نفط القرن الـ 21
العالم المرعب لتجارة البيانات
وقفزات الأمن السيبراني السعودي
قد تظن أن بيانات شخص يسير في أسواق الرياض أو جدة أو أي مدينة في المملكة ليست مهمة لشركات التسويق، أو غيرها من الجهات التي تقف وراء منصات الهجمات السيبرانية، لكنها تصبح ذات قيمة عالية للغاية إذا أُضيف إليها معلومات عن تجاربه الشخصية وهويته، وتواريخ التسوق والدخل والعائلة وتفاصيل GPS الخاصة به، ومن هنا باتت القيمة الاقتصادية الحقيقية للبيانات أكبر بكثير مما يتخيله الفرد
لكن في دولة كالمملكة العربية السعودية التي لديها أعلى درجات الأمن الإلكتروني، وتحوز المرتبة الثانية عالميًا في مجال الأمن السيبراني وفق مركز التنافسية العالمي، يغيب القلق من انتهاك الحقوق أو البيانات الشخصية
الأمن السيبراني السعودي.. طفرة عالمية
في أكتوبر 2017 أسست السعودية الهيئة الوطنية للأمن السيبراني، والتي ترتبط بمقام خادم الحرمين الشريفين، لما لها من أهمية قصوى في ظل هذه الأمواج العاتية في العالم حول خصوصية بيانات الشعوب، واستغلالها في حروب الجيلين الرابع والخامس، والإضرار بالدول سياسيًا واقتصاديًا واجتماعيًا
وجاءت تلك الخطوة بعد عدة مخاطر وهجمات سيبرانية تعرضت لها السعودية خلال العام 2017، حيث كان قطاع التعليم الأكثر تأثراً بالبرمجيات الخبيثة خلال ذات العام، وتلته قطاعات حكومية أخرى وقطاعات الاتصالات والرعاية الصحية، فيما كان عدد فيروسات الفدية الخبيثة حول العالم خلال نفس العام 1.6 مليار فيروس، وبلغت حصة السعودية منها 0.55 في المائة
قرار تأسيس هيئة الأمن السيبراني كان لها الأثر الفعّال في العام التالي مباشرة، حيث حصدت السعودية مركزًا متقدمًا في قائمة المؤشر العالمي للأمن السيبراني GCI، الصادر عن الأمم المتحدة، لتحل في المركز الأول عربيًا والـ 13 عالميًا من بين 175 دولة في العالم خلال عام 2018، لتتقدم 33 مرتبة في غضون أشهر عن تقييمها السابق في 2016، حيث يحدث هذا المؤشر قائمة ترتيبه العالمية كل عامين بناءً على ركائز قانونية، وتعاونية، وتقنية، وتنظيمية وغيرها
كما تصدت المملكة خلال العام ذاته، لهجمات سيبرانية منظمة وممنهجة، حيث حلّت في المرتبة الأولى عربيًا من حيث عدد الهجمات الموجهة في 2018 ورقم 17 عالميًا، بحسب نوف الراكان، الرئيس التنفيذي للاتحاد السعودي للأمن السيبراني والبرمجة والدرونز
2020.. قفزة الأمن السيبراني
وشهد العام 2020 القفزة في مجال الأمن السيبراني السعودي، حيث حققت السعودية المرتبة الثانية على مستوى العالم في محور التحسن المستمر بمؤشر الأمن السيبراني، وفق التقرير السنوي لمركز التنافسية العالمي، وهو ما يوضح تزايد الدعم الذي توليه القيادة الرشيدة لمنظومة الأمن السيبراني، من أجل فضاء سيبراني سعودي آمن يساهم في حماية أمن البيانات القومية، ويعزز قوة الاقتصاد وبرامج التنمية
وتحت رعاية خادم الحرمين الشريفين الملك سلمان بن عبد العزيز، استضافت العاصمة الرياض فبراير الماضي، أعمال المنتدى الدولي للأمن السيبراني كأكبر حدث دولي من نوعه على مستوي العالم، حيث ضم 140 متحدثًا وأكثر من 1200 خبير من 63 دولة، حيث بحث سبل تحفيز صناعة الأمن السيبراني، وأهمية التعاون الإقليمي والعالمي في هذا المجال الحيوي، وخلال أعمال المنتدى وجه سمو ولي العهد الأمير محمد بن سلمان، بإطلاق مبادرتين لخدمة مجال الأمن السيبراني العالمي
كما وافق مجلس الوزراء على الاستراتيجية الوطنية للأمن السيبراني، سبتمبر الماضي، كدعامة أساسية لحمايـة المصالـح الحيويـة للمملكة، والبنى التحتية الحساسة، حيث تُرسخ الاستراتيجية لمسـؤولية كل جهـة حكومية عن أمنهـا السـيبراني، على أن يُسهم ذلك في تهيئة المنظومـة الوطنيـة المتكاملـة للأمـن السـيبراني، وتعزيز القدرات التقنية الوطنية في الدفاع ضد التهديدات السيبرانية، وبناء القدرات البشرية الوطنية وتطوير صناعة الأمن السيبراني في السعودية.
