كود الرباط///

قبل أن تهتز الساحة الوطنية بخبر اختراق معطيات حساسة من النظام المعلوماتي للصندوق الوطني للضمان الاجتماعي، كانت قطاعات حكومية عدة قد تلقت سؤالا كتابيا وجهه المستشار البرلماني خالد السطي إلى رئيس الحكومة، يستفسر فيه عن مدى تفعيل التوجيهات الوطنية للأمن السيبراني، وفق القانون رقم 05-20.

الأجوبة التي وردت من مختلف الوزارات حملت مؤشرات على وعي تنظيمي بأهمية الأمن الرقمي، لكنها، في المقابل، تفضح اليوم مدى هشاشة المنظومة الاستباقية، في ظل غياب أنظمة دقيقة للرصد والتصدي المبكر، وهو ما أعاد فتح النقاش حول سؤال الجاهزية واليقظة السيبرانية في المؤسسات العمومية.

وزارة الاقتصاد والمالية

أفادت الوزارة أنها تتوفر على شبكة معلوماتية موحدة تشمل المديرية العامة للضرائب، والخزينة العامة، ومديرية أملاك الدولة. وأكدت أن هذه المديريات تتوفر على أنظمة للحماية تشمل جدران نارية (firewalls)، وبرمجيات لمكافحة الفيروسات، وحلول للمراقبة (SIEM)، ونظام لتدبير الهويات الرقمية (IAM).

كما أوضحت أنها اعتمدت “خطة لتعزيز تدبير المخاطر المعلوماتية”، تشمل المراقبة المستمرة، والتدقيق الدوري للبنيات التحتية، وإحداث لجنة داخلية للأمن المعلوماتي، مع تحيين السياسات الأمنية لتتلاءم مع التوجيهات الصادرة في يناير 2023.

وأكدت الوزارة أن نظامها المعلوماتي يعتمد على مقاربة “Zero Trust” في عدد من التطبيقات الحساسة، وفعّلت آليات المراقبة على مستوى تدفق المعطيات الخارجية، عبر بروكسيات مؤمنة، مع وجود نظام للفرز السلوكي  (behavioral analytics).

كما أوضحت أنها وضعت خطة لتقييم الثغرات كل ستة أشهر، وتعمل على تحديث أدوات الحماية دوريا، مع التزامها بالتوجيهات الوطنية التي تنص على الفصل بين الشبكات الإدارية الحساسة والشبكات المفتوحة للعموم.

وزارة الانتقال الرقمي وإصلاح الإدارة

قدّمت الوزارة جوابا تقنياً أكدت فيه أنها تشتغل على تنزيل “الإطار الوطني المندمج للأمن السيبراني”، الذي يشمل إنشاء بنية وطنية للرصد والإنذار، ومنصة مشتركة لمتابعة الحوادث المعلوماتية (CSIRT)، إلى جانب وضع منظومة مركزية لتبادل التنبيهات بين القطاعات الحكومية.

كما أشارت إلى أنها أعدت سياسة وطنية لتدبير الحوادث السيبرانية، ووضعت دليلاً خاصاً بكل قطاع إداري، يحدد المسؤوليات التقنية والتنظيمية. الوزارة أكدت كذلك أن عدداً من القطاعات تم تصنيفها ضمن “الهيئات الحساسة” التي يجب أن تمتثل فورا لمعايير الحماية السيبرانية.

وزارة الصحة والحماية الاجتماعية

أكدت أنها تتوفر على بنية معلوماتية موزعة على المستشفيات والمراكز الصحية، وتشرف عليها مديرية نظم المعلومات. وتتوفر هذه البنية على أدوات للحماية تشمل تحديثات تلقائية للأنظمة، وبرامج مراقبة ضد الاختراقات، وخوادم مركزية محمية داخل مراكز البيانات الجهوية.

كما تحدثت الوزارة عن إطلاق مشروع تدريجي لتعميم المصادقة الثنائية (2FA) على مختلف التطبيقات، واعتماد حلول تشفير متقدمة للملفات الصحية، وإنشاء نسخ احتياطية يومية مشفّرة يتم تخزينها في مراكز بيانات احتياطية.

وزارة الطاقة والمعادن والبيئة

أكدت أنها قامت بتدقيق شامل للبنية المعلوماتية للمصالح المركزية والمكاتب العمومية المرتبطة بها، واعتمدت سياسة تصنيف دقيقة للمعلومات حسب حساسية القطاع، خصوصا فيما يتعلق بالبنية التحتية الطاقية (منشآت إنتاج وتوزيع الكهرباء والغاز).

وأضافت أنها طورت حلولاً تقنية للرصد الفوري للهجمات، وتمكين وحدات التدخل من أدوات مراقبة تعمل بالذكاء الاصطناعي، إلى جانب تعيين نقاط ارتكاز أمنية داخل المؤسسات التابعة للوزارة.

وزارة الشباب والثقافة والتواصل

أفادت بأن قطاع الثقافة يشتغل على تأمين الخوادم الرقمية التي تُخزن بها الأرشيفات والمخطوطات الرقمية، وأنه تم اعتماد حلول نسخ احتياطي تلقائي واستعمال برامج لحماية المحتوى الرقمي من التعديل أو التسريب.

أما قطاع الاتصال، فأكد أنه قام بتقييم داخلي لأنظمة تدبير المواقع الإلكترونية الرسمية، ويشتغل على خطة لتجميع المعطيات داخل مركز بيانات موحد، وتأمين الوصول عبر المصادقة متعددة الخطوات.

