بخبرات تزيد عن 25 عامًا في قطاع تكنولوجيا المعلومات والاتصالات وأمن البيانات، عمل الدكتور شريف هاشم في مناصب متعددة داخل وزارة الاتصالات منذ نشأتها، بل إن عمله امتد لما قبل تأسيس الوزارة، هاشم تقلد مناصب متعددة منها نائبا لرئيس هيئة تنمية صناعة تكنولوجيا المعلومات “ايتيدا”، كما تولى منصب نائب الرئيس التنفيذي للجهاز القومي لتنظيم الاتصالات لشئون تأمين الفضاء الالكتروني، إلى أن صدر قرارًا بتكليفه برئاسة المكتب التنفيذي لمركز الاستجابة للطوارئ السيبرانية “CERT”، ومنذ عامين تقريبًا قرر الدكتور شريف هاشم العودة إلى الموقع الذي أحبه بالتدريس الجامعي، وهو الآن أستاذ زائر بقسم علوم الحاسب بجامعة ولاية نيويورك، ويقوم بتدريس أمن الحاسب والتشفير والذكاء الاصطناعي وعلوم تحليل البيانات، وفي هذا الحوار طرحنا على الدكتور شريف هاشم بعض الأسئلة المتعلقة بأمن البيانات مع تنامي تلك الصناعة في السنوات الأخيرة وتركيز مصر عليها باعتباره مؤثر رئيسي في الاقتصاد القومي.. إلى نص الحوار.
مع تنامي حجم البيانات في السوق المصري وتركيز الدولة على دمجها داخل المنظومة الاقتصادية، أصبحت الحاجة ملحة لتأمين هذه البيانات ضد أي أخطار، فما هي التكنولوجيات الرئيسية للتأمين؟ وكيف تقيم الدولة فاعلياتها؟
الدراسات العالمية تشير إلى أن 50% من المؤسسات التي تتعرض لهجمات سيبرانية متوسطة أو قوية تصل لمرحلة الإفلاس، وهنا يجب تحديد أهمية المعلومات المراد تأمينها وفائدتها، خاصة وأن تأمين المعلومات يختلف عن تأمين نظم المعلومات، وتأمين معلومات الأشخاص تختلف عن تأمين معلومات المؤسسات، ويجب أن تكون للدولة خطة للطوارئ في التعامل مع اختراق البيانات، ويعتبر التشفير هو الوسيلة الأمثل لحماية البيانات، وخلال الـ6 أشهر الماضية بدأت تنفذ الدولة خطط كنا ننادي بها منذ 20 عاما مضت بعدما استشعرت المؤسسات والأفراد أهمية البيانات.
الجميع يطلب التكنولوجيا وكأنها المنقذ والحل الوحيد للمشاكل الوسيلة الأنسب لتأمين البيانات، لكنها وسيلة مساعدة فقط في ظل وجود رؤية محددة متكاملة، والدولة أصبحت تؤمن بفاعلية واهمية تأمين البيانات، وأصبح لديها الإيمان بأهمية الإنفاق على نظم تأمين المعلومات بعد تكرار نماذج اختراق ومصائب عالمية كشفت أهمية تلك النظم، وفي النهاية لا يمكن تلخيص التأمين في التكنولوجيا فقط، فهناك كوادر مدربة وكوادر وتشريعات محلية، وتعاون مؤسسي وتعاون دولي.
هل الشركات العالمية تعطي التكنولوجيات التأمينية وفقط، أم تتدخل في عملية إدارة عملية التأمين؟
مهما كنت تثق في الشركات العالمية، أرى أن صاحب المنزل هو الأجدر بتأمينه، وللأسف كثير من المؤسسات تمنح إدارة تأمين البيانات للشركات الأجنبية صاحبة التكنولوجيا وكأنها المنقذ، وهناك جهات في الدولة تعتمد على الشركات الأجنبية برغم وجود شركات مصرية قادرة على القيام بنفس المهام، لكن النموذج الأفضل من وجهة نظري أن يكون داخل كل مؤسسة كبيرة عضو مجلس إدارة على الأقل لديه خبرة في مجال أمن البيانات بسبب المخاطر السيبرانية، وفي الخارج تقوم بعض المؤسسات الكبرى بتشكيل لجنة أو إدارة مختصة بالأمن السيبراني، فالأخطار السيبرانية متعددة ومتشابكة، لذا يجب تعاون كافة الإدارات داخل المؤسسة منها المسئولون عن الحماية، ومسئول الـIT والعاملين في المؤسسة، لأن الاختراق لا يكون دائمًا استهداف من الخارج.
مخاطر الأمن السيبراني أصبحت مثل الحرائق والفيضانات، فهي مسئولية المؤسسة والدولة بالكامل، ويجب وضع رؤية لها وتوزيع أدوار محددة وفقًا للرؤية وأن يكون القرار جماعي، ومينفعش أمشي بمبدأ إدي العيش لخبازه ولو كل نصه، ويجب أن تكون إدارة هذا الملف بشكل مؤسسي على مستوى الدولة والشركات.
