تجاوز عدد بيانات الاعتماد المسروقة التي أبلغ عنها المستخدمون ثلاثة مليارات حالة العام الماضي. وهذا يعني أن المجرمين السيبرانيين يملكون أسماء مستخدمين وكلمات مرور لأكثر من ثلاثة مليارات حساب إلكتروني. وهذه لا تقتصر على حسابات على وسائل التواصل الاجتماعي فقط، وإنما تشمل حسابات بنكية وحسابات بطاقات هدايا من متاجر التجزئة ملحق بها نقود وبطاقات ائتمانية، وحسابات ولاء لخطوط طيران تشمل سنوات من نقاط الأميال المقطوعة جواً، وغير ذلك من الحسابات التي لها قيمة حقيقية.
إن هذه المعلومة الإحصائية مثيرة للذعر، لكنها في حقيقة الأمر لا تفي نطاق الخطر حقه. وبسبب نوع من الهجمات يُعرف باسم حَقْن بيانات الاعتماد، تتعرض عشرات المليارات من الحسابات الأخرى أيضاً إلى الخطر. إليكم آلية عمل هذا النوع من الهجمات. لأن السواد الأعظم من الناس لدى كل منهم العديد من الحسابات الإلكترونية (هناك تقدير حديث ذكر أنها بلغت 191 حساباً للشخص الواحد في المتوسط)، فهم يعيدون استخدام كلمات مرورهم بانتظام عبر تلك الحسابات. ويستغل المجرمون السيبرانيون هذه الثغرة. في هجوم من نوع حقن بيانات الاعتماد، يأخذ المجرمون السيبرانيون عناوين بريد إلكتروني وكلمات مرور صحيحة ومعروفة من إحدى حالات اختراق موقع من مواقع الويب - على سبيل المثال، اختراق ياهو— ويستخدمون عناوين البريد الإلكتروني وكلمات المرور نفسها لتسجيل الدخول إلى مواقع ويب أخرى، كمواقع البنوك الكبرى الإلكترونية.
ويمثل هذا الهجوم نوعاً مختلفاً كلياً من التهديدات مقارنةً بما تأهبت صناعة الأمن في الماضي لمواجهته والتصدي له. إن الاستثمار في جميع أشكال الأمن التقليدية في العالم للحيلولة دون إصابة موقعك الإلكتروني بنقاط ضعف وثغرات لن يُجدي نفعاً لو أسفرت العادات السيئة لمستخدميك، الذين يعيدون استخدام كلمات مرورهم، عن تمكن المجرمين السيبرانيين من تسجيل الدخول إلى تطبيقك، كهؤلاء المستخدمين بالضبط.
أثبتت إحصاءات شبكتنا في شركة "شيب سيكيوريتي" (Shape Security) أن الهجوم النموذجي بحقن بيانات الاعتماد يتمتع بمعدل نجاح نسبته 2% على مواقع الويب الكبرى. وبتعبير آخر، باستخدام مجموعة قوامها مليون كلمة مرور مسروقة من موقع ويب واحد، يستطيع المهاجمون بسهولة الاستحواذ على 20 ألف حساب على موقع ويب آخر. والآن، اضرب تلك الأرقام في العدد الإجمالي لمواقع الويب التي أعاد المستخدمون فيها استخدام كلمات مرورهم، وكذلك عدد حالات اختراق البيانات التي وردت بلاغات بشأنها، كي تُكوِّن صورة أفضل للتهديد. بالطبع، ما زال هذا الخطر يشمل فقط حالات اختراق البيانات التي نحيط بها علماً. وهنا بحث جديد من شركة جوجل يشير إلى أن التصيد الاحتيالي ربما كان مصدراً لكلمات المرور المسروقة أكبر من عمليات اختراق البيانات، مما يجعل نطاق المشكلة أكبر.
ما الذي ينبغي أن يتغير إذاً؟ بالطبع، تعمل فِرق الأمن السيبراني بدأب من أجل التصدي لهذه المشكلة. وتساعد المصادقة الثنائية على حل هذه المشكلة (حيث يتعين عليك، علاوة على كلمة مرورك، إدخال شفرة تُرسل إلى هاتفك المحمول لتسجيل الدخول إلى موقع ويب). ومن سوء الحظ أن معدلات تبني المصادقة الثنائية محدودة جداً، حيث إن المستخدمين يجدونها مزعجة، ومواقع الويب التي تخدم المستخدمين لا تريد أن تجعلها عنصراً إجبارياً لتسجيل الدخول. إن تثقيف المستخدمين مسعى طويل الأجل من مساعي الصناعة، غير أن تثقيف مجتمع، ثم إحداث تغيير مماثل في السلوك، هو حل يتطلب عدة عقود لمشكلة بحاجة إلى حل آني.
