في 27 سبتمبر، قدمت شركة المقاولات الحكومية جونسون كونترولز إنترناشيونال (JIC) طلبًا 8-K إلى هيئة الأوراق المالية والبورصات الأمريكية (SEC). الكشف عن حادثة الأمن السيبراني. تقوم شركة JIC بتصنيع أنظمة وحلول التحكم الصناعية للمباني المستقلة، وهي شركة متعاقدة مع الحكومة الأمريكية.
وبعد وقت قصير من الكشف عن الحادث، تم الكشف عن احتمال حدوث هجوم إلكتروني أثرت على وزارة الأمن الداخلي (DHS). وتحقق وزارة الأمن الوطني في احتمال وقوع الهجوم تهديد الأمن الجسدي تتعلق بمخططات الطوابق، وفقًا لشبكة CNN.
ويأتي هذا الهجوم قبل الإغلاق المحتمل للحكومة، والذي قد يؤدي إلى المزيد من مخاطر الأمن السيبراني للحكومة الفيدرالية والبنية التحتية الحيوية للبلاد.
الهجوم الإلكتروني JIC
وفي ملفها المختصر الذي قدمته إلى هيئة الأوراق المالية والبورصة، ذكرت JIC أن الأمن السيبراني عطل “أجزاء من البنية التحتية والتطبيقات الداخلية لتكنولوجيا المعلومات”. وبينما تمر الشركة بخطة الاستجابة للحوادث وجهود المعالجة، فإنها تتوقع أن يستمر الهجوم السيبراني في التسبب في تعطيل عملياتها، وفقًا للملف.
يبدو أن حادث الأمن السيبراني هو هجوم فدية. الباحث في أنظمة Nextron جميل علي تمت مشاركة مذكرة فدية من Cybergang Dark Angels في تغريدة، وفقًا لتقارير Dark Reading. المهاجمين السيبرانيين أجهزة VMware ESXi المشفرة التابعة لـ JICبحسب موقع BleepingComputer.
توسيع سطح الهجوم
يسلط هذا الهجوم الضوء على الحاجة إلى النظر إلى أصول تكنولوجيا المعلومات غير التقليدية، مثل أنظمة التحكم في المباني، التي تعد جزءًا من سطح الهجوم المتوسع، وفقًا لتوم جوارينتي، نائب رئيس الشؤون الخارجية والحكومية في شركة الأمن السيبراني. أرميس. وقال في مقابلة عبر الهاتف: “كل تلك الأشياء التي لم تكن في العادة جزءًا من اختصاص الفرق الأمنية… أصبحت أهدافًا متزايدة للدول القومية والمنظمات الإجرامية”.
يمكن أن يكون لأصول إنترنت الأشياء وأنظمة التحكم الصناعية وشبكات التحكم الإشرافية والحصول على البيانات آثار أمنية كبيرة. تود هيلفريش، نائب الرئيس الفيدرالي في شركة برمجيات إدارة التعرض وصيد التهديدات سينسيس، يؤكد على أهمية الإدارة الشاملة للأصول بما في ذلك جميع أصول تكنولوجيا المعلومات والأصول السحابية وأنظمة التحكم في المباني.
“مراقبة مستمرة للتغييرات في التكوين، والأصول الجديدة القادمة عبر الإنترنت [you] “لم نكن على دراية وتأكد من… أن هناك نظامًا صارمًا ليس فقط للتحقق من صحة التصحيح ولكن لإجراءات الاختبار والإصدار والتنفيذ،” كما أخبر InformationWeek عبر الهاتف.
مخاطر الطرف الثالث
غالبًا ما ينتشر تأثير الهجوم السيبراني عبر سلسلة التوريد المترابطة كما هو موضح في هذه الحالة. JIC هي الضحية الأولى لهجوم برنامج الفدية هذا، ولكن باعتبارها متعاقدًا حكوميًا، يمكنها الوصول إلى معلومات حساسة من وزارة الأمن الداخلي.
في حين أن سرقة البيانات تشكل مصدر قلق كبير في الهجمات السيبرانية، إلا أن هناك احتمال حدوث المزيد من الضرر. “هل برامج الفدية هي الهدف حقًا، أم أنها مجرد خدعة [to] تمويه… هجوم أكثر جراحية؟” يتساءل هلفريش. “قد يقوم خصم ذكي بإنشاء خدعة وتنفيذ نوع من الهجوم على سلسلة توريد البرامج، على غرار ما رأيناه قبل عامين مع Solar Winds.”
