اسمحوا لي أن أقدم لكم – إذا لم تكن على دراية بهما بالفعل – شخصين لم يلتقيا قط، ولم تتداخل حياتهما حتى: أوغست كيركهوفس وكلود شانون.
كان أوغست كيركهوفس عالم تشفير هولندي المولد في القرن التاسع عشر. فيما أصبح له عنوان مسمى المبدأوأكد أن أي نظام تشفير يجب أن يكون آمنًا، حتى لو كان كل شيء يتعلق بالنظام، باستثناء المفتاح، معروفًا للعامة. وبعد أكثر من 50 عامًا، أعاد عالم الرياضيات الأمريكي كلود شانون صياغة مبدأ كيركهوف إلى ما يعرف باسم مكسيم شانونمشيرًا إلى أنه “يجب على المرء تصميم الأنظمة على افتراض أن العدو سوف يكتسب على الفور معرفة كاملة بها”.
إذا كنت تريد أن تكون موجزًا بشكل خاص، ففكر في الأمر على النحو التالي: “العدو يعرف النظام”.
كان كل من كيركوفس وشانون من رواد “التفكير المكشوف”. لقد فهم كلاهما أن أي نظام يحتاج إلى البناء على افتراض أنه قد تم كسره بالفعل. لا يزال علماء التشفير يعتمدون مثل هذا التفكير على نطاق واسع اليوم.
خبير التكنولوجيا الأمنية الشهير بروس شناير اقترح أن كلا من مبدأ كيركهوف ومبدأ شانون ينطبقان على ما هو أبعد من التشفير ليشمل أنظمة الأمان بشكل عام. وقال شناير: “كل سر يخلق نقطة فشل محتملة. بعبارة أخرى، تشكل السرية السبب الرئيسي للهشاشة ــ وبالتالي فهي من المرجح أن تجعل النظام عُرضة للانهيار الكارثي. وعلى العكس من ذلك، فإن الانفتاح يوفر الليونة.
إنها وجهة نظر للأمن السيبراني أشاركها بقوة. في عام 2020، ظهر سؤال على موقع تويتر آنذاك: “ما هي النصيحة التي تقدمها للأشخاص العاملين في مجال الأمن؟” وكانت إجابتي هي: “إن قبول فكرة قيام البشر ببناء برامجك وأنظمتك، على الرغم من كونه رائعًا، إلا أنه غير معصوم من الخطأ أيضًا. الهدف من اللعبة هو العثور عليها وإصلاحها والتعلم منها والتكرار. الحياة تتعلم :)” [sic].
لماذا هذه الإجابة؟ لأنه، كما هو الحال مع التشفير، فإننا نتوقع القليل جدًا (أو لا نتوقع) تباينًا كبيرًا في أداء التطبيقات والأنظمة أثناء قيامها بمهمتها المقصودة: فهي تعمل وفقًا لخوارزميات محددة مبنية على أنظمة رياضية ومنطق. لكن البشر الذين يقومون بإنشاء المهام وتشغيل الأنظمة… نحن قصة مختلفة. لتوضيح هذه النقطة بإحدى الطرق المفضلة لدي: لوحة المفاتيح التي أستخدمها لكتابة هذه المقالة تعمل بشكل مثالي، لكنني ضغطت على مسافة للخلف أو قمت بالحذف مائة مرة بالفعل.
يلخص مبدأ كيركهوفس كيف نحتاج إلى التفكير في التقاطع بين التفكير الأمني والتصميمي – أي النقطة التي يقع عندها المهاجمون والمستخدمون وواجهة النظام. عندما تتراكم الأخطاء التي يتسبب فيها الإنسان على نظام مصمم للقيام بما يُطلب منه بالضبط، فإنه يخلق أخطاء… وفي بعض الأحيان، نقاط ضعف.
أنا مقتنع بأن البشر – سواء المساهمين أنفسهم، أو الإدارة، أو المنظمة، أو السوق – مسؤولون إلى حد كبير عن الحالة الأمنية الحالية. نحن نهمل إدراك أن الناس ليسوا آلات على الإطلاق: فنحن نشيد بالأشياء الجيدة ولكننا نرفض معالجة الأشياء السلبية. ونحن نأمل – نأمل! – أنه بتجاهل القبيح فإنه سيختفي في النهاية.
هذه هي العقلية التي تحتاج إلى التغيير. لنتبنى مصطلحات شناير: سنكون جميعًا أقل هشاشة إذا:
- نحن ندرك أن الأخطاء أمر لا مفر منه، و؛
- عندما يتم تحديد خطأ ما، فإننا نمد النعمة – بشرط الاعتراف بالخطأ والتعامل معه والدروس المستفادة وتطبيقها لمنع أي تكرار لنفس الفشل.
بمعنى آخر: نعتمد السياسات المزدوجة للشفافية والمساءلة.
