تواجه المؤسسات في المملكة المتحدة تحديات كبيرة في مجال حماية البيانات والامتثال بعد خروج بريطانيا من الاتحاد الأوروبي (البريكست). على الرغم من الحفاظ على معايير قوية لحماية البيانات عبر نظام اللائحة العامة لحماية البيانات في المملكة المتحدة (UK GDPR)، إلا أن تنفيذ هذه القوانين لا يوازي الطموحات المعلنة.
مؤشرات الأداء تظهر فجوات واضحة في القدرات التشغيلية للمؤسسات البريطانية، خاصة في مجالات هامة مثل الكشف عن الشذوذ باستخدام الذكاء الاصطناعي واستعادة بيانات التدريب. على سبيل المثال، تقول البيانات إن أقل من 40% من الشركات البريطانية تمتلك القدرات اللازمة للكشف عن التهديدات باستخدام الذكاء الاصطناعي، فيما تصل نسبة استعادة البيانات إلى أقل من نصف هذا الرقم.
بالإضافة إلى ذلك، تتأخر المؤسسات البريطانية بشكل كبير في إدارة قوائم مكونات البرمجيات (SBOM) ومراقبة الموردين باستمرار، حيث تصل نسبة الشركات التي تتبع تلك الممارسات إلى أقل من 30%. والأمر الأكثر إثارة للقلق هو أن أقل من 10% من المؤسسات لديها خطط استجابة موحدة مع الموردين الخارجيين لحوادث الأمن السيبراني.
ضعف الرؤية في سلسلة التوريد
تعد إدارة سلسلة التوريد واحدة من أكبر التحديات، خاصة مع تصاعد الهجمات على مكونات البرمجيات. ففهم المكونات الموجودة في بيئة البرمجيات يعد أمرًا أساسيًا للدفاع ضد التهديدات، ولكن العديد من المؤسسات البريطانية تفتقر إلى الرؤية الكافية لهذا الجزء الحيوي من بنيتها التحتية التكنولوجية.
مع تزايد الاعتماد على نماذج الذكاء الاصطناعي، تزداد تعقيدات سلسلة التوريد، حيث تعتمد هذه النماذج على مصادر خارجية مثل البيانات التدريبية وواجهات برمجة التطبيقات (APIs) والخدمات الخارجية، مما يزيد من نقاط الضعف.
ضعف المراقبة المستمرة للموردين
تشير البيانات إلى أن أقل من 30% من الشركات البريطانية تتابع بشكل مستمر أداء مورديها، وهي نسبة أقل مقارنة بأسواق أوروبا الأخرى. غياب خطط استجابة موحدة مع الموردين يعرض المؤسسات لمخاطر أكبر عند وقوع حوادث أمنية، حيث لا توجد إجراءات واضحة للتعامل مع الأزمات.
عدم وجود مراقبة مستمرة يعكس ضعفًا في الالتزام بمعايير حماية البيانات، إذ يتطلب التشريع البريطاني ضمانات مستمرة، وليس مجرد التزام في بداية العلاقة التعاقدية.
التحديات بعد البريكست
تؤثر تداعيات البريكست على تدفقات البيانات عبر الحدود، حيث أن نسبة تبني آليات العمل عبر الحدود لا تتجاوز 32%. ومع ذلك، يفرض خروج بريطانيا من الاتحاد الأوروبي قيودًا إضافية، إذ تعتمد المؤسسات البريطانية على ثقة الاتحاد الأوروبي في المعايير البريطانية للحفاظ على قرار الكفاءة (الملاءمة).
للحفاظ على تلك الثقة، يتطلب الأمر من الشركات البريطانية إثبات أن عملياتها تلتزم بمعايير حماية البيانات الأوروبية، وهو ما يواجه تحديات في ظل القدرات التشغيلية الحالية.
أولويات لمستوى الأمان في المملكة المتحدة
يوجه خبراء الأمن السيبراني في بريطانيا خمس أولويات رئيسية لتعزيز القدرات الأمنية:
-
تعزيز اعتماد قوائم مكونات البرمجيات (SBOM): يجب أن تصبح إدارة مكونات البرمجيات شرطًا أساسيًا عند نشر أنظمة جديدة، خاصة في مجال الذكاء الاصطناعي، ويتعين على الموردين تقديم توثيقات واضحة للمكونات المستخدمة.
-
مراقبة الموردين بشكل مستمر: الانتقال من التقييمات الدورية إلى مراقبة مستمرة للمخاطر المرتبطة بالموردين، خاصة من لهم وصول إلى بيانات حساسة أو وظائف حيوية.
-
تأسيس خطط استجابة موحدة مع الموردين: يجب وضع اتفاقيات رسمية للتعامل مع الحوادث، وإجراء تدريبات سنوية، وتوثيق مسارات التصعيد والإبلاغ.
-
تطوير قدرات خاصة بحوادث الذكاء الاصطناعي: نظراً لتزايد الاعتماد على أنظمة AI، من الضروري بناء خطط استجابة مخصصة تتعامل مع مخاطر فشل هذه الأنظمة.
-
تفعيل الضوابط عبر الحدود: بعد البريكست، يجب أن تعتبر إدارة تدفقات البيانات الدولية أولوية، وتخصيص موارد للتأكد من الالتزام بالضوابط والتدقيق المستمر.
الفرق بين السياسات والأدلة على الامتثال
على الرغم من أن الإطار التنظيمي البريطاني لا يزال قويًا، إلا أن هناك فجوة واضحة بين السياسات المعلنة والأدلة على التنفيذ العملي. فالمؤسسات بحاجة إلى إثبات فعال لامتثالها، وليس فقط الاعتماد على السياسات المكتوبة.
النجاح في سد هذه الفجوة سيحافظ على ثقة العملاء، ويضمن الامتثال التنظيمي، ويعزز القدرة التنافسية في سوق يزداد طلبًا على القدرات الأمنية المثبتة.
الخلاصة
السياق بعد البريكست يفرض على المؤسسات البريطانية أن تضع أدلة واضحة على فعاليتها في حماية البيانات، وليس مجرد وضع سياسات. المؤسسات التي ستتمكن من بناء بنية تحتية قوية ودليل حقيقي على الامتثال ستتمكن من الحفاظ على مكانتها في السوق، وتجنب المخاطر، وتعزيز الثقة مع عملائها.
أما من يتخلف عن ذلك، فسيتحمل عبء تبرير عدم تطابق إجراءاتها مع أدلة عملياتها. التحدي هو في إثبات الامتثال، وليس فقط وضع السياسات.