لا يكاد يمر شهر إلا ونرى شركة كبرى تعاني من هجمات سيبرانية غالباً ما تكون بدعم حكومي وخبيثة وصعبة الاكتشاف وتعرّض بيانات ملايين الأفراد إلى الخطر. ونظراً لعدم كفاية الأساليب الحالية في حماية البيانات الحساسة، يتوجب علينا هنا التحدث عن دور القطاع الخاص في الأمن السيبراني، إذ إنه ومع تزايد خطر الهجمات الإلكترونية، سيكون تحميل الشركات وحدها العبء أمراً غير منطقي.
تتطلب القوانين المتعددة والمتداخلة في الولايات المتحدة على المستوى الوطني ومستوى الولايات أن يكون لدى الشركات مستوى أمن "معقول". ويعتبر هذا المصطلح فضفاضاً ومبهماً إلى حد بعيد، وخصوصاً بالنظر إلى التطور المستمر للتهديدات والتدابير الدفاعية المتاحة ضدها. كما أنّ إجراءات ضمان الامتثال والقوانين التنظيمية التي يُعلن عنها عقب الهجمات الإلكترونية ضد أي ثغرة أمنية مستغلة "غير منطقية" إن كانت تتم من دون إجراء تقييم دقيق لبرنامج الأمن العام للشركة أو الإقرار بأنها كانت ضحية لجريمة.
وتستند الآلية المذكورة أعلاه إلى فكرة غير منطقية مفادها أنّ لكل شركة أميركية الموارد والقدرات للدفاع عن نفسها ضد أكثر الجهات الإلكترونية تطوراً. ويجب علينا هنا الابتعاد عن القوانين التي تركز على لوم الشركات والنظر إليها كضحية للنشاط الإجرامي السيبراني نظراً لأن اللوم لن يكون عادلاً ولا مفيداً في تحسين أمننا السيبراني ككُل.
ومن خلال خبرتنا، تواجه معظم الشركات عقبات كبيرة فيما يتعلق بإنجاز إدارة ناجحة للمخاطر القادمة من الإنترنت وذلك على الرغم من إنفاقها الكبير على الجانب الأمني. وعلى الرغم من ظهور بعض المعايير الأمنية للصناعة، إلا أنها لا تزال غامضة ونادراً ما تكون الحلول الأمنية الجاهزة متوفر. ويتطلب تحقيق أفضل أمان ممكن للشركة اتخاذ أفضل القرارات الممكنة وفقاً لمعمارية شبكة الشركة الفريدة والمعقدة مع القدرة في الوقت ذاته على التكيّف مع تطور الحلول الأمنية والتهديدات. وللأسف، لا يزال عدد المختصين من ذوي الخبرة والمعرفة الإلكترونية المطلوبة محدوداً، حيث يمكننا القول ببساطة إنه لا يوجد ما يكفي من المختصين في إدارة المخاطر السيبرانية لشغل كل شركة أميركية.
وتزداد معاناة الشركات مع الحمل الملقى على عاتقها فيما يتعلق بتوفير الموارد والتطور الكافي لمواجهة الهجمات السيبرانية المدعومة حكومياً أو الجنائية. ولو كنا نتحدث عن أي مجال آخر، لم نكن لنتوقع قيام كل شركة بالدفاع عن نفسها ضد الاستخبارات الأجنبية والوكالات العسكرية أو التهديدات الإجرامية المعقدة.
كما أنه نادراً ما نرى عمليات مشاركة لمعلومات التهديد بين شركات القطاع الخاص فيما بينها أو بينها وبين الحكومة، لاسيما عندما يتعلق الأمر بالتقنيات والتكتيكات والإجراءات التي اُستخدمت لتنفيذ تلك الهجمات. بالتالي، لا تكون الشركات في الغالب على معرفة كافية بنوعية التهديدات التي قد تواجهها لتدافع عن نفسها بأفضل شكل ممكن.
وبالنظر لما سبق ولعوامل أخرى غيرها، يجب اعتبار الشركات التي تعاني من الهجمات الإلكترونية ضحية ومعاملتها وفقاً لذلك. فعندما يتعرض بنك ما لعملية سطو فيزيائية، لا نقوم بلومه والتشهير به على الرغم من الفكرة القائلة بأنه يوجد دائماً بعض الاحتياطات الإضافية التي كان يمكن للبنك اتخاذها والتي ربما كانت لتساعد في درء الهجوم (كوجود ضابط شرطة في كل نافذة أو الحد من وصول العملاء إلى الصرافين). وبينما يُتوقع من البنوك تنفيذ بعض الإجراءات الأمنية، لا يتوقع أحد أن تمنع هذه الإجراءات بالكامل الهجمات الإجرامية، ولا يتم توجيه اللوم إلى البنوك إن لم توفر كل الاحتياطات اللازمة لمنع هكذا هجمات. لكن في العالم الرقمي، فإنّ الأمر يختلف، إذ تواجه الشركة التي تعاني من عمليات الاختراق خطر التعرض أيضاً لتحقيقات قانونية متعددة ودعاوى قضائية جماعية تشترك جميعها في لوم الشركة على عدم كفاية الإجراءات الأمنية التي اتخذتها لإبطال الهجوم الإجرامي الذي ارتكبه الآخرون بغض النظر عن قوة برنامج الأمن الشامل لها أو مقدار الاستثمار الذي قامت به في مجال الأمن.
