قال جريج فان دير غاست، الخبير العالمي في الأمن السيبراني، خلال عرضه التقديمي بجلسة Orange Business Talk، ضمن فعاليات القمة السنوية الرابعة للأمن السيبراني CAISEC’25، والتي تُعقد تحت رعاية دولة رئيس مجلس الوزراء الدكتور مصطفى مدبولي، إنه بدأ العمل في مجال البرمجيات والاختراق وهو في عمر 16 عاماً، وقام بمحاولات اختراق لمؤسسات حيوية وأمنية كبرى، ثم عمل لمدة 3 سنوات في الحكومة الأمريكية، وبعدها مستشاراً عادياً يستخدم التكنولوجيات التقليدية.
من هاكر إلى خبير
ويُعد جريج فان دير غاست الهاكر السابق الذي تحول إلى عميل في مكتب التحقيقات الفيدرالي بوزارة الدفاع الأمريكية، ثم مديراً لأمن المعلومات ومؤلفاً وخبيراً عالمياً في استراتيجيات الأمن، كما يعمل حالياً مستشاراً لدى شركة أورنج.
وأضاف أنه عمل كمراجع لدى شركات التأمين لإثبات أن الشركات المخترقة كانت مهملة، مما يحرمها من تعويض التأمين، ثم ترك هذا المجال واتجه إلى قراءة الكتب، ورغم رفضه من العديد من الشركات، لم يعد لمجال الاختراق رغم صعوبة الظروف.
إحباط وسعي للحلول
وأشار إلى أنه اجتمع مع قيادات سيبرانية في دول كبرى، لكنه شعر بالإحباط لرغبته في تقديم دعم أكبر للشركات، واستمر في البحث عن حلول لتقليل الهجمات السيبرانية عالمياً، مشدداً على أن لا أحد يولد مخترقاً، بل هناك ظروف وأسباب تصنعهم.
وأكد أهمية التركيز على النتائج الأمنية والتغلب على الانتهاكات، وذكر تواصله مع شركة تأمين أوروبية لتقييم الشركات الأكثر أماناً، لكنه اكتشف وجود عيوب رغم النفقات العالية على الأمن السيبراني.
إدارة المخاطر الضعيفة
وقال إن الإدارة السيئة للمخاطر تشكل خطراً كبيراً حتى مع أعلى مستويات تأمين، مشيراً إلى أن قطاع الطيران مثال جيد لإدارة المخاطر بفعالية، بينما تزداد الهجمات السيبرانية في غياب إدارة المخاطر.
وأضاف أن تقليص العيوب يبدأ بتحسين جودة الإدارة ورفع كفاءة الكوادر، موضحاً أن وظائف الأمن يجب أن تتفهم أعمال الإدارات المختلفة وتضمن السلامة دون إدخال مخاطر جديدة، مشيراً إلى أن معظم الانتهاكات ناتجة عن الإهمال البشري لا ضعف الحماية الرقمية.
منهجيات شاملة للحماية
كشف عن تطويره خدمة استشارية تدرس كل جانب من العمل، من سلاسل الإمداد إلى الهيكل التنظيمي، حيث لاحظ أن أقسام الأمن أحياناً لا تفهم مشكلات القطاعات الأخرى ولا تضع حدوداً واضحة لاستراتيجياتها.
وأكد أن أفضل كتبه في نظم المراقبة للإنتاج مستوحاة من شركة تويوتا، حيث يجب أن تقيس الإدارات الأمنية جودة الإنتاج وتبحث عن نقاط الضعف في السلسلة لضمان عدم تأثير المراحل على بعضها البعض.
أمثلة تطبيقية مؤثرة
أشار إلى أن إحدى شركات المدفوعات السريعة رفضت تأخير العمل، ولم تُجرِ اختبارات أمنية، وعند إعادة هيكلة الإدارة الهندسية تم تدريب صغار المهندسين بدلاً من الكبار الرافضين للتغيير.
ونتج عن ذلك تحسين الجودة بنسبة 85% وتقليل المخاطر إلى الصفر، ليس بسبب أدوات الحماية فقط، بل بسبب تحسين الإنتاج والعمل في بيئة آمنة، مما رفع المعنويات وقلص الفواتير بمئات الآلاف شهرياً.