وفي مؤتمر "فيرتشوبورت" لحلول أمن المعلومات في منطقة الشرق الأوسط وشمال إفريقيا، والذي عُقد برعاية الاتحاد السعودي للأمن السيبراني، أكتوبر الماضي، توقع المشاركون أن يصل إجمالي الإنفاق على الأمن السيبراني في السعودية إلى 1.6 مليار ريال خلال العام 2020، بزيادة قدرها 6.25% مقارنة بعام 2019، بينما توقع متخصصون آخرون أن يصل الإنفاق على هذا المجال الهام إلى قرابة ملياري دولار
لكن الإنفاق السعودي على هذا المجال الحيوي يأتي بثماره أولًا بأول، حيث كان آخر ما تم حصده خلال الرئاسة السعودية لمجموعة العشرين للعام 2020، تمكنت المملكة من صد كمٍ هائل من التهديدات السيبرانية لمنصات المجموعة أثناء انعقادها افتراضيًا بغرض تخريب أعمالها، بحسب هيئة البيانات والذكاء الاصطناعي السعودية، التي ذكرت أنها تعاملت مع 2,372,028 هجمة تخريبية، تحطمت جميعها في جدران منصة "بروق" للاتصال المرئي الآمن
ويعد هذا الكم الهائل من محاولات استهداف محفل دولي رفيع بحجم قمة مجموعة العشرين، مؤشرًا واضحًا على مدى خطورة استهداف الأمن السيبراني للدول، وهو ما يفرض على العالم مزيدًا من التنسيق لحماية بيانات شعوبها وجهاتها الحكومية بعيدًا عن أيادي المخربين
أمن البيانات.. هيستريا عالمية
في قلب البيانات المعلوماتية تبرز أهمية الحفاظ على البيانات الشخصية لبني البشر، وخلال العام 2020 بلغ حجم الإنفاق العالمي على أمن المعلومات، نحو 180 مليار دولار من بينها 9 مليارات دولار في المنطقة العربية، وفق تحالف القطاع الخاص العالمي التابع للأمم المتحدة، التي رسخت مبادئها أهمية حماية البيانات الشخصية والحق في الخصوصية، وحق الإنسان في المحافظة على سرية بياناته، وعدم استغلالها أو انتشار المعلومات التي تكشف حياته الخاصة، أو تعرضها للعلانية
أمن البيانات قبل وبعد ثورة الإنترنت
فيما قبل ثورة الإنترنت، أسس الإعلان العالمي لحقوق الإنسان، لحماية البيانات الشخصية، وحق الإنسان في حفظ خصوصيته، وعدّ ذلك من أهم مبادئه الأساسية التي تُبنى عليها العديد من المبادئ الأخرى لحقوق الإنسان، حيث نص في مادته الـ 12، على احترام الحياة الخاصة، والحياة العائلية، مع وجود استثناءات قانونية متاحة للدول ومبررة بالحفاظ على أمن المجتمع واستقراره، والأمن القومي
وفي عام 1966 صدر العهد الدولي الخاص بالحقوق المدنية والسياسية، حيث أكد في مادته الـ14 على نفس المبادئ الخاصة بالحقوق الشخصية، وخصوصية بيانات الأشخاص الطبيعيين، كما عقدت الأمم المتحدة مؤتمرًا دوليًا في ستوكهولم 1967 حول حماية الخصوصية، وكذلك أصدر المجلس الأوروبي قرارين متتالين عامي 1973-1974 لتدعيم إجراءات حماية الحياة الخاصة للأشخاص الطبيعيين
مع التحول الرقمي، أصبح جمع البيانات الشخصية وانتهاكها أكثر سهولة، فلم تعد عمليات الحصول على البيانات مقتصرة على التدوين الورقي اليدوي، ولم يعد معالجتها واستغلالها متاحًا فقط للجهات الحكومية صاحبة الاختصاص، ومن خلال طلبٍ رسمي، ولأهداف محددة، وغيرها من القيود التي تحد من عملية الاستغلال السيء للبيانات الشخصية، والتي تضاءلت بشدة خلال السنوات الماضية بسبب الثورة التكنولوجية الهائلة.
