ملخص
تواجه الولايات المتحدة أزمة متصاعدة في جودة البرمجيات تجعل من بنيتها التحتية عرضة للاختراقات على رغم إنفاقها الهائل على الأمن السيبراني، إذ تفتقر السوق إلى الحوافز التي تدفع نحو تطوير برمجيات آمنة بطبيعتها، ومع صعود الذكاء الاصطناعي تبرز فرصة لإعادة هندسة الأمان من جذوره عبر تحويله إلى خاصية أساس في التصميم وإرساء مساءلة قانونية واضحة على المنتجين، بما ينقل الأمن من الدفاع المستمر إلى الوقاية والردع الاستباقي.
في نوفمبر (تشرين ثاني) 1988 أدى انتشار غير مقصود للدودة الرقمية "موريس"، وهو برنامج حاسوبي تجريبي أنشأه طالب دراسات عليا بدافع الفضول، إلى شل شبكة الإنترنت الناشئة آنذاك من دون قصد، كاشفاً للمرة الأولى عن العواقب الخطرة للبرمجيات المصممة بطريقة سيئة. وبعد نحو 40 عاماً لا يزال العالم يعتمد على برمجيات مرمّزة هشة مليئة بالثغرات والعيوب ذاتها. وعلى رغم تواتر الأخبار عن عمليات اختراق وتسريبات تُغفل حقيقة أساسية: الولايات المتحدة لا تعاني مشكلة "أمن سيبراني" بقدر ما تعاني مشكلة في "جودة البرمجيات". فصناعة الأمن السيبراني التي تقدر بمليارات الدولارات وُجدت في الأساس لتعويض ضعف أمان البرمجيات.
وتظهر تبعات هذه الثغرات المستمرة في البرمجيات الأميركية بصورة واضحة في الوقت الراهن. فمنذ عام 2021 في الأقل استغل قراصنة مرتبطون بوزارة أمن الدولة و"جيش التحرير الشعبي في الصين" الأنواع ذاتها من العيوب التي استغلتها "دودة موريس" قبل عقود. وقد تمكنت هذه المجموعات المعروفة باسمَي "سولت تايفون" و"فولت تايفون" من استغلال أنظمة غير محدثة، وموجهات إنترنت ضعيفة الحماية، وأجهزة صُممت للاتصال أكثر من صمودها أمام الهجمات، لاختراق شبكات الاتصالات وأنظمة النقل ومرافق الطاقة. وفي هذا العام وحده استغل قراصنة تابعون لجهاز الأمن الفيدرالي الروسي ثغرة غير مرممة في أجهزة الشبكات لاختراق آلاف الموجهات (روتر) والمبدلات المرتبطة بالبنية التحتية الأميركية. ومع تزايد اعتماد المؤسسات من المستشفيات إلى الموانئ على البرمجيات في أداء وظائفها، أصبحت برمجيات الترميز غير الآمنة مصدر تهديد متنام للولايات المتحدة.
وتستمر هذه الثغرات لأن الشركات المنتجة للبرمجيات تفتقر إلى الحوافز الكافية لإعطاء الأولوية للأمان، إذ لا يزال من الأرخص والأسرع تحميل كُلف انعدام الأمان للمستخدمين، ونظراً إلى أن جزءاً كبيراً من الشيفرات التي تقوم عليها البنى التحتية الحيوية يعود لعقود مضت فإن إعادة كتابتها بطريقة آمنة ظلت أمراً بالغ الكلفة وطويل الأمد، إذ لا يُعد خياراً مجدياً على المستوى التجاري.
غير أن قدرات جديدة، وعلى رأسها القوة المتسارعة للذكاء الاصطناعي، بدأت تظهر لمعالجة هذه المشكلات البرمجية على مستوى المنظومات الرقمية بأكملها، وقد يمثل ذلك نهاية الأمن السيبراني بالصورة التي نعرفها اليوم، ويجعل الولايات المتحدة أقل عرضة للهجمات نتيجة لذلك.
