ما الفرق بين أمن المعلومات والأمن السيبراني؟

أجزم أن تساؤلاً كهذا قد جال في ذهن القارئ العزيز، وخصوصًا في السنوات الأخيرة التي شهدت اهتمامًا ملحوظًا بتأمين البيانات، وحمايتها عالميًّا، وحتى على الصعيد الوطني. وبوصفي باحثًا مختصًّا بأمن المعلومات لا أخفي أني أُسَرُّ حين يزداد وعي المجتمع بمجالات أمن المعلومات، وتصبح قضاياه من القضايا المجتمعية المثيرة للجدل.
إلا أني لمستُ أن تساؤلاً مهمًّا جدًّا من الناحية العلمية والعملية كهذا، وتساؤلات علمية أخرى مشابهة (مثلاً: ما أهمية تعدين العملة الرقمية؟ وإن كان مهمًّا فلِمَ توجد عملات رقمية بلا تعدين؟ ما فرَّق علم المعلومات عن إدارتها؟ وما علاقة البيانات الضخمة بإنترنت الأشياء؟... وغيرها الكثير) يتصدى لها في كثير من الأحيان أناس من غير ذوي الاختصاص؛ فتأتي الإجابات إما مبتورة، أو خاطئة وفاقدة للمنطق الصحيح.
المهمة الرئيسة للباحث والعالم المختص هي البحث في إجابة تساؤلات علمية، وحين يصل إلى جانب من الحقيقة العلمية يقوم بتأطيرها، وضبطها بعد تعريفها. وأن يتصدى للعلم من تعوزه التؤدة فيه هو أمر طبيعي، يحصل في كل المجتمعات في العالم، لكن أرجو أن نعي جيدًا أن الجواب الصحيح يؤخذ من المختص لا من المهتم.
لنبدأ بأمن المعلومات، هذا المجال العلمي الرصين الذي يحوي أفرعًا وأبوابًا عدة، وتعطَى فيه الشهادات العليا في الجامعات المرموقة في العالم منذ ما يزيد على العشرين عامًا. أفرع أمن المعلومات لها معايير عدة، وضعتها جهات عالمية متعددة منذ عقود. ولعل النظر إليه باعتباره مجالاً علميًّا مستقلاً بدأ مع أبحاث السيد أندرسين المنشورة في العام 1972م حين حاول علميًّا تأطير أمن المعلومات، ووضع التعريفات الخاصة به.. ثم توالت الأبحاث بعد ذلك بسرعة، ولعل أشهرها بحث وايتفيلد ديفي ومارتن هيلمان ورالف ميركل في العام 1977م الذي بدأ ثورة لم تنتهِ حتى يومنا هذا في مجال التشفير. لا تفوتني أيضًا الإشارة إلى التقرير الشهير للسيد ويليس وير الذي أعده في العام 1979م للذراع البحثية لوزارة الدفاع الأمريكية [مؤسسة RAND]. (بالمناسبة هذه المؤسسة هي من قامت بابتكار الإنترنت!). إذ تحدث ويليس في تقريره الطويل عن وسائل حماية أنظمة الحاسب، وأهميتها.
والمعايير العالمية في هذا أكثر من أن تُسرد في مقال كهذا، لكن لعل من أهمها معيار ISO/ IEC 7498 بجزأَيْه الأول والثاني المنشور في العالم 1994م، الذي أعتبره شخصيًّا المرجع الأول في أهداف أمن المعلومات وتكنيكاته.
لستُ هنا بصدد التفصيل في شأن علمي؛ فالأهم هنا هو الوصول لجواب شافٍ للتساؤل الذي عنونتُ به مقالتي هذه. ولا أريد أن أخسر القارئ العزيز بأن أجعله يمل؛ فنحن الأكاديميون مملون أحيانًا.
