لماذا على الشركات الامتناع عن الرد على اختراق شبكاتها بهجوم مماثل؟

4 دقائق

خلال مسابقة للأمن السيبراني جرت حديثاً، وخلال تمرين وهمي، تسببت فرق من الطلاب عن غير قصد في بدء الولايات المتحدة بشن حرب (مزيفة). أعطي الطلاب مجموعة متنوعة من الخيارات، بما فيها خيارات دبلوماسية للرد على هجوم إلكتروني منشأه الصين. اعتمد معظمهم مقاربة عدوانية تُعرف باسم "الاختراق المضاد"، كانت له عواقب وخيمة. يوضح التمرين الوهمي مدى إغراء شن هجوم مضاد رداً على الهجوم الإلكتروني - واحتمال حدوث عواقب كبيرة غير مقصودة.

بصفتي الرئيس التنفيذي لشركة أمنية أسهمها متداولة في سوق المال، أود أن أحث الشركات والأفراد على توخي الحذر من هذه الأخطار بالتحديد. في الولايات المتحدة، يحظر قانون الاحتيال وإساءة استخدام الكمبيوتر (Computer Fraud and Abuse Act (CFAA على الجهات الخاصة دخول أو إلحاق الضرر بأنظمة الكمبيوتر، حتى وإن استُخدمت لمهاجمتك أو اختراق شركتك.

لكن الكونغرس الأميركي على وشك تبني تشريع يغير ذلك ويمنح شركات القطاع الخاص والأفراد الحق في الرد على المخترقين أو الهاكرز واختراقاتهم. الفكرة وراء الاقتراح هي تمكين الناس "من الدفاع عن أنفسهم عبر الإنترنت تماماً مثلما يتمتعون بالسلطة القانونية لفعل الشيء نفسه لدى تعرضهم لاعتداء جسدي". أعتقد أن هذا الإجراء سيضر أكثر مما ينفع. وإليكم السبب.

ثغرات في نظام الدفاع عن النفس

قد يبدو منطقياً أن يطبق على الهجمات الإلكترونية المبدأ نفسه الذي يسمح لأصحاب المنازل بالدفاع عن أنفسهم ضد المتسللين، حتى وإن انطوى الأمر على إلحاق الأذى بالمهاجمين. ولكن الحقيقة هي لسوء الحظ، أن ذلك سيكون أقرب إلى إلقاء قنابل يدوية من أمام منزلك عل وعسى أن تصيب إحداها مهاجماً لم تره أثناء فراره من مكان الجريمة. حتى لو تمكنت من إيذاء المهاجم، من المحتمل أن تؤذي أيضاً أشخاصاً آخرين. في الاختراق المضاد، يكاد يكون من المستحيل التأكد من أن أي إجراء يستهدف فاعلاً معيناً أو مجموعة من الجهات الفاعلة سيؤثر فقط على الأهداف المقصودة. فالإنترنت مصممة خصيصاً لغرض التفاعل والتواصل بين الأنظمة. والترابط بين التكنولوجيا والمستخدمين في ازدياد.

صعوبة تحديد المهاجم

التحدي الآخر المهم هو أنه من الصعب أن تنسب الهجمات الإلكترونية التي تُكتشف في بعض الأحيان بعد سنوات من حدوث الاختراق الأمني، إلى من يقف حقيقة وراءها. فالهاكرز يطورون أساليبهم باستمرار للحفاظ على تقدمهم على المدافعين عن الأنظمة وعلى أجهزة تطبيق القانون. ويلجأون في بعض الأحيان إلى تقنيات مخادعة لزرع مؤشرات تحمل بصمات جهات أخرى، إما لإبعاد الشك عنهم أو لتجريم طرف آخر.

ويزداد الأمر صعوبة عندما نأخذ في الاعتبار أن أجهزة تعمل دون اختيارها كأجزاء من شبكة روبوتية (بوتنت) يمكن أن تستخدم لتنفيذ هجوم. هذه الأجهزة المصابة وأصحابها، هي في الوقت نفسه ضحية للمهاجم وهدف رئيس له، وأي محاولة للاختراق المضاد قد تلحق بها الضرر. حتى الحكومات التي تملك برامج معقدة وشاملة لجمع المعلومات اللازمة للكشف بدقة عمن يقفون وراء الهجمات الإلكترونية، يمكن أن تستغرق وقتاً طويلاً للقيام بذلك. ولا تملك شركات القطاع الخاص عادة مثل هذه الموارد.

مخالفة قانون التناسبية

في أعقاب الهجوم الإلكتروني وحتى لدى التعرف على هوية المهاجم، من الصعب الحكم على الدافع بدقة وتحديد الرد المناسب. تذكرون الطلاب المتنافسين في تمرين الأمن السيبراني الوهمي، أولئك الذين انتهى بهم الأمر إلى شن الحرب. لقد ظنوا أن ردهم كان متناسباً مع الاختراق، لكن الموقف سرعان ما خرج عن السيطرة.

في بعض الأحيان، تُستخدم الحاجة إلى المعلومات ذريعة للقرصنة المضادة. والحجة المقدمة هي أن الاختراق المضاد يمكن أن يساعد في جمع المعلومات. مع ذلك، يختلف جمع المعلومات عن شن ضربة مضادة في الفضاء الرقمي. هناك عدد من إجراءات جمع المعلومات التي يمكن أن تتبعها الشركات الأميركية والتي لا تتعارض مع قانون الاحتيال وإساءة استخدام الكمبيوتر. يمكن للشركات على سبيل المثال، نشر مصائد على شبكاتها لالتقاط معلومات عن الهاكرز وأساليبهم.