لكن النافذة الزمنية للاستفادة من هذه التقنيات الجديدة بدأت تضيق، إذ يسعى خصوم الولايات المتحدة أيضاً إلى تسخير الذكاء الاصطناعي لتعزيز قدراتهم الهجومية في الفضاء الإلكتروني. والآن هو الوقت الأنسب كي تتعاون الوكالات الحكومية الأميركية والشركات الكبرى والمستثمرون من أجل إعادة تشكيل الحوافز الاقتصادية بصورة جذرية، وتوظيف الذكاء الاصطناعي في تعزيز الدفاعات الرقمية للبلاد، ولن يكون الفضاء السيبراني آمناً تماماً في أي وقت، لكن سوق الأمن السيبراني بصيغتها الحالية لا ينبغي أن تكون سمة دائمة للعصر الرقمي، فاتباع نهج أفضل وأكثر أماناً في تصميم البرمجيات بات في متناول اليد.
الأسواق غير المنضبطة
في الرواية السائدة ينظر إلى القراصنة، سواء كانوا أفراداً مستقلين خارجين عن القانون، أو مجموعات ترعاها دول، أو فرقاً تدعمها منظمات إجرامية، بوصفهم غامضين وماكرين يستغلون بخبث الموظفين المهملين والخوادم سيئة الإعداد، لكن معظم عمليات الاختراق لا تحقق نجاحها بفضل امتلاك المهاجمين أسلحة إلكترونية متقدمة، بل بسبب تثبيت منتجات تقنية واسعة الاستخدام تحوي عيوباً معروفة كان يمكن تجنبها، والمشكلة الجوهرية هنا اقتصادية وليست تكنولوجية، فمعظم المشترين ليست لديهم وسيلة عملية لمعرفة ما إذا كانت البرمجيات التي يشترونها آمنة، ولذلك يضطرون إلى الاعتماد على كلمة الشركات المنتجة، وهو ما يخلق حافزاً ضئيلاً لدى المصممين أو البائعين للاستثمار في تدابير حماية لا يستطيع العملاء رؤيتها أو قياسها، ونتيجة لذلك تتنافس شركات البرمجيات في الجوانب الأكثر وضوحاً للمشترين: الأسعار المنخفضة، والسرعة في طرح المنتجات في السوق، والخصائص المريحة مثل التكامل بنقرة واحدة مع أنظمة أخرى أو سهولة الوصول عن بُعد، لكن التركيز على هذه المزايا غالباً ما يكون على حساب توفير حماية كافية ضد التهديدات السيبرانية، فقوى السوق ببساطة لا تحفز على إعطاء الأمان أولوية في عملية التصميم.
وقد أدى ذلك إلى نشوء سوق ثانوي للأمن السيبراني، نظام واسع يضم برامج مكافحة الفيروسات وأنظمة الكشف وجدران الحماية وغيرها، يوافر حلولاً تُضاف لاحقاً لمعالجة ضعف الأمان في البرمجيات، وعلى رغم أن صناعة الأمن السيبراني تطورت لتصبح مجتمعاً يضم مبتكرين موهوبين فإن تدخلاتها تبقى في جوهرها إجراءات دفاعية متأخرة، فأنظمة الأمن السيبراني تحد من أضرار برمجيات خبيثة ما كان ينبغي أن تتمكن من الانتشار أصلاً، وتُصلح اختراقات ما كان ينبغي أن تحدث، وتعالج ثغرات ما كان ينبغي أن توجد.
كما أن شركات البرمجيات تقلل من أهمية الأمان في تصميم منتجاتها لأنها نادراً ما تتحمل مسؤولية الإخفاقات الأمنية، ففي الولايات المتحدة لا يوجد معيار إلزامي يحدد الحد الأدنى من تدابير الحماية التي يجب أن تتوافر في البرمجيات، ولا تُفرض عقوبات على البرمجيات غير الآمنة، مما يجعل التصميم غير الآمن خياراً تجارياً منطقياً، وعندما تقع اختراقات كارثية تلجأ الشركات إلى إصدار تحديثات تصحيحية بدلاً من إعادة تصميم المنتج ليكون أكثر أماناً، ويعود ذلك في الأساس إلى أن الطرف الذي يتكبد الخسائر هو العميل، وإلى أن تتحمل هذه الشركات المسؤولية ويُطبق المنظمون معايير واضحة، ستظل الشيفرات القابلة للاستغلال تشكل أساس البنية التحتية الرقمية، فبالنسبة إلى الشركات المنتجة يبقى من الأرخص والأسرع طرح منتجات غير آمنة وترك العملاء وفرق الأمن السيبراني يتحملون عبء حماية نقاط الضعف.
