البيانات الي عندي سرية جدا
ده كان رد أحد المسؤولين ومتخذي القرار منذ أكثر من عشرة أعوام عندما كنت أحاوره في امكانية استضافة نظام داخلي في احدى الشركات المتخصصة في خدمات الاستفاضة. وكان هذا الرد بمثابة إغلاق للحوار
ومازال هذا الجواب يتم تردده في جميع القطاعات من قطاع حكومي وقطاع بنكي وقطاع اقتصادي وشركات خاصة
بالتأكيد سرية البيانات والمعلومات وتأمينها من اهم الضروريات، بل اصبحت جزء أساسي لا يتجزأ في مراحل تصميم اي منظومة مستحدثة او لتشغيل منظومة حالية ومن اعمدة التحول الرقمي. ويجب تأمين هذه البيانات بما يضمن عدم اختراقها والتلاعب بها أو وصلها لأطراف او اشخاص مش مصرح ليهم الاطلاع عليها بشكل عام إذا كانوا داخل الجهة أو الشركة أو خارجها
كمان البيانات وحدها وتكوينها وتجميعها بجوده من اهم اصول وممتلكات المؤسسات في عصر تكنولوجيا المعلومات علشان بتمكن الجهات والشركات من إعداد تقارير واستنباطات مختلفة بتساعدهم في التخطيط وتحسين التشغيل وإدارة الأعمال واتخاذ القرارات بناء على البيانات
ولكن يبقى هناك مجموعة من الاسئلة التي يجب الرد عليها والتي لا تتعارض مع مبدأ التأمين أو مبدأ استخدام خدمات مثل خدمات الحوسبة السحابية او حتى الاستضافة لدى الغير
ما يجعل البيانات سرية أو لماذا تعد بعض البيانات سرية عن بيانات اخري؟
لإجابة السؤال ده في منظمات ودول قامت بتصنيف بياناتها بأشكال مختلفة ووضحت في كل تصنيف ايه معناه وكيفية التعامل معاه ومين هما الي في امكانهم الاطلاع وايه أحسن الطرق للتعامل مع البيانات ديه إذا كان يدويا او تكنولوجيا وكيفية الاحتفاظ ومعالجة البيانات ولو كانت سرية امتى ممكن تنتهي فترة سريتها
مثال على ذلك إنجلترا صنفت البيانات الحكومية لثلاث انواع هما: رسمية وسرية وسرية للغاية، غيرها زي استرليا صنفتهم خمس تصنيفات هما: غير رسمية ورسمية ورسمية حساسة وسرية وعالية السرية، خلينا ناخد مثال تصنيف إنجلترا ونشوف الثلاث تصنيفات ليهم
البيانات الرسمية تمثل أقل مستوى واغلب البيانات الحكومية يمثلها التصنيف ده ووضحوا في تصنيف البيانات ان ممكن تكون أنواع تحت البيانات الرسمية ليها خصوصية محددة ومش مسموح انها تخرج بره البلد مثلا البيانات الخاصة بالصحة وخصوصا الأفراد لكن يمكن تخزينها ومعالجتها داخل مراكز البيانات في الدولة. وسموا البيانات تحت التصنيف ده البيانات الرسمية الحساسة. ونشروا في التصنيفات ايه من البيانات ديه ممكن يكون خارج مراكز البيانات الحكومية أو المعتمدة من الحكومة
طيب ايه البيانات السرية وعالية السرية، هو في تفصيل مختلفة بينهم بس للتسهيل، أي بيانات تمثل خطر على حياة اشخاص او حريتهم او امانهم، وتؤثر على أمن انجلترا وحلفائها، هتأثر على تدمير بعض العمليات الامنية والاستخبارية، هتأثر على الوضع الاقتصادي للبلد أو العلاقات مع دول تانية. وتعوق بشكل قوي عمليات الفحص والتحريات على جرائم منظمة
طبعا التصنيف من سري وسري للغاية بيزيد مع زيادة العوامل ديه، مثلا لما الخطر يكون على مجموعة أكبر من الأشخاص، أو المعلومات تؤدي لتهديد علاقة مع دولة صديقة أو يؤثر على موقف انجلترا عالميا ويزيد من التوتر تصبح البيانات سرية للغاية. والبيانات والمعلومات دي بيتم التعامل معها بحذر شديد وبتسجل كل حركة أو اطلاع او تغيير عليها إذا كان ورقيا او الكترونيا. وساعات بيتم تأمين نقلها عن طريق الشرطة
