في واحد من أهمّ المواعيد في عالم تأمين الفضاء الإلكتروني، إجتمع يوم الخميس 27 سبتمبر خلال الندوة الثانية من أيّام ESET Security Days قرابة المائة من أصحاب القرار في ميدان سلامة المعلومات بنزل Mövenpick Hôtel du Lac للتباحث في موضوع حماية المعطيات الشخصيّة بتونس وأفضل السبل لبلوغها وتمّ التطرّق لمواضيع: الذكاء الإصطناعي وتصنيف المعطيات وأيضا الجوانب القانونيّة.
وبيّن السيّد Benoit Grunemwaldوهو رائد في مجال أمن الفضاء الإلكتروني لدى ESET في مستهلّ حديثه أنّ هذه الحقبة تميّزها الجوسسة الصناعية إذا لم نقل الجوسسة بمفهومها الكلاسيكي مذكّرا بالقضايا الأخيرة للجوسسة في الأسلاك الديبلوماسية الأجنبيّة التي إجتاحت العالم والتي تُجري عليها ESET أبحاثا متقدّمة.
المعطى “هذا الذهب الأسود الجديد للقرن الواحد والعشرين” هو طبعا في قلب هذه القضايا ولكن أيضا في قلب الحياة الشخصيّة لملايين المواطنين ممّا يجعل منه من دون شك، موضوع الساعة المركزي والذي أرادت هذه الندوة الثانية من أيّام ESET Security Days الخوض فيه.
لذلك حظت الطاولة المستديرة المخصّصة لـ RGPD (النظام الجديد للإتحاد الأوروبي والذي ينطبق على الجميع) وحماية المعطيات الشخصيّة بتونس بإنتظار كبير.
وجمعت حلقة النقاش خبراء من القطاع العام على غرار السيّد فاضل غاجاتي المسؤول عن منظومة التصرّف في سلامة المعلومات بالوكالة العامة للسلامة المعلوماتيّة (ANSI) والسيّد شوقي قدّاس رئيس الهيئة الوطنيّة لحماية المعطيات الشخصيّة (INPDP) ومن القطاع الخاص السيّد نزار عليّة المدير المساعد لـ Devoteam Management Consulting و السيّد Benoit Grunemwaldوهو رائد في مجال أمن الفضاء الإلكتروني لدى ESET.
وتمّ التطرّق لمفهومين أساسيين خلال النقاش: كيف يمكن للمنظومة القانونيّة أن تؤطّر الشركات لتمكينها من حماية أفضل للمعطيات الشخصيّة لحرفائها مع مراعاة طموح كبار الشركات من قبيل (Google, Apple, Facebook and Amazon) GAFA؟ وإلى أيّ مدى يُعتبر تصنيف المعطيات في الشركات مسارا ضروريّا لمجابهة المصاعب؟
فيما يخصّ الجانب القانوني بدأ المشاركون بمناقشة مفهوم ملكيّة المعطى: من يُعتبر مالك معطياته الشخصيّة؟ الهيئة الوطنيّة لحماية المعطيات الشخصيّة INPDP التي تستعدّ لنشر موقف ينتظره الجميع حول المسألة, تعتبر أنّ المعطيات الشخصيّة يمكن تمثيلها بأعضاء جسم الإنسان: التي يُتعذّر الوصول إليها! “هي جزء من الإنسان ولايُمكن بيعها ولا يُمكن نقل ملكيّتها، يُمكن معالجتها ويُمكن إعطاء الإذن لإستعمالها ولكن لا يُمكن التخلّي عن حقّنا فيها كما هو الحال في الولايات المتحدّة” في إيضاح للسيّد شوقي قدّاس رئيس الهيئة الوطنيّة لحماية المعطيات الشخصيّة INPDP.
وفعلا هذا ما يقوم به يوميّا الآلاف من المواطنين الذين يعهدون معطياتهم الشخصيّة لـ GAFA عند إستعمال خدماتهم!
لكن هل من المنطقي، على سبيل المثال “التوقف عن إستعمال Gmailخوفا من القانون الصادر مُؤخرا بالولايات المتحدة الأمريكيّة حول حماية المعطيات الشخصيّة Cloud Act ؟” في تعقيب ل Benoit Grunemwald منESET .
