مواءمة شراء حلول الذكاء الاصطناعي مع الإطار الوطني للأمن السيبراني التابع لوزارة النقل والاتصالات وتقنية المعلومات

تطرح وزارة عُمانية مناقصة لنشر نموذج لغوي كبير داخلي. تطرح إدارة المشتريات سؤالاً واحداً على الاستجابات الثلاث المُختصرة: أيّها يُواءم فعلياً الإطار السيبراني للوزارة، وأيّها يُجيب عن إطار دولة أخرى مُلبَّس بلغتنا. تنهار القائمة المختصرة عادةً بحلول الصباح. على المشتري السيادي أن يقرأ استجابات المناقصات وفق خريطة ضوابط واضحة لا وفق عرض تسويقي. يستعرض هذا المقال الإطار، وعائلات الضوابط الخاصة بالذكاء الاصطناعي، وثمانية بنود ينبغي أن تتضمنها كل كرّاسة شروط لمناقصة ذكاء اصطناعي عُمانية في القطاع العام، والفجوات التي تستبعد معظم استجابات المورّدين، وأين يلتقي نشر الذكاء الاصطناعي في الموقع للمؤسسات السيادية بالإطار بشكل طبيعي.

الإطار في مئتي كلمة

تنشر وزارة النقل والاتصالات وتقنية المعلومات الأساس السيبراني الذي يُتوقَّع من مؤسسات القطاع العام في عُمان تطبيقه، ويتمحور حول دليل حوكمة الأمن السيبراني، وإطار إدارة أمن المعلومات، وميثاق سياسة حوكمة تقنية المعلومات. تُحدّد هذه الوثائق مجتمعةً أساساً موحَّداً للحوكمة وإدارة المخاطر وأمن المعلومات للجهات الحكومية، يدور حول عائلات ضوابط كلاسيكية: الحوكمة، إدارة المخاطر، إدارة الأصول، التحكم في الوصول، التشفير، أمن العمليات، أمن الاتصالات، إدارة المورّدين والاقتناء، إدارة الحوادث، استمرارية الأعمال، الالتزام.

الإطار محايد تقنياً ويستند صراحةً إلى المعايير الدولية. تنشر NIST مقابلة موثوقة بين SP 800-53 Rev. 5 و ISO/IEC 27001:2022 تستخدمها المؤسسات بوصفها الجدول التشغيلي. ويعكس موقع عُمان في المؤشر الوطني للأمن السيبراني هذه البنية متعددة الطبقات، وتوقُّع المنظِّم أن يُثبت أي نظام يعالج بيانات القطاع العام، بما فيه أنظمة الذكاء الاصطناعي، توافقه مع وجهات النظر الثلاث: الوزارة، وISO 27001، وNIST 800-53.

عائلات الضوابط الخاصة بالذكاء الاصطناعي

عبء العمل في الذكاء الاصطناعي ليس تطبيقاً عاماً، وخمس مناطق ضوابط تحتاج قراءةً صريحة خاصة بالذكاء الاصطناعي فوق الأساس القياسي.

• إدارة الأصول. أوزان النموذج، ومجموعات الضبط الدقيق، وفهارس الاسترجاع، وسجلات الاستدلال أصول قائمة بذاتها. تحتاج إلى سجل أصول، وعلامات تصنيف، وقواعد احتفاظ. والمورّد الذي يعامل النموذج كصندوق أسود يفشل في هذا الضابط.
• التشفير وحماية البيانات. بيانات التدريب، والأوزان عند التخزين، وسجلات المطالبات والاستجابات، ونقاط فحص النموذج كلّها تحتاج إلى تشفير بمفاتيح في يد المؤسسة لا المورّد. BYOK هو الحدّ الأدنى، وHYOK هو الهدف.
• التحكم في الوصول. ترث نقاط الاستدلال موفّر الهوية المؤسسي. حسابات الخدمة التي تقرأ بيانات التدريب محصورة النطاق، تُدوَّر، وتُراجَع. حدود الامتيازات بين علماء البيانات والمشغّلين والمستخدمين النهائيين مُلزِمة وتُراجَع.
• إدارة المورّدين والاقتناء. مورّد الذكاء الاصطناعي مورّد بحسب الإطار. تنطبق عليه التزامات التعاقد المتسلسل، والإفصاح عن المعالِجين الفرعيين، وموقع العمليات، والتزامات الخروج، وتنطبق بأشدّ مما تنطبق على مورّد تقني عادي لأن المنتج محل النطاق نموذج مُتعلَّم.
• إدارة العمليات والحوادث. انجراف النموذج، والهلوسة، وحقن المطالبات، وتسميم البيانات أحداث تشغيلية تحتاج إلى رصد، واستجابة، وتقرير. وتحتاج المؤسسة إلى مسار حادث محدَّد لا يعتمد على مناوبة مورّد أجنبي.

