يجري الحديث عن السرقات الإلكترونية المالية من بطاقات الائتمان البنكية، وسرعان ما يلفت الانتباه الى ان هذا الحديث ليس مجرد خبر عابر بل تحول الى قضية دولية تتعامل مع نماذج متوالية من سلاسل الأمان الإلكتروني في التعاملات المصرفية وهناك أموال تصل الى 8 تريليون دولار تفقد سنويا تحت عناوين الخداع او السرقات الالكترونية.

وتعاني سياسة الأمن السيبراني الأمريكية، وغيرها من دول العالم، من خللٍ حرج يتمثل في غياب مقاييس نتائج موثوقة تُمكّن صانعي السياسات من معرفة مدى ازدياد أمن النظام البيئي الرقمي، وتحديد التدخلات الأكثر فعاليةً في دفع عجلة التقدم.، ويطرح برنامج الامن السيبراني للمجلس الاطلسي المنشور في 6 ايار الجاري على موقعه الالكتروني، تساؤلات جوهرية، بالقول "رغم سنواتٍ من الاستراتيجيات واللوائح وحملات أفضل الممارسات، لا يزال مجال مقاييس الأمن السيبراني مفتوحًا للنمو، ولا يزال صانعو السياسات يفتقرون إلى إجاباتٍ على أسئلةٍ جوهرية. ما حجم الضرر الذي تُسببه حوادث الأمن السيبراني؟ هل تتحسن الأمور أم تسوء؟ ما هي السياسات التي تُحقق أكبر عائدٍ على الاستثمار للحد من الضرر المُحقق ومخاطر الضرر المُستقبلي؟

▪︎ خسائر فادحة

 تشير تقديرات تقرير الاستقرار المالي العالمي لصندوق النقد الدولي لعام 2024 أن خسائر الحوادث السيبرانية المبلغ عنها في عام 2022 كانت حوالي 5 مليارات دولار، بينما وضع تقرير IC3 لمكتب التحقيقات الفيدرالي خسائر عام 2022 للولايات المتحدة فقط عند 10.3 مليار دولار. 
وفي ذات الوقت، أفادت شركة Statista بخسائر قدرها 7.08 تريليون دولار لعام 2022 وتتوقع 12.43 تريليون دولار في عام 2027، بينما كانت أرقام نائب مستشار الأمن القومي آن نيوبرغر 8.4 تريليون دولار و23 تريليون دولار لنفس الأعوام. ويقدر تقريران آخران، خسائر عام 2022 عند 6.9 تريليون دولار و42.8 مليار دولار على التوالي. 
وتُلخّص دراسةٌ أُجريت عام 2019 حول تكاليف الجرائم الإلكترونية بشكلٍ واضح كيف يُمكن إساءة تفسير هذه التقديرات، حيثُ ورد فيها: "في ورقتنا البحثية لعام 2021، قارنّا تقديرات المملكة المتحدة بالتقديرات العالمية.... وحذّرنا من أنه "من المُضلّل تمامًا تقديم أرقام إجمالية خشية أن تُقتبس خارج سياقها". ومع ذلك، تجاهل الصحفيون هذا الأمر بسعادة، واكتفوا بجمع الأعمدة، مُعلنين أرقامًا رئيسية ضخمة للجرائم الإلكترونية العالمية - والتي كانت تُعادل عشرين ضعف تقديرنا للتهرب الضريبي في المملكة المتحدة، حيث كان هذا هو الرقم الأكبر في الجدول". وتؤكد الدراسة على وجود العديد من عمليات الإبلاغ المنهجي عن الحوادث، والتي قد تُفيد في جمع بيانات النتائج في الولايات المتحدة الامريكية، إلا أنها لم تُطبّق بالكامل، مثال ذلك بدأت هيئة الأوراق المالية والبورصات الأمريكية (SEC) مؤخرًا بإلزام الشركات المُدرجة في البورصة بالإبلاغ عن الحوادث السيبرانية الجوهرية، والتي سبق أن أفصحت عن مثل هذه الحوادث أحيانًا في ملفاتها. ومع ذلك، من بين ما يقرب من مئتي تقرير عن الحوادث السيبرانية، لا تتضمن سوى سبعة تقارير تقديرات للتكاليف. ويبدو أن نظام CIRCIA، الذي لم يُطبّق بالكامل بعد، مُصمّم على رصد آثار الحوادث، إلا أن الإطار الزمني الضيق للإبلاغ عن أي حادث (اثنان وسبعون ساعة) يعني على الأرجح أن القياس الدقيق للنتائج سيعتمد على تحديثات التقارير الأولية. وفي حين أن تحديثات تقارير حوادث CIRCIA إلزامية في أحدث مقترحاتها، إلا أنه لا يزال من غير الواضح ما إذا كانت سترصد بيانات النتائج، حيث لن يبدأ التنفيذ الكامل قبل عام 2026.