ومع ذلك في طبعا اشتراطات على الانظمة المستخدمة لتخزين ومعالجة البيانات ديه ونقلها الكترونيا عن طريق شبكات خاصة ويمكن الاطلاع عليها عن بعد باشتراطات وموافقات
لكن زي ما وضحنا أغلب البيانات تحت التصنيف الاول الرسمي. التصنيف الخاص بإنجلترا تم نشره في ٢٠١٨ ويعتبر نموذج جيد لتصنيف سرية البيانات، لكن في دول تانية كتير عملت تصنيف للبيانات وبتطلب من الجهات والشركات التابعة ليها انها تبدأ تصنف البيانات بتاعتها طبقا للتصنيف المعلن، وطبعا الشركات بتصنف بطريقة مختلفة لكن بتتناسب ولا تتعارض مع قوانين الدول الي هي تابعة ليها
غير كده بقى فيه تطبيقات وأنظمة مخصصة لتصنيف البيانات ومساعدة الشركات والجهات في ادارة التصنيفات دي والتسهيل عليهم علشان يلتزموا بالمعايير التي تم واضعها من خلال الدولة او الدول المختلفة الي بيشتغلوا فيها، وكان في امثلة كتيرة لكده بدأت تظهر وتستخدمها الجهات والشركات لما طلع قانون حماية البيانات الشخصية في اوروبا
هل المؤسسة قادرة على استمرارية تأمين والحفاظ على سرية البيانات؟
ده معتمد على عوامل كتير منها التجهيزات الفنية ومعدات التأمين وفريق العمل المجهز لإدارة البيانات وتأمينها على مدار الساعة، وطبعا الميزانية لبناء ذلك وكمان الوقت لبناء والتحديث
نفترض كل العوامل متوفرة، طيب هل الجهة وفريق العمل قادر على متابعة التطورات والثغرات، هل الجهة ستكون قادرة باستمرار في الاستثمار في تحديث التجهيزات، والمعدات، والرخص، وخلافه. هل هيكون منطقي ان كل جهة ومؤسسة او شركة ببناء مركز لإدارة البيانات هل سيكون هناك توافر للمهارات المطلوبة لإدارة ذلك، ما هو الوقت لبناء هذه البنية التحتية وضمان إتاحتها اغلب الوقت طبقا لحاجة العمل
استمرارية العمل هتكون غاية في الصعوبة وده يمكن ملاحظ في أغلب المشروعات التكنولوجية تبدأ بأحدث المنتجات والمعدات ومع الوقت لا يتم الاهتمام باستمرارية الأعمال والصيانة والتحديث
وده كان نفس الحال في كثير من الصناعات مثلا الكهرباء، لم تقم كل جهة او شركة ببناء محطات توليد الكهرباء الخاصة بها، ولكن اعتمدت على شركات متخصصة في ذلك. نفس الشيء في قطاع البنوك، لم تقم كل جهة او شركة بإنشاء بنك للاحتفاظ وإدارة استثمارات أموالها. نفس الطريقة في قطاع النقل، مش كل شركة بتشتري اسطول عربيات للنقل إذا كان نقل موظفين او بضائع او تسليم منتجات، اعتمدوا على شركات بتقدم الخدمة
في اتجاه عالمي من فترة على موضوع مشاركة الموارد، مثلا ممكن تأجر عربية لمشوار مهم بس مش لازم تشترى العربية، ممكن تأجر او تشارك في منزل بدل ما تشتري منزل. بنفس النهج العالم اتجه لسياسة الانتفاع بالخدمات واستهلاكها علشان مش هينفع ان كل شركة أو جهة لما تحتاج خدمة تعملها
نتيجة ان الخدمات والصناعات بتكون متخصصة ومحتاجة مهارات ادارية وفنية وتشغيلية مختلفة بدأت الكثير من الجهات الاتجاه لتعهيد هذه الخدمات لهذه الشركات والجهات المتخصصة وده ادى ان الجهات ديه اهتمت وركزت أكثر على أعمالها والابتكار فيها لان دى اكتر حاجة بتفرق بينها وبين شركات وجهات تانية
يمكن نفس النهج ده متبع من اكتر من ١٠ سنين في تكنولوجيا المعلومات من بداية خدمات الاستضافة بأشكالها المختلفة وصولا للحوسبة السحابية. بس للأسف مازال هناك معوقات وتحديات في استيعاب بعض الشركات والجهات لأهمية البدء في التحرك لهذا الاتجاه. وطبعا السبب لان البيانات سرية للغاية لإغلاق أي حوار