وثمة مشكلة مشابهة ترتبط بالتصيد الاحتيالي. فالشركات ترسل موارد ضخمة لتعريف القوة العاملة فيها بمخاطر النقر على الروابط غير الموثوقة داخل رسائل البريد الإلكتروني والرسائل النصية، لكنه من المستحيل أن تجعل 100% من موظفيك بارعين في رصد محاولات التصيد الاحتيالي طوال الوقت. وهذا يعني أن المسألة مسألة وقت ومجهود لا أكثر لأي مهاجم دؤوب كي ينجح في الوصول إلى شبكة أي مؤسسة تقريباً.
وتنخرط الشركات في دورة متكررة لتأسيس خدمات جديدة، ومعايشة حوادث أمنية عامة تصيبها، ثم تنفيذ ضوابط وبروتوكولات أمنية جديدة تبدو فاعلة، حتى يتضح أنها ليست كذلك. ثمة مشكلة جوهرية تعيب هذه الدورة المتكررة، وهي أن هناك "مساحة للهجوم" أكبر من اللازم لغالبية المؤسسات، فلا تستطيع الدفاع عن نفسها دون مستويات غير واقعية من الاستثمار. وهذا يعني أن هناك سبلاً كثيرة جداً يستطيع من خلالها المهاجم استغلال أي جزء من البنية التحتية في غالبية الشركات لاختراقها أو إلحاق أضرار بها.
عادةً ما تدير المؤسسات الكبرى عشرات المسائل الأمنية عندما يزداد فيها عدد العاملين في كافة مؤسساتها. وهذه الفِرق تتعلم على الدوام التعامل مع منتجات جديدة، وتحاول مواكبة أحدث التطورات الطارئة على الأنواع الجديدة للهجمات، ورأب صدع بنيتها التحتية للتعامل مع نقاط الضعف المُكتشفة حديثاً. إن هذه النظم والعمليات تولِّد بيانات وأعمالاً أكثر مما تستطيع غالبية الفِرق معالجته بفاعلية، وهو ما يخلق معدلات متوقعة لنجاح المهاجمين المدفوعين بالعائد على الاستثمار والمنخرطين في مخططات مثل حقن بيانات الاعتماد.
يشبه الوضع الراهن في الأمن السيبراني المؤسسي الطريقة التي اعتادتها غالبية المؤسسات في التعامل مع كثير من عمليات تقنية المعلومات الخاصة بها قبل قدوم البنية التحتية السحابية العامة. فقد صرح جيف بيزوس أن الغرض من "خدمات أمازون ويب" (Amazon Web Services) كان التخلص من أعباء "الإجراءات الشاقة غير المتجانسة" التي يتعين على الشركات أداؤها لتشغيل بنيتها التحتية لتقنية المعلومات. ولقد أثبتت السوق صحة القيمة المقدمة هذه: فقد صرحت "خدمات أمازون ويب" العام الحالي أن الإيرادات زادت بنسبة 42% حيث بلغت 4.1 مليار دولار للربع الثاني، بينما شهدت خدمة شركة مايكروسوفت السحابية - "مايكروسوفت أزور" (Microsoft Azure) - زيادة مدهشة بنسبة 93%.
وهذا المبدأ نفسه بات أهم بالنسبة إلى الأمن السيبراني. لأن الأمن السيبراني بالغ التعقيد، والهجمات الإلكترونية تتغير بسرعة مهولة، فمن العبث أن نتوقع أن تستثمر كل مؤسسة في جميع الصناعات الوقت والموارد التي تمكنها من أن تبقى متقدمة على المجرمين السيبرانيين البارعين. وهناك أيضاً مجموعة من المنتجات الأمنية الدوَّارة التي يتعين عليها اختيارها وتعميمها، وأخيراً إخراجها من الخدمة بشكل منتظم. أخبرني أحد كبار مسؤولي أمن المعلومات في واحدة من الشركات الخمسمائة المدرجة ضمن قائمة "فورتشن" أنه لا يسأل موردي الخدمات الأمنية الجدد الآن فقط عن الوقت الذي يستغرقه تعميم منتجهم، وإنما يسألهم أيضاً عن الوقت اللازم لـ "إخراج المنتج من الخدمة"، حيث إنه يتوقع استخدام أي منتج أمني جديد مدة عاميْن فقط لا غير. من الواضح أن هذه المنهجية لا تؤتي ثمارها، وهو ما أثبتته سلسلة اختراقات البيانات والهجمات الاحتيالية المتسارعة وغيرها من الحوادث الأمنية التي أُعلن عنها على مدار العقد الماضي.
