يمثّل قانون المرونة التشغيلية الرقمية (DORA) محطة مهمة في جهود الاتحاد الأوروبي (EU) لتعزيز المرونة التشغيلية للقطاع المالي في العصر الرقمي. وقد صُمّم القانون لمعالجة إدارة مخاطر تقنيات المعلومات والاتصالات (ICT) في الخدمات المالية بصورة شاملة، مع السعي إلى توحيد الأطر التنظيمية المعمول بها عبر دول الاتحاد الأوروبي الأعضاء. ويُلزِم جميع المؤسسات المالية التي يشملها نطاق القانون ببناء مستوى كافٍ من المرونة التشغيلية الرقمية، مع التأكيد على اتباع نهج ملائم لخصوصية كل مؤسسة على حدة.
وللتماشي بفاعلية مع متطلبات DORA، تُنصَح المؤسسات المالية بالتركيز على إتقان القدرات الأساسية في أربعة مجالات محورية: البيانات، والعمليات، وإدارة المخاطر، والأتمتة والذكاء الاصطناعي. ومن خلال توظيف التقنيات في هذه المجالات بطريقة استراتيجية، تستطيع المؤسسات تعزيز قدرتها على دمج الأمن في أعمالها، ودفع جهود التخفيف من المخاطر، وتمكين المراقبة المستمرة، وضمان استمرارية أعمال مرنة، وتعزيز قابلية التكامل بين الأنظمة، وتبسيط الحوكمة.
وعلى الرغم من التحديات التي يفرضها المشهد الاقتصادي على المؤسسات المالية، فإن الامتثال لقانون DORA لا يُعد مجرد التزام مكلف إضافي. بل يوفّر فرصة لتحويل نفقات الامتثال إلى استثمارات استراتيجية تستهدف تعزيز أداء الأعمال ورفع كفاءته. إن تبني هذه العقلية يسمح للمؤسسات بالسعي لتحقيق كل من الامتثال وقيمة الأعمال الرقمية طويلة الأجل من استثماراتها في المرونة التشغيلية الرقمية.
تُسهم الحوسبة السرية وتشفير البيانات بدور محوري في تحقيق ضمان شامل لخصوصية البيانات؛ فهي تحمي البيانات أثناء الاستخدام وفي الذاكرة، وتمتد هذه الحماية لتشمل أيضًا الأنظمة ومديري السحابة الذين يواصلون إدارة البنية التحتية دون أن تكون لهم صلاحية الوصول إلى البيانات نفسها.
يبرز هذا التركيز أيضًا في إطار DORA، من خلال "المعايير الفنية التنظيمية" (RTS) المطروحة للتشاور العام (1، الرابط خارج ibm.com)، حيث تُركِّز المادة 6 على التشفير والضوابط التشفيرية، في حين تتناول المادة 7 إدارة مفاتيح التشفير.
وبحسب المادة 6 من لائحة RTS، يُعَدّ تشفير البيانات عنصرًا أساسيًا طوال دورة حياة البيانات بالكامل، بما يشمل البيانات في حالة السكون، وأثناء النقل، وأثناء الاستخدام. وينسجم ذلك تمامًا مع الفكرة القائلة بأن تحقيق خصوصية كاملة للبيانات، كما تفرضه DORA، يتطلّب نهجًا شاملًا للتشفير يضمن حماية المعلومات الحساسة في كل مرحلة من مراحل دورة حياتها.
وعلاوة على ذلك، تؤكد المادة 6 من RTS ضرورة تشفير كل حركة البيانات عبر الشبكة، سواء الداخلية أو الخارجية. ويُرسِّخ هذا الشرط أهمية وجود قناة اتصال آمنة ومشفرة، بما ينسجم مع الحاجة إلى سلسلة ثقة قوية ومترابطة تمتد من العتاد (الأجهزة) وصولًا إلى الحل، كما ورد في النص الأصلي.
تتطرق المادة 7 من لائحة TS RTS إلى موضوع إدارة مفاتيح التشفير، مع التشديد على أهمية إدارة دورة حياة هذه المفاتيح. وهذا يتوافق مع المفهوم القائل بأن المكوِّنات التقنية التي تتيح الحوسبة السرية يجب أن تشكّل فيما بينها سلسلة ثقة مترابطة. من خلال ضمان عدم قابليّة بيئة التنفيذ الموثوقة للتغيير والتحقق من سلامتها، يمكن للمؤسسات المالية تلبية المتطلبات التنظيمية لقانون المرونة التشغيلية الرقمية (DORA) المنصوص عليها في المادة 7.
