"فورين أفيرز": نهاية الأمن السيبراني.. الدفاعات الرقمية الأميركية تفشل
تكمن أزمة العصر الرقمي في أنّ العالم يبني مستقبله على برمجيات هشّة، تُطلق بسرعة وتُصلح ببطء، فتتحوّل التقنية من أداة تقدّم إلى مصدر خطر دائم.
-
"فورين أفيرز": نهاية الأمن السيبراني.. الدفاعات الرقمية الأميركية تفشل
مجلة "فورين أفيرز" الأميركية تنشر مقالاً يتناول أزمة الأمن الرقمي في أميركا، ويرى أنّ الأمن السيبراني فشل بسبب خلل في الحوافز الاقتصادية.
أدناه نص المقال منقولاً إلى العربية:
في العام 1988، تسبّب "فيروس موريس" وهو برنامج كمبيوتر تجريبي أعدّه طالب دراسات عليا فضولي، عن غير قصد في شلّ الإنترنت في بداياته، وكشف للمرّة الأولى عن العواقب الخطيرة للبرمجيّات المصمّمة على نحو سيّئ. وبعد ما يقارب من 40 عاماً، لا يزال العالم يعتمد على شفرات هشّة مليئة بأنواع العيوب والأخطاء ذاتها. وبينما تتكرّر التقارير الإخبارية عن الاختراقات والتسريبات، تتغاضى الولايات المتحدة عنها، لأنّها في الحقيقة لا تعاني مشكلة أمن سيبراني، بل مشكلة جودة البرمجيّات التي تستخدمها، حيث صناعة الأمن السيبراني التي تُقدّر بمليارات الدولارات وُجدت أساساً لتعويض البرمجيات غير الآمنة.
كذلك، تظهر تأثيرات نقاط الضعف المستمرّة في البرمجيات الأميركية المواكبة في الوقت الفعلي. مثلاً، منذ عام 2021 على الأقلّ استغلّ قراصنة مرتبطين بوزارة أمن الدولة الصينية وجيش التحرير الشعبي أنواع الثغرات ذاتها، التي تسلل من خلالها "فيروس موريس" قبل عقود. وهذه المجموعات، المعروفة باسم "إعصار الملح" و"إعصار الفولت"، استفادت من الأنظمة غير المحدّثة، وأجهزة توجيه ضعيفة الحماية، والأجهزة المصمّمة للاتّصال وغير المرنة للتسلّل إلى شبكات الاتصالات وأنظمة النقل ومرافق الطاقة.
وفي هذا العام فقط، استغلّ قراصنة من جهاز الأمن الفيدرالي الروسي ثغرةً غير معالجة في أجهزة الشبكات لاختراق آلاف أجهزة التوجيه والمفاتيح المتّصلة بالبنية التحتية الأميركية. ومع اعتماد المزيد من المؤسّسات مثل المستشفيات والموانئ وغيرها، على البرمجيات في عملياتها، أصبح الكود غير الآمن تهديداً متزايداً للبلاد، بينما تستمرّ هذه الثغرات الأمنية، لأنّ بائعي البرامج لا يجدون حوافز تُشجّعهم على إعطاء الأولوية للأمن، حيث يبقى من الأرخص والأسرع تحميل العملاء تكاليف انعدام الأمن.
وبما أنّ الكثير من التعليمات البرمجية التي تدعم البنية التحتية الحيوية الأميركية، يعود تاريخها إلى عقود من الزمن، فإنّ إعادة كتابتها على نحو آمن كانت مُكلفةً للغاية وتستغرق وقتاً طويلاً بحيث لا تكون منطقية من الناحية التجارية. ولكن هناك قدرات للولايات المتحدة، من ضمنها القوة المتسارعة للذكاء الاصطناعي يمكن استخدامها لإصلاح هذه المشكلات البرمجية عبر النظم البيئية الرقمية بأكملها.