ثمانية بنود في كرّاسة الشروط لكل مناقصة عُمانية

تُبنى استجابة دفاعية لمناقصة ذكاء اصطناعي عُمانية حول ثمانية بنود، كلٌّ منها صفحة واحدة في كرّاسة الشروط، بمعايير قبول قابلة للقياس لا بلغة طموحات.

1. الإقامة السيادية للبيانات. تبقى كل بيانات التدريب، والضبط الدقيق، وكتل الاسترجاع، وأوزان النموذج، وسجلات المطالبات والاستجابات، وقياس الأداء التشغيلي داخل سلطنة عُمان. يُسمّي المورّد مركز البيانات والنظام الفرعي للتخزين وضوابط الخروج الشبكية. لا استثناءات للتشخيص أو لتحسين النموذج.
2. إقرار عابر للحدود. يقدّم المورّد إقراراً مكتوباً، موقَّعاً من تنفيذي مفوَّض، بأن أي بيانات داخل النطاق لا تعبر الحدود لأي سبب. يتسق هذا البند مع المادة 23 من قانون حماية البيانات الشخصية وهو الفارق الأكبر بين المورّد السيادي وشبه السيادي.
3. مخرَج خريطة الضوابط. يقدّم المورّد بيان قابلية تطبيق يربط كل ضابط من ضوابط الوزارة بتنفيذ ملموس، مع مرجعيات الملحق (أ) من ISO 27001 وNIST SP 800-53 Rev. 5 ضمن وثيقة واحدة، يولِّدها من مصدر حقيقة واحد لا من ثلاث وثائق متوازية.
4. تكامل الهوية والوصول. يتكامل النشر مع موفّر الهوية القائم لدى المؤسسة (عادةً Microsoft Entra ID أو اتحاد محلي)، ويدعم الوصول وفق الأدوار، وسير عمل إدارة الوصول الامتيازي. لا أدلّة مستخدمين يديرها المورّد.
5. عُهدة المفاتيح التشفيرية. تشفير عند التخزين والنقل، بمفاتيح في نظام إدارة مفاتيح أو وحدة أمن صلبة تتحكم فيها المؤسسة. لا يستطيع المورّد فك التشفير دون تعاون.
6. دورة حياة النموذج. وتيرة إعادة تدريب محدَّدة، ومنصة تقييم، ورصد انجراف، ومسار تراجع، وتثبيت إصدار. يلتزم المورّد بنظام ملاحظات إصدار وبمقعد للمسؤول عن المخاطر في المؤسسة على لجنة تغييرات.
7. الاستجابة للحوادث والإبلاغ عن الاختراقات. دفتر استجابة موثَّق بقدرة إخطار خلال 72 ساعة، وقائد حادث مُسمّى مقيم في عُمان، وتمرين سنوي مع مركز عمليات الأمن في المؤسسة.
8. الخروج والقابلية للنقل. مسار خروج محدَّد يشمل تصدير الأوزان المضبوطة، وفهارس الاسترجاع، والتهيئة، وسجلات المراجعة بصِيَغ مفتوحة. لا حصر مُلكيّ على المنتجات التي دفعت المؤسسة لإنتاجها.

