مقدمة
كمستشار كبير، أتعامل مع العملاء عبر العديد من الصناعات ومستويات النضج. غالبًا ما أشارك في إجراء تقييمات المخاطر أو تحليل الفجوات بما يتماشى مع الأطر المشتركة مثل إطار الأمن السيبراني (CSF) الخاص بالمعهد الوطني للمعايير والتكنولوجيا (NIST). تحتوي معظم أطر العمل، إن لم يكن كلها، على عدد قليل من الضوابط التي تركز على عمليات النسخ الاحتياطي للمؤسسة وخطط التعافي من الكوارث. الاستجابة الشائعة لهذه المجالات هي أن العميل يعتمد بشكل أساسي على مزود السحابة الخاص به لإجراء النسخ الاحتياطية الخاصة به.
غالبًا ما يكون لدى العملاء شكل إضافي من أشكال النسخ الاحتياطي أيضًا، ولكن في بعض الأحيان يكون شكل الاسترداد الوحيد لديهم مملوكًا بالكامل لموفر السحابة التابع لجهة خارجية. هناك ميل إلى الافتراض بأنه نظرًا لوجوده “في السحابة” فإنه يتكرر بشكل لا نهائي ويتم توزيعه بالتساوي عبر العديد من المواقع والأنظمة الجغرافية وبالتالي فهو آمن تمامًا. في حين أن هذا قد يكون هو الحال، فإن الاعتماد على مصدر نسخ احتياطي واحد (في هذه الحالة مزود خدمة سحابية) يعد وصفة لكارثة.
في نهاية شهر أغسطس، تعرض مزود خدمات سحابية دنماركية لهجوم ببرنامج فدية وأرسل إشعارًا إلى عملائه بأنهم غير قادرين على استعادة أي من أنظمتهم أو البيانات المخزنة عليها. تأثرت جميع رسائل البريد الإلكتروني والنسخ الاحتياطية وأنظمة تكنولوجيا المعلومات الخاصة بالشركة ولم تكن الشركة قادرة أو غير راغبة في دفع الفدية.
ما هي برامج الفدية؟
قبل أن أتعمق في جوهر هذا المنشور، أردت أن أحصل على مقطع سريع لشرح ما هو برنامج الفدية. ببساطة، برامج الفدية هي ببساطة تشفير مطبق بشكل ضار. سيتمكن المهاجم من الوصول إلى أنظمة المؤسسة من خلال أي عدد من الوسائل، ثم يشن هجومًا يقوم بتشفير جميع الملفات التي يمكن للمهاجم الوصول إليها. سيقوم المهاجم أيضًا بتضمين ملاحظة تشرح كيف يمكن للضحية توجيه الدفع للحصول على المفتاح اللازم لفك تشفير ملفاته. وقد يهدد المهاجم أيضًا بتسريب الملفات أيضًا إذا لم يتم دفع الفدية.
إذا قامت المؤسسة بالدفع، فسيقوم المهاجم دائمًا تقريبًا بتسليم نهاية الاتفاقية وتحرير مفتاح التشفير. إذا لم يرغبوا (أو لم يستطيعوا) الدفع، فإن الوضع الذي وصفته في المقدمة ليس نتيجة غير شائعة على الإطلاق. يتم إنشاء أنواع جديدة من برامج الفدية وآليات جديدة للتسليم والانتشار يوميًا، ولكن الوظيفة الأساسية هي نفسها. يتم اختراق الأنظمة، ويتم تشفير الملفات، ويتم طلب فدية. يمكن أن تأتي هذه الهجمات في أي وقت ولا تقتصر على أي سوق صناعية معينة.
التحقق والثقة والتخطيط للفشل
عند هذه النقطة، من المحتمل أن تتساءل (على الأقل آمل أن تكون كذلك) عما يمكنك فعله لمنع الضرر الناجم عن عدم قدرة أحد البائعين المهمين لديك على التعافي من هجوم برنامج الفدية. لدي أخبار جيدة وأخبار حزينة. الخبر السار هناك يكون شيء يمكنك القيام به حيال ذلك. الخبر السيئ هو أن الأمر سيستغرق وقتًا ومهارة ومالًا، وكلها أشياء كنت تأمل في إنقاذها من خلال الاستعانة بطرف ثالث في البداية.
أول شيء تريد القيام به هو التأكد من حصولك على ذلك بعض الخطة البديلة. ومن الناحية المثالية، ستكون هذه خطة جيدة التخطيط وموثقة لاستمرارية العمل إلى جانب خطة الاستجابة للكوارث والاستجابة للحوادث. ومع ذلك، يجب أن يكون لديك على الأقل بعض القدرة على تكرار الخدمة التي يقدمها البائع الخاص بك. قد تكون هذه عملية يدوية يمكنك تنشيطها، أو نسخة من تكوينات الخادم/الجهاز الذي يستضيفونه، أو نسخة من البيانات التي يحتفظون بها أو يعالجونها نيابة عنك.