لذا، لعل من الأجدى استعراض تعريف معتمد لما يسمى (أمن المعلومات)، لا بوصفه علمًا أكاديميًّا، بل مجالاً عمليًّا أيضًا. ولا أجد هنا أفضل من معيار NIST7298 الذي يتفق حرفًا مع التعاريف الواردة في معيار CNSSI4009. وبالمناسبة، NIST هي الذراع المعيارية لوزارة التجارة الأمريكية، لكنها - وحتى وقت قريب - تتبع لوكالة الأمن القومي NSA فيما يتعلق بمعايير أمن المعلومات. أما CNSS فهي اللجنة الأمريكية لأنظمة الأمن الوطني (ترأس وزارة الدفاع الأمريكية هذه اللجنة، وتضم في عضويتها جهات عديدة، مثل FBI وCIA وNSA ومجلس الأمن الوطني الأمريكي... وغيرها). ينص معيار NIST7298، الذي يهدف لوضع تعاريف معياريه لمصطلحات أمن المعلومات، على: «أمن المعلومات يهدف إلى حماية الأنظمة الحاسوبية من الوصول غير الشرعي لها، أو العبث بالمعلومات أثناء التخزين أو المعالجة أو النقل. أيضًا يهدف إلى الحماية ضد تعطيل خدمة المستخدمين الشرعيين. يُعنى أمن المعلومات بالوسائل الضرورية لاكتشاف وتوثيق وصد كل هذه التهديدات». التعريف هنا عام بشكل واضح؛ فهو يشمل تقريبًا كل ما من شأنه حماية (المعلومة) التي قد تكون في نظام حاسوبي، أو قد لا تكون. أمن المعلومات هو المظلة الكبرى التي تغطي كل الأفرع الأخرى المرتبطة بحماية البيانات والمعلومات وتأمينها. لذا، فأمن المعلومات يهتم بمجالات ضخمة، كالتشفير، والتخزين، والتأمين الفيزيائي، والمعايير الأمنية، وإدارة أمن المعلومات والمخاطر.. وغيرها من المجالات التي سنرى أنها ليست من المجالات التي تحظى بالأهمية نفسها حين نتحدث عن الأمن السيبراني.
لنأتِ الآن للمصطلح الأحدث: الأمن السيبراني. ولعلنا قبل أن نعرِّفه يجدر بنا أولاً أن نتحدث عن معنى مصطلح (سيبراني). يعرِّف قاموس أكسفورد كلمة سيبراني، أو Cyber، بأنها صفة لأي شيء مرتبط بثقافة الحواسيب أو تقنية المعلومات أو الواقع الافتراضي. ولعلي أضيف هنا بأن هذه الكلمة مشتقة من الكلمة اليونانية، وهي صفة للماهر في القيادة. بدأ استخدام هذه الكلمة في أربعينيات القرن الماضي في الكتب العلمية، ككتاب Cybernetics or Control and Communication in the Animal and the Machine، ثم انتشر استخدامها في الستينيات الميلادية في البرامج التلفزيونية الشهيرة، كبرنامج BBC الشهير Doctor Who، والمسلسل الشهير The Avengers. وامتد الأمر ليصل ذروته في الرواية الشهيرة جدًّا للكاتب ويليام جيبسون Neuromancer التي نُشرت في النصف الأول من ثمانينيات القرن الماضي. في كل تلك الأعمال التي أشرت لها كان مصطلح سيبراني يُستخدم كصفة ملحقة بكلمة أخرى للموصوف (مثلاً Cyberman)، وكانت في الغالب تُستخدم بمعنى ذكي، أو قادر على التفكير الذاتي باستخدام تقنيات الحاسب.
لتعريف مصطلح الأمن السيبراني سأعود للمرجع نفسه الذي عرَّفنا من خلاله مصطلح أمن المعلومات، وهو NIST7298 وCNSSI4009، حيث يعرَّف الأمن السيبراني باختصار شديد جدًّا ب: «الأمن السيبراني يهدف للدفاع عن الفضاء السيبراني ضد الهجمات السيبرانية». وبحسب المراجع نفسها فإن الفضاء السيبراني هو: «مجال عالمي داخل البيئة المعلوماتية، يتكون من شبكة مستقلة من البنى التحتية لأنظمة المعلومات، ويتضمن ذلك الإنترنت وشبكات الاتصالات وأنظمة الحاسب والمعالجات المدمجة». وهنا يتضح أن الأمن السيبراني يُعنى بوسائل الحماية والدفاع عن كل أنظمة الحواسيب والشبكات الذكية؛ فهو مجال لا يركز كثيرًا على الوسائل التأسيسية -كوسائل التشفير مثلاً- بقدر تركيزه على الإفادة من هذه الوسائل في الدفاع الرقمي. الأمن السيبراني هو مجال يضع في أولوياته تقنيات الدفاع وأنظمته واستراتيجياته.