واسترعى الملف الأكثر حساسية انتباه الأمم المتحدة في جمعيتها العمومية عام 1990 حين صوتت على القرار 95/45، والذي تضمن المبادئ التوجيهية، لتنظيم البيانات الشخصية، المعدّة عبر الوسائل الإلكترونية سواء كانت لأشخاص طبيعيين أو لأشخاص معنويين، ومع الانفجار الثوري التكنولوجي، بات اهتمام العالم بأهمية حماية البيانات أمرًا من متطلبات حقوق الإنسان كما هي من دواعي الأمن القومي للدول، واعتمدت الجمعية العامة للأمم المتحدة في 18 ديسمبر 2013 قرارًا بشأن "الحق في الخصوصية في العصر الرقمي" ، كما أن مما يُظهر الاهتمام الدولي المتزايد بحقوق حماية البيانات، تعيين مجلس حقوق الإنسان التابع للأمم المتحدة مقررًا خاصًا معنيًا بالحق في الخصوصية عام 2015، كما باتت لأكثر من 120 دولة حول العالم، دساتير أو تشريعات متعلقة بحماية البيانات
2018، دخلت اللائحة العامة لحماية البيانات General Data Protection Regulation (GDPR) الصادرة عن الاتحاد الأوروبي، حيز التنفيذ، والتي تعتبر النموذج الأحدث والأكثر تطويرًا في مجال حماية البيانات الشخصية، التي تُعرّف وفق اللائحة بأنها أي معلومات لها صلة بالشخص يمكن أن تؤدي إلى التعرف على هويته بشكل مباشر أو غير مباشر، كالاسم ورقم الضمان الاجتماعي، وبيانات الموقع وعنوان IP أو عنوان البريد الإلكتروني الخاص به، أو بيانات الهوية البدنية أو الفسيولوجية أو الجينية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية
وتنص اللائحة الأبرز في مجال حماية البيانات الشخصية على أنه حال عدم توافق النشاط التجاري مع بنود GPDR، فإن العقوبات تصل إلى 4% من قيمة الأرباح السنوية في جميع أنحاء العالم، أو تسديد غرامة تصل إلى 20 مليون يورو، أيهما أعلى
وفي نفس العام أصدرت ولاية كالفورنيا الأمريكية قانون خصوصية المستهلك (CCPA) لحماية البيانات من مافيا سرقة البيانات، والتي منحت المستهلكين حقًا إلزاميًا هو الأول من نوعه في العالم، حيث تتيح لهم التقدم بطلب إلى الشركات للكشف عن المعلومات الشخصية التي جمعتها عنهم، والغرض من ذلك، وطرق استخدامها، بل وإلزام الشركات بحذف المعلومات الشخصية، وعدم بيعها أو التصرّف فيها بأي صورة، ولا ينطبق هذا القانون على الجهات الحكومية ولا المنظمات غير الربحية
مافيا البيانات.. وقائع صادمة
يواجه العالم أزمة كبرى تتعلق بغياب الاتفاقيات الدولية الملزمة لحماية البيانات الشخصية، وعدم استغلال التكنولوجيا في تنفيذ هجمات سيبرانية تقوم بها دول أو جماعات أو تنظيمات، كما أن ملف حماية البيانات الشخصية برمته يواجه آفة التسييس الذي تستغله بعض الأطراف لأغراض سياسية، فضلًا عن الاختلافات الثقافية العميقة بين المجتمعات والتي تحول دون وضع تعريف محددٍ للخصوصية