تؤدي الشفافية والمساءلة إلى زيادة الثقة وتحسين السمعة
عندما أقول “نحن” أعني “نحن”. في Bugcrowd، نحن نقود بالقدوة، ويتم دمج قيم الشفافية والمساءلة في كل ما نقوم به؛ إنه جزء من الحمض النووي لشركتنا. الثقة والدقة أمران حيويان، لذا فإن ممارساتنا الأمنية هي كتاب مفتوح، مما يؤدي إلى بناء الثقة مع شركائنا والجمهور. عندما يكشف باحثونا عن ثغرة أمنية، فإننا نهدف إلى التأكد من إلغاء الثغرة الأمنية المذكورة بواسطة مطورها أو ناشرها لمنع استمرار وجود نفس الثغرة الأمنية في مكان آخر.
تُظهر المنظمات التي تعمل مع Bugcrowd لتنفيذ برامج مكافأة الأخطاء أو الكشف عن الثغرات الأمنية نفس عقلية الشفافية والمساءلة. نقطة انطلاقهم هي افتراض أنه ربما تم ارتكاب أخطاء. إنهم يقبلون المسؤولية عن الكشف عن أي نقاط ضعف قد تكون لديهم ويتخذون خطوات شفافة لمعالجة هذا الاحتمال. إنه أرخص وأبسط بكثير من تحميل أنفسهم المسؤولية عن عواقب استغلال نقاط الضعف.
ولكن الشفافية والمساءلة لا تشكل نتائج بطبيعة الحال؛ يصفون كيفية القيام بالأشياء. إن نتائج القيام بالأشياء بطريقة شفافة وخاضعة للمساءلة – وسبب آخر لأهميتها في مجال الأمن السيبراني – هي زيادة الثقة وتحسين السمعة. على سبيل المثال، نرى أن المؤسسات تتفاعل بشكل متزايد مع Bugcrowd لحماية علامتها التجارية وملكيتها الفكرية بشكل استباقي، وتقوم بإبلاغ عملائها بالتدابير التي تتخذها. هدفهم هو تنمية ثقة الجمهور من خلال تقديم أنفسهم علنًا كمدافعين شجعان عن سلامة عملائهم.
وفي مثال آخر، شارك Bugcrowd مؤخرًا في حدث نظمه منتدى أبحاث أمن الانتخابات (ESRF)، كجزء من هدف تلك المنظمة “المساعدة في تشكيل نهج واضح ومنسق لإنشاء العمليات التي يمكن من خلالها للباحثين الأمنيين ومقدمي تكنولوجيا الانتخابات الأمريكية العمل معًا بموجب مبادئ الكشف المنسق عن نقاط الضعف (CVD) لتعزيز أمن تكنولوجيا الانتخابات وزيادة الثقة العامة في الانتخابات الأمريكية.
بالنسبة لي، كانت قيمة هذا الحدث أكثر أهمية من عبارة “لقد اختبرنا معدات الانتخابات”. بالنسبة لي، كانت القيمة الأساسية هي أنه في سياق موضوع عاطفي ومهم للغاية، كان كل من شارك في تعزيز الشفافية: لقد اختبرنا بشكل علني للغاية، بشكل مشترك، وأعلنا أننا نفعل ذلك. ويجب حتماً أن تكون نتيجة مثل هذا النشاط زيادة الثقة في العملية برمتها. (ولو تم العثور على أي ثغرة، لكان قد تم الإعلان عنها ومعالجتها؛ المساءلة والشفافية في العمل).
من المؤكد أن عقلية المساءلة والشفافية تكتسب زخمًا عبر الأمن السيبراني. ولكن من الجدير بالاعتراف أنه قد يكون من الصعب إثبات عائد الاستثمار المقصود منه منع حدوثه، لكبار المسؤولين التنفيذيين: إذا لم يحدث شيء ما، فمن سيعرف أنه لم يكن ليحدث على أي حال؟ سرعان ما تفقد مثل هذه الحجة زخمها بمجرد تذكير كبار المسؤولين بالتركيز على النتائج بدلاً من العملية: تستثمر معظم المؤسسات بكثافة عبر عملياتها بأكملها لتعزيز الثقة وسمعتها، وذلك على وجه التحديد لأنهما كلاهما من هذه السمات ذات القيمة العالية .
يحظى بتقدير كبير، على الأقل في وقت السلم، على الأقل – ولكن كان لكل من كيركهوف وشانون أجندات مختلفة في الاعتبار عندما كانا يتوصلان إلى مبدأهما ومكسيمهما على التوالي. أود أن أعتقد أنهم سيكونون سعداء لرؤية تفكيرهم النقدي يطبق على تأثير أكثر إيجابية، بعد سنوات عديدة، في عالم مختلف تمامًا.
كيسي إليس هو المؤسس والرئيس التنفيذي للاستراتيجية في حشرة