المشكلة الاخطر التي لا يدركها تلك الجهات او الشركات أنها غير متخصصة في ادارة البنية التحتية ومع تعيين وتدريب الموظفين والعاملين على تلك المهارات يسارع هؤلاء العاملين على الانتقال لجهات أكثر تخصص في مجال عملهم لتوسيع وتنمية مهاراتهم بشكل مستمر. مما يسبب عائق قوي لهذه الشركات والجهات على استمرارية الأعمال. ويؤثر في النهاية على قدرتها على تأمين البيانات
وبالتالي ليس كل الجهات قادرة على تأمين بياناتها والافضل ان تستعين بشركات متخصصة لذلك
ما هي العلاقة بين سرية البيانات وحق الوصول ومشاركة البيانات؟
احنا فهمنا ان البيانات ليها تصنيفات مختلفة وكل لما تزيد سريتها وحمايتها كل لما إتاحتها بتقل جدا وصلاحيات الوصول إليها بتكون مقتصرة على درجات معينة من الموظفين كمان ده بيخلي مشاركة البيانات بيكون اقل وليه عوامل مختلفة
بس ده مع البيانات السرية والسرية جدا لو رجعنا لتصنيف البيانات لإنجلترا، لكن معظم البيانات الرسمية مش بس على مستوى الحكومة كمان على مستوى الشركات في بيانات عامة وبيانات تسويق ومعاملات تابعة للتشغيل اليومي المصنفة تحت بيانات عامة
الأنظمة حاليا بتوفر طرق متعددة لتأمين البيانات والتحكم في إتاحتها ومصداقيتها والوصول إليها. من اول الصلاحيات على التطبيقات وتحديد الهوية الرقمية للمستخدم الي التأمين المادي من أفراد تأمين وكاميرات مراقبة وبس مش تأمينها من الاختراق لكن ايضا تأمينها من التلف أو فقدها
علشان كده لو كل شركة أو جهة اتبعت مبدأ أن البيانات سرية جدا نتيجة لتصنيفات شخصية، ده بيأثر مش بس مشاركة البيانات والمعلومات مع جهات وشركات مختلفة لزيادة استفادة الأطراف، ده كمان هيأثر على وصول واستخدام ومشاركة هذه البيانات داخليا في الجهة وهتكون الأنظمة منعزلة، كل نظام له مستخدمينه وطرق ومعايير تأمينه
وده فعلا موجود في شركات وجهات كتير وبيكون تحت مسمي الجزر المنعزلة للأنظمة، وطبعا مش تأمين البيانات فقط هو السبب فيه بس ايضا، بس ايضا بيروقراطيات وأولويات مختلفة وانعزال فريق ادارة وتطوير العمل عن فريق تكنولوجيا المعلومات واسباب تانية كتير
هل مبدأ التأمين وحماية البيانات يتعارض مع الحوسبة السحابية؟
الإجابة المختصرة لأ
في انواع كتيره مختلفة للحوسبة السحابية، اغلب انواع البيانات وأكثرها يندرج تحت نموذج خدمات الحوسبة السحابية العامة. وعامة ليس معناه أنها غير مؤمنة. بالعكس هي تحتوي على معايير تأمين وإتاحة للأنظمة والبيانات يصعب توفيرها داخل الجهات أو الشركات الغير متخصصة في ذلك
ويمكن أن تقوم الشركة او الجهة بتهيئة واضافة معايير التأمين الخاصة بها واضافة طرق اتصال مؤمنة لهذه البيانات والانظمة. والشركات دي بتوفر اتفاقية مستوى خدمة وأدوات مختلفة في حالة طلب نقل البيانات من مقدم خدمة آخر
النموذج الثاني هو الحوسبة السحابية الخاصة، وده ممكن يكون مصمم لجهة او شركة او مجموعة من الجهات والشركات. وليس معنى خاصة أنه يتم بناؤه وتشغيله عن طريق الجهة أو الشركة. ولكن يتم الاستعانة أيضا بالشركات المتخصصة في اغلب الأمر في بناء البنية التحتية وإدارتها وتشغيلها
النموذج الثالث هو استخدام النموذجين السابقين في نفس الوقت يطلق عليه نموذج هجين بين الحوسبة السحابية العامة والخاصة