يجب تغيير هذه الدوافع التجارية السارية والمنحرفة، فالوقاية ستكون أفضل بكثير من مجموعة العلاجات التي تطبق بطريقة غير متسقة وأحياناً سطحية، فالفضاء السيبراني الأميركي مليء بالثغرات ولا يمكن تغيير هذه النتيجة على نطاق واسع إلا من قبل مطوري وموردي البرمجيات أنفسهم، والمستخدم الفرد لا يستطيع جعل التشفير إلزامياً لكن الشركة الموردة تستطيع، والمستشفى لا يمكنه إعادة كتابة تطبيق تجاري لتجنب تلف البيانات، لكن الشركة الموردة تستطيع، والمدينة لا يمكنها تأمين الشيفرة التي تشغل نظام المياه فيها لكن الشركة الموردة تستطيع، ولذلك يجب أن تكون المسؤولية عند نقطة الإنتاج لا عند نقطة الاستهلاك.
تكنولوجيا جديدة وإمكانات مستجدة
على مدى عقود لم تجد حتى شركات البرمجيات الملتزمة مبرراً اقتصادياً لبذل الجهود المطلوبة لتطوير منتجات أكثر أماناً، نظراً إلى ارتفاع الكلفة وصعوبة المهمة، غير أن الذكاء الاصطناعي الذي يزداد قوة يوماً بعد يوم بدأ يغير هذه المعادلة، فالتكنولوجيا الجديدة تحمل وعداً بإمكان إنتاج شيفرات أحدث وأكثر أماناً بكلفة منخفضة وفعالية أكبر، إضافة إلى إصلاح نقاط الضعف في الشيفرات القديمة، وهو ما من شأنه أن يقلل بدرجة كبيرة الأخطار السيبرانية التي تهدد البنية التحتية الرقمية العالمية.
لقد بدأ الذكاء الاصطناعي فعلاً في إعادة تشكيل هندسة البرمجيات، إذ تشير كبرى شركات التكنولوجيا إلى أن أنظمة الذكاء الاصطناعي تولد ما يقارب ربع الشيفرات التي تنتجها حالياً، وهي نسبة قد تتجاوز 80 في المئة خلال الأعوام الخمسة المقبلة، والاعتماد على الذكاء الاصطناعي في إصلاح البرمجيات ينطوي على بعض الأخطار، فبما أن نماذج الذكاء الاصطناعي تتعلم من عقود من الشيفرات البشرية غير المثالية فإنها قد تُعيد إنتاج الثغرات ذاتها التي تعانيها البرمجيات الحالية، لكن هذه النماذج لا تتعلم فقط من الشيفرات الموجودة بل تتعلم أيضاً من كل ثغرة معروفة وكل محاولة إصلاح سابقة، وإذا ما دُربت عمداً وفق معايير البرمجة الآمنة وخضعت للتحسين المستمر بناء على نتائج الأداء السابقة، فإن الذكاء الاصطناعي يمكنه تصحيح أخطاء البشر بدلاً من تكرارها، ومع مرور الوقت سيُنتج الذكاء الاصطناعي شيفرات أكثر أماناً مما يستطيع أي مطور بشري إنتاجه.