في الختام، تجد مبادئ الحوسبة السرية والتشفير، كما صيغت في النص الأصلي، صدى مباشرًا في المتطلبات المحددة الواردة في "المعايير الفنية التنظيمية" (RTS). إن الالتزام بهذه المعايير التنظيمية لا يضمن الامتثال لقانون DORA فحسب، بل يؤسس أيضًا إطارًا متينًا لحماية البيانات المالية الحساسة من خلال التشفير وممارسات فعّالة لإدارة مفاتيح التشفير.
لتحقيق ضمان شامل لخصوصية البيانات، يُعَدّ كلٌّ من الحوسبة السرية والتشفير عنصرين أساسيين في المنظومة الأمنية. ينبغي أن تُشكِّل المكوِّنات التقنية التي تتيح الحوسبة السرية سلسلةً مترابطة من الثقة، تمتد من العتاد حتى طبقة الحل، لتقدِّم حلًا متكاملًا للحوسبة السرية يوفر بيئة تنفيذ موثوقة غير قابلة للتغيير ومُصدَّقًا عليها.
ويستلزم تحقيق أمن متكامل للبيانات يفضي إلى خصوصية البيانات وسيادتها والمرونة الرقمية، توفير حماية من طرف إلى طرف طوال دورة حياة البيانات وعلى امتداد طبقات البيئة التقنية كاملةً. وتضمن الحوسبة السرية ألّا يتمكّن مزوّدو الخدمات السحابية من الوصول إلى البيانات استنادًا إلى الثقة أو مستوى الرؤية أو أدوات التحكم فحسب، بل يخضع أي وصول لدليل تقني قائم على تشفير البيانات وعزل بيئة التشغيل أثناء الاستخدام.
يمثل الضمان الفني أمرًا بالغ الأهمية لمنع الوصول غير المصرح به إلى البيانات، إذ يعني ذلك أن مسؤولي السحابة، والمورّدين، ومقدمي البرمجيات، ومهندسي موثوقية الموقع (SREs) لا يمكنهم الوصول إلى البيانات وهي قيد الاستخدام. ويكفل الضمان الفني كذلك ألّا يستطيع مزوّد الخدمة السحابية (CSP) الإفصاح عن أي بيانات حتى في حال ورود طلبات قانونية، مما يساعد على منع خروقات حماية البيانات بغض النظر عن الأطر التشريعية أو إجراءات إنفاذ القانون.
سهم حماية البيانات المدعومة بالضمان التقني في ترسيخ سيادة البيانات وتعزيز المرونة الرقمية. وهذا يعني أن السيطرة الكاملة على البيانات الفعلية تبقى في يد مستخدم السحابة، لا مزود الخدمة السحابية. ومن خلال توظيف الحوسبة السرية والتشفير، تستطيع المؤسسات المالية الوفاء بالمتطلبات الصارمة لإطار DORA، بما يضمن أعلى مستويات الضمان التقني وحماية عملياتها الرقمية في مشهد يتطور باستمرار.
ختامًا، لا يُعَدّ إطار DORA مجرد مهمة امتثال إضافية، بل فرصة أمام المؤسسات المالية للاستثمار استراتيجيًا في تعزيز المرونة التشغيلية الرقمية. ومن خلال إدماج الحوسبة السرية والتشفير في الاستراتيجية الشاملة للمؤسسة، يمكن للمنظمات الإبحار بثقة في الموجة الرقمية، بما يضمن خصوصية البيانات وأمنها والتحكم فيها ضمن مشهد رقمي متغير على الدوام.
اتخذ الخطوة الأولى نحو تعزيز أمن البيانات وتحقيق الامتثال، وتعرّف بمزيد من التفصيل على حلول الحوسبة السرية من IBM؛ على سبيل المثال، كيف يمكن لخادم Hyper Protect Virtual Server أن يساعد في حماية المعاملات المالية، وكيف تعمل IBM على تعزيز أمان التطبيقات على مستوى طبقة التطبيق.
