مرايا –
تفاجأ صاحب شركة خاصة تقدم خدمات تكنولوجيا مالية في عمان (فضل عدم ذكر هويته)، من اختفاء جميع البيانات على موقع الشركة الإلكتروني، لتظهر له رسالة تهديد تفيد بطلب فدية بقيمة 0.3 من عملة البيتكوين، بما يقارب 8 آلاف دينار.
وقال صاحب الشركة في حديث صحفي، إنه قرر عدم دفع الفدية، بسبب احتفاظه بنسخة من البيانات والصور الخاصة بعمله ليقوم باصلاح العطل خلال يومين، دون إبلاغ المركز الوطني للأمن السيبراني.
وأضاف أنه في غالب الأحيان تكون الخسائر تعطل عمل الشركة جراء فقدان بياناتها، ما يجبر الشركات على دفع الفدية المطلوبة.
تعطيل في الويب
وقام بعدها بالتوجه لشركة تقدم خدمات دعم حماية الأمن السيبراني ليكتشف أنه تم اختراق حساب السيرفر المقدم من AWS أمازون، وفي وقت لاحق، تعاقد مع مقدم خدمات حماية للأمن السيبراني لتفادي حدوثها لاحقا.
وأضاف أن المخترق وصل لمفتاح الوصول، وأضاف أن المخترق استطاع الوصول إلى المعلومات الخاصة بالشركة، من خلال اختراق مفتاح الوصول المعروف ترميزه، على أحد الخدمات المستخدمة خلال AWS.
ويعرف (AWS Serverless Application Model) بأنه إطار عمل مفتوح المصدر لبناء تطبيقات خالية من الخوادم، ويوفر بناء واجهات البرمجة التطبيقية وقواعد البيانات، باستخدام عدة لغات برمجة.
حوادث متكررة
كشف المركز الوطني للأمن السيبراني أنه تعامل مع 544 حادثة استهداف الشبكة الآمنة للحكومة وعدد من الوزارات والمؤسسات الحكومية والمؤسسات الحيوية في النصف الأول من العام الماضي، بحسب تقرير الموقف الأمنى السيبراني 2022.
وأضاف التقرير أن نسبة الجرائم السيبرانية بلغت 71% لذات الفترة، من مصدر برمجيات خبيثة ترتبط بمجموعات قرصنة تهدف سرقة البيانات للابتزاز المادي.
لا وجود للاقتصاد الرقمي بغياب البيئة السيبرانية الامنة، ولا يمكن استقطاب الاستثمارات التكنولوجية دون حماية البيانات الشخصية، بحسب مدير إدارة السياسات في وزارة الاقتصاد الرقمي والريادة عبدالقادر بطاينة.
غياب إلزامية التحصين السيبراني
وقال المحامي وليد بشوتي، المختص في قضايا التكنولوجيا وقانون الاتصالات في حديثه لـ”رؤيا”، إن الشركات لا تحصن حماية نفسها سيبرانيًا، بسبب التكلفة المادية الباهظة المترتبة على ذلك؛ ما يعرّض بياناتها وبيانات العملاء للخطر.
وأضاف أن الحكومة الأردنية تعمل على تطوير الإطار القانوني الذي من شأنه اتباع أسس الحماية السيبرانية، وأن السياسات ماتزال ضمن إطار مسودات القانون.
اقرأ أيضاً : خبراء: انفلات الفضاء الإلكتروني يهدد الاقتصاد الوطني والأفراد
وأشار مستشار الحوسبة السحابية إبراهيم أبو رجب إلى أن عدة أنواع اختراقات قد تحصل للشركات، بسبب عدم اتباعها معايير حماية إلزامية، منها اختراق أو تعطيل الخدمات الإلكترونية، أو اختراق الخوادم و الوصول إلى المعلومات، أو اختراق حسابات مزود خدمات الاستضافة واستغلال مصادر الشركة، في ظل تزايد مخاطر البرمجيات الخبيثة.
ويطمح البشوتي إلزام الشركات بصياغة منظومة داخلية لحماية أمانها السيبراني وبيانات عملائها من مخاطر الاختراق.
قانون رقم 16 لسنة 2019 (قانون الأمن السيبراني)
المادة 8\ب
تلتزم الوزارات والدوائر الحكومية والمؤسسات الرسمية والعامة والخاصة والأهلية بما يلي:
1- اتباع السياسات والمعايير والضوابط الصادرة عن المركز لكل قطاع وفقا لأحكام هذا القانون والأنظمة والتعليمات الصادرة بمقتضاه.
2- تزويد المركز بالمعلومات اللازمة لتمكينه من القيام بعمله وبما لا يتعارض مع القوانين النافذة.
3- إبلاغ المركز عن أي حادث يهدد الأمن السيبراني أو يتعلق بأمن الفضاء السيبراني والقيام بكل ما يلزم لتفادي وقوعه.
مسودة حماية البيانات الشخصية
وفي نيسان/ إبريل الماضي ناقشت لجنة الاقتصاد والاستثمار النيابية مشروع قانون حماية البيانات الشخصية لسنة 2022، وأكد وزير الاقتصاد والريادة أحمد الهناندة إن لكل شخص طبيعي الحق في حماية بياناته، ولا يجوز معالجتها إلا بعد الحصول على الموافقة المسبقة للشخص المعني أو في الأحوال المصرح بها قانونًا.
وقال البطاينة إن مجلس النواب يعمل على مناقشة مسودة قانون حماية البيانات الشخصية، لإلزام الشركات في القطاعين العام والخاص، بحماية بيانات عملائها ومنع تداولها، وبخلاف ذلك تكون الشركة عرضة للغرامة والمساءلة القانونية.
ويقول البشوتي إن هدف مسودة القانون حماية معلومات الشخص الطبيعي، وتحديد أسباب جمع المعلومات الشخصية، وألزم بحمايتها.
مضيفا أنه على الشركة في حال حصل اختراق سيبراني، إبلاغ الوحدة التنظيمية المختصة بحماية البيانات الشخصية، الذي سيتم انشائها بموجب القانون في حال إقراره.
وفي سياق مشابه، راعى الاتحاد الأوروبي وفقا لقانون تنظيم حماية البيانات العامة، الشركات الصغيرة من تطبيق معايير الأمن السيبراني، ولم يلزمها بذات معايير الشركات الكبيرة.
وسمح تنظيم البيانات العامة الأوروبي للشركات جمع البيانات الشخصية، إذا وجد سبب مباشر ما بين الخدمة المقدمة ونوع المعلومات المطلوبة، أو وجود عقد يوضح الحاجة للحصول على البيانات الشخصية، شريطة موافقة صاحب العلاقة.