وجه النائب خالد العتيبي سؤالاً إلى نائب رئيس مجلس الوزراء وزير الدولة لشؤون أنس الصالح ، قال في مقدمته: فيما يتعلق بمشروع “تجهيز المركز الوطني للأمن السيبراني” فمن المعروف أن الكويت دولة ذات سيادة في حدودها وأراضيها وقراراتها، وأيضا في معلوماتها وفضائها الإلكتروني وأمنها السيبراني، والذي أصبح اليوم إحدى الركائز الأساسية في تأمين وحماية أنظمة المعلومات والبنية التحتية والشبكات الحكومية من أي اختراقات أو هجمات الكترونية قد تستهدف الكويت ومعلوماتها وشبكاتها، فقد أصبحت المؤسسات الحكومية اليوم تعتمد بشكل رئيسعلى التكنولوجيا الحديثة في الإدارة والتشغيل وتقديم الخدمات للمواطنين .
كما أصبحت هذه الأنظمة التقنية تحتوي على معلومات الدولة الحساسة وبيانات المواطنين كافة، بياناتهم المالية والمعلوماتية وكل ما يرتبط بهم ما يجعل الحفاظ على هذه المعلومات وحمايتها إحدى أهم الأولويات اليوم، خاصة لما يشهده العالم من اختراقات متكررة ومتطورة تستهدف المنطقة بشكل مستمر.
من هذا المنطلق وحرصآ من جانبنا على أهمية الحفاظ على أمن هذه المعلومات وحفظ سريتها وسيادتها، وأن تكون بأيد وطنية أمينة، وحفاظا عليها من التلاعب أو التجسس او السرقة او الاختراق او الوصول غير المشروع.
وانطلاقا من اعلان الكويت إستراتيجيتها في الأمن السيبراني لتشمل الأعوام 2017م حتى 2020م وتكليف الهيئة العامة للاتصالات وتقنية المعلومات بتطبيقها وتنظيمها والتي بدورها تعاقدت مع شركة (بروتكشن جروب إنترناشيونال – PGi) البريطانية في يناير 2018 بمبلغ قدره 499 ألف دينار للقيام بإعداد إطار العمل والهيكل التشغيلي وبرنامج عمل الأمن السيبراني) والذي تم الانتهاء منه في يوليو 2018م والذي يتضمن دراسة مستوى الأمن السيبراني في دولة الكويت وقد تم تقييم مستوى دولة الكويت على أنه ضعيف جدا.
كما أوصت هذه الشركة بتطبيق استراتيجية وحماية الجهات الحيوية في الدولة بشكل أساسي. إلا أن الهيئة العامة للاتصالات اليوم تتفق مع شركة BAE Systems البريطانية لإنشاء المركز الوطني للأمن السيبراني، والتي نمتلك عليها عدة استفسارات وتساؤلات وملاحظات خاصة فيما يتعلق بنشاط الشركة واختيارها وطبيعة عملها وطبيعة المشروع وكيفية تنفيذه، لذا يرجى تزويدي وإفادتي بالتالي:
1- هل تم التعاقد مع شركة BAE Systems لتنفيذ مشروع إنشاء المركز الوطني للأمن السيبراني NCSC؟ وهل هي المقاول الرئيس في المشروع؟
2- على أي أساس قامت الهيئة العامة للاتصالات وتقنية المعلومات باختيار شركة BAE Systems دون غيرها من الشركات؟ وما الشركات التي تم التعاقد معها بالباطن بواسطة شركة BAE Systems ؟
3- هل تمت دعوة الشركات الكويتية المختصة في مجال الأمن السيبراني للمشاركة في المشروع؟ إن كانت الإجابة نعم فيرجى تزويدي بأسماء هذه الشركات .