كما يمكن استخدام أنظمة الذكاء الاصطناعي لإصلاح العيوب في البرمجيات واسعة الاستخدام، فخلال الفترة بين عامي 2023 و2025 أجرت "وكالة مشاريع الأبحاث الدفاعية المتقدمة" DARPA "تحدي الذكاء الاصطناعي للأمن السيبراني" لاختبار ما إذا كانت أنظمة الذكاء الاصطناعي قادرة على اكتشاف الثغرات البرمجية وتصحيحها ذاتياً، وكانت النتائج مبهرة إذ تمكنت النماذج الرائدة من تحديد معظم الثغرات التي أدرجها المنظمون عمداً في الشيفرة، بل واكتشفت نقاط ضعف جديدة لم تكن معروفة من قبل، منجزة في دقائق وبكلفة ضئيلة ما يستغرق من الفرق البشرية أياماً أو أسابيع، كما تتخذ الشركات الخاصة، مثل "غوغل" و"ميتا" و"مايكروسوفت" التي تطور برمجيات يستخدمها الأميركيون يومياً، خطوات مماثلة باستخدام أنظمة ذكاء اصطناعي لاكتشاف الثغرات ومعالجتها.
يمكن لأنظمة الذكاء الاصطناعي أن تكتشف الثغرات البرمجية وتصلحها ذاتياً
والأهم من ذلك أن الذكاء الاصطناعي سيساعد في مواجهة التحدي الأصعب في تأمين البرمجيات والمتمثل في الشيفرات القديمة التي تشغل جزءاً كبيراً من البنية التحتية الرقمية العالمية، فالأدوات البرمجية الأساس مثل برامج معالجة النصوص وأنظمة البريد الإلكتروني والقطاعات الحيوية مثل المصارف والنقل، كلها تعمل على برمجيات كتبت منذ عقود، وقد تركت الخيارات التصميمية المتخذة عند كتابة تلك الشيفرات نقاط ضعف متجذرة بعمق، وكانت إعادة كتابة هذا "الإرث البرمجي" بصورة أكثر أماناً أمراً مكلفاً ومحفوفاً بالأخطار إلى حد كبير، وهو ما يعادل على المستوى الرقمي محاولة إعادة بناء طائرة وهي في الجو، لكن مع تزايد قوة الذكاء الاصطناعي بات من الممكن أن يقوم ملايين الوكلاء الرقميين بقراءة الشيفرات غير الآمنة وفهمها وتحويلها على نطاق واسع، وهكذا فإن الذكاء الاصطناعي يمثل إنجازاً اقتصادياً بقدر ما هو تقني، إذ يجعل العمل الشاق لإعادة كتابة الشبكة العالمية من البرمجيات غير الآمنة أمراً ممكناً من حيث الكلفة.
سيقول المنتقدون إن الذكاء الاصطناعي لن يؤدي إلا إلى إضعاف الأمن السيبراني من خلال تزويد المهاجمين بأدوات أسرع وأكثر خفاء وقدرة على التكيف، وهذا الخطر حقيقي إذ سيسمح الذكاء الاصطناعي للخصوم بأتمتة إستراتيجياتهم الهجومية في الوقت نفسه الذي تُؤتمت فيه أنظمة الدفاع للكشف والاستجابة، لكن التأثير الأعمق للذكاء الاصطناعي يجب أن يكون في مرحلة الوقاية لا مرحلة الدفاع والرد، إذ يمكن من خلاله تطوير برمجيات تقضي على الثغرات التي يسعى الخصوم إلى استغلالها، فيعالج الذكاء الاصطناعي السبب الجذري لانعدام الأمان السيبراني.
إن آثار الذكاء الاصطناعي على الدفاع السيبراني ستكون تحولية بحق، فبدلاً من شراء سلسلة لا تنتهي من المنتجات للتعويض عن البرمجيات المعيبة، سيكون بوسع المؤسسات أن تدفع في مقابل برمجيات أكثر أماناً بطبيعتها، وفي مقابل أدوات مدعومة بالذكاء الاصطناعي تُبقي دفاعاتها محدثة تلقائياً، ولن يكتب المبرمجون بعد الآن شيفرات تحتاج إلى إصلاح لاحق لأن المساعدين المدعومين بالذكاء الاصطناعي سيساعدونهم في إنشاء أنظمة مدمج فيها الأمان منذ مرحلة التصميم، وقبل طرح المنتجات الجديدة ستقوم عمليات فحص آلية بالكشف عن نقاط الضعف، تماماً كما تخضع السيارات لاختبارات تصادم قبل استخدامها على الطرقات، وستحدث الأنظمة القديمة والهشة باستمرار مما يزيل الثغرات الخطرة التي يستغلها المهاجمون اليوم، ومع تحول هذا النهج إلى المعيار السائد سيتغير نموذج الأمن السيبراني برمته وسيصبح الأمان خاصية أساسية للحياة الرقمية، لا إضافة باهظة الثمن تشترى لاحقاً.
