تقرير يكشف عن الحالة المؤسفة للأمن السيبراني في أندية كرة القدم في المملكة المتحدة
من الدوري الإنجليزي الممتاز وما دونه، تُظهر أندية كرة القدم في المملكة المتحدة نقصًا حادًا في المرونة السيبرانية، مما يعرض بيانات المشجعين واللاعبين على حد سواء للخطر من عدد لا يحصى من التهديدات المحتملة، وفقًا لتقرير جديد أعدته شركة الاستشارات الأمنية مجموعة إن سي سي.
العمل جنبا إلى جنب مع باحثو أكسفورد للاستشارات الإستراتيجية في جامعة أكسفورد و مجموعة فينيكس للرياضة والإعلام (PSMG)، يسلط البحث الضوء على الحاجة الملحة لفرق تكنولوجيا المعلومات والأمن في صناعة كرة القدم، وفي الرياضات الأخرى، للحصول على الموارد المناسبة.
وقال مات لويس، الرئيس العالمي لأبحاث التهديدات في شركة NCC: “لقد رأينا صناعة الرياضة تصبح هدفًا جذابًا بشكل متزايد لهجمات الأمن السيبراني خلال السنوات الأخيرة”.
“من التحدث إلى المتخصصين في الصناعة كجزء من هذا البحث، من الواضح أن هناك انفصالًا بين التصور والواقع حول مدى تعرض الصناعة للخطر حاليًا. نأمل أن يوفر التقرير توضيحًا حول نقاط الضعف التي تواجهها الصناعة، والحلول العملية التي يمكن وضعها لتحسين كيفية منع الصناعة للهجمات الإلكترونية المحتملة والاستعداد لها.
وقال: “من خلال تنفيذ الاستراتيجيات والموارد ذات الصلة الموضحة في التقرير، يمكن الحد من الإنترنت للمساعدة في الحفاظ على سمعة العلامة التجارية، وسرية المعلومات، ونزاهة الجهات الفاعلة في الصناعة والمنظمات”.
التقرير، الخصم الخفي: التهديدات السيبرانية في الرياضة، يعتمد على رؤى تم جمعها من مديري تكنولوجيا المعلومات والأمن العاملين في صناعة كرة القدم. ويحدد العديد من المخاوف الرئيسية حول الافتقار إلى النضج السيبراني والأساليب القديمة للتعامل مع هذه القضية، بالإضافة إلى النشر المحدود بشكل مثير للقلق لأدوار تكنولوجيا المعلومات والأمن السيبراني في القطاع، مع ندرة وجود كبار مسؤولي أمن المعلومات (CISOs).
علاوة على ذلك، يبدو أن مجالس إدارة أندية كرة القدم غير مستعدة للاستماع إلى المناشدات للحصول على المزيد من الموارد أو الإنفاق لتحسين الأمور، فهي سعيدة بإسقاط مئات الملايين على اللاعبين ولكنها ترسم حدودًا لدفع أجر مناسب لرئيس أمن المعلومات (CISO) – متوسط راتب رئيس أمن المعلومات في الولايات المتحدة. المملكة المتحدة على مدى الأشهر الستة الماضية حتى 1 ديسمبر ما يقرب من 127000 جنيه استرليني، وفقا لITJobsWatch.
قال أحد مديري تكنولوجيا المعلومات الذين تمت مقابلتهم في أحد الأندية التي يملك أصحابها مجتمعة مليارات الجنيهات الاسترلينية، إن لديهم أقل من 10 موظفين يغطون كلاً من تكنولوجيا المعلومات والإنترنت، وتم تكليفهم بتأمين مؤسسة كبيرة. وقالوا، مع ضمان عدم الكشف عن هويتهم: “التعامل مع نادٍ لكرة القدم هو في الأساس التعامل مع كيانين – لديك جانب اللعب، وهو عمل تجاري كبير، ثم لديك شركة صغيرة ومتوسطة الحجم”. [small and medium-sized enterprise] وعلى الجانب الآخر، تشغيل تكنولوجيا المعلومات بعدد محدود من الموظفين والميزانية.
وشملت القضايا الأخرى التي تم الكشف عنها الاعتماد المفرط على التأمين السيبراني – والذي، عند تنفيذه بشكل مناسب، يمكن أن يساعد في تخفيف الضربة المالية للهجوم السيبراني، لكنه لا يفعل شيئًا لمنع التأثيرات على العمليات التجارية أو الإضرار بالسمعة، وهو مصدر قلق كبير للأندية البارزة؛ الافتقار إلى الصناعة أو المقارنة بين الأقران ؛ الافتقار إلى العناية الواجبة تجاه الطرف الثالث؛ القليل من الاستعداد أو القدرة على الاستجابة للحوادث أو عدم وجودها على الإطلاق ؛ عدم وجود تدريب إلكتروني يتجاوز تمارين التوعية المحدودة بشأن التصيد الاحتيالي؛ الأساليب غير المتسقة لإدارة الهوية والوصول (IAM)؛ النقص الكامل في إدارة البيانات؛ والقليل من الحوكمة أو المعايير المعمول بها.
كافحت أندية كرة القدم أيضًا لمواكبة التكنولوجيا المتطورة ومشهد التهديد، وهو أمر ليس نادرًا في أي قطاع، ولكنه يمثل صداعًا إضافيًا في صناعة يمكن أن تؤدي فيها سلسلة من الأداء الجيد إلى دفع فريق كان يعاني سابقًا إلى الصعود فجأة، مما يجعلها فريقًا رائعًا. هدف أكثر جاذبية لمجرمي الإنترنت وإجبار فرق تكنولوجيا المعلومات والأمن على الخضوع لتغيير سريع لاستيعاب المخاطر المتزايدة التي يجلبها ظهورهم الجديد.
ويحدد التقرير عددًا من التوصيات، بما في ذلك معيار جديد محتمل على مستوى الصناعة لميزانيات الأمن السيبراني، والذي يعتمد على حجم النادي ودورانه السنوي والمستوى المرغوب فيه من نضج الأمن السيبراني – يجب أن يستهدف نادي الدوري الممتاز الكبير 10٪ من إيراداته. الإنفاق على الإنترنت للحصول على أفضل النتائج، على سبيل المثال.
للمساعدة في تحديد أهداف الميزانية هذه، توصلت NCC أيضًا إلى نموذج نضج للأمن السيبراني لقطاع كرة القدم، استنادًا إلى المواضيع والمخاوف التي أبرزها الأشخاص الذين تحدثت إليهم، مما قد يساعد قادة تكنولوجيا المعلومات في الأندية على البدء في قياس أداءهم السيبراني الحالي. الموقف وتحديد الثغرات.
تشجع NCC أيضًا الأندية على تحسين التدريب والوعي حول المخاطر الأمنية في جميع المجالات – بدءًا من المكتب الخلفي إلى حراسة الأرض، ومن الإدارة إلى اللاعبين – كأولوية مطلقة، والتركيز بشكل أكبر على توظيف متخصصين متخصصين في مجال الإنترنت.