قد ينذر هذا بنهاية الأمن السيبراني كما نعرفه حاليّاً، ويجعل الولايات المتحدة أقلّ عرضة للخطر نتيجة لذلك. لكنّ فرصة الاستفادة من التكنولوجيا الجديدة تضيق، بينما يتزايد عدد خصوم الولايات المتحدة، الذين يتطلّعون إلى استخدام الذكاء الاصطناعي لتعزيز قدراتهم على شنّ الهجمات الإلكترونية. والآن هو الوقت المناسب للوكالات الحكومية الأميركية والشركات الكبرى، لدعوة المؤسّسات الرسمية والمستثمرين إلى العمل معاً لتغيير الحوافز الاقتصادية جذرياً واستخدام الذكاء الاصطناعي لتحسين الدفاعات الرقمية للولايات المتحدة. بالطبع لن يكون الفضاء الإلكتروني آمناً تماماً أبداً، لكنّ الحالة الراهنة في سوق الأمن السيبراني، يجب ألّا تبقى سمة دائمة للعصر الرقمي، وقد أصبح من الممكن إيجاد نهج أفضل وأكثر أماناً للبرمجيات.
في جوهر الأزمة، لا تكمن مشكلة الأمن السيبراني في القراصنة أو أدواتهم المتطوّرة، بل في المنتجات التكنولوجية نفسها التي تُطرح في السوق وهي مليئة بالثغرات المعروفة والقابلة للتجنّب.
الأصل في الخلل اقتصاديّ لا تقني. فالمستهلك لا يستطيع التمييز بين البرمجيات الآمنة وغير الآمنة، فيعتمد على وعود البائعين، بينما لا يجد المطوّرون حافزاً حقيقياً للاستثمار في الأمان، لأنه عنصر غير مرئي ولا يُقاس بسهولة. لذا تتنافس الشركات على ما يراه الزبائن: السعر، السرعة، وسهولة الاستخدام، حتى لو جاء ذلك على حساب الأمان.
نتيجة هذا المنطق السوقي، نشأت صناعة كاملة لما بعد الأمن السيبراني—برامج مكافحة الفيروسات، أنظمة الجدران النارية، وأدوات الكشف عن الاختراق—وكلّها تُعالِج النتائج لا الأسباب. فهي تُصلح ما لم يكن يجب أن يُكسر أصلاً، وتُدافع عن أنظمة كان ينبغي أن تكون آمنة من البداية.
أما شركات البرمجيات، فلا تُحاسب على إخفاقاتها الأمنية، إذ لا توجد معايير ملزمة أو عقوبات على البرمجيات غير الآمنة. وعندما تقع اختراقات كبرى، تُصدر الشركات تحديثات مؤقتة بدل إعادة التصميم من الأساس، لأنّ الكلفة يتحمّلها المستخدم لا المنتج.
بهذا، صار الخلل البنيوي في السوق هو المحرّك الرئيس للهشاشة الرقمية: منتجات تُطرح بسرعة، بأسعار تنافسية، ولكنها مفتوحة على الاختراقات. ما لم يُغيّر هذا التوازن المشوّه في الحوافز الاقتصادية، سيبقى الأمن السيبراني علاجاً لأمراضٍ من صُنع السوق نفسها.
لمدة طويلة، كانت شركات البرمجيات تتجنّب الاستثمار الجدّي في الأمان لأنّه مكلف وصعب، لكنّ الذكاء الاصطناعي بدأ يغيّر هذه المعادلة جذرياً. فالتكنولوجيا الجديدة تَعِد بإنتاج أكواد أكثر أماناً وبتكلفة أقلّ، وإصلاح الثغرات في البرمجيات القديمة بسرعة غير مسبوقة، ما قد يُقلّل من المخاطر السيبرانية التي تهدّد البنية التحتية الرقمية.
اليوم، تعتمد كبرى شركات التقنية على الذكاء الاصطناعي لإنتاج نسبة متزايدة من الأكواد، قد تصل قريباً إلى أكثر من 80%. ومع أنّ هذا يحمل مخاطر إعادة إنتاج أخطاء البرمجة البشرية، فإنّ هذه الأنظمة قادرة أيضاً على التعلّم من العيوب السابقة وتصحيحها إذا دُرّبت على معايير الأمان.