من الفوضى إلى التناغم
لكن هذه التحولات ليست مؤكدة الحدوث، فالقضاء على سوق الأمن السيبراني الموازي عبر إنتاج برمجيات عالية الجودة وعلى نطاق واسع يتطلب قادة طموحين مستعدين لاتخاذ خطوات جريئة، والتعديلات التدريجية الصغيرة لن تردم الفجوة بين النظام الرقمي الهش والمليء بالعيوب الذي نعيشه اليوم، وبين المستقبل الذي تصمم فيه البرمجيات بحيث تكون آمنة بطبيعتها، لذا يتعين على الحكومات وموردي التكنولوجيا والعملاء والمستثمرين اتخاذ إجراءات لتنسيق الحوافز بين المنتجين والمستهلكين وتسريع الابتكار وجعل الأمان سمة مرئية في البرمجيات، والأهم من ذلك أن أنظمة الذكاء الاصطناعي التي ستسهم في تأمين البرمجيات يجب أن تبنى هي نفسها بطريقة آمنة، إذ يمكن التلاعب بنماذج الذكاء الاصطناعي عبر بيانات تدريب فاسدة، كما يمكن أن تتخذ قرارات غير متوقعة يعجز حتى مطوروها عن تفسيرها بالكامل، وقد تعتمد على مكونات برمجية مصدرها جهات غير موثوقة أو تُدخل نقاط ضعف جديدة تماماً يمكن للخصوم استغلالها، مثل إمكان خداع النموذج للكشف عن بيانات حساسة.
إن إطلاق ميزات مدعومة بالذكاء الاصطناعي بأسرع ما يمكن ومن دون التأكد أولاً من أمنها، لن يؤدي إلا إلى تكرار الأخطاء نفسها التي أوجدت النظام الرقمي الهش الحالي، وقد أقر البيت الأبيض في "خطة عمل الذكاء الاصطناعي" التي أصدرها في يوليو (تموز) الماضي بهذه التحديات داعياً إلى إدماج مبادئ الأمان والشفافية والمساءلة في أنظمة الذكاء الاصطناعي منذ البداية، وتحقيق هذه الأهداف سيتطلب تعاوناً بين القطاعين العام والخاص، بما في ذلك إنشاء بيئات اختبار مشتركة لتقييم سلامة الأنظمة المعززة بالذكاء الاصطناعي بدقة قبل نشرها، كما يستلزم وضع آليات للتحقق من مصدر نماذج الذكاء الاصطناعي، أي من أنشأها ودربها وعدلها، ومراجعة أداء النماذج وبيانات تدريبها مع مرور الوقت، ويجب تصميم ضوابط واضحة لتوجيه تطوير أنظمة الذكاء الاصطناعي ونشرها واستخدامها بما يمنع إساءة الاستعمال مع الحفاظ على مساحة للابتكار.
