مقدمة

لمن هذا الكُتيب؟

تمت كتابة هذا الكُتيب لهدف بسيط: مساعدة برلمانك على وضع خطة أمن سيبراني مفهومة وقابلة للتنفيذ. نظرًا لأن العالم يتنقل عبر الإنترنت بشكل متزايد، فإن الأمن السيبراني ليس مجرد تعبير طنّان ولكنه مفهوم حاسم لنجاح البرلمانات، وأمن المعلومات (سواء عبر الإنترنت أو خارجها) ويمثل تحديًا يتطلب التركيز والاستثمار واليقظة.

ومن المحتمل أن يجد برلمانك نفسه، إن لم يكن بالفعل، هدفًا لهجوم الأمن السيبراني. وليس المقصود من هذا أن نثير القلق؛ ولكنّه الواقع حتى بالنسبة للبرلمانات التي لا تعتبر نفسها أهدافًا معينة.

ففي العام العادي، قام مركز الدراسات الاستراتيجية والدولية،Center for Strategic and International Studies، الذي يحتفظ بقائمة تشغيل لما يسمونه "الحوادث السيبرانية المهمة"، بسرد مئات الهجمات السيبرانية الخطيرة في العام، والتي يستهدف العديد منها العشرات، إن لم يكن المئات من المنظمات في وقت واحد. بالإضافة إلى مثل هذه الهجمات المبلغ عنها، هناك على الأرجح المئات من الهجمات الصغيرة الأخرى كل عام التي لا يتم اكتشافها أو الإبلاغ عنها، والعديد منها يستهدف المؤسسات الحكومية والهيئات التشريعية والمنظمات السياسية.

ويكون لمثل هذه الهجمات السيبرانية عواقب وخيمة. سواء كان هدفهم هو تعطيل العمليات البرلمانية، أو الإضرار بسمعتك، أو حتى سرقة المعلومات التي يمكن أن تؤدي إلى ضرر نفسي أو جسدي لأعضائك أو موظفيك، يجب أن تؤخذ هذه التهديدات على محمل الجد.

والأمر الجيد هو إنك لست بحاجة إلى أن تصبح مبرمجًا أو خبيرًا تقنيًا للدفاع عن نفسك أو منظمتك ضد التهديدات الشائعة. وعلى الرغم من ذلك، يجب عليك أن تكون مستعدًا لاستثمار الجهد والطاقة والوقت في تطوير وتنفيذ خطة أمان برلمانية قوية. 

إذا لم تفكر مطلقًا في الأمن السيبراني لبرلمانك، أو لم يكن لديك الوقت للتركيز عليه، أو كنت تعرف بعض الأساسيات حول هذا الموضوع ولكنك تعتقد أن برلمانك يمكن أن يعزز الأمن السيبراني الخاص به، فهذا الكُتيب مناسب لك. بغض النظر عن خلفيتك، يهدف هذا الكُتيب إلى تزويد البرلمان بالمعلومات الأساسية التي يحتاجها لوضع خطة أمنية قوية، وهي خطة تتجاوز مجرد وضع الكلمات على الورق وتمكنك من تطبيق أفضل الممارسات.

من يدير الأمن السيبراني البرلماني؟

يتطلب البرلمان الفعال والآمن موظفين يتمتعون بالمهارة والسلطة المناسبة لتنفيذ التوصيات الواردة في هذا الكُتيب. ومع ذلك، يمكن للمسؤولين عن الأمن السيبراني في البرلمانات أن يتفاوتوا على نطاق واسع، ولا يوجد نموذج واحد "مناسب" لجميع من يجب أن يتعامل مع الأمن السيبراني. فقد يكون في بعض الحالات فريقًا مخصصًا للأمن السيبراني داخل وحدة تكنولوجيا المعلومات الخاصة بك، وفي حالات أخرى قد يكون مجموعة من الموظفين الإداريين والأعضاء على حد سواء. على أي حال، ضع في اعتبارك أنه في حين أنه من المهم أن يكون لديك فريق جيد مسؤول عن الأمن السيبراني للبرلمان الخاص بك، فإنه من مسؤولية الجميع في البرلمان وما حوله اتباع السياسات والإجراءات اللازمة للحفاظ على أمن البرلمان. فيما يلي بعض الأمثلة على نماذج التوظيف المختلفة لإدارة الأمن السيبراني البرلماني:

مجلس النواب الأمريكي

تقوم بعض المكاتب الأعضاء في مجلس النواب الأمريكي United States House of Representatives، بتعيين مسؤول أنظمة يكون مسؤولًا عن إدارة جميع أجهزة الكمبيوتر وأنظمة البرامج التي يستخدمها المكتب، بما في ذلك إدارة اعتبارات الأمن السيبراني، وتدريب الموظفين على أفضل الممارسات. على المستوى المؤسسي، يضم كبير المسؤولين الإداريين في مجلس النواب فريق موارد المعلومات، والذي يضم قسمًا مخصصًا لأمن المعلومات.