أدت حملة الهجمات الإلكترونية التي استهدفت شركة SolarWinds إلى حوالي 18000 من عملاء شركة برامج إدارة الشبكة لتلقي تحديث البرنامج المخترق، وفقًا لمكتب محاسبة الحكومة الأمريكية.
إلى أي مدى يمكن أن يمتد تأثير هجوم إلكتروني مثل ذلك الذي تم تنفيذه ضد JIC إلى الخارج؟ ويعتمد ذلك على نوع نظام الوصول الذي يكسبه ممثل التهديد، ووقت مكوثه، والبيانات التي تم اختراقها. لكن فك تشابك سلسلة التوريد لفهم مخاطر الطرف الثالث بشكل كامل أصبح معقدا على نحو متزايد.
يقول هلفريش: “فكر في مورد واحد وكيفية تسليمه إلى مؤسسة حكومية وعدد المقاولين من الباطن الذين يدعمونه والذين يقدمون الخدمات”.
إيقاف محتمل
بينما تعمل JIC وعملاؤها على التغلب على تداعيات هجوم برامج الفدية، فإن احتمال وجود المزيد من نقاط الضعف في الأمن السيبراني على المستوى الفيدرالي يقترب. تم تجنب الإغلاق في الوقت الحالي، لكن القرار المستمر يحدد موعدًا نهائيًا جديدًا للكونجرس لتمرير الميزانية: 17 نوفمبر.
إذا حدث إيقاف التشغيل، فسيتم تخفيض القوى العاملة في مجال الأمن السيبراني للحكومة بشكل كبير. على سبيل المثال، ستقوم وكالة الأمن السيبراني وأمن البنية التحتية إجازة لأكثر من 80% من عمالها.
“ولهذا آثار أكبر من مجرد وجود عدد أقل من الأيدي العاملة على سطح السفينة للحفاظ على الضوابط الأمنية، والاستجابة للتنبيهات، وما إلى ذلك.” باتريك هار، الرئيس التنفيذي لشركة SlashNext، شركة حلول أمنية تعمل بالذكاء الاصطناعي، تخبر InformationWeek عبر البريد الإلكتروني. “”يشير إيقاف التشغيل إلى مجرمي الإنترنت بأن هذا هو الوقت المثالي لشن الهجمات؛ فالممثلون الشائنون يحبون العمل في أوقات الارتباك والشك.
في حالة حدوث هجوم إلكتروني كبير، سواء بشكل مباشر ضد وكالة حكومية أو ضد أحد مورديها الخارجيين، فإن استنفاد الموظفين قد يزيد من صعوبة اكتشافه والاستجابة له ومعالجته.
بالإضافة إلى الخطر المباشر المتمثل في زيادة سرعة الهجوم، قد يؤدي إيقاف التشغيل إلى إعاقة تقدم الأمن السيبراني. يوضح جوارينتي: “لن يؤثر الإغلاق الحكومي على العقود الحالية فحسب، بل سيؤثر أيضًا على البرامج والعقود المخطط لها، والترقيات والتحسينات على البنية التحتية وإطار العمل للأمن السيبراني لدينا”.
وهذا الإغلاق، في حال حدوثه، لن يكون الأول. وقد أوضحت عمليات الإغلاق السابقة أهمية الحد من تعطيل الضوابط الأمنية، ويمكن إجراء بعض الاستعدادات مسبقًا، وفقًا لهار.
يقول: “على سبيل المثال، يمكن لمحترفي الأمن التأكد من تحديث جميع التصحيحات أو ضبطها على التصحيح تلقائيًا، وتجديد أي اشتراكات أمنية قد تنقضي أثناء إيقاف التشغيل، والاستفادة من الأتمتة لإحباط التهديدات والاستجابة لها قدر الإمكان”.
يدعو جوارينتي إلى إحداث تحول في الطريقة التي يُنظر بها إلى الأمن السيبراني: فهو أشبه بوظيفة يجب أن تكون في حالة استعداد دائم، مثل الجيش إلى حد كبير، وأقل شبهاً بالدعم العام لتكنولوجيا المعلومات.
ويقول: “جميعنا في هذه الساحة نعتقد أن الأمن السيبراني يحتاج إلى العزل عن العديد من المعارك السياسية التي نشهدها في كل مرة يتم فيها تجديد الميزانية”.