وعليه، فأمن المعلومات والأمن السيبراني هما مصطلحان متشابهان، لكنهما ليسا متطابقَين. وأمن المعلومات بالتعريف هو أعم وأوسع من الأمن السيبراني. ولعل التخصيص هنا بالتركيز على مجال الأمن السيبراني، بوصفه مجالاً من مجالات العلم، هو أمر مفيد جدًّا؛ فعلم الحاسب وعلم التشفير - مثلاً - اشتُقَّا أول ما اشتُقَّا من علم الرياضيات التطبيقية لأهميتهما، ثم ما لبثت هذه المجالات العلمية أن حلقت في فضاء العلم الرحب؛ لتتمدد، وتتوسع، وتخرج خارج الأطر العلمية لمجالها الأب. وهو الأمر ذاته الذي أتوقع لمجال الأمن السيبراني.
في مجال الدراسة الأكاديمية توجد برامج رصينة من جامعات مرموقة، تختص بأمن المعلومات (على رأسها هولوي الملكية -جامعة لندن- الحاصلة على جائزة جلالة الملكة في هذا المجال، وأكسفورد، وكارنيجي ميلون، وجورج ميسن، ومانتشستر، وبوردو... وغيرها الكثير)، وأخرى تختص بالأمن السيبراني ك(ليفربول، وجورج واشنطن، وسركيوز، وكابلان... وغيرها). ونحن في المملكة العربية السعودية بحاجة إلى الاثنين معًا. فعلى سبيل المثال، من المثلبة أن نتقن استخدام أدوات التراسل المشفر بمهارة واحترافية دون أن نتقن التشفير نفسه، ولا نملك مشفرين خبراء. وبنظرة فاحصة إلى الاهتمام الكبير بعلم التشفير -مثلاً- والإنجازات الكبيرة فيه في جامعة لا تبعد عنا كثيرًا (جامعة تل أبيب في فلسطين المحتلة)، سنعرف الأهمية الاستراتيجية لهذا الأمر. علمًا بأننا سادة هذا العلم في فترة مضت بإنجازات علماء، أبهروا العالم، كالعبقري الخوارزمي، والعالم العربي الكندي... وغيرهما. وعليه، لا تقل أهمية وجود برامج أكاديمية مختصة في أمن المعلومات عن أخرى مختصة في الأمن السيبراني كما قد يتوهم البعض.
وأختم بالإشارة إلى أنه مما يدعو للزهو والاعتزاز والحبور أن يشهد مختصو أمن المعلومات هذا الاهتمام الملحوظ من دولتنا الغالية بهذا المجال المهم.. اهتمام لمسناه في دعم كبير لكل البرامج الأكاديمية والتدريبية المختصة بأمن المعلومات، وتجلى في تأسيس الهيئة الوطنية للأمن السيبراني، تلك الهيئة الرائدة الواعدة التي ينتظر منها الكثير في ضبط كثير من الأمور ذات العلاقة. وأيضًا تأسيس الاتحاد السعودي للأمن السيبراني والبرمجة، الذي تبنى مؤخرًا كلية مختصة في الأمن السيبراني. اهتمام اشرأب به ومعه عنقي - بوصفي مختصًّا لطالما انتظره وأدرك قيمته - فجاوز السماك الأعزل!
** **
د. وليد بن أحمد الروضان - عميد كلية علوم الحاسب والمعلومات في جامعة الإمام محمد بن سعود الإسلامية وباحث مختص في مجال أمن المعلومات