هل تحمل قوانين البيانات الوطنية مخاطر سيبرانية للمنظمات الكبيرة؟

Khaled AlZahraniمنذ أسبوعين

3 دقائق

Do National Data Laws Carry Cyber-Risks for Large Orgs?

تسعى هذه المقالة إلى استكشاف العلاقة بين قوانين توطين البيانات والمخاطر السيبرانية التي تواجهها المنظمات الكبيرة في ظل الامتثال لتلك القوانين.

تخلق قوانين توطين البيانات الوطنية أكثر من مجرد مشكلات تتعلق بالامتثال للشركات – بل إنها قد تفتح أيضًا ثغرات في الأمن السيبراني يمكن للمهاجمين استغلالها.

في السنوات الأخيرة، أصبحت القوانين التي تجبر الشركات على الاحتفاظ ببيانات المواطنين داخل حدود بلادهم شائعة بين الدول القوية. أدرجت الصين مثل هذه القاعدة في قوانينها في عام 2017، وتبعها الاتحاد الأوروبي (EU) في العام التالي. وتبعتهم الهند وروسيا والسعودية ونيجيريا وغيرها.

تُباع قوانين توطين البيانات كفائدة للخصوصية والأمن السيبراني للمواطنين، وربما تكون كذلك. يتم الاحتجاج بأن الشركات تعرض بياناتنا للخطر من خلال تصديرها إلى أماكن غير معروفة، وإجبارها على تخزينها محليًا يسمح بمزيد من الإشراف. ومع ذلك، فإن هذه القوانين لها علاقة بالسلطة والتنمية الاقتصادية. البيانات قيمة، ومن خلال احتكارها، يمكن للدول تحفيز اقتصاداتها بدلاً من تغذية الآخرين.

تبدأ المشكلة في الظهور عندما تعمل الشركات في دول متعددة – كما هو معتاد – ولكل دولة قوانين وطنية مربحة خاصة بها. في حديث قادم في مؤتمر بلاك هات في الشرق الأوسط وأفريقيا في الرياض، سيناقش إسماعيل أحمد، الرئيس التنفيذي ومؤسس Yalla Hack، كيف أن هذه القوانين تؤدي إلى فجوات في الامتثال، وكذلك ثغرات سيبرانية.

دراسة حالة: الشراكات التقنية السعودية الصينية

سيركز أحمد في دراسته على الحالة المتزايدة الشيوع للشركات التي تتجاوز الصين والسعودية. لقد أصبحت الدولتان تقتربان أكثر من أي وقت مضى، من الناحية الاقتصادية والتكنولوجية، لأسباب متنوعة: مبادرة الحزام والطريق الصينية، العلاقات المتوترة للسعودية مع الولايات المتحدة، السياسة القوية حول فقاعة الذكاء الاصطناعي، ومشاريع التحديث الوطنية المتشابهة، وغيرها.

“في السنوات الخمس الماضية، كانت هناك استثمارات ضخمة من قبل المستثمرين الصينيين الذين يرغبون في دخول الأسواق السعودية والإماراتية، على سبيل المثال، عندما يتعلق الأمر بالمدن الذكية، والذكاء الاصطناعي، والحوسبة السحابية، وتقنيات الجيل الخامس (5G)،” يشرح أحمد، وهو طالب سعودي ولد في الصين. بشكل أكثر وضوحًا، انتقلت شركات التكنولوجيا الصينية الكبرى مثل هواوي وعلي بابا إلى المملكة العربية السعودية، ولكنه يشير إلى أن أكثر من 400 شركة صينية تلعب اليوم دورًا مهمًا في الاقتصاد السعودي. كما يضيف أحمد، “السعودية لا تستورد فقط، بل تعمل في نفس الوقت على تطوير تقنيات بالتعاون مع الصين.”

على الرغم من الفوائد، فإن الامتثال لقوانين البيانات الصارمة في كلا البلدين يمكن أن يكون صداعًا، ويقدم جميع أنواع المخاطر السيبرانية غير الضرورية.

كيف تخلق صراعات الامتثال ثغرات سيبرانية

في وثيقة تم مشاركتها مع Dark Reading، جادل أحمد بأن التوتر بين القوانين الوطنية للبيانات “يمكن أن يخلق بشكل غير مقصود (أو مقصود) ثغرات مثل تدفقات البيانات غير المراقبة، أو نقص حقوق التدقيق المحلية، أو الاعتماد على قنوات الصيانة من طرف ثالث التي تعمل كأبواب خلفية بحكم الواقع” بفضل الترتيبات التعاقدية والممارسات التشغيلية الغامضة أو المتضاربة أو غير الضرورية.

بالطبع، تتطلب مجموعات مختلفة من أنظمة تكنولوجيا المعلومات المزيد من الأنظمة والمزيد من الأفراد لحمايتها، وتعيق المسافة قدرة المنظمة على إجراء إشراف مركزي على الأمن السيبراني أو الاستجابة للحوادث. ولكن بشكل أكثر دقة، يمكن أن تعقد القوانين الوطنية أيضًا قدرة الشركة على إنشاء خطوط واضحة من المسؤولية والإجراءات والسياسات عبر الفرق والأنظمة.

على سبيل المثال، يمكن أن تنشأ مواقف محرجة عندما تضطر شركة في بلد ما للاعتماد على شركة في بلد آخر لتخزين بياناتها، أو إدارتها بطريقة ما، أو مساعدتها في الامتثال للقوانين المحلية. اعتمادًا على طبيعة تلك العقود، والقوانين التي تحكمها، قد تفتقر الشركة التي تدخل ذلك الإقليم الجديد إلى الحقوق الكاملة للتدقيق وتأمين بياناتها الخاصة.

بينما يجب أن تبقى بعض أنواع البيانات في بلد واحد أو آخر، ستظل العديد من البيانات بحاجة إلى السفر. قد تكون هناك حاجة إلى بائعين وحلول من طرف ثالث غير ضرورية لمساعدة هذه التدفقات لتجنب انتهاك المتطلبات المحلية، مما يؤدي بدوره إلى الحاجة إلى المزيد من الأنظمة لمراقبة وتسجيل وتأمين تلك البيانات أثناء انتقالها.

في البلدان الاستبدادية، قد تحتاج الشركات إلى الشراكة مع بائعين معتمدين من الحكومة. قد يتمتع هؤلاء البائعون بالوصول المميز إلى الأنظمة الحساسة دون 100% من المسؤوليات الأمنية المترتبة التي قد تفرضها الشركة على البائعين المختارين.

في هذا العصر، يقول أحمد، تحتاج المنظمات الدولية إلى خارطة طريق لإدارة مجموعات القوانين الوطنية المتضاربة. “الأمن التقليدي غير كافٍ. يجب على المنظمات اعتماد استراتيجيات ضمان مزدوجة الاختصاص القضائي التي تقوم بمراجعة نشطة للتضارب في الامتثال، وتفرض شفافية تدفق البيانات، وتبني القدرة على التحمل ضد المخاطر النظامية الناشئة عن عدم التوافق الجيوسياسي والتنظيمي،” كما يقول. ويسمى حله الخاص، الذي سيتم الكشف عنه في بلاك هات، نموذج “ضمان الامتثال والاختصاص المزدوج” (DJAC).

“التهديد الحقيقي ليس مجرد كود،” يؤكد، “إنه باب خلفي في العقد.”

في الختام، من الضروري أن تتبنى المنظمات استراتيجيات فعالة للتعامل مع القوانين الوطنية المتضاربة لضمان أمن بياناتها واستمرارية أعمالها.

الوسوم