في ظل تصاعد التهديدات الرقمية عالميا، وازدياد الاعتماد على التكنولوجيا في تدبير الشأن العام، يجد المغرب نفسه أمام مفترق طرق حاسم: إما بناء منظومة سيبرانية قادرة على تأمين الدولة والمواطنين، أو مواجهة تداعيات فجوة أمنية قد تتحول إلى تهديد استراتيجي.
دراسة جديدة صادرة عن المعهد المغربي لتحليل السياسات (MIPA)، بعنوان: "الأمن السيبراني في المغرب: بين الإنجازات والتحديات"، سبرت أغوار هذا الملف الحساس، وقدّمت رؤية نقدية متكاملة تجمع بين التحليل المؤسساتي والتشريعي والتكنولوجي، مع توصيات عاجلة نحو تحقيق "السيادة الرقمية".
بنية مؤسساتية نامية
وسجلت الدراسة أن المغرب بدأ، منذ مطلع الألفية الثالثة، خطوات تدريجية لتأسيس هياكل مؤسساتية متخصصة في أمن نظم المعلومات. وجاء إنشاء المديرية العامة لأمن نظم المعلومات "DGSSI"، سنة 2007، نقطة انطلاق رئيسية، تلاها إطلاق "maCERT"، سنة 2012، كمركز وطني لرصد وتحليل الهجمات الإلكترونية والاستجابة لها.
وتابعت أن الدولة عملت على تطوير استراتيجيات وطنية للأمن السيبراني ضمن خطط رقمية أوسع؛ أبرزها "المغرب الرقمي 2013"، و"الحكومة الإلكترونية"، دون إغفال إحداث "اللجنة الوطنية لمراقبة حماية المعطيات الشخصية (CNDP)" بموجب القانون 09-08.
لكن رغم هذه التطورات، أشارت الدراسة إلى محدودية التنسيق بين الفاعلين. فكل مؤسسة تعمل ضمن اختصاصها دون آلية فعالة للتنسيق العملياتي وتبادل البيانات في الوقت الحقيقي؛ مما يقلص فعالية الاستجابة للطوارئ السيبرانية.
تسارع مقلق بلا تحصين كاف
وأبرزت الدراسة أن السنوات الأخيرة شهدت تسارعا في رقمنة الخدمات العمومية؛ ما أدى إلى تخزين كميات هائلة من البيانات الشخصية والحساسة، سواء في القطاعات الاجتماعية، أو الصحية، أو الإدارية.
منصات مثل "السجل الاجتماعي الموحد"، و"منظومة تدبير الدعم الاجتماعي"، تضم بيانات ملايين المواطنين؛ ما يجعلها هدفا جذابا للهجمات السيبرانية. وهنا، تحذر الدراسة من غياب إجراءات إلزامية على الإدارات لاعتماد نظم دفاع إلكتروني حديثة، ومن عدم وجود معايير موحدة لحماية المعلومات الحساسة.
كما أن الرقمنة، غالبا، ما تسبق إجراءات التحصين؛ ما يفتح الباب أمام "هشاشة مهيكلة" تجعل النظام عرضة للانهيار أمام أي هجوم واسع.
مشهد التهديدات: متغير ومعقّد
وتشير المعطيات التي تستند إليها الدراسة إلى أن المغرب أصبح في مرمى طيف واسع من التهديدات الإلكترونية، بعضها عشوائي، والبعض الآخر موجه بدقة.
ومن أبرز هذه التهديدات؛ هجمات الفدية (Ransomware) التي تستهدف تشفير بيانات مؤسسات حيوية ومطالبتها بفدية لفك التشفير، والتصيّد الاحتيالي (Phishing)، الذي غالبا ما يُنفذ عبر رسائل بريد إلكتروني خبيثة تهدف إلى سرقة معلومات حساسة، بالإضافة إلى الاختراقات المتقدمة (APTs) التي تقوم بها جهات فاعلة متطورة، قد تكون ذات طابع استخباراتي أو اقتصادي، فضلا عن الهجمات على البنى التحتية الحساسة؛ مثل شبكات الكهرباء والمياه والاتصالات، والتي قد تُحدث شللا في المرافق العامة.
ورغم تزايد هذه التهديدات، ما تزال قدرة الكشف المبكر والرد السريع في المغرب محدودة، وخاصة في المؤسسات الصغيرة التي تفتقر للموارد الفنية والبشرية، حسب الدراسة.
فجوة تشريعية وقصور في التحيين
ورغم إصدار قوانين تنظيمية منذ العقد الأول للألفية؛ أبرزها القانون 07-03 المتعلق بالجرائم المعلوماتية، إلا أن الدراسة تعتبر أن الإطار القانوني المغربي متأخر عن التحديات الواقعية. فقانون 07-03، على سبيل المثال، لم يُحدّث منذ سنة 2003، رغم التحولات الجذرية في طبيعة التهديدات والهجمات.