وهل للشركات المحلية نصيب من المناقصات المطروحة لعمليات تأمين البيانات؟
المانيا كثفت جهودها وتركيزها في تنمية صناعة الامن السيبراني علي مدار العقدين الماضيين واطلقت استراتيجية لتنمية صناعة الأمن السيبراني منذ حوالي ١٢ سنة، وفي مصر يجب أن يكون لدينا هدف قومي ومستهدف بمساعدة الشركات الناشئة، ودعم هذا الملف بداية من تدريسه بالمدارس والجامعات والمعاهد، كما يجب مساعدة الشركات المصرية أن تقوم بتطوير المنتجات، وتضع الدولة استثمارات لهذا الملف بأن تنفذ الشركات الصغيرة مشروعات، وتنمي عملية البحث والتطوير لتنمية صناعة أمن المعلومات، مصر لديها نواة حقيقية وبها شركات مصرية ماهرة، لكن طريقة التعامل معها من بعض المؤسسات المصرية نفسها لا يليق، لذلك أنسب الحلول هو التكامل وإشراك الشركات المصرية مع الشركات العالمية في المشروعات الكبرى التي تنفذها في مصر.
وما هي أكثر الجهات المستهدفة للحصول على بياناتها والمعرضة للاختراق في السوق المصري؟
كلما تجمعت البيانات بشكل أكبر، كلما ارتفعت الخطورة، وكلما تعلق الأمر بالأموال والقطاع المصرفي زادت الخطورة، كذلك مؤسسات الدولة يمكن استهدافها من دول أخرى، الأمن السيبراني ليس مسئولية الحكومة فقط، خاصة وأن البنية التحتية تديرها شركات بعضها قطاع خاصة، منظومة الصحة والكهرباء والمواصلات والقطاعات الحيوية تديرها أيضًا شركات قطاع خاص، وهنا تجدر الإشارة إلى أن استهداف الكهرباء يمكن أن يصيب الدولة بشلل كامل.
هل نمتلك مخرجات من الموارد البشرية القادرة على إدارة تكنولوجيات التأمين؟
العنصر المصري جيد جدًا لكنه يحتاج إلى الدعم والمساند والتطوير المستمر، والدليل على ذلك حينما قمنا بتنفيذ مشروع السلطة الجزرية للتوقيع الإلكتروني، تم تنفيذه بـشباب مصريين بعد تدريبهم في الخارج لمدة 6 أشهر وقاموا بتركيب وتشغيل 40 سيرفر، ونجحوا في تنفيذ المشروع بالكامل، وأعتقد أن برامج دعم التعاون بين الجهات البحثية له أهمية في هذا الملف، والاستثمار فيه يمكن أن يحقق للدولة على المدى المتوسط والبعيد نتائج مبهرة، هنا نشير إلى تطور إحدى دول الجوار في ملف أمن المعلومات ولديها شركات تساوي مليارات الدولارات وبعضها تم بيعها في صفقات عالمية، لأنهم قاموا بالتركيز على هذا الملف منذ أكثر من 20 عاما.
وما هو دور الدولة الذي يجب أن يكون منوط بها في البيانات التي تجمعها الشركات العاملة على أرضها وكيف تضمن عدم استغلالها؟
دور الدولة بمؤسساتها دور تنظيمي تضع قواعد كاملة، وتقوم بالترخيص للشركات وتحدد ما يمكن الاطلاع عليه، وبعدها يتم وضع معايير التأمين القياسية وفقًا لكل قطاع، فلدينا أكثر من 10 قطاعات حيوية يجب تأمينهم، ولهذا يجب أن يكون التنسيق من أعلى جهاز تنفيذي للدولة.
عملت الدولة خلال الفترة الماضية على عدد من التشريعات كقانون حماية البيانات الشخصية وغيره، هل تنجح هذه القوانين في تنظيم سوق البيانات المتعاظم، وهل نحن في حاجة لمزيد من التشريعات؟
الفراغ التشريعي يعني أن هناك أفعال خاطئة ولكنها لا تجرم في القانون، وهناك قوانين غير قابلة للتطبيق لعدم وجود آليات للتطبيق، وبالنظر إلى الاتحاد الاوربي نجد أنه ينسق تشريعات للأمن السيبراني منذ عام 1998 ويقوم بتطويرها باستمرار، لكن في مصر المشكلة الأكبر أننا نهتم بتجويد صياغة القانون بدون رؤية محددة أو آليات مناسبة للتنفيذ.
خطورة عدم التأمين لا تختص الحكومة ومؤسساتها فقط، ولكن لدينا جهات أكثر خطورة في البيانات من الجهات الحكومية، مصر لديها أكثر من 5 مليون جهة تمتلك سجل تجاري، وكل من يملك سجل تجاري يتعامل مع المواطنين ويجمع بيانتاهم وهو أمر خطر جدًا حال تم الاستيلاء على تلك البيانات.
تتبنى الدولة سياسة متكاملة لجعل مصر مركز اقليمي لمراكز البيانات، كيف تقيم البنية التحتية للاتصالات والكهربائية في توفير الدعم اللازم لهذه المراكز؟
البنية التحتية تشهد تطورا كبيرا جدًا وهي قادرة على استيعاب التحول الرقمي الذي تقوم به الدولة في السنوات الأخيرة، وكثير من تلك المنظومة يعتمد على الحوسبة السحابية ومربوط عليها كاميرات مراقبة وأنظمة مختلفة كلها متصلة بالانترنت، وهذا يعني الاحتياج لمنظومة تأمين قد تكلف مصر مليارات وتخصيص عناصر وكوادر مدربة للتعامل مع هذا المنظمة بشكل احترافي.
تشهد أمريكا والدول الأوربية حاليا حالة من الجدل حول مدي خصوصية البيانات فيها واستخدام شركات التكنولوجيا الكبرى لها في أغراض تسويقية وإعلانية، كيف تقيم هذا الجدل وهل سيفرض واقع جديد على العالم متعلق بتأمين بيانات كل دولة داخل أراضيها؟
الجدل الدائر على خصوصية البيانات واقعي جدًا، فالشركات العالمية تستفيد بشكل كبير من التطبيقات التي تقدمها للمستخدمين على مستوى العالم، كما أن مفهوم الخصوصية للمستخدمين بدأ يتغير فبرغم القلق من التجسس إلا أننا كمستخدمين نستفيد من تلك التطبيقات التي تسهل علينا مهام كبيرة، فباتت التطبيقات تطلب منك موافقة على اجراءات محددة حتى لا يتم الرجوع عليها قانونا فيما بعد، وما يمكن أن يكون مقبولاً في أمريكا قد لا يقبل في أوروبا والعكس، لذا يجب أن يحدث مناقشة مستمرة في مصر حول صياغة التشريعات المتعلقة بتأمين البيانات وكيفية التعامل مع الشركات الكبرى التي تتطلع على بيانات المصريين.
ما هو حجم البيانات المتواجدة خارج حدود الدول؟ وهل تنجح مصر في تقليل نسب البيانات الخاصة بمواطنيها أم أن التطبيقات العالمية لا تخضع للسيطرة من الإدارات المحلية؟
الشركات العالمية تتعامل مع الدول كل وفقًا لحجمه، فكلما ارتقيت بصناعة التكنولوجيا، وكلما أصبحت سوقًا كبيرًا، تستطيع التفاوض مع الشركات الكبيرة، الدولة تستطيع فعل ذلك لكن الأفراد ضعيفة لا تستطيع أن تطلب من فيس بوك تغير ما يزعجك على التطبيق، أما بلد مثل الصين تقدر تعمل اللي هي عايزاه، لانهم 1.3 مليار مواطن، بالإضافة إلى أنهم صناع للتكنولوجيا، فأصبحوا مؤثرين، وبرغم أن مصر فيها 100 مليون مواطن فهذا يجعلك أكبر من دول أخرى لكن لست الصين او الهند.
كيف ترى شكل الصراع الدائر حاليا بين الصين وأمريكا وعمليات الإغلاق التي تشهدها التطبيقات العالمية كالفيس بوك وتيك توك بدواعي الأمن القومي؟ وهل تمتد هذه السياسات إلى دول أخرى في المستقبل؟
هذه دول كبرى وليست ساذجة، فهي في الأصل صراعات على التطبيقات وجزء منها أمن قومي وجزء أخر اقتصادي، كل دولة تحمي مصالحها، والصراع على صدارة التكنولوجيا، خاصة بعد استشفاف أمريكا أن هواوي عندها خطوات جبارة في ملف الجيل الخامس، واستشعرت أنه من الخطر على الدولة الأمريكية أن تكون الصين المالك لتكنولوجيا الجيل الخامس، فأصبحت كل دولة تستخدم أسلحتها المتاحة في الحرب الاقتصادية، أما نحن فيجب علينا التفكير بالجنسية المصرية، وكيفية تحقيق مصلحتنا مع الدولتين، وكيف أكون طرف ثالث متعاون باعتباري دولة مستقلة بناء على مصالح مشتركة.
لماذا تفضل عدم الحديث عن منصبك السابق في مركز سيرت؟
اللي أقدر أقوله، ان سيرت من أهم المؤسسات المعنية بتأمين وصد المخاطر السيبرانية على مؤسسات الدولة، وكل اللي شغالين فيه مصريين، وكان ترتيبنا خلال فترة رئاستي للمركز، رقم 14 على مستوى العالم في معدل الاستجابة للمخاطر السيبرانية، ولكن الأمر يحتاج إلى استمرارية والتدريب ورفع الكفاءة.
ما هي النصيحة التي تود أن تختتم بها حديثك؟
التحول الرقمي أمر كبير جدًا لمصر كدولة وسيحقق فائدة للمواطنين وسيقضي على الجزر المنعزلة، ولكنه لن ينجح بدون تأمين، وليس هناك منظومة تأمين ناجحة بدون رؤية واضحة واستراتيجية للتنفيذ ومحدد فيها مهام وتوزيع أدوار، ثم مرحلة قياس أداء للتقييم وتصحيح الأخطاء، بدلاً من التربص الذي يقتل الإبداع.