4- باعتبار أن المشروع يتعلق بالأمن السيبراني وأمن الدولة المعلوماتي ، هل تم التنسيق مع وزارة الداخلية ووزارة الدفاع والجهات الأمنية للاطلاع على تفاصيل المشروع الفنية وكيفية عمله ومدى ملاءمته مع المعايير الأمنية في الوزارتين من دون تعارض؟
5- هل تم التنسيق ومشاركة الجهات الرقابية بالتفاصيل الفنية والقانونية للمشروع للتأكد من أن مشروع إنشاء المركز الوطني للأمن السيبراني لا يخالف الدستور والقانون ولا ينتهك خصوصية الأفراد والمؤسسات؟
6- قامت شبكة BBC البريطانية بإنتاج فيلم وثائقي بتاريخ 30 يونيو 2017م بعنوان (أسلحة المراقبة الشاملة) تتهم فيه شركة BAE Systems البريطانية بشكل مباشر والتي ترغب الهيئة العامة للاتصالات بالتعاقد معها، بأنها شركة تبيع أنظمة مراقبة داخلية شاملة هدفها جمع وتحليل المعلومات عن المواطنين وإخضاعهم لمراقبة الكترونية شاملة ومستمرة، الأمر الذي يجعل الشركة في موطن الشبهات ، فما الإجراءات والتدابير الفنية والوقائية والاحترازية التي تضمن من خلالها الهيئة ألا يكون مشروع بناء المركز الوطني للأمن السيبراني بمثابة مشروع للرقابة الشاملة وليس للأمن السيبراني؟
7- نمى إلى علمنا أن شركة BAE Systems واجهت صعوبات وفشلت في استكمال وتشغيل مشروع مشابه في المملكة الأردنية الهاشمية مع مركز تكنولوجيا المعلومات الوطني، وأنه تم استبعادها من استكمال المشروع فما تدابير الهيئة حيال ذلك؟
8- هل تمت مناقشة التفاصيل الفنية للمشروع مع خبراء أو شركات كويتية في مجال الأمن السيبراني؟ وما آراؤهم الفنية في المشروع؟ وهل سيعطي مشروع انشاء المركز الوطني للأمن السيبراني من الناحية الفنية أي صلاحيات أو نفوذ او قدرة للهيئة او موظفيها او لشركة BAE Systems على اعتراض او جمع او تحلیل او تخزين أي من المعلومات الصادرة او الواردة التي تمر عبر شركات الإنترنت او الاتصالات؟
10- هل ستقوم الهيئة بعمل نظام تخزین مرکزي يقوم بتخزين وتحليل الـ” البيانات الوصفية Metadata” الخاصة بمعلومات الإنترنت والاتصالات؟ وكم سعة هذا النظام وما هو الهدف من تخزين هذه البيانات الوصفية؟ وهل يمكن استخراجها او رؤية تفاصيلها فنيا؟
11- إلحاقا للسؤال السابق، هل يمكن للهيئة العامة للاتصالات أو موظفيها أو شركة BAE Systems استخراج المعلومات الوصفية فنية من دون الرجوع للنيابة العامة أو جهات التحقيق؟ وما الضمانات التي اتخذتها الهيئة حيال ذلك؟
12 – تقنيًا لا يمكن التفريق بين المعلومات السرية وغير السرية التي ستعبر عبر المركز الوطني للأمن السيبراني؟ فما الإجراءات التي قامت الهيئة باتخاذها لمنع جمع او تحلیل او اعتراض البيانات والمعلومات السرية الخاصة بدولة الكويت وجهاتها الأمنية؟
13- يتسم المشروع بحساسية بالغة فما معايير التوظيف التي اتخذتها الهيئة العامة للاتصالات؟ وهل سيتمكن الأجانب اوالوافدون في أي مرحلة من مراحل المشروع من إدارة او تشغيل او تفعيل او تحليل او استخدام او رؤية أي من الوظائف الخاصة بالمشروع او البيانات السرية فيه؟ وما التدابير الأمنية التي من خلالها ستتم مراقبهم او التدقيق بتصرفاتهم؟
14- هناك شركات كويتية متخصصة بالأمن السيبراني قامت بتنفيذ مشاريع حساسة في دول مجاورة فلماذا لم يتم استدعاؤها للمشاركة؟
15- كيف تقوم شركات أجنبية بتنفيذ وتشغيل وإدارة مشروع أمني حساس من دون إشراف الخبراء والشركات الكويتية؟
16- أحد اهم اهداف استراتيجية الكويت للأمن السيبراني هو دعم القطاع الخاص الكويتي وبناء القدرات السيبرانية الكويتية في حين أن ما يتم الآن هو خلاف ذلك، فما الإجراءات التي اتخذتها الهيئة لتحقيق هذا الهدف؟