يبدو أن التهديدات الإلكترونية (السيبرانية) تشكل تحدياً مستحيلاً، فهي بطبيعتها سريعة التغير، ولا محدودة وغير متماثلة، ولذلك أصبح التنبؤ بها وإدارتها في غاية الصعوبة. لا عجب أن المنتدى الاقتصادي العالمي وضع الأمن الإلكتروني مرة أخرى قريباً من قمة قائمته الأخيرة للمخاطر العالمية. وبالفعل، تقول الحكمة التقليدية إنها مسألة وقت فقط قبل أن تشكل مؤسستك هدفاً لهجوم إلكتروني. وفي حين أننا نتفق مع آندي بوتشمان، كبير محللي الأمن الإلكتروني في مختبرات آيداهو الوطنية، في قوله: "لن يكون أي مبلغ تنفقه على أنظمة الدفاع قادراً على حمايتك من القراصنة تماماً"، إلا أننا نعتقد أنه بالإمكان دعم دفاعاتك لتخفيف المخاطر بدرجة كبيرة.
نركز في هذه المقالة على التحدي الرئيس في إدارة الأمن الإلكتروني، وهو فجوة البيانات. فهناك قدر قليل جداً من البيانات الإلكترونية المتاحة على نطاق واسع، ما يصعب عملية التقييم الموضوعي للتأثير المحتمل للحوادث. ومن خلال عملنا مع أصحاب المصلحة في جميع المناطق والصناعات، نقترح نهجاً لتحديد ما يجب قياسه، وطريقةً لجمع البيانات المطلوبة وجعلها مفيدة.
لماذا يجب علينا تبادل المعلومات؟
المعلومات هي القوة، وهي في الأمن الإلكتروني القدرة على منع حوادث مماثلة أخرى. في حال حدث خرق في إحدى المؤسسات، من المنطق أن نثق بأن الأسلوب الخبيث نفسه سيستخدم في اختراق مؤسسة أخرى في المستقبل القريب. وإذا توفرت البيانات المتعلقة بالانتهاك الأول، فستتمكن المؤسسات الأخرى من الاستعداد وضمان ألا تستخدم نفس الثغرة ضدها. كما تتيح مشاركة المعلومات للمشرعين وجهات إنفاذ القانون إدارة الحوافز بموضوعية من أجل توجيه حوكمة الشركات للأمن الإلكتروني وجمع البيانات فيها ومشاركتها.
وتكمن الخطوة الأولى في معرفة ما يجب قياسه تحديداً، ولذلك يجب أن نتفق على تصنيف موحد للحوادث الإلكترونية كي نتمكن من تتبع عواقب أي هجوم وفهمها، ويجب أن يشمل هذا التصنيف ما يلي:
- التواريخ المتعلقة بالحادث (تاريخ وقوعه واكتشافه للمرة الأولى والإبلاغ عنه).
- نوع الحادث (خرق أم برمجيات ضارة أم حجب الخدمة الموزعة ’DDoS‘، إلخ).
- حجم التأثير على النتائج المالية أو القدرة على تسيير الأعمال.
- نوع التأثير (خرق البيانات، خسارة مالية، أثر تشغيلي أو قانوني أو أثر على السمعة أو على الملكية الفكرية، إلخ).
- الطريقة المستخدمة للوصول إلى الشبكة أو البيانات (الخداع الإلكتروني ’phishing‘، برامج الفدية الخبيثة ’ransomware‘، الفيروسات، استغلال الثغرات قبل اكتشافها، إلخ).
- طريقة معالجة الحادث (تصحيح، تحديث إعدادات جدار الحماية أو البرنامج، إلخ)، وتكلفة الحل.
بالطبع، لا ترغب أي مؤسسة في إعلان تعرضها لحادث، ليس فقط تجنباً لكشف نقاط ضعفها أمام الجهات المسيئة، وإنما تجنباً للأضرار التي تلحق بالسمعة أو الأضرار المالية التي يمكن أن تترافق مع مثل هذا الإعلان. ومن أجل تشجيع تبادل المعلومات المتعلقة بالانتهاكات، من الضروري ضمان عدم الكشف عن هوية المؤسسات التي تبلغ عن هذه الحوادث. ولكن كي تكتسب بيانات خرق الإنترنت أهميتها، يجب ربط كل حادثة بالبيانات المتعلقة بالشركة، كنوع صناعتها ونطاق إيراداتها وعدد موظفيها وبصمتها الجغرافية، كي تتمكن المؤسسات الشبيهة بها من تحديد التهديدات والتأثيرات المحتملة. ومع توفر عدد كافٍ من الحوادث المبلغ عنها، يمكننا أن نفهم بصورة أفضل تواتر الحوادث وأنواعها التي يرجح وقوعها على المستويات الصناعية والوطنية والإقليمية. كما تتيح البيانات المتعلقة بالانتهاكات التي تعرضت لها المؤسسات الأخرى وتأهبها الإلكتروني للشركات مقارنة نفسها وقياس أدائها، بالإضافة إلى منح الأولوية لاستثماراتها في الأمن الإلكتروني على نحو أفضل.