النموذج الرابع هو الحوسبة السحابية لمجموعة أو قطاع معين بيشتركوا في نفس نوعية الخدمات، زي مثلا ممكن تكون في حوسبة سحابية لخدمات الصحة ليها معايير مختلفة في الإتاحة والاطلاع والسرية. وكمان حوسبة سحابية حكومية، فيها الانظمة والبيانات الي بتخص الحكومة
والنماذج ديه ملهاش علاقة بمكان الحوسبة السحابية والبيانات هيكون فين، على سبيل المثال ممكن تكون شركة شغالة في النمسا بس قررت تعمل حوسبة سحابية خاصة ليها في انجلترا. او منظمة موجودة في أكثر من بلد بس قررت تعمل حوسبة سحابية خاصة ليها في المقر الرئيسي وأحد الفروع التابعة لدول تانية. لكن طبعا مش مع الحوسبة السحابية الخاصة بالحكومة لأنها بتكون في نفس الدولة لكن مش شرط تكون تحت تشغيل وادارة الدولة، يتم الاستعانة أيضا بالشركات المتخصصة
:لكن طيب تقرر تختار بناء على ايه، طبعا في معايير مختلفة تساعدك لو انت في جهة حكومية وبياناتك سرية اول حاجة تفكر فيها الحوسبة السحابية الحكومية. طيب غير كده المعايير ممكن تكون كالتالي
الضغط والتحميل على الخدمات وموسم الضغط
مثلا لما بدأ فيروس كورونا في الانتشار وتوجه أغلب الجهات والشركات للعمل عن بعد ده خلق موجة كبيرة جدا من الطلب لدرجة ان حتى بعض مقدمي خدمات الحوسبة العامة بدأت تزيد سعة تجهيزاتها لاستيعاب الأعداد، وده كان صعب الوصول ليه من غير مقدمي الخدمات العامة نتيجة للضغط والحاجة للخدمات في أقل وقت قد يصل لعدة أيام لتفعيل الخدمة
مثال آخر، بعض الدول بدأت تتيح معونات مادية للأفراد واتاحت خدمة الكترونية للتسجيل وطلب الاتاحة، طبعا بعض الدول قررت انها تستضيف الخدمة داخل مراكز البيانات الخاصة بها ومقدرتش تستوعب الضغط الخدمة وأصبحت الخدمة غير متاحة، ممكن في الحالة ديه الاستعانة بخدمات الحوسبة السحابية العامة أو الهجين بين الخاص والعام
وفي امثلة كتير موسمية الضغط على الخدمات زي مثلا فتح التقديم على الجامعات، المعاشات الشهرية، استخراج تقارير واحصائيات شهرية أو سنوية لجم معاملات كبيرة
القوانين واللوائح
وده العامل الثاني، لو في قوانين ولوائح محددة من الدولة بالاقتصار على نماذج معينة وده هتلاقيه موضح كل نوع البيانات وايه افضل نموذج ليه زي مثال انجلترا ودول تانية كتير، وفي مصر العديد من القوانين الخاصة ببعض القطاعات، مثل القطاع البنكي وقطاع شركات التأمين والتمويل المالي وكمان قانون حماية البيانات الشخصية
تصنيف البيانات
اتكلمنا فيها بس على سبيل المثال لو البيانات فعلا اتصنفت وكانت سرية للغاية، فأفضل الممارسات وضعها داخل الدولة بكل تأكيد إذا كانت البيانات تابعة للحكومة، ولكن مع الشركات هناك ممارسات مختلفة طبقا لطبيعة الشركة والعوامل الأخرى
ولكن عدم وضع البيانات في حوسبة سحابية عامة نتيجة لاعتبارات أخرى وليس منها التأمين وده هنعرفه في اخر عامل
الميزانية
توافر الميزانية في الوقت الحالي لا يعني أن الخيار الأفضل هو بناء حوسبة سحابية خاصة، ولكن يجب دراسة حجم العمل والاستمرارية وحجم الاستثمار للبناء مقارنة للتعهيد ومعدل استهلاك الاجهزة، وصيانتها، وفريق العمل، والخ
لكن معظم الدراسات ومتاح الكثير منها على الانترنت، لخصت ان دائما الاستفادة من الخدمات من خلال التعهيد واستخدام الحوسبة السحابية أقل من تكلفة البناء
توقيت الاحتياج
