عالم التقنية والذكاء الاصطناعي .. أمن المعلومات وحماية المستفيدين

[ابوالوليد المسلم]

عالم التقنية والذكاء الاصطناعي .. أمن المعلومات وحماية المستفيدين

• يجب الحرص على عقد دورات تدريبية للموظفين لتدريبهم على الممارسات الآمنة فالعنصر البشري هو أضعف حلقة في أي منظومة أمنية غالبًا
• ينبغي إدراج أمن المعلومات في صميم التخطيط الاستراتيجي والميزانيات السنوية لا في الهامش أو بند الطوارئ

في عالم تتزايد فيه اختراقات البيانات وتسريبات المعلومات الحساسة، لم يعد أمن المعلومات ترفًا تقنيًا أو شأنًا يخصّ قسم الحاسب وحده، بل صار جزءًا من الوفاء بالأمانة الشرعية والقانونية تجاه المتبرعين والمستفيدين، وإن ملفات الأيتام والفقراء والمرضى، وبيانات المتبرعين وحساباتهم، أولى أن تُحفظ في أوعية وطرق إلكترونية مأمونة على سبيل المثال لا الحصر.

حفظ الأمانة من مقاصد الشريعة

• حفظ الأمانة والأسرار من المقاصد الشرعية ولا شك أن وتسريب بيانات المستفيدين قد يعرّضهم للوصم الاجتماعي أو الابتزاز أو الاستغلال التجاري، كما إن كشف تفاصيل حسابات المتبرعين قد يفتح أبوابًا من الاحتيال عليهم، ومن ثمّ فإن تساهل المؤسسة في أمن المعلومات لا يُعد خللًا إداريا فقط، بل تقصيرًا في الأمانة واستهانة بمقاصد الشريعة.

تصنيف البيانات..

ينبغي أولًا تصنيف البيانات داخل المؤسسة الخيرية وفقًا لأهميتها وحساسيتها إلى الأقسام التالية:

• بيانات عامة: إحصاءات مجملة عن أعداد المستفيدين أو حجم التبرعات دون ذكر أسماء أو تفاصيل شخصية.
• بيانات داخلية: معلومات تنظيمية عن الموظفين وإجراءات العمل والعقود، لا تُنشر للعامة ولكن لا يترتب على كشفها ضرر كبير على الأفراد.
• بيانات حسّاسة: كل ما يتعلق بالأيتام والفقراء والحالات الاجتماعية والمرضى، إضافة إلى الأرقام البنكية وطرائق الدفع وسجلات التبرعات الفردية.

وكل مستوى من هذه المستويات يحتاج إلى درجة مختلفة من الحماية والصلاحيات، وأعلى درجات التحصين تُمنح -بطبيعة الحال- للبيانات الحساسة.

مفاهيم تقنية لابدّ منها

حتى لو لم يكن صانع القرار خبيرًا تقنيًا، فإنه يحتاج إلى أن يتزود ببعض المفاهيم الأساسية:

• تشفير البيانات (Encryption): تحويل المعلومات إلى صيغة غير مقروءة إلا لمن يملك مفتاحًا خاصا، سواء كانت البيانات مخزنة أو منقولة عبر الشبكة.
• ضبط الصلاحيات (Access *******): تحديد من يحق له الاطلاع على كل نوع من البيانات أو تعديلها، وفق دوره الوظيفي ومسؤوليته.
• النسخ الاحتياطي (Backup): الاحتفاظ بنسخ آمنة من البيانات في مواقع أو وسائط مختلفة لاستعادتها عند الحذف أو الاختراق أو الكوارث.
• التدقيق الأمني الدوري (Penetration Testing):إجراء اختبارات محاكاة للهجمات السيبرانية سنويا بواسطة خبراء خارجيين؛ لكشف الثغرات قبل استغلالها من قبل المهاجمين (الهاكرز).
• حماية نقاط النهاية (Endpoint Security): تثبيت برمجيات مضادة للفيروسات والـ(EDR) على جميع أجهزة الموظفين، بما في ذلك الهواتف الشخصية المستخدمة للعمل الميداني.
• الكشف عن الاختراقات (SIEM Systems): نشر أنظمة إدارة المعلومات والأحداث الأمنية لرصد النشاط غير الطبيعي في الوقت الفعلي واستجابة فورية للحوادث.
• إدارة المخاطر الخارجية (Third-Party Risk): تدقيق أمني لجميع الشركاء التقنيين (مزودي السحابة، الدفع الإلكتروني) مع عقود (SLA) تحدد المسؤولية القانونية عند الاختراق.
• التوعية المستمرة (Security Awareness): برامج تدريب شهرية تشمل محاكاة الـ(Phishing) لتعليم الموظفين التعرف على رسائل التصيد الاحتيالي، ولا سيما في مواسم التبرعات.
• الامتثال للمعايير الدولية: الحصول على شهادات ISO) لبناء ثقة الجهات المانحة الدولية ولتجنب عقوبات التحويلات المالية.
• خطة الاستجابة للحوادث (Incident Response Plan): إجراءات مكتوبة ومُجرَّبة لاحتواء الاختراق في أقل من 24 ساعة، مع إخطار الجهات المعنية وفق (GDPR) أو قوانين محلية.
• حذف البيانات الآمن (Data Sanitization): محو نهائي وغير قابل للاسترداد للبيانات القديمة لبعض المستفيدين بعد انتهاء فترة الاحتفاظ القانونية.
• وإن إهمال أي من هذه العناصر قد يحوّل المؤسسة إلى هدف سهل للهجمات السيبرانية، أو يجعل أي خطأ بشري بسيط سببًا في كارثة بيانات.

الذكاء الاصطناعي وأمن البيانات

لاشك أن استخدام أدوات الذكاء الاصطناعي في بيئة العمل الخيري، قد يضيف طبقة جديدة من التعقيد؛ إذ قد تميل بعض الفِرق العاملة إلى إدخال نصوص أو جداول تتضمن بيانات حقيقية لمستفيدين ومتبرعين في أدوات عامة أو مفتوحة؛ وذلك للحصول على تحليل سريع أو تقرير منسّق، والحقيقة أن مثل هذه الممارسة تمثل تهديدًا مباشرًا للخصوصية؛ لأن المؤسسة لا تملك سيطرة كاملة على كيفية استخدام تلك البيانات أو تخزينها خارج حدود أنظمتها.

• والقاعدة العملية هنا: لا تُدخل أي بيانات حساسة في أدوات ذكاء اصطناعي عامة، ويفضّل - إن أمكن - استخدام حلول داخلية أو منصّات سحابية بعقود واضحة ومسؤولة عن حماية البيانات، مع فصل البيانات التعريفية عن المحتوى قدر الإمكان.

أمن المعلومات جزء من السمعة المؤسسية

غالبًا ما تنظر بعض الإدارات لأمن المعلومات بوصفه (تكلفة إضافية) أو (ترفًا تقنيًا)، لكن الواقع أن سمعة المؤسسة الخيرية في هذا العصر باتت مرتبطة بمدى التزامها بحماية بيانات شركائها ومستفيديها؛ فتسريب واحد قد ينسف سنوات من بناء الثقة، ويعرّض المؤسسة لمساءلات قانونية وإعلامية، وربما يعوق عملها في بعض البلدان.
من هنا ينبغي إدراج أمن المعلومات في صميم التخطيط الاستراتيجي والميزانيات السنوية، لا في الهامش أو بند الطوارئ، مع تدريب دوري للموظفين على الممارسات الآمنة، لأن أضعف حلقة في أي منظومة أمنية غالبًا ما تكون العنصر البشري.



اعداد: م. أمجد ذياب