جمعية زامبيا الوطنية

تعتمد جمعية زامبيا الوطنية على إدارة تكنولوجيا المعلومات والاتصالات (ICT) لديها لمجموعة متنوعة من الوظائف، بما في ذلك إدارة برمجيات البرلمان والأجهزة والبنية التحتية للمعلومات، وتدريب الأعضاء أو البرلمان والموظفين على أنظمة التكنولوجيا، وتأمين البنية التحتية للمعلومات في البرلمان من التهديدات الداخلية والخارجية للأمن السيبراني.

برلمان ماليزيا

يضم البرلمان الماليزي قسم تكنولوجيا المعلومات تحت إشراف كبير المسؤولين الإداريين بالبرلمان، مما يسمح له بخدمة مجلسي البرلمان. ويتضمن هذا القسم وظيفة محددة لأمن الشبكة، مما يسمح له بالتأكد من أن أنظمة الشبكة ومراكز البيانات والبنية التحتية لتكنولوجيا المعلومات والاتصالات محدثة وآمنة قدر الإمكان.


ما هي خطة الأمن ولماذا يجب أن يضع برلماني خطة؟

خطة الأمن هي مجموعة من السياسات والإجراءات والتعليمات المكتوبة التي وافق عليها برلمانك لتحقيق مستوى الأمن الذي تعتقد أنت وفريقك أنه مناسب للحفاظ على أمن موظفيك وشركائك ومعلوماتك.

ويمكن لخطة الأمن التنظيمية المُعدة جيدًا والمُحدثة أن تحافظ على سلامتك وتجعلك أكثر فاعلية من خلال توفير راحة البال اللازمة للتركيز على العمل اليومي المهم لبرلمانك. وبدون التفكير في خطة شاملة، من السهل جدًا إغفال بعض أنواع التهديدات، أو التركيز كثيرًا على نوع واحد من المخاطر، أو تجاهل الأمن السيبراني حتى تحدث أزمة.

عندما تبدأ في تطوير خطة أمن، يكون هناك بعض الأسئلة المهمة التي يجب أن تطرحها على نفسك فيما يُعرف بعملية تقييم المخاطر. وتُساعد الإجابة عن هذه الأسئلة برلمانك في فهم التهديدات الفريدة التي تواجهها وتسمح لك بالعودة خطوة إلى الوراء والتفكير بشكل شامل في ما تحتاج إلى حمايته ومن تحتاج إلى حمايته. ويمكن للخبراء الاستشاريين المدربين، بمساعدة أنظمة مثل إطار عمل التدقيق SAFETAG الخاص بشركة Internews، المساعدة في قيادة برلمانك خلال هذه العملية. وإذا كان بإمكانك الوصول إلى هذا المستوى من الخبرة المهنية، فإن الأمر يستحق ذلك، ولكن حتى إذا لم تتمكن من الخضوع لتقييم كامل، فيجب أن تجتمع بأصحاب المصلحة في البرلمان للنظر بعناية في هذه الأسئلة الرئيسية:

1

ما الأصول التي يمتلكها برلمانك وما الذي ترغب في حمايته؟

يمكنك البدء في الإجابة عن هذه الأسئلة من خلال إنشاء بيان لجميع أصول برلمانك. وتُعد المعلومات مثل الرسائل ورسائل البريد الإلكتروني وجهات الاتصال والمستندات والتقويمات والمواقع كلها أصول محتملة. كما يمكن أن تكون الهواتف وأجهزة الكمبيوتر والأجهزة الأخرى أصولًا. وقد يكون الأشخاص والاتصالات والعلاقات أصولاً أيضًا. اكتب قائمة بالأصول لديك وحاول تصنيفها حسب أهميتها للبرلمان، ومكان الاحتفاظ بها (ربما عدة أماكن رقمية أو مادية)، وما الذي يمنع الآخرين من الوصول إليها أو إتلافها أو تعطيلها. وضع في اعتبارك أنه لا يكون كل شيء على نفس القدر من الأهمية. إذا كانت بعض بيانات البرلمان تتعلق بسجل عام أو معلومات قمت بنشرها بالفعل، فهي ليست أسرارًا تحتاج إلى حمايتها. 

2

من هم خصومك وما قدراتهم ودوافعهم؟

"الخصم" هو مصطلح شائع الاستخدام في الأمن التنظيمي. وبعبارات بسيطة، يُقصد بالخصوم الجهات الفاعلة (أفراد أو مجموعات) المهتمة باستهداف برلمانك وتعطيل عملكم والوصول إلى معلوماتكم أو تدميرها: الأشرار. يمكن أن تشمل أمثلة الخصوم المحتملين المحتالين الماليين أو الحكومات المعادية أو المخترقين ذوي الدوافع الأيديولوجية أو السياسية. ولذا من المهم وضع قائمة بخصومك والتفكير بشكل نقدي حول من قد يرغب في التأثير سلبًا على برلمانك وموظفيك. في حين أنه من السهل تصور الجهات الخارجية (مثل حكومة أجنبية أو مجموعة سياسية معينة) كخصوم، يجب أن تضع في اعتبارك أيضًا أن الخصوم يمكن أن يكونوا أشخاصًا تعرفهم، مثل الموظفين الساخطين والموظفين السابقين والأعضاء أو الشركاء غير الداعمين داخل الأسرة.

