولية المتعلقة بالأمن السيبراني، وهذه الخدمات ليست شاملة ويمكن أن تتوسع بناءً على احتياجات المؤسسات والتطورات في المجال التكنولوجي.
فالأمن السيبراني هو مجال يتطور بسرعة وقد يتطلب خدمات جديدة بمرور الوقت ولذلك يمكن القول إن القرار رقم (150) لسنة 2024م يمثل خطوة إيجابية نحو تنظيم نشاط خدمات الأمن السيبراني في ليبيا، ولكنه يتطلب بعض التعديلات لتسهيل الوصول إلى التراخيص، وتحديث نطاق الخدمات المقدمة لتلبية الاحتياجات المتزايدة في هذا المجال، ويمكن تقديم جملة من التوصيات تتلخص في التالي:
يُنصح بتبسيط الإجراءات الإدارية المتعلقة بالحصول على التراخيص لتسهيل دخول المزيد من الشركات إلى السوق وتعزيز التنافسية.
يُشجع على تحديث مدة التسوية لتمديد فترة معالجة الطلبات وتقديم الدعم اللازم للشركات لتنظيم أوضاعها بشكل أفضل.
يُنصح بتوسيع نطاق التراخيص ليشمل مجموعة متنوعة من الخدمات الأمنية السيبرانية المطلوبة حاليًا.
يُنصح بإضافة بنود تضمن الشفافية في عمليات منح أُذونات المزاولة وتجديدها، وكذلك تحديد آليات للمساءلة والتدقيق للشركات والأفراد الذين يقدمون خدمات الأمن السيبراني.
يجب على الهيئة الوطنية لأمن وسلامة المعلومات المعنية بتنفيذ القرار أن تكون مجهزة بالقدرات البشرية والمادية اللازمة لتنفيذ القرار بفعالية وشفافية.
يجب التوضيح من قبل الهيئة الوطنية لأمن وسلامة المعلومات المعايير والمتطلبات اللازمة للحصول على إذن المزاولة بطريقة دقيقة ومفصلة، كما ينبغي تحديد العملية التي سيتم من خلالها تقييم الكفاءات والمهارات في مجال الأمن السيبراني.
وفي النهاية يجب علينا الانتظار لنرى كيف ستكون آلية الحصول على إذن لمزاولة خدمات الأمن السيبراني من قبل الهيئة الوطنية لأمن وسلامة المعلومات وتشجيع الأبتكار في مجال الأمن السيبراني من خلال توفير حوافز للبحث والتطوير وتطبيق التقنيات الجديدة.
الكاتب والباحث في مجال الأمن السيبراني وتكنولوجيا المعلومات بالجامعة النرويجية للعلوم والتكنولوجيا محمد أبومهارة
المصدر: صدى الاقتصادية