سنة أخرى واختراق آخر وما يبدو أنه انتظار طويل لفهم حقيقة الكشف عن المخاطر السيبرانية تحديداً. في الآونة الأخيرة، انتظرت شركة ماريوت (Marriott) للخدمات الفندقية أحد عشر أسبوعاً لتكشف عن تسريب طال بيانات 383 مليون عميل، وشمل تسريب ما لا يقل عن 25 مليوناً من أرقام جوازات السفر و8 مليون بطاقة دفع. هل تتصورون شركة مثل ماريوت تنتظر أحد عشر أسبوعاً للكشف عن أرقام أرباحها الفصلية؟ لن يكون ذلك مقبولاً. فلماذا تنتظر الشركة كل هذه المدة للكشف عن هذا النوع من الحوادث؟
يقدم الاختراق الذي تعرضت له ماريوت أربعة دروس يمكن أن تكون مفيدة لكل من كبار المدراء والهيئات الرقابية: 1) عمليات الكشف عن المخاطر السيبرانية لا تزال غير كافية. 2) يمكن أن تؤدي أحداث خاصة مثل الاندماج وخفض التكاليف المرتبطة بها إلى هجمات اختراق سيبرانية. 3) تزداد المخاطر السيبرانية الشاملة على النظام. 4) لا تزال مجالس الإدارة غير مستعدة أو غير مؤهلة للتعامل مع الخطر السيبراني.
عدم الكشف عن المخاطر السيبرانية بالقدر الكافي
تتمثل الطريقة الوحيدة لجعل الشركات تأخذ الخطر السيبراني على محمل الجد في فرض شروط صعبة من ناحية الكشف عن المعلومات، والعمل على تعزيز احترام تلك الشروط. يعتبر توجيه هيئة الأوراق المالية والبورصات الأميركية الحالي غامضاً في أحسن أحواله. ولا علم لدينا عن وجود أي شرط في قوانين الأوراق المالية يشير صراحةً إلى المخاطر المرتبطة بالأمن السيبراني وحوادث القرصنة الإلكترونية. ولسوء الحظ، لم يمنع توجيه هيئة الأوراق المالية والبورصات الأميركية شركة ماريوت من الانتظار لأكثر من ثلاثة أشهر لكشف اختراق شمل مئات الملايين من سجلات الزبائن في ماريوت. قامت الهيئة بإجرائي إنفاذ ضد شركات لم تكشف عن تعرضها لاختراقات سيبرانية، إلا أنّ هذه الإجراءات تمخضت عن تسويات بسيطة نسبياً ولم يكن لها تأثير جوهري على النتائج المالية للشركات. أرى أنه ما لم تكن العقوبة كبيرة، فسيتجاهل كبار المسؤولين في معظم الشركات المخاطر السيبرانية بكل بساطة.
لقد أمعنّا النظر في ملفات تسجيل ماريوت لدى الهيئة والمعلومات التي كُشف عنها حول المخاطر السيبرانية. تمت ملاحظة اختراق البيانات في 8 سبتمبر/أيلول 2018. وقامت ماريوت بتقديم نموذج 10 كيو (10-Q) الذي يغطي الفترة حتى 30 سبتمبر/أيلول 2018 بتاريخ 6 نوفمبر/تشرين الثاني 2018. وعلى الرغم من قيام ماريوت بتخصيص فقرتين كاملتين للحديث عن تهديدات الهجمات السيبرانية، إلا أنها لم تذكر خرق البيانات الكبير ولم تكشف عن أي تأثيرات اقتصادية على الشركة. ثم قدمت ماريوت نموذج "8 كي" (8-K) بتاريخ 30 نوفمبر/تشرين الثاني، وكشفت فيه عن تعرضها لهجوم سيبراني. من المفترض أن يتم تقديم نموذج 8-كـ (8-K) خلال ثلاثة أيام من وقوع حادثة مادية ذات علاقة في الشركة، وتمتلك الشركة القدرة على التعامل بسرعة مع أنواع الحوادث الأخرى. فمثلاً، عندما قدّم عضو مجلس الشيوخ ميت رومني استقالته من مجلس إدارة شركة ماريوت في 8 نوفمبر/تشرين الثاني 2018، تم تقديم نموذج "8-كـ" في 9 نوفمبر/تشرين الثاني 2018.