كما هو بديهي، يمتلك جميع المسؤولين التونسيبن الحاضرين بريدا إلكترونيّا مشفّرا ومؤمّنا. لكن ماذا يمكن أن تفعل الشركة الصغيرة التي لا تمتلك نفس الموارد؟ ويلاحظ السيّد نزار عليّة المدير المساعد فيDevoteam أنّ هم أنفسهم يستعملون خدمات Google “نعم، ولكن علينا إختيارما يتمّ إرساله وأن لا نستعمل هذه الخدمات لأغراض إستراتيجيّة” في إجابة للسيّد شوقي قدّاس رئيس الهيئة الوطنيّة لحماية المعطيات الشخصيّة INPDP.
وعلى الرغم من تباين الآراء يتفق الحاضرون في الإقرار بأنّ الأمور تتطوّرنحو الأفضل وستظهر بدائل لهذه الخدمات ويقرّون خاصّة بأنّ الإطار القانوني بصدد مواكبة هذا التطوّر.
منذ بداية سنوات الألفية الثانية وتحديدا إبّان صدور قانون السلامة المعلوماتية لسنة 2004 أصبحت تونس البلد الأوّل في القارة الإفريقيّة والعالم العربي الذي يحظى بقانون متعلق بحماية المعطيات الشخصيّة. وسيمكّن كذلك مشروع القانون الجاري صياغته من تركيز “الحقّ في النسيان الرقمي” الشهيرالذي سوف يفسح الفرصة لحذف المعطيات الشخصيّة من محركات البحث المختلفة.
من جهة أخرى، تستعدّ الوكالة العامة للسلامة المعلوماتيّة ANSI، التي تُجبرمنذ قانون سنة 2004 المؤسّسات التونسيّة على القيام بتدقيق في السلامة المعلوماتيّة مرّة في السنة، لتقبُّل دعم الهيئة الوطنيّة لحماية المعطيات الشخصيّة INPDP التي يُمكنها رصد ومعاقبة المؤسّسات التي تعالج معطيات شخصيّة دون القيام بعملية التدقيق المسبقة.
والسؤال الذي يُطرح هنا كيف يُمكن لهذه الشركات حماية معطياتهم لتجنب العقوبات؟ وأجمعت آراء الخبراء حول هذه النقطة بأنّه: يُمكننا إجادة حماية الشيء الذي نراه فقط! تصنيف المعطيات الذي يمكّننا من جرد كافة معطيات المؤسّسة هي إذن مرحلة شديدة الحيويّة لأي إستراتيجيّة للحماية.
ويمكّن التصنيف أيضا من تركيز الجهود الجيّدة (والميزانيات الضروريّة) على المعطيات التي تستوجب حقّا الحماية: “هناك مثلا حدّ أدنى من الأمن المطبق على كل المعطيات ولكن هناك أيضا معطيات يجب أن تتمتّع بمعالجة خاصّة نظرا لطبيعتها الحسّاسة” يُوضّح السيّد نزار عليّة المدير المساعد في Devoteam التي بادرت ببعث أصناف للمعطيات ستساعد المؤسّسات على توصيف أفضل “للذهب الرقمي” وبالتالي حفظه بطريقة أفضل!
مرحلة التصنيف هذه هي طبعا شاقة ولكنّها تحظى اليوم بدعم الذكاء الإصطناعي الذي يتلاءم مع هذا النوع من الأعمال ويمكّن من الفرز السلس لأعداد كبيرة من المعطيات بشرط السهر على إدخال القياسات بطريقة سليمة ومؤمّنة لتجنّب التلاعب بها من طرف مهاجمين (هي هجومات مستترة لا يمكن ملاحظتها إلى حين حصول الحادث كما بيّنتهESET في عرض تمّ تقديمه في وقت سابق خلال اليوم).
في الختام شدّد الخبراء على الأهميّة القصوى للتوعية ولتكوين الموظفين حول المخاطر الرقميّة. “هو شيء حتما حيوي وحين لا نقوم به يمكن أن يُؤدّي، كما حدث سابقا، إلى خروج ملفّ صحي لرئيس سابق للعلن” في ختام كلمة السيّد شوقي قدّاس رئيس الهيئة الوطنيّة لحماية المعطيات الشخصيّة INPDP.