17 حزيران 2021 15:09
وقد أثبتت التجارب بالفعل فاعلية الذكاء الاصطناعي في اكتشاف وإصلاح الثغرات خلال دقائق وبتكلفة ضئيلة، وهي مهمة كانت تتطلّب أياماً أو أسابيع من عمل الخبراء. وتستخدم شركات مثل غوغل وميتا ومايكروسوفت هذه التقنيات لتأمين برامجها وخدماتها الحيوية.
تأتي أهمية هذه الخطوة في أنّ معظم البنية التحتية الرقمية في العالم تعمل على أكواد قديمة كتبت منذ عقود، وتحتوي على نقاط ضعف متأصلة. كانت إعادة كتابتها أمراً شبه مستحيل، لكنّ الذكاء الاصطناعي جعل ذلك ممكناً وميسور الكلفة، إذ بات قادراً على مراجعة وتحويل الشفرات غير الآمنة على نطاق واسع وفي الوقت الفعلي.
صحيح أنّ الذكاء الاصطناعي يمنح المهاجمين أدوات هجومية أسرع وأكثر ذكاءً، لكنّ قوته الحقيقية تكمن في الوقاية لا في الردّ. فبدلاً من إصلاح الأضرار بعد وقوعها، يمكنه معالجة جذر المشكلة: كتابة برامج آمنة منذ البداية.
وهكذا، قد يقود الذكاء الاصطناعي إلى تحوّل هيكلي في مفهوم الأمن السيبراني، بحيث يصبح الأمان جزءاً مدمجاً في تصميم البرمجيات، لا خدمة إضافية تُشترى لاحقاً، وتتحوّل الحماية من استجابة متأخّرة إلى أساسٍ دائم للحياة الرقمية.
في الوقت الراهن، لا يكفي الاعتماد على التطوّر التقني وحده لتحقيق أمن سيبراني متماسك. فـالانتقال من الفوضى إلى الاتساق يتطلّب إرادة سياسية وتنظيمية حازمة، إذ لن تنجح التغييرات التدريجية في إصلاح نظامٍ هشّ يقوم على برمجيات ضعيفة وممارسات غير منضبطة.
تكمن العقبة الرئيسية في غياب الحوافز الموحّدة والمسؤولية الواضحة بين الحكومات والشركات والمستثمرين. فمن دون تنسيق مشترك ومعايير واضحة، تبقى السوق مفتوحة أمام منتجات تفتقر إلى الأمان، بينما يتحمّل المستخدمون وحدهم نتائج الإخفاقات الأمنية. كما أنّ أنظمة الذكاء الاصطناعي نفسها، التي يُعوَّل عليها لتأمين البرمجيات، قد تُشكّل تهديداً جديداً إن لم تُصمَّم وتُدرَّب بشكل آمن، إذ يمكن التلاعب بها أو استغلال مكوّناتها غير الموثوقة.
بدأت الولايات المتحدة بالفعل في تحديد إطار تنظيمي أوّلي عبر "خطة الذكاء الاصطناعي" الصادرة عن البيت الأبيض وقانون "المساءلة للذكاء الاصطناعي" في كاليفورنيا، وكلاهما يهدف إلى إدخال مبادئ الشفافية والمساءلة في أنظمة الذكاء الاصطناعي. لكنّ المطلوب أوسع من ذلك: إنشاء معايير موحّدة تُمكّن المستهلك من تقييم درجة الأمان في البرمجيات تماماً كما تُقيَّم كفاءة الطاقة أو السلامة في السيارات.
وفي هذا الاتجاه، أطلقت إدارة بايدن علامة "الثقة الإلكترونية الأميركية" كملصق أمان للأجهزة المتصلة بالإنترنت، لكنها تظلّ خطوة محدودة ينبغي تعميمها على جميع البرمجيات لتشجيع المنافسة على الجودة الأمنية. فالسوق يجب أن تُكافئ الشركات التي تستثمر في الأمان، لا تلك التي تختصر الطريق إلى الأرباح.
كما أنّ غياب توحيد القواعد التنظيمية بين القطاعات — من الطاقة إلى الاتصالات والتمويل — يُبقي السياسات الأمنية في حالة فوضى. وقد أوصت لجنة "سولاريوم" بأن تتحمّل شركات البرمجيات مسؤولية قانونية عن الإخفاقات الناتجة من تصميمٍ مهمل، ما سيحوّل العبء من المستخدمين إلى صانعي الشفرة أنفسهم.
وأخيراً، تبرز فرصة جوهرية لدى الحكومة الأميركية بصفتها أكبر مشترٍ للبرمجيات في العالم. فإذا أدرجت معايير الأمان الصارمة ضمن عقود الشراء الفيدرالية، فستُجبر المورّدين على تحسين ممارسات التطوير. التجارب الأولية، مثل مبادرة "جي بي مورغان تشيس" التي اشترطت أماناً أعلى من مورّديها، أظهرت أنّ قوة الشراء قادرة على تغيير السلوك الصناعي.
إنّ الطريق إلى نظام سيبراني أكثر اتساقاً يبدأ من إعادة بناء الثقة عبر الشفافية والمساءلة، بحيث لا يكون الأمان خياراً ثانوياً أو امتيازاً إضافياً، بل معياراً إلزامياً في كلّ سطر من الشفرة.
المستقبل هو الآن
تتزايد خطورة فشل الولايات المتحدة في معالجة أزمة جودة البرمجيات، فيما تعتمد قطاعات حيوية، من الكهرباء والمستشفيات إلى الموانئ والشبكات المالية، على أنظمة رقمية معقّدة تجعلها عرضةً للانقطاع والاختراق. لقد تحوّل الخلل البرمجي من مشكلة تقنية إلى تهديد بنيوي للأمن القومي والاقتصادي، ومع ذلك لا تزال الشركات والجهات التنظيمية تتعامل معه كأمر اعتيادي، تردّ عليه بترقيعات مؤقتة وتلقي باللوم على المستخدمين.
ورغم تصاعد الوعي بالمخاطر، فإنّ غياب إطار وطني ملزم جعل الأمن البرمجي قضية ثانوية في السياسات العامّة. فلا الكونغرس أقرّ تشريعات تحدّد المسؤولية، ولا السلطة التنفيذية وضعت معايير واضحة للسلامة الرقمية. وبدلاً من بناء برمجيات آمنة في الأساس، تُطلق الشركات منتجات سريعة وغنية بالميزات، لكنها مليئة بالثغرات، لتتحوّل دورة الابتكار إلى سباق بين المبرمجين والمخترقين.
وتفاقم هذه الأزمة مقاومة جماعات الضغط الصناعية لأيّ إصلاحات قد ترفع التكاليف أو تُبطّئ وتيرة السوق. ومع غياب المحاسبة والرقابة، أصبح الأمن السيبراني في أميركا نظاماً هشّاً يُدار بالاستجابة لا بالوقاية، وتتحمّل الحكومة كلفة حماية بنية تحتية كتبت شفراتها منذ عقود ولم تُصمّم لتحمّل تهديدات العصر الرقمي.
إنّ أزمة جودة البرمجيات ليست خللاً تقنياً، بل هي خلل حضاريّ في الطريقة التي تُدار بها التكنولوجيا الحديثة: سباق دائم نحو الجديد، مع تجاهل الأساس الذي يقوم عليه كلّ شيء: الأمان. فالمستقبل ليس أمامنا، بل بدأ بالفعل، وكلّ تأخير في إصلاح هذا الخلل يجعل العالم الرقمي أكثر هشاشة، والواقع أكثر عُرضةً للانهيار.
نقله إلى العربية: حسين قطايا.