ثم قمنا بدراسة دقيقة لتحليل ماريوت للتداعيات الاقتصادية المحتملة. وقد يكون التأمين ضد القرصنة الإلكترونية الذي وصفته إدارة ماريوت كعامل مخفف من هذا الأمر لاغياً إذا نظر المؤمّنون إلى خرق البيانات كنتيجة لعملية قادتها الصين لجمع معلومات استخباراتية منسقة، ووصل إلى حد اعتبارها "نشاطاً شبه حربي". وبالإضافة إلى ذلك، نحن نعتقد أن ماريوت قد تنطبق عليها قوانين الخصوصية المتعلقة بالبيانات والمشمولة في النظام الأوروبي العام لحماية البيانات (GDPR) على إثر هذا الاختراق، على الرغم من عدم قيام الإدارة أو وسائل الإعلام بالحديث عن هذا الكشف، على حد علمنا. بموجب النظام الأوروبي العام لحماية البيانات، يجب الإبلاغ عن خروقات البيانات خلال 72 ساعة. وينطبق هذا القرار إذا كان أحد عملاء ماريوت على الأقل مقيماً بصفة قانونية في الاتحاد الأوروبي.
تداعيات خفض التكاليف من عمليات الاندماج
عندما قمنا بالتدقيق في عملية اختراق بيانات ماريوت، اكتشفنا أن الاختراق حدث في أنظمة فنادق ومنتجعات ستاروود (Starwood) التابعة لها وليس في أنظمة ماريوت. إلى حد ما، وكما هو متوقع، فإن معظم موظفي شركة ستاروود إن لم يكونوا كلهم، بمن فيهم الموظفين العاملين في أقسام تكنولوجيا المعلومات والأمن السيبراني، جرى تسريحهم في إطار عملية الوفورات في التكاليف الناجمة عن الاندماج. يجب أن تأخذ الهيئات الرقابية في عين الاعتبار فرض شروط الإفصاح عن خطة الشركة لحماية البنية التحتية للبيانات بعد الاندماج. كما يجب على كبار القادة أن يدرسوا بعناية الأثر المحتمل لتجميع الكادر الوظيفي سريعاً حول وظائف بيانات بالغة الأهمية.
الخطر السيبراني على الأنظمة
يزداد الخطر المتعلق بالخروقات السيبرانية على الأنظمة مع كل عملية خرق كبيرة. فبمجرد أن يتمكن القرصان من الدخول إلى أنظمة الكمبيوتر لشركة ما، من المحتمل أن يمتلك القدرة على الدخول إلى سلسلة الإمداد الكاملة لتلك الشركة.
وللحصول على فهم أفضل لهذا الخطر المحتمل، يمكنك النظر فيما حصل مع شركة "أفيندرا إل إل سي" (Avendra LLC). شاركت ماريوت في تأسيس أفندرا في العام 2001 لإدارة عمليات الشراء الخاصة بماريوت في أميركا الشمالية. وفي عام 2017، قامت أفندرا بإجراء عمليات شراء تقدر بـ 5 مليار دولار في أميركا الشمالية. فإذا استطاع القراصنة الوصول إلى ماريوت، فمن المحتمل أن يكون بوسعهم استغلال الصلة مع أفندرا ووضع طلبات وهمية. وهذا النوع من الهجمات قد يكلف قطاع الأعمال في الولايات المتحدة بمبلغ يصل إلى 500 مليون دولار في عام 2016. ونقدر بأن هذه التكاليف ستكون في ازدياد ما لم يتم اتخاذ إجراءات مدروسة في هذا الإطار.
تحتاج مجالس الإدارة إلى خبرة أفضل
كما هي الحال مع العديد من الشركات الأخرى، ثمة غياب ملحوظ للخبرة في مجال إدارة المخاطر السيبرانية على مستوى مجالس الإدارة وعلى مستوى الإدارة التنفيذية لدى شركة ماريوت، حيث يضم المجلس الحالي 13 عضواً، لا يتوفر لدى أحدهم معلومات حول الأمن السيبراني أو خبرة تكنولوجية عميقة. كما لا تمتلك ماريوت لجنة خاصة لمواجهة مخاطر القرصنة الإلكترونية. وكغيرها من الشركات الأخرى، كان على ماريوت الاعتماد على "خبراء" خارجيين لتحديد نطاق الهجوم ونوعه وأثره.
نعتقد أن الهيئات الرقابية يمكنها إجبار الشركات على التركيز على جاهزيتها للتعامل مع الهجمات السيبرانية وما يتبعها من كشف عن وجود خطر يتمثل في قرصنة الأنظمة، من خلال إرغام مجالس الإدارة على تقديم بيانات حول الكشف عن خروقات أمنية لدى شركاتهم. وبمجرد أن يكون مجلس الإدارة "في مأزق"، ينبغي تحسين مساءلة الشركات والتخفيف من الأضرار الناجمة عن الخروقات السيبرانية لدى الزبائن والمجتمع ككل. ويمكن للعديد من الشركات أخذ العبر والدروس من حكاية ماريوت والتفكير بعمق حول آلية التعامل مع مثل هذه الخروقات الكبيرة للبيانات.
اقرأ أيضاً: