إفصاح الشركات عن الهجمات السيبرانية .. بين الواقع والمأمول

الهجمات السيبرانية من أشهر التهديدات التي تواجهها الاقتصاديات الحديثة لأنها هجمات خفية وعابرة للقارات تسقط حمولات أضرارها في أجزاء من الثانية. فلا يمكن التنبؤ بها قبل وقوعها مما يستحيل معه حشد أجهزة الدفاع في الوقت المناسب مهما وضعت من إجراءات تحوط. ولذلك، ففي الغالب لا تعلم الجهة المستهدفة بوقوع الهجمة السيبرانية ألا بعد حدوثها وظهور أثارها، وحينها يكون الوقت قد تأخر لمنعها أو معالجتها.

 وحتى تؤثر هذه الهجمات على الاقتصاد، فهي تستهدف بشكل أساسي الشركات المساهمة الكبرى التي تستخدم شبكة الويب لإدارة وتشغيل عملياتها. حيث تشير كثير من التقارير إلى تضخم معدل الهجمات على هذه الشركات في السنوات الأخيرة⁠1. وأدى هذا الاستهداف إلى تصاعد مستوى الخطر على أسرار الشركات ومعلوماتها الحرجة التي تحتويها أنظمتها الالكترونية. مما قد يؤدي إلى التأثير على ثقة المساهمين وأصحاب المصالح المتعاملين مع هذه الشركات فيما يخص مدى قدرتها على حماية بياناتهم المهمة من مثل هذه الاختراقات، وبالأخص إذا لم تفصح الشركات المستهدفة عن الهجمات التي تعرضت لها في حينها.

فالإفصاح عن مثل هذه المعلومات الجوهرية يعد من أهم الوسائل لتحقيق الشفافية التي تتطلبها ممارسات حوكمة الشركات التي تسعى لها الأنظمة المختلفة، حيث أن من أهداف الحوكمة ترسيخ مبدأ حق المتعاملين مع الشركات من مختلف فئات أصحاب المصالح في الوصول إلى معلومات الشركات المؤثرة دون الحاجة إلى اتباع اجراءات معقدة. مما يعني أن الشركات التي تتعرض لهجمات سيبرانية من المفترض عليها اعلام المتعاملين معها بمثل هذا الهجوم حتى يتمكنوا من حماية ما يمكن حمايته من معلوماتهم التي قد تكون تسربت، حتى ولو عنى ذلك ايقاف التعامل مع هذه الشركات. ولكن في المقابل، مثل هذا الافصاح قد يعرض الشركات إلى خسائر مادية لا يمكن تعويضها إذا توقف أصحاب المصالح عن التعامل معها. كما أن مثل هذا الافصاح قد يؤدي إلى انخفاض حاد في أسهم هذه الشركات لحظة الكشف عن تفاصيل الهجوم السيبراني مما يعرضها إلى أخطار مالية قد لا يمكن جبرها. ولذلك وجب تنظيم الافصاح عن مثل هذه الحوادث حمايةً للمتأثرين به. 

فتنظيم الافصاح عن الهجمات السيبرانية يحدد إطار المسؤوليات القانونية للشركات المستهدفة، وفي ذات الوقت يحميها ويحمي حقوق أصحاب المصالح المرتبطة بهذه الشركات في حال أخلت بالتزامها بالإفصاح. وغياب التنظيم لمثل هذا الأمر ينشأ ثغرة تمكن الشركات المعنية من التملص من مسؤوليتها بحماية معلومات أصحاب المصالح المرتبطين بها، وهو ما حدث لشركة أرامكو التي تعرضت للابتزاز الالكتروني بعد تسريب بعض معلوماتها من خلال أحد متعاقديها. حيث لم تتمكن أرامكو من معرفة ما إذا كان التسريب للمعلومات حدث نتيجةً لاختراق أنظمة المتعاقد أو أنه كان عمداً، وذلك لغياب القواعد الملزمة للإفصاح عن مثل هذه الحوادث والكشف عن تفاصيلها.⁠2 وعليه، فحتى تتم مواجهة مثل هذه الأخطار المستجدة، فلابد من خلق فضاء قانوني ينظم عمليات الافصاح عنها ويحدد معاييره، وذلك مثل ما قامت به هيئة الأوراق المالية والبورصات الأمريكية.

فقد قامت الهيئة الأمريكية للأوراق المالية والبورصات بإصدار دليل استرشادي يوضح الخطوط العريضة لمتطلبات الافصاح عن الهجمات السيبرانية وذلك في محاولة أولية لحث الشركات المساهمة للكشف عن هذه الحوادث المؤثرة. في هذا الدليل، قامت الهيئة بتقديم نظرة عامة عن التزامات الإفصاح التي تشترطها على الشركات، وربط هذه المتطلبات بالحوادث السيبرانية. فوسعت نطاق اجراءات الافصاح حتى يشمل ادراج ما يشرف عليه مجلس الادارة من مخاطر للأمن السيبراني وكيفية تحليلها في تقارير الشركات. علاوة على ذلك، قدمت الهيئة مقترح تعديل على قواعد الافصاح الملزمة للشركات المدرجة يتضمن ضرورة تقديم تقارير حول الحوادث السيبرانية الجوهرية الحاضرة، والافصاح الدوري عن سياسات وإجراءات الشركات لاكتشاف وإدارة مخاطر الهجمات السيبرانية، كذلك الافصاح في تقاريرهم الدورية كالتقارير السنوية عن أي حوادث سيبرانية سابقة تم الإبلاغ عنها.⁠3 هذا يدل على أن الهيئة تطمح لفرض قواعد الدليل الاسترشادي وجعلها قواعد ملزمة على الشركات المساهمة عند اعداد تقاريرها وافصاحاتها الدورية من خلال هذا المقترح.

أسوة بالهيئة الأمريكية للأوراق المالية والبورصات، قامت هيئة السوق المالية السعودية بإصدار دليل استرشادي خاص بالأمن السيبراني. ولكن هذا الدليل ليس مختص بالشركات المساهمة ولا بالإفصاح، وإنما شمل مجمل الاعتبارات التي تتعلق بالأمن السيبراني للمؤسسات التابعة للهيئة. فقد ناقش هذا الدليل مواضيع كحوكمة الأمن السيبراني ومراجعة وتدقيق وادارة مخاطر الأمن السيبراني لمؤسسات السوق السعودية الخاضعة لإشراف هيئة السوق المالية. وبالرغم من مناقشته لكثير من المحاور المهمة لحوكمة الهجمات السيبرانية إلا أنه لم يتطرق إلى الافصاح عنها، وهذا القصور ينتج ثغرة تنظيمية لابد من تعديلها حتى لا يتم استغلالها بسوء نية. فالشركات التي تتعرض للهجمات السيبرانية لابد أن تفصح عن ذلك فور وقوع الحدث، خاصة إذا كانت ذات مخاطر لها تأثير جوهري على معلوماتها وعملياتها.

خلاصة القول، الهجمات السيبرانية أصبحت من أهم المخاطر التي تتعرض لها الشركات في أيامنا الحاضرة، ولذلك فهي تحتاج إلى اهتمام تنظيمي خاص بها. أحد محاور هذا التنظيم لابد أن يكون اصدار قواعد ومعايير واضحة تحكم الإفصاح عن الحوادث السيبرانية التي تتعرض لها الشركات باستمرار، وذلك حماية لحقوق كلاً من الشركات وأصحاب المصالح والمستثمرين المرتبطين بها.