▪︎ اتفاقية اممية جديدة 

إدراكا للمخاطر المتزايدة للجرائم السيبرانية، شرعت الأمم المتحدة في صياغة معاهدة دولية ملزمة قانونا لمواجهة هذا التهديد. وبعد مرور خمس سنوات، لا تزال المفاوضات مستمرة، مع عدم قدرة الأطراف على التوصل إلى توافق مقبول. ولم يفض الاجتماع الأخير لأعضاء اللجنة المخصصة لوضع اتفاقية دولية شاملة لمكافحة استخدام تكنولوجيات المعلومات والاتصالات في الأغراض الإجرامية في شهر شباط إلى مشروع قانون متفق عليه، فيما لا تزال الدول مختلفة حول صياغة من شأنها تحقيق توازن بين ضمانات حقوق الإنسان والمخاوف الأمنية.
واعتمدت الجمعية العامة للأمم المتحدة اتفاقية جديدة لمنع ومكافحة الجرائم الإلكترونية، في ختام عملية تفاوض استمرت خمس سنوات.
وتهدف اتفاقية الأمم المتحدة لمكافحة الجرائم الإلكترونية إلى منع ومكافحة الجرائم الإلكترونية بكفاءة وفعالية أكبر، بما في ذلك من خلال تعزيز التعاون الدولي وتقديم المساعدة الفنية ودعم بناء القدرات، وخاصة للدول النامية. وقال رئيس الجمعية العامة للأمم المتحدة، فيليمون يانغ: "باعتماد هذه الاتفاقية، أصبحت في متناول يد الدول الأعضاء الأدوات والوسائل لتعزيز التعاون الدولي في منع ومكافحة الجرائم الإلكترونية وحماية الأشخاص وحقوقهم عبر الإنترنت". وأوضح مكتب الأمم المتحدة المعني بالمخدرات والجريمة في بيان نشره بعد اعتماد الاتفاقية أنه عمل كأمانة للمفاوضات، وقالت المديرة التنفيذية للمكتب، غادة والي إن اعتماد هذه الاتفاقية التاريخية هو انتصار كبير للتعددية، ويمثل أول معاهدة دولية لمكافحة الجريمة منذ 20 عاما. وأكدت أنها خطوة حاسمة إلى الأمام في جهود معالجة الجرائم مثل الاعتداء الجنسي على الأطفال عبر الإنترنت، والاحتيال المعقد عبر الإنترنت وغسيل الأموال. وأضافت: "في العصر الرقمي اليوم، أصبحت الجرائم الإلكترونية أكثر انتشارا وتدميرا، حيث تستغل الضعفاء وتستنزف تريليونات الدولارات من اقتصاداتنا كل عام". واعتمدت الجمعية العامة القرار دون تصويت. وتفاوضت الدول الأعضاء، بمداخلات من المجتمع المدني والمؤسسات الأكاديمية والقطاع الخاص، على النص لأكثر من خمس سنوات. وسيتم فتح الاتفاقية للتوقيع في حفل رسمي تستضيفه فييتنام في عام 2025. وستدخل الاتفاقية حيز التنفيذ بعد 90 يوما من التصديق عليها من قبل الدولة الموقعة الأربعين. ويُعدّ اختبار هذه الفرضية وصقلها باستخدام البيانات الكمية خطوةً أولى بالغة الأهمية، غالبًا ما يتم إغفالها: ما حجم الضرر الذي تُسببه الحوادث السيبرانية؟ ما تكلفة تطبيق التدخلات المُوصى بها؟ ما حجم الضرر الذي ستمنعه؟ هل تكلفة منع الحوادث الأمنية أقلّ فعليًا من التكاليف التي تفرضها؟ والأهم من ذلك، إذا اعتُبر مستوى الأضرار الحالي غير مقبول، فما الذي يُعتبر مقبولًا؟ إن المقاييس الحالية عاجزة عن تقديم إجابات على نطاقٍ مفيدٍ لصانعي السياسات، مما يتركهم دون معايير أساسية لتقييم فعالية السياسات.