في حين أنه سيكون من الجيد أن نثق في أن شركة أو مجموعة أو شخصًا آخر سيتعامل مع الأمور بنفس الطريقة التي نتعامل بها، فمن غير المسؤول أن نفترض بشكل أعمى أنهم سيفعلون ذلك. بعد تأكيد (أو تنفيذ) قدرتك على العمل في حالة فشل البائع، ستحتاج إلى التحقق مما إذا كان مزود الخدمة الخاص بك يفعل كل ما يتعين عليه القيام به للحفاظ على أمان عملك. ليس من الممكن منع كل فشل، ولا يمكنك ضمان أن تقييم البائع سيكشف عن جميع الثغرات المحتملة، ولكن تقع على عاتقك مسؤولية اتخاذ كل التدابير المعقولة لتقليل احتمالية حدوث فشل فادح للبائع من التأثير على عملك.
لتقييم بائعي السحابة، الحاليين أو المستقبليين، إحدى أفضل الطرق هي من خلال مصفوفة التحكم السحابية الخاصة بتحالف الأمن السحابي. يتضمن عرضهم، المتاح مجانًا عبر الإنترنت، استبيانًا تفصيليًا يمكنك استخدامه للحصول على فهم أفضل للممارسات الأمنية الخاصة ببائعك. كما أنها توفر إرشادات حول كيفية تنفيذ عناصر التحكم التي تبحث عنها، وإرشادات حول كيفية تدقيق عناصر التحكم المقدمة، وحتى تعيين عناصر التحكم الخاصة بها إلى الأطر التالية:
- رابطة الدول المستقلة v8.0
- PCI DSS v3.2.1
- إيكبا تسك 2017
- آيزو 27001/02/17/18
- نيست 800-53 r5
خاتمة
في عالمنا المترابط، لا تأتي التهديدات دائمًا من مصادر داخلية فقط؛ يمكن أن تأتي من مصادر خارجية عديدة بما في ذلك من الموردين الذين تعتمد عليهم الشركة. تعد إدارة هذه التهديدات التي ينشئها البائع ذات أهمية بالغة ويجب التعامل معها بنفس الدقة مثل جميع مخاطر الأمن السيبراني الأخرى. تشمل إدارة مخاطر الطرف الثالث مجموعة من الأنشطة بدءًا من وضع السياسات وإجراءات التقييم التفصيلية وحتى التنفيذ الصارم لمتطلبات الأمان.
يمثل بدء برنامج إدارة البائعين تحديات – بدءًا من تعقيده وحتى طبيعته التي تستغرق وقتًا طويلاً. ومع ذلك، بدلاً من مجرد الاستهتار والافتراض أن هناك الكثير من العمل الذي يتعين إنجازه، فمن الحكمة تحديد الأولويات بدلاً من ذلك. ابدأ بالموردين الأكثر أهمية لديك – أولئك الذين يمكن أن يكون لتعطيلهم أقصى تأثير تشغيلي أو أولئك الذين يتعاملون مع البيانات الأكثر حساسية. يمكن أن تتضمن معايير تحديد أولويات الموردين أهميتهم للعمليات اليومية، أو الآثار المالية ذات الصلة، أو حساسية البيانات التي يقومون بتخزينها، أو جمعها، أو معالجتها.
إن المنظمة المرنة هي تلك التي تحدد نقاط الضعف لديها وتؤمنها، سواء كانت تتعلق بالأشخاص أو العمليات أو التكنولوجيا. ويتضمن ذلك التعرف على نقاط الفشل الفردية التي، إذا تم تعطيلها، يمكن أن تعرض أداء المنظمة للخطر. الاعتماد على البائع لا ينفي المخاطرة، ولا ينقل المسؤولية. ويظل العبء على عاتق المنظمة للتخفيف من المخاطر الناجمة عن العلاقات مع البائعين. تذكر أن اختيار البائع هو مجرد نقطة البداية. إن اليقظة والتقييمات المنتظمة وعمليات إدارة المخاطر القوية هي ما يضمن سلامة العلاقة مع البائع، وبالتالي وضع الأمن السيبراني للمؤسسة.
ففي نهاية المطاف، إذا حدث انتهاك لدى أحد البائعين مما يؤثر على بياناتك أو عملياتك، فلن ينزعج عملاء البائع، ولن تكون سمعتهم هي الوحيدة التي ستتضرر. ويرتبط نجاحها أو فشلها بالعلامة التجارية لمؤسستك والأمن العام ويجب التعامل معها وفقًا لذلك.
الموارد والقراءة الإضافية
https://www.theregister.com/2023/08/23/ransomware_wipes_cloudnordic/
https://cloudsecurityalliance.org/research/cloud-controls-matrix/
https://cybersecurity.att.com/blogs/security-essentials/defending-against-ransomware-the-basics
https://cybersecurity.att.com/blogs/security-essentials/why-vendor-management-is-a-cornerstone-of-security
