الذكاء الاصطناعي السيادي

قراءة في توجيهات المركز الوطني للسلامة المعلوماتية بشأن أنظمة الذكاء الاصطناعي في الجهات الحكومية العُمانية

بقلم حصن لخدمات الذكاء الاصطناعي ش.م.م · · 1068 كلمة

يطرح المسؤولون عن المشتريات في الوزارات والجهات الرقابية العُمانية السؤال ذاته بشأن الذكاء الاصطناعي: ما الذي يُلزم به المركز الوطني للسلامة المعلوماتية فعلاً، وما الذي يبقى ممارسة فضلى. الفرق هنا ليس أكاديمياً، فهو الذي يحدّد ما إذا كان الضابط بنداً تعاقدياً أم خانة في خريطة طريق اختيارية. ما يلي قراءةٌ عملية لمواد المركز كما تنعكس على أنظمة الذكاء الاصطناعي، مكتوبةٌ لمشترٍ سيادي يراجع كرّاسة شروط. تتكامل هذه المقالة مع مقالنا الركيزة حول سيادة الذكاء الاصطناعي وفق قانون حماية البيانات الشخصية العُماني الذي يستوفي الجانب المتعلّق بالبيانات الشخصية.

ما الذي يُصدره المركز فعلاً (والفرق بين القانون والإرشاد)

يقع المركز الوطني للسلامة المعلوماتية ضمن وزارة النقل والاتصالات وتقنية المعلومات، ويتولّى الجانب التشغيلي للأمن السيبراني الوطني، ومن ذلك فريق الاستجابة لطوارئ الحاسب الآلي OCERT. وتتوزّع مُخرجاته على ثلاث طبقات، طبقةٌ واحدة منها فقط لها صفة القانون.

  • المراسيم السلطانية والقانون الأصل. المرسوم 12/2011 بشأن المعاملات الإلكترونية، والمرسوم 64/2008 المعدَّل بالمرسوم 6/2007 بشأن مكافحة الجرائم المعلوماتية، والمرسوم 6/2022 بشأن حماية البيانات الشخصية. تُلزم كلّ كيان داخل عُمان، عاماً كان أم خاصاً. والمركز لا يُؤلّفها بل يُشغِّلها.
  • السياسات الوطنية المعتمدة بقرار مجلس الوزراء. هنا تقع الاستراتيجية الوطنية للبيانات والسياسة الوطنية لتصنيف البيانات. ليست مراسيم سلطانية، غير أنها تُلزم القطاع العام وكلّ من يعالج بياناته، لأن قرار مجلس الوزراء اعتمدها معياراً تشغيلياً. الاستراتيجية الوطنية للبيانات هي المرجع الأكثر استشهاداً في هذه الطبقة (انظر تحليل ديكري للاستراتيجية).
  • الأدلّة والمعايير الصادرة عن المركز مباشرة. دليل حوكمة الأمن السيبراني (على بوابة الوزارة)، ودليل الضوابط الأساسية لأمن المعلومات، ودليل تبنّي الخدمات السحابية، ومجموعة متنامية من المذكّرات القطاعية. صيغتها إرشادية، غير أنها تُحال إليها كرّاسات الشروط الحكومية وتقارير التدقيق بوصفها ملزمة، فتُكتسب الصفة الإلزامية في الواقع العملي.

أما في الذكاء الاصطناعي تحديداً، فالمركز لم يُصدر بعد وثيقةً واحدة بعنوان "دليل الذكاء الاصطناعي". ما فعله أنه مدّد أُطر الحوكمة والتصنيف وسلسلة التوريد القائمة لتشمل أنظمة الذكاء الاصطناعي بوصفها صنفاً من نُظم المعلومات. هذه هي البنية التي يحتاج المشتري السيادي أن يقرأ كرّاسة شروط الذكاء الاصطناعي في ضوئها.

الركيزتان الملزمتان للذكاء الاصطناعي: تصنيف البيانات وسلامة سلسلة التوريد

تنهضُ ركيزتان من ركائز المركز بالعبء الأكبر حين يدخل نظام ذكاء اصطناعي بيئةً حكومية عُمانية. كلتاهما راسختان، ومُحالٌ إليهما في كلّ مشتريات حكومية ذات حجم، وكلتاهما تُحدّدان الحيّز المسموح به للنشر.