وفي عام 2013، لم يكن اعتراف شركة ياهو باختراق 3 مليار حساب لنحو 200 مليون مستخدم، سوى بداية لحلقات متتالية من انتهاك البيانات الشخصية على مستوى العالم، وهي الواقعة التي ألقت بمسؤولي الشركة أمام القضاء الأمريكي، لانتهاك حقوق المستخدمين، واضطرها إلى دفع أكثر من 50 مليون دولار كتعويضات، بعد تسوية قضائية أمام محكمة سان فرانسيسكو، لكن لوحظ في عملية السطو على هذه البيانات التركيز على جمع تواريخ الميلاد، والأسماء وأرقام الهواتف
وفي العام التالي مباشرة، أصدر مركز بيو لأبحاث بيئة الخصوصية الرقمية، دراسة بحثية صادمة للأمريكيين، حيث ذكر أن 91٪ من عينة الدراسة توافق على أن مستخدمي الإنترنت أو تطبيقات الهواتف المحمولة، فقدوا السيطرة على كيفية حماية المعلومات الشخصية من استغلال شركات التسويق، كما أن 88٪ على قناعة بأنه من الصعب للغاية إزالة معلوماتهم من الإنترنت، و80٪ ممن يستخدمون مواقع التواصل الاجتماعي لديهم قلق شديد بوصول أطراف ثالثة مثل المعلنين أو الشركات إلى البيانات التي يشاركونها على هذه المواقع، وأن الحكومة الفيدرالية يجب أن تبذل المزيد من التشريعات والإجراءات لتنظيم سلوكيات المعلنين.
وفي عام 2016 استدعى الكونغرس الأمريكي مسؤولي شركة "فيسبوك" بداعي ثبوت استهداف أكثر من 126 مليون مواطن أمريكي بمنشورات للتأثير على الانتخابات الرئاسية في العام ذاته، كما استدعى الكونغرس مدراء تنفيذيين من "تويتر" و"جوجل" لنفس الأسباب، حيث تم جمع بيانات أكثر من 32 مليون من مستخدمي موقع تويتر قبل بيعها لشركات تحليل البيانات، وتسريب بيانات 52.5 مليون من مستخدمي "جوجل بلس"
2017، اعترفت شركة "أوبر" باختراق بيانات لأكثر من 57 مليون مستخدم وسائق، وادعت الشركة أنها دفعت للمتسللين أكثر من 100 ألف دولار لتدمير البيانات الشخصية قبل إساءة استخدامها، لكنها لم تُقدّم دليلًا ملموسًا على أنها لم تعرض بيانات عملائها للخطر
2018 اعترف مؤسس "فيسبوك" باختراق وسرقة بيانات أكثر من 50 مليون حساب شخصي لمستخدميه، وأرجعت ذلك إلى وجود ثغرة أمنية في شفرة الشبكة الاجتماعية، قبل أن تنقل تقارير أمريكية أن العدد يصل إلى 87 مليون مستخدم، وقد سُربت بياناتهم إلى شركة تحليل البيانات البريطانية "كامبريدج أناليتكا"، عبر شراء البيانات من باحث استفاد من قواعد الموقع المتراخية، وفي نفس العام أيضًا اعترف "فيسبوك" باختراق وسرقة بيانات حوالي 30 مليون حساب
2019 أعلنت لجنة التجارة الفيدرالية الأمريكية توقيع غرامة على "فيسبوك" هي الأكبر في تاريخ الشركات الأمريكية، حيث تصل إلى 5 مليارات دولار، لانتهاك الشركة خصوصية المستخدمين، وتعريض بياناتهم للاستغلال، والتعرف على وجه المستخدمين، وتحديد هويتهم من وجوههم، من دون إذن، وكشف مكتب حماية المستهلك التابع للجنة التجارة الفيدرالية أن التحقيق مع مسؤولي "فيسبوك" أثبت أن حصول "كامبريدج أناليتكا" على بيانات المستخدمين، قد تم من خلالها بيعها عبر شركة "فيسبوك".