ملاحظة أخيرة حول تحديد الأولويات والاستثمار: هذا ليس حدثاً يتم تنفيذه مرة واحدة، فمشهد التهديدات الإلكترونية يتطور باستمرار، وكذلك المتطلبات التنظيمية. ولذلك، يجب مراجعة التأهب الإلكتروني وتعديله بانتظام.
الامتثال والاتصالات
تطالب الجهات التنظيمية في جميع أنحاء العالم الشركات بالكشف عن الحوادث التي تتعرض لها. ولكن تشير أبحاثنا إلى أنه في كثير من الأحيان، إذا شاركت هذه الجهات التنظيمية أي بيانات على الإطلاق، فإنها تكون بحجم أصغر من أن يكون ذا فائدة. والأهم من ذلك، أن معظم الجهات التنظيمية لا تطلب المعلومات المناسبة التي ستكون مشاركتها مفيدة. على سبيل المثال، تطالب هيئة الأوراق المالية والبورصات الأميركية شركات المساهمة العامة بالإفصاح عن تعرضها للمخاطر الإلكترونية، ولكنها لا تطلب البيانات التي تحدثنا عنها تحديداً. وبالتالي، ليس من المستغرب أن تقدم معظم الشركات ببساطة نصاً نمطياً لإخلاء المسؤولية القانوني يخلو من أي معلومات مفيدة عن تعرض الشركة للمخاطر أو تأهبها.
ولاحظنا في بحثنا أنه في حين أن الإبلاغ عن المخاطر الإلكترونية هو ممارسة قائمة على الامتثال البحت، إلا أن الشركات لا تقدم قدراً كبيراً من التفاصيل إلا بعد أن تتعرض لحادث إلكتروني تم الكشف عنه للعلن من قبل.
على الرغم من أن الوضع الراهن لقوانين الامتثال غير كاف إلى حد ما، إلا أننا قلقون جداً من عدم وجود حوافز للمؤسسات كي تتبادل البيانات التي قد تملكها بشأن الانتهاكات الإلكترونية وقابلية تعرضها لها. ولتصحيح ذلك، نقترح إقامة شراكة بين القطاعين العام والخاص من أجل منح المؤسسات حاجتها من الدعم التشغيلي لمراقبة أمانها ومشاركة المعلومات عبر مورد موثوق به.
ومن الأمثلة عن هذا النوع من الشراكة، "سايبر نت" (Cyber Net)، وهي منصة إلكترونية. وحوافز المشاركة هي تلك التي ذكرناها أعلاه: الوصول إلى البيانات التي تساعد المؤسسات على تحديد التهديدات المحتملة وقياسها مقارنة بأقرانها. تتم مشاركة جميع البيانات دون الإفصاح عن هويات أصحابها، ولا تشارك مديرية الإنترنت الوطنية البيانات المبلغ عنها مع الهيئات الحكومية الأخرى، بما فيها هيئات إنفاذ القانون ووكالات التحقيق. ليس القطاع الخاص هو وحده من سيستفيد من هذا النوع من الشراكة، وقد تم تطوير نموذج مشابه للاستخدام على نطاق عالمي أو إقليمي، ومن شأنه أن يمنح الحكومات نظرة عن التوجهات والمخاطر الناشئة في نظامها الاقتصادي بأكمله حتى تتمكن من تقديم الدعم الملائم.
نحن نؤمن أن هذه الطرق ستقطع بنا شوطاً طويلاً باتجاه القدرة على إدارة مخاطر الإنترنت. وما أن نتبنى نهجاً موحداً لحساب مخاطر التواصل الإلكتروني وقياسها ومشاركتها، سيتمكن جميع أصحاب المصلحة أخيراً من اتخاذ قرارات استراتيجية تستند إلى الحقائق من أجل ضمان سلامة البيانات لشركاتهم وشركائهم وعملائهم.