ويقدم قانون المساءلة عن الذكاء الاصطناعي الجديد الذي أقرته ولاية كاليفورنيا في سبتمبر (أيلول) الماضي نموذجاً لكيفية ترسيخ متطلبات الشفافية وتقييم الأخطار التي يمكن أن تشكل أساساً لنهج وطني منسق، وفي الوقت نفسه فمن أجل إعادة توجيه الحوافز السوقية يتعين على صناع السياسات وقادة القطاع الصناعي العمل معاً لوضع معايير واضحة وموحدة تجعل خصائص الأمان في المنتجات البرمجية مرئية للمشترين، فكما يمكن للمستهلكين تقييم السيارات عبر نتائج اختبارات التصادم والأجهزة المنزلية من خلال بطاقات كفاءة الطاقة، والأطعمة عبر بطاقات القيم الغذائية، ينبغي أن تتاح لهم القدرة نفسها على تقييم كيفية تصميم البرمجيات التي يعتمد عليها الأميركيون يومياً، ويجب أن يعرف المستهلكون ما إذا كانت الحمايات الأساس، مثل آليات المصادقة الآمنة، مفعلة افتراضياً، ومدى سرعة معالجة الثغرات الأمنية عند اكتشافها، وما إذا كانت المنتجات توفر للمستخدمين أدوات لاكتشاف الاختراقات والتعافي منها.
ينبغي أن يكون الأمان سمة أساسية للحياة الرقمية لا إضافة باهظة الثمن
إن الأسس اللازمة لتحقيق ذلك قائمة بالفعل، ففي يناير (كانون الثاني) الماضي أطلقت إدارة الرئيس الأميركي جو بايدن مبادرة "علامة الثقة السيبرانية الأميركية" U.S. Cyber Trust Mark، وهي ملصق يستخدم لتوثيق أن الأجهزة المتصلة بالإنترنت، مثل منتجات المنازل الذكية، تستوفي معايير الأمن السيبراني القياسية، ومثلما تؤكد علامات "نجمة الطاقة" Energy Star كفاءة المنتجات في استهلاك الطاقة وتشجع المستهلكين على شراء الأجهزة الموفرة، ستساعد علامة الثقة السيبرانية في تمكين قوى السوق من مكافأة الشركات التي تستثمر في الأمان، غير أن هذا البرنامج يحتاج إلى توسيع نطاقه، فكل المنتجات البرمجية، وليس الأجهزة المتصلة بالإنترنت فقط، يجب أن تحمل ملصقات واضحة وشفافة تتيح إطلاق منافسة نحو جعل الأمان هو الوضع الافتراضي.
كما تقع على عاتق الجهات التنظيمية مسؤولية ضمان أن يتحمل الموردون لا المشترون عبء الثغرات البرمجية، ومع ذلك تطورت القوانين المنظمة للأمن السيبراني في الولايات المتحدة إلى حد كبير بصورة منفصلة وداخل كل قطاع على حدة، ونتيجة لذلك تخضع كل من خطوط الأنابيب والسكك الحديد والخدمات المالية وأنظمة الاتصالات، على سبيل المثال، لمعايير مختلفة تطبقها هيئات تنظيمية منفصلة، وهو ما أدى إلى تداخل وتشابك في المتطلبات التنظيمية، وقد أفضى هذا النظام المبعثر إلى التزام شكلي بالقواعد بدلاً من تحقيق خفض حقيقي للأخطار، ويكمن النهج الأفضل، كما أوصت لجنة "سولاريوم" للأمن السيبراني Cyberspace Solarium Commission، وهي هيئة من الحزبين الرئيسين تضم مشرّعين ومسؤولين سابقين وقادة في الصناعة أنشأها الكونغرس الأميركي عام 2019، بالتركيز على البرمجيات التي تشكل الأساس لكل قطاع بدلاً من التركيز على كل قطاع بمفرده، وذلك عبر وضع إطار واضح للمسؤولية القانونية يُحمل منتجي البرمجيات المسؤولية عندما تؤدي ممارسات التصميم أو التطوير المهملة إلى إخفاقات أمنية، وبما أن البرمجيات أصبحت اليوم تشكل الأساس لكل مؤسسة كبرى تقريباً فإن إنشاء مثل هذا الإطار على مستوى البرمجيات سيعيد توجيه الحوافز الاقتصادية نحو إنتاج منتجات أكثر أماناً، وينقل المساءلة من المستخدمين النهائيين إلى أولئك الأقدر على منع الضرر: مُنتجي الشيفرات أنفسهم.