وفي نفس العام، تسربت البيانات الشخصية لأكثر من مليوني مواطن روسي، من بوابة العمليات التجارية، بما في ذلك الاسم ورقم جواز السفر والتأمين، وفق "رابطة المشاركين في سوق البيانات"، التي أكدت أن العملية تبعتها خطوة أخرى تتعلق بفتح مزاد عبر الإنترنت، لحيازة هذه البيانات
ومن بين أكبر عمليات السطو على البيانات الشخصية في العالم، ما جرى الإعلان عنه رسميًا في الهند بتسريب بيانات الهوية الوطنية Aadhaar لـ 1.1 مليار مواطن، بما في ذلك بيانات البصمات البيوميترية، ومسح القزحية، مما سهّل الولوج إلى الخدمات المتصلة بالهوية مثل الحسابات المصرفية، وتمت تلك العملية عبر اختراق أنظمة شركة Indane الحكومية
كذلك، اعترفت مجموعة فنادق ماريوت، التي اعترفت أن عملية قرصنة طالت 500 مليون شخص من عملائها، وأنها شملت الاسم، والبريد الالكتروني، ورقم الهاتف المحمول، ورقم جواز السفر، فضلًا عن تسريب معلومات أكثر حساسية لمجموعة أخرى من العملاء تتعلق بأرقام بطاقاتهم الائتمانية، وتواريخ انتهاء صلاحيتها
كما لم تسلم شركة MyHeritage لخدمات الحمض النووي DNA وتحديد الأنساب من تسريب بيع أحد العاملين بها بيانات شخصية لـ 92 مليون شخص
"التواصل الاجتماعي".. ماذا يعرفون عنك؟
يواجه العالم أزمة كبرى تتعلق بغياب الاتفاقيات الدولية الملزمة لحماية البيانات الشخصية، وعدمتعد مواقع التواصل الاجتماعي الساحة الأهم للبيانات الشخصية، ليس لما يتيحه المستخدمون من بيانات ذات طابع خاص، ولكن لما تنتهجه تلك المواقع من سلوكيات تكنولوجية قادرة على تعبئة البيانات وجمعها وتنقيحها وإتاحة لمتخصصي تحليل البيانات تمهيدًا لاستغلالها لأغراض سياسية أو اقتصادية أو اجتماعية، ووفق مركز مركز بيو للأبحاث، فإن "تويتر"، في 2013 كان يعالج 143,199 تغريدة في الثانية على مستوى العالم، في عملية ضخمة تفرز اهتمامات المستخدمين، وتتنوع البيانات التي يمكن جمعها من خلال هذه المواقع على النحو التالي:
1-بيانات شخصية، وتتضمن المعلومات الشخصية للمستخدم، بما في ذلك الاسم وعنوان IP ومعرفات الحاسوب المستخدم، والعنوان الفعلي، ورقم رخصة القيادة، ورقم الضمان الاجتماعي، ورقم جواز السفر، وتاريخ الولادة، ورقم الهاتف، والموقع (الدولة/الولاية)، والرمز البريدي، والسلالة والعرق، والوظيفة، والفئة العمرية
2-بيانات المشاركة، وتتعلق بتفاصيل أكثر دقة عن آليات تفاعل المستخدمين مع مواقع الويب التجارية وتطبيقات الأجهزة المحمولة، والصفحات الأكثر مشاهدة لكل مستخدم، ومصادر حركة المرور، وصور التفاعل مع وسائل التواصل الاجتماعي، ومشاهدات الفيديو الأصلية
3-بيانات سلوكية، وتدور حول تفاصيل المعاملات، ومحفوظات الشراء ومعلومات استخدام المنتج، وبيانات تلامس الشاشة وحركة "الماوس"
4-بيانات المواقف، وتشمل مقاييس رضا المستهلك ومعايير الشراء، ودرجة احتياج العميل لشراء المنتج، والرغبة في استهلاكه
ومع سحب هذه البيانات، المتكاثرة يأتي الدور على الخوارزميات الآلية والذكاء الاصطناعي القادرة على تحليل بحور البيانات، وإخراجها في صورة وحدات يمكن إدارتها واستغلالها في عملية صنع القرار، ويغلب استغلال هذه البيانات تسويقيًا في عملية تحسين العلاقة مع العملاء، عبر توفر بيانات المستهلك التي تمنح الشركات التسويقية آليات فهم رغبات وسلوكيات المستهلكين، بعد تحليل تجاربهم السابقة، فضلًا عن تنقيح استراتيجية التسويق، من خلال الوصول إلى حالة استخدام تنبؤية تستهدف ما يريده المستهلكون
بيانات للبيع.. كم الثمن؟!