▪︎ غياب النتائج

وترى الدراسة انه في غياب بيانات النتائج الرئيسية هذه، تُصاغ مناقشات السياسات السيبرانية المقاييس، في أحسن الأحوال، كتمرين لاحق للتحقق من الفعالية، بدلاً من اعتبارها الخطوة الأولى الحاسمة في تحديد المشكلات التي تسعى إلى حلها.
 وتدعو صانعي السياسات استخدام مقاييس الأمن السيبراني كأساس لتوصيف الوضع الراهن، وتحديد المشاكل المحددة فيه، وصياغة الحلول. عندما يسأل مكتب المحاسبة العامة عن النتائج التي من شأنها أن تثبت نجاح نظام الأمن السيبراني، يجب أن يكون مكتب مكافحة الإرهاب قادرًا على الاستجابة من خلال الإشارة إلى القضايا والبيانات ذاتها التي حفزت إنشاء نظام الأمن السيبراني في المقام الأول.
وحينما تسترشد السياسة النقدية وتُقيّم بناءً على مؤشر أسعار المستهلك ومعدل البطالة، وكلاهما يقيسه مكتب إحصاءات العمل الأمريكي. يتم جمع إحصاءات الجريمة الوطنية وتحليلها من خلال برنامج الإبلاغ الموحد عن الجرائم التابع لمكتب التحقيقات الفيدرالي، الا ان هذه الدراسة لا تجد توفر التراكم المطلوب لفهم طبيعة السياسات العامة المفترضة لمواجهة الجرائم  الالكترونية وتنفيذ بروتوكولات رادعة مانعة لها بسبب  ذلك التطور الهائل في عصر الذكاء الصناعي التوليدي الذي يتيح ظهور عصابات الانترنيت المظلم القادرة على توظيف كل الامكانات المتاحة لإنجاز سرقات مبرمجة ضمن الشبكة الدولية للمعلومات "الانترنيت" حتى بات تحذير الامم المتحدة الى درجة اصدار نسخة من اتفاقية دولية لتلك السياسات المطلوب اتخاذها من قبل الدول في مواجهة هذه العصابات خارج حدود نطاق السيادة الوطنية.