وإضافة إلى تطوير إطار واضح للمساءلة القانونية عن العيوب الأمنية في البرمجيات، يُعد توحيد القواعد التنظيمية الخاصة بكل قطاع في مجال الأمن السيبراني أمراً بالغ الأهمية، فالتكليفات المتضاربة تترك الشركات تواجه مطالب غير متسقة من جهات تنظيمية عدة، أما النموذج الأكثر فاعلية فسيتمثل في توحيد القيادة تحت مظلة مكتب المدير الوطني للأمن السيبراني ONCD، وهو كيان أنشأه الكونغرس عام 2021 لتنسيق سياسات الأمن السيبراني الوطنية، وسيسمح ذلك بتمكين جهة واحدة من قيادة الإستراتيجية وتحديد الأولويات وضمان اتساق السياسات بدلاً من استمرار حال الفوضى التنظيمية.
اقرأ المزيد
يحتوي هذا القسم على المقلات ذات صلة, الموضوعة في (Related Nodes field)
إن منح "مكتب المدير الوطني للأمن السيبراني" تفويضاً واضحاً لوضع جدول الأعمال وتزويده بالموارد اللازمة لتنفيذه سيجعل منه أقوى محرك حكومي لتعزيز أمن البرمجيات على نطاق النظام بأكمله، كما يمكن لـ "مكتب المدير الوطني للأمن السيبراني" أن يسهم في توسيع اعتماد البرمجيات الآمنة من خلال إصلاح آلية شراء البرمجيات الحكومية، فالحكومة الفيدرالية الأميركية هي أكبر مشتر للبرمجيات في العالم، ومع ذلك وبعد أكثر من أربعة أعوام على تقديم "وزارة الأمن الداخلي" معايير للبرمجيات الآمنة لإدراجها ضمن "اللائحة الفيدرالية للمشتريات"FAR، وهي المنظومة التي تحكم عمليات الشراء العامة، لم يُصدر بعد أي تشريع نهائي يلزم الموردين بإثبات التزامهم بممارسات التطوير الآمن، فعملية المشتريات الفيدرالية التي وضعت أصلاً لشراء أدوات مكتبية أكثر من كونها لتحديث البرمجيات، تسير ببطء لا يتناسب مع مجال تتغير فيه التهديدات كل دقيقة.
ويمكن للجهات الحكومية أن تتعلم من تجربة شركة "جي بي مورغان تشيس" JPMorgan Chase التي أصدرت حديثاً رسالة مفتوحة إلى موردي البرمجيات لديها تحدد فيها بوضوح توقعاتها بأن تُعطى الأولوية للأمان على حساب الاستعجال في طرح الميزات الجديدة، وتشير التقارير الأولية إلى أن الموردين استجابوا بتقوية ممارسات التطوير لديهم وتعزيز الشفافية، وهو مثال واضح على كيف يمكن لقوة الشراء أن تعيد المساءلة إلى منبع الإنتاج، حيث تتخذ القرارات الحاسمة المتعلقة بالأمان.
المستقبل يبدأ الآن
تزداد خطورة عواقب فشل الولايات المتحدة في حل مشكلة جودة البرمجيات يوماً بعد يوم، فشبكات الطاقة والمستشفيات وخطوط الأنابيب والموانئ والشبكات المالية تعمل اليوم تقريباً بالكامل بواسطة البرمجيات، مما يجعلها عرضة لأخطار متصاعدة من تلف البيانات والانقطاعات التشغيلية، ويمكن للشركات والجهات التنظيمية أن تستمر في التعامل مع ضعف الأمان البرمجي وكأنه حقيقة طبيعية لا يمكن تغييرها، فتكتفي برد الفعل على الاختراقات وإضافة التحديثات التصحيحية وإلقاء اللوم على المستخدمين، أو يمكنها أن تجعل الأمان هو الإعداد الافتراضي.