فلسفة التعامل مع التهديدات
تحدث عن بيئة التهديدات، وضرورة “تجويعها” بدلاً من الاستمرار في توفير المواد لها، مشبهاً ذلك بالفئران التي لا تكفي المصائد وحدها للسيطرة عليها إذا استمرت الحبوب في الظهور.
وأوضح أن 99% من تجاربه في الاختراق كانت بسبب ثغرات بسيطة، امتدت تداعياتها لقرابة 18 شهراً، مشدداً على أن المشكلة غالباً ليست في “المياه” بل في العامل الذي نسي إغلاق البوابات.
الجهات الثالثة مصدر خطر
أكد أن الكثير من المشكلات والثغرات تعود إلى أطراف ثالثة وليس للمؤسسات نفسها، لذا من الضروري معالجة مواطن الضعف داخلياً وخارجياً في الجهات المرتبطة بالمؤسسة.
كما شدد على ضرورة وضع إجراءات تعافي، واستخدام أدوات داعمة للتغييرات التي تزيد من أمان المؤسسات وتقديم حلول جذرية للمشكلات.
خارطة طريق شاملة
أكد أهمية تقديم خارطة طريق واضحة للمؤسسات بدلاً من بيع برامج فقط، بحيث تضمن سلاسة الأعمال ورفع الحوكمة وتقليل المخاطر وتحسين الأداء العام.
وأضاف أن الأمن السيبراني لا يتعلق فقط بتكنولوجيا المعلومات، بل بالموارد البشرية ووسائل الاتصال، وأن أي موظف غير مدرب يمكن أن يكون مصدر خطر على المؤسسة.
جودة وإدارة متكاملة
دعا إلى تغطية 100% من المخاطر المعروفة، مع تطبيق استراتيجيات لتقليل معدل المخاطر وجودة إدارة العمل، مؤكداً أهمية هيكلة المخاطر مالياً وفنياً، والاعتماد على فرق داخلية للامتثال.
وأشار إلى أن وضع استراتيجية فعالة قد يستغرق 3 سنوات، لذلك لا يجب الاعتماد فقط على الحلول السريعة، بل تنفيذ خطة دقيقة طويلة الأجل.
مصر كنموذج ملهم
اختتم غاست كلمته بالدعوة لتغيير طريقة التفكير في مواجهة التهديدات، مشيراً إلى أنه رأى الأهرامات من الطائرة وشاهد الأبنية الحديثة تُبنى على أسس قديمة راسخة، وهو ما يمكن تطبيقه في الأمن السيبراني لرفع مكانة مصر عالمياً.
رعاية رسمية موسعة
تحظى النسخة الرابعة من CAISEC بدعم رفيع المستوى من مجلس الوزراء المصري ووزارات: الاتصالات، الخارجية، الإنتاج الحربي، المالية، التخطيط، التعاون الدولي، البترول، الطيران المدني، الصحة، والموارد المائية والري.
كما يرعى المؤتمر المجلس الأعلى للأمن السيبراني بمصر، الوكالة الوطنية للأمن السيبراني بقطر، المركز الوطني للأمن السيبراني بالبحرين، مركز طوارئ الحاسبات المصري، جهاز تنظيم الاتصالات، اتحاد بنوك مصر، اتحاد المصارف العربية، الهيئة العامة للرقابة المالية، الهيئة العربية للتصنيع، وهيئة التأمين الصحي الشامل.
أكبر نسخة في تاريخها
تُعد نسخة 2025 من CAISEC الأكبر في تاريخ المؤتمر، حيث تضم أكثر من 180 متحدثاً رئيسياً، و5000 مشارك من قادة وخبراء ووفود رسمية من قطاعات المال والطاقة والتكنولوجيا والذكاء الاصطناعي والبنية التحتية الحيوية.
ويشارك في المعرض أكثر من 40 جهة راعية وعارضة من مصر والمنطقة والعالم، مع عروض تقنية مباشرة وابتكارات مستقبلية للدفاع السيبراني، ويمثل المشاركون أكثر من 15 دولة، بنسبة نمو 50% مقارنة بالنسخة السابقة، مما يرسخ مكانة CAISEC كأهم منصة للأمن السيبراني بالمنطقة.