الفجوات الشائعة في استجابات المورّدين

تخفق معظم الاستجابات في حفنة من البنود، وأنماط الإخفاق متوقَّعة.

المنطقة السحابية بديلاً عن السيادة. يقترح المورّد نشراً سحابياً في منطقة خليجية ويعدّه إجابة سيادية. ليست كذلك. مستوى التحكم وسجل النماذج وواجهة الرصد ومهندسو الدعم يجلسون عادةً في موطن المورّد، وبذلك يستمر خطر الوصول القانوني الأجنبي بصرف النظر عن جغرافيا مستوى البيانات.

غياب دورة حياة النموذج. تُحدّد الاستجابة بنية لكنها لا تحدّد دورة حياة. لا جدول إعادة تدريب، ولا منصة تقييم، ولا رصد انجراف، ولا مسار تراجع. تشتري المؤسسة لقطة نموذج لا خدمة تشغيلية.

مفاتيح يديرها المورّد. يبدو قسم التشفير حسناً حتى يلاحظ القارئ أن المفاتيح تديرها خدمة المورّد. تفقد المؤسسة عُهدة المفاتيح، ومعها القدرة على إنفاذ الموقف العابر للحدود فعلياً.

إفصاح مورّدين منقوص. تذكر الاستجابة المتعاقد الرئيسي وتُغفل المعالجين الفرعيين الذين يعالجون قياس الأداء والرصد والدعم وتقييم النموذج. كلٌّ منهم مورّد قائم بذاته بحسب الإطار.

دفاتر حوادث عامة. ينسخ المورّد دفتر استجابة عاماً لتقنية المعلومات ولا يعالج أحداث الذكاء الاصطناعي: حقن المطالبات، تسميم بيانات التدريب، شلّالات الهلوسة، اجترار بيانات شخصية كانت في زمن التدريب.

أين يلتقي نشر بفئة حصن مع الإطار

تشحن حصن الذكاء الاصطناعي السيادي بوصفه جهازاً في الموقع، وهي البنية التي تُلبّي الإطار بالبناء لا بالأوراق. مستوى البيانات، ومستوى التحكم، وأوزان النموذج، ومسار الاستدلال، وسجلات المراجعة، كلّها داخل محيط المؤسسة. لا مستوى تحكم أجنبي يُفصَح عنه، ولا معالج فرعي أجنبي يُتسلسَل إليه التعاقد، ولا قياس أداء يعبر الحدود يُطلب الإقرار بشأنه. عُهدة المفاتيح في نظام إدارة المفاتيح أو وحدة الأمن الصلبة لدى المؤسسة، والهوية تتكامل مع دليلها القائم.

يُسلَّم نشر حصن مع بيان قابلية تطبيق يربط عائلات ضوابط الوزارة بتنفيذ ملموس، مع مرجعيات الملحق (أ) من ISO 27001 وNIST SP 800-53 Rev. 5 في الوثيقة ذاتها. دورة حياة النموذج محدَّدة: وتيرة إعادة التدريب، ومنصة التقييم، ورصد الانجراف، ومسار التراجع، وتثبيت الإصدار. مُعين، المنصة الوطنية المشتركة للذكاء الاصطناعي في عُمان، تعالج طبقة أخرى من الكدسة ولا تتداخل مع نمط النشر المؤسسي في الموقع.

إن كان فريقك يُعدّ مناقصة ذكاء اصطناعي وفق إطار الوزارة، أو يقيّم استجابات وردت بالفعل، فالخطوة العملية لقاء بساعة واحدة مع قالب خريطة ضوابط مكتوب جاهز للّصق في كرّاسة الشروط. راسلنا على [email protected] أو على +968 9889 9100. نأتيكم في مسقط أو في أي مكان في دول الخليج، ومعنا الهيكل ذو البنود الثمانية، والمقابلة الكاملة بين الوزارة وISO 27001 وNIST مُسبقة التعبئة على نشر بفئة حصن، وخطة التزام مكتوبة وفق جدولكم. التسعير بحسب الطلب، بحجم النشر المحدَّد.