وعلى رغم تزايد الوعي بهذه المشكلة بين صناع السياسات ودوائر الأعمال فإن التقدم نحو حلول فعالة لا يزال محدوداً، فقد أطلقت بعض الوكالات الحكومية مبادرات لتشجيع شركات البرمجيات على دمج الأمان في منتجاتها منذ مرحلة التصميم، غير أنه لا يوجد حتى الآن إطار وطني ملزم لتحقيق ذلك، ونادراً ما يدرج هذا الموضوع ضمن الأولويات السياسية، لا في الكونغرس الذي لم يقر بعد تشريعات شاملة تتعلق بالمسؤولية القانونية أو معايير التصميم، ولا في السلطة التنفيذية التي تتأرجح بين الخطاب الحازم والحذر في التنفيذ، وفي الوقت نفسه تواصل جماعات الضغط القوية والشركات التكنولوجية الكبرى مقاومة الإصلاحات التي قد تؤدي إلى زيادة الكُلف أو إبطاء وتيرة طرح المنتجات المليئة بالميزات الجديدة، لكن تركيز إدارة ترمب المستمر على تسخير قوة المشتريات الفيدرالية الهائلة للحكومة الأميركية، وتوسيع المبادرات الرامية إلى تعزيز التصميم الآمن للبرمجيات التقليدية وتلك المدعومة بالذكاء الاصطناعي، يمثل نقطة تحول محتملة، وإذا اقترنت هذه الجهود بمعايير واضحة وآليات تنفيذ فعالة فقد تبدأ في تحويل الأمان من فكرة لاحقة إلى توقع أساس في السوق.
ينبغي ألا يعني الأمن السيبراني بعد الآن صراعاً دفاعياً دائماً
إن إحراز تقدم حقيقي بات ممكناً الآن، بل وضرورياً للدفاع الوطني الأميركي، فوزارة الدفاع تنفق مليارات الدولارات سنوياً على عمليات الأمن السيبراني وتوظف عشرات الآلاف من الأفراد لحماية أنظمة برمجية ضعيفة، وتقليص العيوب البرمجية القابلة للتجنب سيتيح تحرير الموارد والأفراد للتركيز على ردع الخصوم وإفشال مخططاتهم من خلال توسيع القدرات الهجومية السيبرانية لفرض كُلف على أولئك الذين يستهدفون البنية التحتية الحيوية للولايات المتحدة، وهو ما سيغير ميزان القوة من الدفاع المستمر إلى الردع الاستباقي.
كما أن هذه التغييرات ستطلق الإمكانات الكاملة لقطاع الأمن السيبراني الذي أصبح يرتبط ارتباطاً وثيقاً بالذكاء الاصطناعي نفسه، فمستقبل العمل السيبراني لا يكمن في الاستجابة لاختراقات الأمس بل في هندسة الثقة داخل نسيج الحياة الرقمية، عبر تأمين الخوارزميات والبيانات والبنى التحتية التي تشغل الاقتصاد العالمي، وسيعمل الخبراء البشريون والذكاء الاصطناعي معاً لتعزيز الأنظمة الحيوية وحماية الابتكار والحفاظ على التفوق التكنولوجي للولايات المتحدة.
لم يعد الأمن السيبراني يعني صراعاً دفاعياً لا ينتهي بل يجب أن يعني تصميماً متعمداً لعالم رقمي أكثر أمناً، ومع السياسات الصحيحة والحوافز المناسبة والاستخدام السليم للذكاء الاصطناعي يمكن للولايات المتحدة أخيراً أن تنتقل من الدفاع عن الماضي إلى تأمين المستقبل، وهكذا تنتهي فعلاً حقبة الأمن السيبراني، لا عبر حماية مثالية بل من خلال أنظمة تتمتع بالقدرة على الصمود في وجه الاضطرابات.
جين إيسترلي هي زميلة زائرة متخصصة في التطبيق العملي للسياسات في "كلية بلافاتنيك" للحوكمة بجامعة أوكسفورد، وقد شغلت منصب مديرة وكالة الأمن السيبراني وأمن البنية التحتية في وزارة الأمن الداخلي الأميركية بين عامي 2021 و2025.
مترجم عن "فورين أفيرز" سبتمبر (أيلول) / أكتوبر (تشرين الأول) 2025