ويكمن الحل في أن تتعامل الشركات مع المشكلة بشكل مختلف، فتحسن من كفاءة المنظومة برمتها. وثمة أمثلة على التحسينات الشمولية التي يمكننا أن نجدها في مجالات أخرى. من بين أنجح المبادرات في مجال الصحة العامة في التاريخ إضافة اليود إلى الملح منذ عام 1924. فالبشر بحاجة إلى اليود في نظامهم الغذائي، لكن يكاد يكون من المستحيل إقناع عدد كافٍ من البشر بتغيير نظامهم الغذائي بشكل ثابت بما يضمن حصولهم على المقادير الكافية من اليود. وبدلاً من تغيير سلوك المجتمع بأسره، تم تغيير النظام ذاته لحل المشكلة بطريقة خفية بصورة أو بأخرى. وهذا لا يعني أنه ليس لدينا حملات صحة عامة ومسؤولية فردية تلزمنا بتناول أكل صحي وممارسة التمارين الرياضية، لكنه يعني أنه ليس على غالبية الناس أن يساورهم القلق بشأن نقص اليود بعد اليوم.
وبالمثل، فإن الحل طويل الأجل للأمن السيبراني يكمن في تحديد تحديات الأمن السيبراني، التي ينبغي أن تكون مسؤولية منوطة بالشركات كلٍ على حدة، وأيها ينبغي أن ينبع من منصات وخدمات تتحمل مسؤولية الأمن التأسيسي. ولا يسمح هذا النموذج للتقنية ومزودي الخدمات بضخ الاستثمارات الضرورية بل وفوق العادية في البحث والتطوير، وذلك بغية خلق أفضل القدرات والممارسات الأمنية على الإطلاق لجميع الشركات. فمزود خدمة المنصات الذي ينفق مليار دولار ويوظف أصحاب أبرز المهارات الأمنية لتقديم إمكانيات مشتركة لمائة شركة، يحقق منفعة أكبر مما تحققه مائة شركة تنفق الواحدة منها مائة مليون دولار على "الإجراءات الشاقة غير المتمايزة" نفسها.
وهذا لا يعني أن فِرق الأمن السيبراني ومكافحة الاحتيال داخل الشركات ستتقلص أو تختفي. على العكس تماماً. وحقيقة الأمر أن الأمن السيبراني أمسى، وسيصبح دائماً من الآن فصاعداً، مسألة سيُحاسب عليها حتى الرؤساء التنفيذيون ومجالس الإدارة، ولذلك فالاستثمارات الداخلية الكبرى مضمونة. ولكن، بدلاً من أن تنخرط تلك الفِرق في الأنشطة ذات الطابع السلعيّ نفسها كالأمن السيبراني في كل مؤسسة أخرى، ستكون قادرة على التخصص في الجوانب المميزة فقط لعملها وتدعم خبرتها المحسَّنَة بهدف خلق أثر أعظم في عملها.
وعليه، هل سيوفر خليط فِرق الأمن السيبراني الأكثر فاعلية، وتلك التي تستعين بمنصات تتمتع بأمن سيبراني تأسيسي مدمج بها، الأمن بنسبة 100%؟ بالطبع لا. فالطريقة الوحيدة لضمان أمن أي نظام كلياً هي إيقاف تشغيله. وبدلاً من ذلك، فالعامل الأمني العملي يتعلق في جوهره بالمقايضات والعائد على الاستثمار. وبالتمييز بين المسؤوليات الفردية للمؤسسة ومسؤوليات المنصة بعناية شديدة، تستطيع كل منهما الاستثمار بفاعلية أكثر، ونستطيع نحن أن نكفل أعلى درجة من الأمان لأكبر عدد من المستخدمين معظم الوقت.