ويُشكل الخصوم تهديدات مختلفة ولديهم موارد وقدرات مختلفة لتعطيل عملياتك والوصول إلى معلوماتك أو تدميرها. على سبيل المثال، غالبًا ما تمتلك الحكومات الكثير من الأموال والإمكانات القوية التي تتضمن إغلاق الإنترنت أو استخدام تقنية مراقبة باهظة الثمن؛ ومن المحتمل أن تتمتع شبكات الهاتف المحمول ومزودي خدمة الإنترنت بإمكانية الوصول إلى سجلات المكالمات وتصفح السجلات؛ ويتمتع المتطفلون المهرة على شبكات Wi-Fi بالقدرة على اعتراض الاتصالات أو المعاملات المالية غير المؤمنة بشكل جيد. ويمكنك أن تكون أنت الخصم لنفسك، على سبيل المثال، عن طريق حذف ملفات مهمة عن طريق الخطأ أو إرسال رسائل خاصة إلى الشخص الخطأ.

ومن المرجح أن تختلف دوافع الخصوم مع اختلاف قدراتهم أو اهتماماتهم وإستراتيجياتهم. هل هم مهتمون بتشويه سمعة برلمانك؟ ربما يكونوا عازمين على قمع رسالتك أو تعطيل عمل البرلمان؟ لذا من المهم فهم دوافع الخصم لأن القيام بذلك يمكن أن يساعد برلمانك في تقييم التهديدات التي يمكن أن تطرأ بشكل أفضل.

3

ما التهديدات التي تواجه برلمانك؟ وما مدى احتماليتها وتأثيرها؟

عندما تحدد التهديدات المحتملة، فمن المرجح أن ينتهي بك الأمر بقائمة طويلة قد تكون كبيرة جدًا. وقد تشعر أن أي جهود لن تكون مجدية، أو لا تعرف من أين تبدأ. للمساعدة في تمكين برلمانك من اتخاذ خطوات مثمرة تالية، من المفيد تحليل كل تهديد استنادًا إلى عاملين: احتمالية حدوث التهديد وتأثير التهديد إذا حدث.

لقياس احتمالية حدوث تهديد (ربما "منخفضة أو متوسطة أو عالية"، استنادًا إلى ما إذا كان من غير المحتمل وقوع حدث معين، أو إمكانية حدوثه، أو تكرار حدوثه)، يمكنك استخدام المعلومات التي تعرفها عن قدرة خصومك ودوافعهم وتحليل الحوادث الأمنية السابقة وتجارب برلمانات أخرى مماثلة وبالطبع وجود أي إستراتيجيات تخفيف حالية قمت بوضعها.

لقياس تأثير تهديد ما، فكر في الشكل الذي سيبدو عليه عالمك إذا حدث التهديد بالفعل. واطرح أسئلة مثل "كيف أضرنا التهديد بصفتنا برلمانًا وبصفتنا أشخاص، جسديًا وعقليًا؟"، و"ما مدى استمرار التأثير؟، و"هل يؤدي هذا إلى حدوث مواقف ضارة أخرى؟، و"كيف يعيق ذلك قدرتنا على تحقيق أهدافنا الآن وفي المستقبل؟" أثناء إجابتك عن هذه الأسئلة، ضع في اعتبارك درجة تأثير التهديد، سواء كانت درجة منخفضة أو متوسطة أو عالية.

ولمساعدتك في إدارة عملية تقييم المخاطر هذه، فكر في استخدام ورقة عمل، مثل هذه التي وضعتها مؤسسة Electronic Frontier Foundation. وضع في اعتبارك أن المعلومات التي تضعها كجزء من هذه العملية )مثل قائمة خصومك والتهديدات التي تُشكلها( قد تكون في حد ذاتها معلومات حساسة، لذلك من المهم الحفاظ على أمانها.

وبمجرد أن تقوم بتصنيف التهديدات الخاصة من خلال الاحتمالية والتأثير، يمكنك البدء في وضع خطة عمل أكثر استنارة. ومن خلال التركيز على تلك التهديدات التي من المرجح أن تحدث والتي سيكون لها آثارًا سلبية كبيرة، فسوف تقوم بتوجيه مواردك المحدودة بأكثر الطرق كفاءة وفعالية ممكنة. وهدفك دائمًا هو تقليل أكبر قدر ممكن من مستوى المخاطر، ومع ذلك لكن لا يمكن لأي شخص، ليست الحكومة أو الشركة التي تتمتع بموارد جيدة، القضاء على المخاطر بشكل كامل. وهذا جيد: يمكنك فعل الكثير لحماية نفسك وزملائك وبرلمانك من خلال الاهتمام بالتهديدات الأكبر.

إنشاء خطة أمنية