كما أن القانون 05-20 الصادر سنة 2020، والمتعلق بالأمن السيبراني للبنيات التحتية الحساسة، لا ينص على آليات رقابة فعالة أو جزاءات واضحة. وأغفل موضوعات حيوية؛ مثل حماية الأطفال على الإنترنت، والابتزاز الجنسي السيبراني، والجرائم العابرة للحدود، والذكاء الاصطناعي.
وأوصت الدراسة بإصلاح تشريعي جذري يدمج التطورات التكنولوجية والحقوق الرقمية، ويضمن حماية المعطيات في القطاعين العام والخاص.
نقص الكفاءات.. العائق الأكبر
وسلّطت الدراسة الضوء على النقص الحاد في الموارد البشرية المتخصصة في الأمن السيبراني؛ إذ تشير التقديرات إلى أن المغرب لا يتوفر إلا على عدد محدود من المهندسين المؤهلين فعليا في المجال.
ويُعزى ذلك إلى غياب برامج تكوين جامعي متخصصة في الأمن الرقمي، وضعف الاستثمار في البحث العلمي المرتبط بالتقنيات السيبرانية، وغياب تحفيز حقيقي لاستبقاء الكفاءات محليا؛ ما يدفعها للهجرة.
وهذا الخصاص يجعل العديد من المؤسسات المغربية تعتمد على حلول أجنبية جاهزة؛ مما يطرح أسئلة خطيرة حول السيادة الرقمية وإمكانية الوصول غير المشروع للبيانات الحساسة.
وعي عام متدن وثقافة رقمية هشة
ورأت الدراسة أن الثقافة السيبرانية بين عموم المواطنين ما زالت ضعيفة. فالسلوكيات الرقمية غير الآمنة منتشرة؛ من بينها إعادة استخدام كلمات المرور نفسها في مختلف المنصات، وتثبيت تطبيقات مشبوهة من خارج المتاجر الرسمية، وضعف الحذر من الروابط الاحتيالية أو الاتصالات غير الموثوقة.
وأشار المصدر نفسه إلى أن برامج التوعية السيبرانية منعدمة أو مناسباتية، وتغيب عن المدارس والجامعات؛ ما يفاقم هشاشة المجتمع الرقمي ككل.
التعاون الدولي.. مكسب محفوف بالتحفظات
وأشادت الدراسة بانخراط المغرب في اتفاقيات دولية مهمة؛ مثل "اتفاقية بودابست"، وبالشراكات النشطة مع مؤسسات أوروبية وأمريكية لبناء القدرات التقنية وتبادل المعلومات. لكنها حذرت من الاعتماد غير المتوازن على التكنولوجيا والخبرات الأجنبية، دون بناء بدائل محلية أو ضمانات للسيادة على البيانات.
كما أثارت قلقا من أن بعض الشركات الأجنبية التي تقدم حلولا أمنية قد تخضع لقوانين بلدانها الأصلية، بما قد يتعارض مع المصالح الوطنية المغربية.
توصيات
وختمت الدراسة برؤية إصلاحية شاملة تنبني على مراجعة شاملة للإطار القانوني، وإدراج جرائم رقمية جديدة؛ مثل الابتزاز الرقمي، والهجمات على الذكاء الاصطناعي، بالإضافة إلى إحداث وكالة وطنية موحدة للإنذار السيبراني، بموجب قانون مستقل، تكون لها صلاحيات شاملة للإنذار المبكر والاستجابة والتنسيق، ووضع استراتيجية لتكوين 5000 خبير سيبراني مغربي، في أفق سنة 2030، فضلا عن إدماج الأمن السيبراني في المقررات الدراسية من الإعدادي إلى الجامعي، وفرض معايير إلزامية للأمن الرقمي على كل الإدارات والمؤسسات العمومية، وتشجيع البحث المحلي في التشفير، والدفاع السيبراني، وحماية الخصوصية.
رهان وطني لا يحتمل التأجيل
وكشفت دراسة المعهد المغربي لتحليل السياسات أن الأمن السيبراني لم يعد شأنا تقنيا خاصا بالمهندسين أو الإدارات الرقمية، بل تحول إلى ملف سيادي بامتياز، تتقاطع فيه رهانات الأمن القومي، وحماية المواطنين، واستقرار الدولة. وإذا كان المغرب قد قطع أشواطا في بناء البنية التحتية، فإن التحدي اليوم يكمن في سد الثغرات؛ تشريعيا، ومؤسساتيا، ومعرفيا، وبشريا. ودون ذلك، فإن أي اختراق واسع قد لا يكون مجرد حادث تقني، بل أزمة وطنية بكل المقاييس.