الركيزة الأولى: السياسة الوطنية لتصنيف البيانات. تُسند هذه السياسة كلّ مجموعة بيانات في القطاع العام إلى مستوى (عام، مُقيَّد، سرّي، فائق السرّية)، وتربط كلّ مستوى بنظام عهدة ومعالجة. وأضافت السياسة تعديلاً بنيوياً جديراً بالملاحظة لمشتري الذكاء الاصطناعي: جعلت الوضع الافتراضي للبيانات الحكومية "غير مصنّف"، وحظرت التصنيف المُفرط، ومنحت المركز ووزارة النقل والاتصالات وتقنية المعلومات صلاحية إنفاذ التصنيف الصحيح. والقراءة العملية في الذكاء الاصطناعي أن أيّ نموذج يلامس بيانات مستوى مُقيَّد فما فوق هو نفسه مُعالج لتلك البيانات، وأن أوزان النموذج وسجلات المُدخلات ومخزن المتجهات ترث جميعاً ضوابط العهدة المنطبقة على المستوى. استضافة الفهرس داخل البلد شرطٌ ضروري لكنه غير كافٍ. على الجهة أن تحتفظ بعهدة المفاتيح وصلاحية التدقيق على مسار الاستدلال.

الركيزة الثانية: سلامة سلسلة التوريد. يستورد دليل الحوكمة ودليل الضوابط الأساسية الصادران عن المركز عائلات ضوابط سلسلة التوريد من معيار ISO/IEC 27001:2022 ومعيار ISO/IEC 27036، ثم يضيفان طبقاتٍ خاصة بعُمان حول إفصاح المُورّد، والدعم داخل البلد، وقنوات التحديث الموثوقة. وتُضاعف مشتريات الذكاء الاصطناعي مساحة المخاطر: أوزان النموذج تبعية، ومصدر بيانات التدريب تبعية، وإطار الاستدلال تبعية، وبرنامج تشغيل المعالج الرسومي والبرامج الثابتة تبعية، ووكيل تنسيق يسحب من مستودع عام وقت التشغيل تبعيةٌ أيضاً. ويتوقّع المركز أن يُقدّم المشتري الحكومي قائمة مكوّنات كاملة ومسار تحديث دون اتصال قابلاً للتحقّق. ومن المُورّدين من يفشل في اجتياز فحص سلسلة التوريد قبل أيّ تقييم تقني.

كيف تنطبق توجيهات المركز على نشر بمستوى Hosn

يستوفي النشر بمستوى Hosn، أي جهازٌ محلّي يُشغّل نماذج مفتوحة الأوزان قادرةً على العربية داخل النطاق المؤسسي، الركيزتين كلتيهما دون أعمال امتثال إضافية تُلصق بعد التسليم.

  • العهدة. تُحفظ الأوزان وفهرس الاسترجاع وسجلات المُدخلات وأدوات المراقبة داخل شبكة الجهة. ولا تغادر بيانات المستويات المُقيَّد والسرّي وفائق السرّية النطاق المؤسسي بغرض الاستدلال. ولا تنشأ مسألة "هل صُدِّر المُدخل إلى دولة ثالثة" أصلاً.
  • عهدة المفاتيح. تستقرّ مفاتيح تشفير مخزن النموذج وسجلّ التدقيق وفهرس الوثائق على عتاد تتحكّم فيه الجهة، وفق إجراءات إدارة مفاتيح متوائمة مع المركز. لا يحتفظ المُورّد بنسخة.
  • قائمة المكوّنات. بيانٌ موقَّع يغطّي أوزان النموذج الأساس (Gemma 4، Qwen 3.6، Falcon Arabic)، وإصدارات إطار الاستدلال، وبصمات الحاويات، وإصدارات برامج التشغيل. وتمرّ التحديثات عبر مرآة موثوقة دون اتصال، لا عبر سحب حيّ من شبكة خارجية. وتنطبق توقعات دليل تبنّي الخدمات السحابية بالقياس وتُستوفى.
  • التدقيق. يتطلّب دليل حوكمة الأمن السيبراني إطار حوكمة وإدارة مخاطر وأمن موثّقاً. ويتضمّن التسليم الافتراضي لـ Hosn خريطة ضوابط متوائمة مع ISO 27001، ومسار تدقيق مُسجَّل للاستدلال، ودورة مراجعة ربع سنوية يستطيع رئيس أمن المعلومات في الجهة أن يعتمدها.