▪︎ توصيات الامان

وفق هذا المنظور يُحدد المعهد الوطني للمعايير والتكنولوجيا (NIST) ممارسات أمنية للوكالات الفيدرالية والمتعاقدين معها، وغالبًا ما يستخدم القطاع العام وثائقه التوجيهية كنقطة انطلاق لسياسات الأمان حتى عندما لا يكون امتثال الشركة مطلوبًا. أحد هذه المنشورات، NIST SP-800-63B، يُقدم توصيات بشأن أنظمة الهوية الرقمية، بما في ذلك إرشادات حول بيانات اعتماد الحسابات. اقترحت الإصدارات السابقة من الوثيقة استخدام أحرف معقدة (مزيج من الأرقام والأحرف الكبيرة والصغيرة والرموز الخاصة) وإعادة تعيين كلمات المرور بشكل متكرر لمنع المهاجمين من استخدام قواميس كلمات المرور الشائعة لتخمين طريقة وصولهم إلى الحساب بسرعة. كان الاعتقاد السائد هو أن الأحرف المعقدة ستتطلب من المهاجمين استخدام القوة لتخمين كلمات المرور (أي تخمين جميع التركيبات الممكنة لأحرف كلمة المرور)، وأن التغيير المتكرر لبيانات الاعتماد سيحد من الفترة الزمنية التي يُمكن خلالها للهجمات تخمين كلمة المرور بنجاح، حيث سيحتاج المهاجمون إلى البدء من جديد بعد كل تغيير. كان الواقع مختلفًا. تناوب المستخدمون على استخدام كلمات مرور متشابهة، مكررين في كثير من الأحيان كلمات قديمة، وطوّر المهاجمون قواميس لتخمين الاستخدامات الشائعة وسهلة التذكر لأحرف معقدة مثل اللاحقة "123!" واستبدال الأرقام بالحروف. بمعنى آخر، كان الحدس وراء هذه الممارسة سليمًا، لكن تفاعل النظام البيئي (المستخدمون هنا) جعل الممارسة الموصى بها غير آمنة ومكلفة.

▪︎ نظام معقد

إن تقييم التعامل مع مشهد الأمن السيبراني كنظام معقد، هذا هو الواجب الأساسي لصانعي السياسات - الحد من نتائج الأمن السيبراني السلبية على نطاق واسع، 22 وليس فقط لعدد قليل من الشركات القادرة على قياس تطبيقها ونتائجها بدقة. وبناءً على ذلك، فإن الاطلاع على أكبر قدر ممكن من جوانب النظام البيئي أمرٌ بالغ الأهمية، وفق الاتي:
أولاً: لا توجد صيغة حتمية للتنبؤ بوقوع حادثة أمن سيبراني، أو توقيت وقوعها، أو مدى خطورتها. قد تجد جهة ذات ممارسات أمنية استثنائية نفسها هدفًا لخصم بالغ التطور، أو قد تظل عرضة للخطر بشكل حرج بسبب سهو بسيط. وبالمثل، قد تتجنب شركة ذات ممارسات أمنية ضعيفة الاختراق بمحض الصدفة.
ثانيًا: يتغير النظام البيئي باستمرار وبسرعة ويتفاعل مع نفسه. فالخصوم في النظام البيئي الرقمي يتكيفون، والتقنيات التي يستهدفونها تتغير يوميًا، وحوافز الشركات التي تبني التقنيات ومستخدميها في تغير مستمر، وهكذا. للديناميكية والتفاعلات غير المتوقعة عواقب على القياس. على سبيل المثال، تذكر مثال إرشادات كلمات المرور الصادرة عن المعهد الوطني للمعايير والتكنولوجيا (NIST) المذكور سابقًا.
ثالثا : غالبًا ما تكون سياسات الاستجابة لحوادث وحكايات فردية أكثر من كونها استجابة لبيانات ملموسة، ومع وجود عدد لا يُحصى من الموردين الذين يقدمون حلولًا للأمن السيبراني فيما يمكن وصفه بـ"سوق الحلول السحرية"، وفي الوقت نفسه يُنتجون الكثير من البيانات المتاحة حاليًا لإثراء عملية صنع السياسات. تُفيد الحوادث الماضية والحكايات الشخصية صانعي السياسات، إلى حد ما، وليست جميع منتجات الأمن غير فعالة. ومع ذلك، فإنّ الاستدلالات والحدس لا يمثلان سوى نصف الحل لإدارة تعقيد النظام البيئي السيبراني. أما المقاييس فهي عنصرٌ حاسمٌ آخر، وهو غائبٌ بشكلٍ ملحوظ، والخطوة الأولى لتطوير مقاييس متينة على مستوى النظام البيئي هي تحديد ما يجب قياسه وكيفية قياسه.