وتعتبر تلك النظرة مجحفة بل وقد تتسبب في نتائج عكسية، إذ سيتوجب على الشركة، في خضم الاختراق الإلكتروني الذي تعرضت له، القلق بشأن التحقيقات الجارية وما يتم تسجيله وفيما إذا كان المحامون يشاركون بشكل كاف في التحقيقات وباقي الاعتبارات الأخرى المتعلقة بالحماية من المسؤولية بدل تركيزها على معالجة الحادث واستعادة العمليات وتحسين الأمن في المستقبل والتخفيف من الأضرار المحتملة. وعلاوة على ذلك، يقيّد الخوف من المسؤولية النهائية المحتملة مقدار المعلومات التي ترغب الشركة في مشاركتها، فقد تخفي الشركة الحادث بالكامل ولا تذكر كيف ولماذا تمكن المتطفل من تجنب التدابير الأمنية الحالية، الأمر الذي يحرم المجتمع الأوسع من فرصة تعلم العِبَر من الحادث كما يحدث في صناعات أخرى كالطيران.
وعلى الرغم من توفير قانون الأمن السيبراني لعام 2015 بعض الحماية، إلا أنها حماية محدودة ولم تسفر عن زيادة ملموسة في مشاركة المعلومات، ما يتسبب بدوره في تضاؤل الأمن السيبراني الجماعي لدينا نظراً لعدم الاستفادة من تراكم الخبرات والكفاءات الذي كان ليتم لو كان هناك نهج تعاوني أكثر حيال مشاركة المعلومات والتهديدات.
ويتوجب علينا هنا إعادة توجيه تركيزنا إلى الأمن السيبراني، إذ يتوجب علينا وضع عبء أقل على كل شركة عبر التركيز بشكل أكبر على طرق التعامل مع التهديدات الإلكترونية بشكل شامل. ويتطلب ما سبق إلى حد ما قيام الحكومة الفيدرالية بدور أكثر نشاطاً في مجال الدفاع السيبراني نظراً لتمتع الحكومات بمزايا تفوق القطاع الخاص، كقدرتها على جمع المعلومات الاستخبارية واستغلالها والتنسيق مع الحكومات الأخرى ووكالات إنفاذ القانون الدولية. ويجب على الحكومة بدورها العمل على منح القطاع الخاص فوائد هذه المزايا.
فعلى سبيل المثال، يجب على الحكومة أن تخصص موارد أكثر لجمع المعلومات عن الهجمات الإلكترونية المحتملة ضد الكيانات الخاصة، وخاصة من جهات تابعة لحكومات أخرى، ثم اتخاذ الخطوات اللازمة للمساعدة في منعها وليس فقط إخطار الشركات التي يُحتمل تعرضها للخطر ثم تركها لوحدها للتحقيق والاستجابة بمعلومات ناقصة وغير مكتملة. كما أنّ على وزارة الأمن الداخلي إصدار توجيهات للشركات تكون عملية واقتصادية الكلفة تجاه كيفية مواجهة المخاطر المتطورة المتزايدة نظراً لدور تلك الإدارة في تحديد مخاطر الأمن السيبراني على الاقتصاد الأميركي وتخفيفه.
كما أنّ علينا أيضاً التركيز أكثر على تقديم حوافز للجهات التي تُجري تحسينات أمنية في جوانب المنظومة السيبرانية تحقق فائدة كبيرة لشريحة واسعة وتحمي طيفاً واسعاً من المستخدمين والشركات بدل ترك كل شركة تقوم بذلك على حدة. وسيحسّن العمل الجماعي الأداء أكثر، إذ سيستخدم مزودو البرمجيات عمليات التشفير الآمنة وبالتالي يمنعون نقاط الضعف بدل مطالبة كل مستخدم تثبيت ملف تحديث أمني موجود في رابط ما أمامهم. وسيتم تقديم خدمة أفضل إذا عمل مزودو خدمات الإنترنت أكثر على تخفيف آثار برنامج الروبوتات الضارة عبر غربلة حركة المرور للحد من انتحال عناوين الإنترنت بدل الطلب من كل جهة مستهدفة العمل على صد هجوم رفض الخدمة بنفسها.
ويُحتمل أن تكون هناك حاجة لإصلاحات قانونية وسياسية لتحقيق هذه الأهداف ولتشجيع الشركات على التعاون مع الحكومة بشأن هذه المبادرات، لكن لن يحصل التعاون ما لم يقدم القانون خصوصية أكبر وحماية من المسؤولية القانونية للشركات التي تتخذ إجراءات لمساعدة دفاعنا الإلكتروني الجماعي تزيد عن تلك المتاحة حالياً. وقد تكون الشركات مع الحماية المناسبة أكثر استعداداً لتوحيد جهودها مع الحكومة وباقي الشركات لتقليل المخاطر السيبرانية.
وبينما نقر بأنه من المنطقي فرض بعض التزامات الأمن السيبراني على كل شركة على حدة، يجب أن تكون هذه الالتزامات معقولة وواضحة. ويجب أن تُعفى الشركة من المسؤولية في حال لبّت مجموعة المتطلبات المحددة لها والمشتقة من المخاطر القائمة، الأمر الذي يمكن إنجازه من خلال عملية تعاونية تضم أصحاب مصلحة متعددين مع الاعتراف في الوقت نفسه أن تلك الشركة كانت ضحية للنشاط السيبراني السيئ ولم تكن مسؤولة عن حدوثه.
اترك تعليق