ويقع نظام مُعين، المنصّة الوطنية المشتركة للذكاء الاصطناعي، في مسار مختلف: خدمة مركزية لأعمال الإنتاجية العامة على المواد العامة وما يقع في الطرف الأدنى من المستوى المُقيَّد. وسياسة التصنيف هي ما يجعل المسارَين قابلَين للقراءة. أنظمة Hosn المحلية تُعالج المستويات الأعلى، والمنصات المشتركة تُعالج المستويات الأدنى، ويمكن للنوعين أن يتعايشا في بيئة وزارية دون التباس.

قائمة امتثال عملية لمشتريات الذكاء الاصطناعي

ما الذي ينبغي على ضابط المشتريات إدراجه في كرّاسة شروط الذكاء الاصطناعي حتى تكون مواءمة المركز ناتجاً موثَّقاً لا أمنيةً.

  1. الإحالة إلى السياسة الوطنية لتصنيف البيانات وإلزام المُورّد بإسقاط كلّ مكوّن من النظام على المستوى الذي يُعالجه، مع تسمية موقع العهدة لكلّ مكوّن.
  2. اشتراط خريطة ضوابط متوائمة مع ISO 27001، مع إحالات متقاطعة إلى دليل حوكمة الأمن السيبراني ودليل الضوابط الأساسية لأمن المعلومات الصادرَين عن المركز.
  3. اشتراط قائمة مكوّنات كاملة تشمل أوزان النموذج، والإفصاح عن مصدر بيانات التدريب حيث أمكن، وإطار الاستدلال، وبصمات الحاويات، وبرامج تشغيل المعالجات الرسومية والبرامج الثابتة.
  4. اشتراط مسار تحديث دون اتصال قابل للتحقّق. لا سحب حيّ من مستودعات خارجية أثناء التشغيل الاعتيادي. تُستورد التحديثات وتُوقَّع وتُفحص ثم تُرقَّى.
  5. اشتراط خطة استجابة حوادث داخل البلد، مع جهة اتصال مُعيَّنة من OCERT، والتزامات بأزمنة الاستجابة، وبند إقامة بيانات لأيّ قياسات عن بُعد لدى المُورّد.
  6. اشتراط بند عهدة مفاتيح: مفاتيح تشفير الأوزان والفهارس وسجلات التدقيق على عتاد الجهة، دون أيّ نسخة لدى المُورّد ودون قدرة فكّ تشفير عن بُعد.
  7. اشتراط تدقيق سنوي متوائم مع المركز ومراجعة داخلية ربع سنوية مع تتبّع موثَّق للمعالجة.

المُورّد العاجز عن استيفاء هذه البنود دون مفاوضات ليس جاهزاً للعمل السيادي. والمُورّد الذي يستوفيها افتراضياً هو من يستطيع ضابط المشتريات الدفاع عنه أمام مدقّق بعد عام، حين يتحوّل السؤال من "هل أفاد هذا الذكاء الاصطناعي" إلى "أين الوثائق".

صُمِّم Hosn لتكون هذه القائمة جرداً لمخرجاته الافتراضية لا مجموعة أمنيات. للحجز اكتبوا إلى [email protected] لجلسة تعريفية مدّتها ساعة، نقرأ فيها الإسقاط على توجيهات المركز سطراً سطراً مقابل سياق جهتكم تحديداً، وتخرجون منها بوثيقة جاهزة للإدراج في كرّاسة الشروط.