إدارة البيانات الشخصية، والتنازل عن ملكيتها، وتهيئة البنية التحتية لتلك العملية، يُطلق عليها حاليًا وعلانية "سوق البيانات" رغم أن المضي قدمًا نحو إنشاء أسواق فعلية لتجارة البيانات لا يزال يحتاج إلى وسائل أكثر فعالية وحداثة
من هنا قد تتحول حياة البشر في لحظة ما إذا ما تم الكشف عن كامل أسرار العالم الخفي لتجارة البيانات، وعوائد عمليات السطو، والاختراق، والسوق السوداء لشراء البيانات، لاسيما أن البيانات باتت تُعرف بـ"نفط القرن الـ21"، حتى أن معهد ماساتشوستس للتكنولوجيا، أشار إلى الأهمية الاقتصادية لدمج المدخلات الرقمية (البيانات) في حساب الناتج المحلي الإجمالي، وذكر المعهد أن "الاستعداد للقبول" بالإفصاح عن البيانات، والمعروف باسم تقييم WTA تمثل قيمة تعويض نقدي للوصول إلى بيانات Facebook كانت حوالي 50 يورو شهريًا في عام 2016، وكلما زاد عدد مستخدمي المنصة زادت قيمته، وكذلك كلما زاد عدد الأصدقاء، وزاد تفاعلهم، وتصل قيمة ما يُسمى "الخرائط الرقمية" إلى أكثر من 500 يورو شهريًا، كما أن معرفة عنوان العميل تساوي 250 دولارًا
وبحسب شركة statista الرائدة في مجال بيانات السوق والمستهلكين، فقد بلغ متوسط سعر نقطة البيانات (المعلومة الواحدة) المتعلقة بالحالة الصحية 26 سنتًا عام 2017، أما بيانات الحالة الاجتماعية فتبلغ 12 سنتًا إذا كان الشخص خاطبًا أو على وشك الزواج، ومثلهم إذا تعلقت المعلومات بشخص ينتظر مولودًا جديدًا، أما بيانات العمر والجنس فتساوي سنتًا واحدًا.
أما شركة Permission المتخصصة في مكافحة الاستغلال عبر الويب وإعادة ملكية الأفراد لبياناتهم، فقد ذكرت أن قيمة البيانات الخاصة عند الحصول عليها بطرق القراصنة، تتراوح ما بين 20-25 دولارًا إذا تضمنت تفاصيل بطاقة الائتمان وعنوان المالك والبريد الإلكتروني، كما يمكن للسجل الطبي الكامل أن يجلب سعر 1000 دولار، وقدّرت قيمة البيانات الشخصية للمقيم في الولايات المتحدة ما بين 2000-3000 دولار سنويًا"
Dark Web .. السوق السوداء
"الإنترنت المظلم" هو شبكة من عدد لانهائي من مواقع الويب، لا يمكن الوصول لها عبر الطرق المعتادة بالشبكة التقليدية، ولا محركات البحث المعروفة، وتستخدم تقنيات وشفرات عالية يصعب تحديد أصحابها أو مواقعهم، وتتضمن عناوين هذه المواقع أحرف مسلسلة لا تنتهي بـ .com أو .org كما هو الغالب
ومن خلال هذا "الانترنت المظلم"، اكتشفت شركة Positive Technologies (PT) لأمن تكنولوجيا المعلومات، تزايد تجارة البيانات في أسواق الويب المظلمة، خلال الربع الأول من العام 2020، مع دخول جائحة كورونا مرحلة الخطر، وبدء العمل عن بُعد في العديد من شركات العالم، حيث قفزت منشورات الويب المظلمة التي تعلن عن الوصول إلى قواعد بيانات وبيعها بنسبة 69% مقارنة بالربع الأخير من 2019، رغم أن ما تمت ملاحظته نهاية العام 2019 من حجم البيانات المعروضة للبيع على "الانترنت المظلم"، يُعادل وحده ما تمت ملاحظته في عام 2018 بأكمله، كما اكتشفت الشركة كذلك ارتفاع قيمة نشاط المجرمين الذين يتحصلون على تلك البيانات