وزارة السياحة والصناعة التقليدية والاقتصاد الاجتماعي والتضامني

أشارت الوزارة إلى أنها بصدد تعميم نظام معلوماتي موحد لتدبير القطاع السياحي، يشمل وحدات للربط مع الفاعلين الخارجيين (booking, analytics)، وأنه يتم حالياً تحيين البروتوكولات الأمنية في هذه الأنظمة، خصوصا تلك التي تمر عبر مزودين خارجيين.

وأكدت أن الوزارة تتعاون مع الهيئة الوطنية لأمن نظم المعلومات لتصنيف الثغرات وتحيين السياسات الأمنية كل ستة أشهر.

وزارة العدل

أوضحت أنها أعدت خطة عمل لتنزيل التوجيهات الوطنية لأمن نظم المعلومات، وعيّنت مسؤولاً مكلفاً بهذا الورش، إلى جانب مشاركتها في اللجنة المركزية لتدبير أمن نظم المعلومات، حيث تبدي رأيها في السياسات والمخاطر والتدابير الأمنية المقترحة. كما نظمت اجتماعات دورية لمواكبة تنزيل هذه التوجيهات، وشرعت في تصنيف المعلومات حسب درجة حساسيتها، مع العمل على تطوير نظام داخلي للمراقبة.

وزارة الخارجية والتعاون الإفريقي والمغاربة المقيمين بالخارج

أكدت أنها قامت بتشخيص 90 في المائة من نظامها المعلوماتي، واعتمدت على وحدة داخل المفتشية العامة مكلفة بالأمن السيبراني، إضافة إلى تصنيف المعطيات، وتنظيم دورات تكوينية لفائدة الأطر. كما تعمل على تحيين أنظمتها الأمنية باستمرار، وإحداث وحدات متخصصة داخل المصالح المركزية.

وزارة الداخلية

صرّحت بأنها عضوة في اللجنة الاستراتيجية للأمن السيبراني، وتسهر على تنسيق جهودها مع باقي القطاعات الحيوية. كما تزوّد المديرية العامة لأمن نظم المعلومات بمعطيات حول الأنظمة، وتشتغل على إدماج المقاربة السيبرانية في السياسات العمومية، مع تحيين السياسات الأمنية الداخلية، وتصنيف المعلومات الحساسة حسب المعايير القانونية.

وزارة الأوقاف والشؤون الإسلامية

أفادت بأنها تعمل على مواكبة التوجيهات الوطنية من خلال إحداث بنيات مختصة بأمن نظم المعلومات، وتعيين مسؤولين على المستوى المركزي. كما تقوم بوضع سياسة لحماية البيانات، وتأمين قواعد المعطيات، وإنشاء منصة للرصد والتصدي، وتطوير أنظمة التحكم الداخلي.

وزارة التربية الوطنية والتعليم الأولي والرياضة

أكدت أنها تبنّت سياسة لأمن نظم المعلومات بالتنسيق مع القطاعات الحكومية، وأعدت خطة للطوارئ، وباشرت بناء مراكز بيانات، كما طورت برامج للحماية الرقمية، وأدمجت الوعي بالأمن السيبراني في المناهج الدراسية والمجال التربوي.

وزارة التجهيز والماء

أشارت إلى أنها أعدت خطة عمل مفصلة لتطبيق التوجيهات الوطنية، وأحدثت لجنة داخلية مكلفة بالأمن المعلوماتي، وشرعت في تنفيذ عمليات تدقيق داخلي، وتحيين السياسات الأمنية، وتنظيم دورات تدريبية، مع تطبيق أنظمة الحماية على الشبكات والمعدات والتطبيقات، وتطوير أدوات لمكافحة الفيروسات.

الأمانة العامة للحكومة

أفادت بأنها أطلقت ورش تحديث شامل لنظامها المعلوماتي، وأحدثت منصات لتأمين تبادل المعطيات. كما عيّنت مسؤولا مكلفا بالأمن السيبراني، ووضعت برنامجاً لتكوين الأطر، وهيكلت منظومتها الرقمية بما يتوافق مع التوجيهات الوطنية، مع استمرار عملية المراجعة والتحديث.

وزارة الصناعة والتجارة

أكدت أنها تعتمد نظام حماية خاص يشمل البنية الشبكية، والمواقع، والبريد الإلكتروني، إضافة إلى أنظمة للرصد والتحليل، وتعمل بتنسيق دائم مع المديرية العامة لأمن نظم المعلومات، وتشارك في الورشات والتقييمات، وتعمل على مطابقة منظومتها مع القانون 05-20.

وزارة النقل واللوجستيك

أعلنت أنها اتخذت مجموعة من الإجراءات لتأمين بنيتها الرقمية، وأحدثت نظاماً لتصنيف المعلومات، ووضع سياسات داخلية، وتنسيق مستمر مع المديرية العامة لأمن نظم المعلومات، إضافة إلى المشاركة في ورشات المحاكاة، والعمل على إدماج ثقافة الأمن السيبراني لدى موظفيها.

هادو تقريبا اغلب اجوبة الوزراء. مختلفين وحتى سرعة تطبيق توجيهات المذكرات وتفعيل القانون ديال الامن السيبراني كاين لي غادي فيه مزيان وكاين لي باقي معطل.