أسئلة شائعة

هل توجيهات المركز الوطني للسلامة المعلوماتية ملزمة قانوناً للجهات الحكومية العُمانية؟

صيغة الوثائق الإرشادية بحدّ ذاتها ذات طابع توجيهي. غير أنها تتحوّل إلى التزام عبر ثلاث آليات: قرار مجلس الوزراء الذي يعتمدها أساساً ملزماً للقطاع العام، والمراسيم السلطانية الأصل التي تُفعِّلها هذه التوجيهات (لا سيما المرسوم 6/2007 بشأن مكافحة الجرائم المعلوماتية والمرسوم 6/2022 بشأن حماية البيانات الشخصية)، وبنود المشتريات الحكومية التي تُدرج التوجيهات بوصفها مخرجات تعاقدية. عملياً، تتعامل المشتريات الحكومية للذكاء الاصطناعي مع توجيهات المركز كإلزام.

هل تُجيز السياسة الوطنية لتصنيف البيانات استضافة الذكاء الاصطناعي على السحابة للبيانات المصنّفة؟

الجواب أدقّ من نعم أو لا. البيانات العامة وغير المصنّفة يمكن أن تُعالج عبر ذكاء اصطناعي سحابي دون اعتراض. البيانات المُقيّدة تُستضاف سحابياً بضوابط موثّقة تشمل التشفير وعهدة المفاتيح وبند الإقامة. أما المستويان السرّي وفائق السرّية فيُتوقّع بقاؤهما تحت العهدة المباشرة للجهة، أي محلّياً أو في عقد سيادي. ولأن الاستدلال يدخل ضمن المعالجة، فإن قواعد العهدة تنطبق على أوزان النموذج وسجلات المُدخلات، لا على المستندات وحدها.

ما الذي يتوقّعه المركز بشأن سلامة سلسلة التوريد للذكاء الاصطناعي؟

تستورد التوجيهات عائلات ضوابط سلسلة التوريد من معياري ISO/IEC 27001 وISO/IEC 27036 وتطبّقها على نُظم المعلومات عموماً. وفي الذكاء الاصطناعي، يعني ذلك قائمة مكوّنات موثّقة تشمل أوزان النموذج، ومصدر بيانات التدريب حيث أُفصح عنه، وإطار الاستدلال، وبرامج تشغيل المعالجات الرسومية، وأدوات التنسيق. كما تُلزم المُورّد بالإفصاح عن المصدر وقنوات التحديث، وتشترط عمليات شراء سيادية كثيرة أن تُثبَّت المكوّنات الحرجة من مرآة موثّقة دون اتصال حيّ بمستودع خارجي وقت التشغيل.

كيف تنطبق Hosn على توجيهات المركز افتراضياً؟

تُسلَّم Hosn جهازاً محلياً تُحفَظ فيه الأوزان والاستدلال والاسترجاع والمراقبة داخل النطاق المؤسسي، بما يُلبّي توقعات العهدة في السياسة الوطنية لتصنيف البيانات للمستوى المُقيّد فما فوق. وتشمل التسليمات الافتراضية قائمة مكوّنات سلسلة التوريد، وخريطة ضوابط متوائمة مع ISO 27001، ومسار تحديث دون اتصال قابلاً للتحقّق. ويتلقّى فريق المشتريات قائمة مرجعية تُسقط كلّ ضابط من ضوابط المركز على مُخرَج محدّد في Hosn، فتغدو مراجعة الامتثال عملاً ورقياً لا هندسياً.

مقالات ذات صلة

الذكاء الاصطناعي السيادي

سيادة الذكاء الاصطناعي وفق قانون حماية البيانات الشخصية العُماني

دليلٌ ركيزة لسطح قانون حماية البيانات الشخصية العُماني لنشر الذكاء الاصطناعي، مع خريطة ضوابط وقائمة شراء جاهزة.
الذكاء الاصطناعي السيادي

إطار الأمن السيبراني لوزارة النقل والاتصالات وتقنية المعلومات في مشتريات الذكاء الاصطناعي

كيف يربط إطار الوزارة بنود مشتريات الذكاء الاصطناعي بالواقع التعاقدي للمناقصات الوزارية.
الذكاء الاصطناعي السيادي

الذكاء الاصطناعي ونظام إدارة أمن المعلومات بالإصدار الثاني للمركز

قراءةٌ في توقعات الإصدار الثاني لنظام إدارة أمن المعلومات وكيف تنطبق على أوزان وفهارس وسجلات الاستدلال.