ويمثل احدى العوامل الفارقة، فبناء حوسبة سحابية خاصة بالجهة او الشركة لن يستغرق أقل من ٦ أشهر في أحسن وأسرع الظروف. زيادة حجم استيعاب الحوسبة السحابية الخاصة لاستيعاب خدمات وانظمة جديدة يفرق من جهة او شركة لأخرى، على حسب وجود احتياطي للبنية التحتية، الميزانية للشراء، اتفاقيات مستوى الخدمة مع الموردين
زي مثلا احتياجات الجهات والشركات للعمل عن بعد، كان صعب انه يتوفر في زمن قياسي في العديد من الجهات والشركات وكان الاتجاه العام، الاستعانة بخدمات الحوسبة السحابية
خصائص الخدمة ونوعيتها
في شركات كتير بدأت تتجه لتطوير منتجاتها وخدمتها فقط على الحوسبة السحابية، معظم الشركات الناشئة بتطوير خدماتها ومنتجاتها على الحوسبة السحابية العامة وتنتفع ايضا بخدماتهم لأنهم معندهمش لا تكلفة البناء ولا مهارات الادارة، بالإضافة لعامل الوقت الهام جدا لسرعة التطوير وتكامل الخدمات وتعددها على الحوسبة السحابية العامة
غير كده في شركات بتهتم في البداية بتطوير المنتجات والخدمات على حوسبتها السحابية وتقوم بنشر خصائص مميزة لذلك تختلف عن التي يمكن إتاحتها داخل الجهات والشركات او حتى تحميلها داخل حوسبة سحابية خاصة
المهارات
ده برضه من العوامل المهمة، جذب المهارات صعب جدا وخصوصا في بعض التخصصات لعدم توافرها، وتكلفة اندماج العمالة داخل المؤسسة وتأهيلهم وتدريبهم على مهارات العمل، السياسات عالي من حيث الوقت والتكلفة
لو عندك المهارات موجودة ومؤهلة مع اعتبار العوامل الأخرى يمكن الاتجاه للحوسبة السحابية الخاصة. مع الحاجة لاستمرارية التأهيل والتدريب المستمر وادارة الاحتفاظ بهم لأنهم من موارد غاية في الاهمية لعمل الجهة أو الشركة
سيادية البيانات
لكن بيكون هناك عامل اخر مهم بالذات لما البيانات بتكون خاصة بالحكومات وخصوصا مع البيانات السرية، وهي سيادية البيانات
يعني بالمختصر ده يتبع سيادية الدولة التي انشأت البيانات والدولة المستضيفة للبيانات وقوانينهم والدول المنشأ فيها قواعد البيانات وقوانينهم والبلد التابع ليه مقدم خدمة الحوسبة السحابية وقوانينها
وده بيكون مؤثر في حالة الصراعات والحروب، لكن ايضا الموضوع مش مقلق لان في قوانين دولية بتحمي الأعمال والبيانات، غير كده معايير التأمين المتبعة بتكون عالية جدا وصعب فك تشفير البيانات غير للمصرح ليهم بكده
وسيادية البيانات زي ما تم توضيحه بيكون اكتر مؤثر في القرار مع الحكومات وعلشان كده كتير من الحكومات انشأت الحوسبة السحابية الخاصة بها بالاستعانة بمقدمي الخدمات العالمين في ذلك، وبعض الدول أنشأ بالتعاون مع مقدمي
خدمات الحوسبة السحابية مراكز بيانات لتقديم خدمات الحوسبة السحابية العامة للمجتمع وللشركات والجهات المختلفة داخل الدولة
طبعا في معايير تقنية اخري لكن اغلب مقدمي الخدمة بيشتغلوا عليها وبيحسنوها مع الوقت، زي مثلا قابلية التنقل من مقدم خدمة لأخر، المرونة، تعدد الخدمات، المعايير والشهادات المعتمدة، ونماذج المحاسبة … الخ، لكن ديه هتكون مؤثرة اكتر في اختيار مقدم الخدمة الانسب لأعمال وبيانات الجهة
الخلاصة
بعد ما جاوبنا على الاسئلة الي فوق، المقالة ديه موجه لأصحاب القرار في القطاعات المختلفة، يمكن تكون مفيدة لإعادة التفكير، ويمكن يكون فيها واقع بعض الشركات والجهات بتعيشه يوميا. اتمنى يكون مفيد ويساعد في اتخاذ قرارات سليمة تعود بالنفع العام على المجتمع
Also published on Medium.