في الأساس، سيضع تشريع الاختراق المضاد القدرة على شن هجمات إلكترونية وتحديد الاستجابات المتناسبة واختراق الأنظمة في أيدي الشركات والأفراد. وإذا شُرع الاختراق المضاد وبات جزءاً من أسلحة شركات القطاع الخاص، أخشى أن يصبح هو الرد بحكم الأمر الواقع بدلاً من التفكير في مجموعة واسعة من الخيارات التي لا تتضمن الاختراق المضاد.

ضغط جديد على موارد الشركة

من الواضح أن الاختراق المضاد الفعال يتطلب مهارات متخصصة واستثمارات مكلفة. وإذا تمت المصادقة عليه في إطار ترخيص غير صارم بما فيه الكفاية، أخشى أن تحاول العديد من الشركات المشاركة دون أن تكون في حيازتها الأدوات والخبرات اللازمة لتنفيذها. من المحتمل أن يكون هذا غير فعال أو ضاراً أو كليهما.

لا يمكن للشركات الأخرى تحمل توظيف الخبرات وحيازة التكنولوجيا الأمنية لحماية نفسها اليوم. فالقدرة على تنفيذ اختراق مضاد غير مطروحة بالنسبة لها. وهذا سيجعلها أكثر عرضة للخطر إذا أضفيت الشرعية على الاختراق المضاد. وقد يحاول المهاجمون بدافع الربح تجنب الشركات التي تهدد بالرد. بدلاً من ذلك، سيستهدفون الشركات تعيسة الحظ التي تقع تحت خط الفقر الأمني ​​هذا.

ألغام قانونية في "أرض" خارجة عن القانون

على الرغم من أن الإنترنت هي عبارة عن مساحة بلا حدود يتم الوصول إليها من كل بلد في العالم، فإن لكل من تلك الدول نظامها القانوني الخاص بها وتتوقع من مواطنيها الالتزام به. ستكون مخاطرة كبيرة بالنسبة للشركات والأفراد الذين ينفذون اختراقاً مضاداً أن تضرب بعرض الحائط وتخالف قوانين بلد آخر والقانون الدولي.

عندما تفعل الحكومات الوطنية ذلك، فإنه يحدث داخل الأطر القانونية الدولية القائمة وتحت بعض الرقابة التنظيمية. وهذا يجب أن يفي بعبء الإثبات الصارم لإسناد الاتهام بالهجوم. هناك معلمات تحدد أنواع الأهداف التي يمكن ملاحقتها والإجراءات التي يمكن اتخاذها. وأي تفويض باختراق مضاد قد يحتاج إلى إشراف حكومي كبير لتجنب الإساءة من قبل القطاع الخاص وتقليل الأضرار الجانبية.

على سبيل المثال، ماذا لو نفذت شركة اختراقاً مضاداً وألحقت عن طريق الخطأ أضراراً بشركة أخرى أو بفرد؟ قد تتعرض الشركة لإجراءات قانونية باهظة الثمن وتتكبد أضراراً تلحق بسمعتها وتفقدها ثقة عملائها. إن جعل الشركات معفاة من هذا النوع من الإجراءات القانونية في حال التسبب بعواقب غير مقصودة يمثل إشكالية. كيف يمكن أن نتعرف على توقف الانتهاكات العرضية أو غير المقصودة للنظام؟ إعطاء القطاع الخاص القدرة على الاختراق المضاد يتطلب إطاراً قانونياً ونظاماً إشرافياً معقدين. من سيشغلهما؟ كيف سيمولان؟ يبدو الأمر غير عملي ومكلف.

من الصعب إلقاء اللوم على الشركات لشعورها بالعجز في أعقاب هجمات إلكترونية أغلقت مصانع وشلت مستشفيات ونشرت بيانات خاصة بأعمال شركات. من التصيد الاحتيالي إلى برامج الفدية الخبيثة إلى نقاط الضعف في الأجهزة الطبية والإلكترونيات المتصلة بالشبكة وحتى شبكة الطاقة بأكملها، لا أحد يحب أن يشعر بأنه يقف دائماً في الطرف الخاسر لحرب غامضة ضد مهاجمين سيبرانيين سريين، دون أمل يلوح في الأفق. هذا الشعور بالعجز يكمن وراء الدعوة المتزايدة لتمكين الشركات من الاختراق المضاد.

مع ذلك، فإن التكاليف المحتملة لارتكاب هفوة ما والعواقب غير المقصودة يجب أن تمنع قادة الأعمال من الانسياق وراء اتباع مثل هذه الإجراءات. يجب علينا بدلاً من ذلك أن نعمل معاً لإيجاد حلول لمشاكلنا السيبرانية الأمنية المعقدة لأن ذلك أفضل من تشريع الاقتصاص بأنفسنا ممن يتعدى علينا، لاسيما بالنظر إلى مخاطره الكبيرة وفوائده المشكوك فيها. هناك فرق شاسع بين أن يتسبب طلاب عن غير قصد في حدوث كارثة في الحدود الآمنة لسيناريو وهمي تنافسي، وبين أن تكون قائد شركة يقوم بذلك في العالم الحقيقي.

اقرأ أيضاً: نقاط الضعف في المشروع.

تنويه: يمكنكم مشاركة أي مقال من هارفارد بزنس ريفيو من خلال نشر رابط المقال أو الفيديو على أي من شبكات التواصل أو إعادة نشر تغريداتنا، لكن لا يمكن نسخ نص المقال نفسه ونشر النص في مكان آخر نظراً لأنه محمي بحقوق الملكية الدولية. إن نسخ نص المقال بدون إذن مسبق يعرض صاحبه للملاحقة القانونية دولياً.

جميع الحقوق محفوظة لشركة هارفارد بزنس ببليشنغ، بوسطن، الولايات المتحدة الأميركية 2024 .

المحتوى محمي