حل «فوري» لحماية البيانات
في الثامن من نوفمبر الجاري، فوجئ الجميع بتداول معلومات حول تنفيذ عملية هجوم سيبراني على موقع وتطبيق شركة «فوري»، وهي من الشركات الرائدة في مجال الدفع الإلكتروني، ورغم تصنيف الهجوم بأنه عالي الخطورة، مع احتمالية كبيرة لتسريب بيانات العملاء أو الاستيلاء على أموال، إلا أن الشركة وقتها نفت حدوث ذلك، وأكدت أنه لم يتم تسريب أي بيانات مالية أو بنكية، وأنها تطبق أعلى معايير الأمن السيبراني.
الشركة حينها تحدثت عن اتخاذ عدة إجراءات عند وصول بلاغ بوجود اختراق لأنظمتها، أولها التأكد بنفسها من الخوادم والتطبيقات الخاصة بها عبر بحث أولي، تلا ذلك الاستعانة بشركة عالمية متخصصة في الأمن السيبرانى للقيام بفحص شامل لأنظمة وخوادم الشركة وتطبيقاتها للتأكد من عدم وجود اختراق، ونتج عن ذلك إعلانا بكفاءة وأمان مدفوعاتها الإلكترونية عبر كل منصاتها وأنه لم يتم تسريب أي بيانات للمستخدمين.
ورغم نفي «فوري» الأخبار المتداولة بشأن مطالبة أي "هاكرز" للشركة بأموال نظير البيانات المسربة، إلا أن العصابة المرتكبة للهجمة، -حسب مواقع متخصصة في الأمن السيبراني-، حددت يوم 28 نوفمبر، بعد غدٍ، موعدا نهائيا للحصول على فديتها قبل أن تنشر البيانات التي حصلت عليها في الـ dark web.
لتعود الشركة منذ ساعات ببيان أعلنت فيه أنه بعد الاستعانة بشركة رائدة في مجال تطوير تقنيات الأمن السيبراني، فإن جميع أنظمة فوري الفعلية لم تتعرض لأي اختراق ولم يتم تسريب أية بيانات منها، إلا أن جزءا منفصلا من بيئة اختبار التطبيقات والبرامج تعرض لهجوم، أسفر عن تشفير بعض الملفات وتسريب بعض البيانات الشخصية غير المالية، وكأن تسريب البيانات الشخصية أمر هين لن يضر!
كذلك تحدث رئيس «فوري» عقب البيان الأخير في تصريحات لـ"الشرق"، أشار فيها إلى أن الجزء الذي تعرض لاختراق كان بيانات شخصية فقط، في تقليل واضح من شأن البيانات الشخصية، وبما قد يمثل مخالفة للقانون في عدم حماية البيانات، التي لا يُفرق تعريفها في صدر قانون حماية البيانات بين ما هو "شخصي" وما هو "مالي" بل يعتبرها القانون في مجملها بيانات شخصية، وبذلك يقع هذا الفعل تحت محددات الإفصاح وهكذا العقوبة المُحددة بمواد القانون.
أعلم أنه لا توجد أنظمة أمنية إلكترونية مؤمنة بنسبة 100%، وأن أكبر الشركات التكنولوجية تعرضت لهجمات سيبرانية مختلفة، إلا أن حادثة "فوري" تفتح تساؤلًا مهما، عن القانون رقم 151 لسنة 2020 لسرية البيانات والمنظم لإنشاء مركز حماية البيانات الشخصية، والمعني بتحديد ضوابط إفصاح اختراق البيانات والآثار المترتبة على عملية الاختراق وآليات المواجهة والتوثيق وإخطار العملاء.
قد شاركت بشكل شخصي في مناقشات هذا القانون خلال برلمان 2015، وأذكر أنه تم محاولة محاكاة النظام الأوروبي العام لحماية البيانات GDPR، حرصا على حماية البيانات الشخصية وخلق بيئة آمنة لتداول المعلومات في الفضاء الإلكتروني من ناحية، وأيضا لدعم الاستثمارات في مجال الاقتصاد المعلوماتي المبني أساسا على وجود حماية البيانات والأمن السيبراني ولتوطين صناعة مراكز البيانات، وهو مجال واعد للغاية إلا أن بنيته الأساسية مُنتقصة بسبب عدم إيلائه الاهتمام الكافي.
فرغم إقرار قانون حماية البيانات ونشره بالجريدة الرسمية منذ 2020، إلا أنه ظلّ غير مفعلا بسبب عدم إقرار اللائحة التنفيذية لهذا القانون، فقط في كل مناسبة أو محفل على مدار الثلاثة سنوات الماضية، يكتفي الوزير المختص وهو وزير الاتصالات بوعود إقرار اللائحة التنفيذية للقانون، دون أن يقدم أي جديد ملموس في هذا الشأن أو يعطي توضيحا لأسباب تأخير هذه اللائحة الأساسية لتطبيق القانون والمنظمة لكثير من مواده، مع أن هناك تواليا لأدوات برلمانية في هذا الشأن، أبرزها طلب الإحاطة المقدم من الدكتورة مها عبد الناصر، عضو مجلس النواب عن الحزب المصري الديمقراطي.
بل إن الوزارة في 2021 أعلنت عن تشكيل لجنة لإعداد اللائحة التنفيذية للقانون برئاسة أحد المستشارين، وعقدت حوارات مجتمعية مع شركات التكنولوجيا المحلية والعالمية العاملة في مصر ومشغلي المحمول والقطاعات المعنية بتطبيق القانون، إلا أنه حتى الآن لم نرى أي منتج لها، بل على العكس يبدو أن المناقشات اهتمت فقط بالجانب البيروقراطي للقانون دون الاهتمام بالإطار التطبيقي لحماية البيانات.
لتأتي الحادثة الأخيرة لشركة فوري دون تحرك، أو تعقيب لوزارة الاتصالات أو لأي جهة حكومية عن الواقعة، وكأن البيانات الشخصية للمواطنين ليست على قدر الأهمية رغم أهمية الأمر البالغة وارتباطها المباشر بالمواطنين والاقتصاد كذلك.
كل ذلك ينبه إلى ضرورة إعادة النظر في القانون المنظم وتحديثه بالقدر الكافي على مواكبة التطور في مجال الأمن السيبراني، وأيضا سرعة إقرار اللائحة التنفيذية للقانون بشكل «فوري»، حرصا على حماية بيانات المواطنين ووقف أي تعدي عليها، في ظل هذا الكم من التطبيقات التي تستبيحها، بل وتتاجر فيها على مرآى ومسمع من الجميع.