في الأسبوع الماضي، انتشر خبر خرق البيانات في شركة ZeroedIn Technologies والذي أثر على ما يقرب من 2 مليون فرد، تم الكشف عن معلومات التعريف الشخصية الخاصة بهم مثل الأسماء والعناوين وأرقام الضمان الاجتماعي. حصل الممثل السيئ على وصول غير مصرح به إلى شبكة ZeroedIn لفترة وجيزة في أوائل أغسطس. ZeroedIn هو مدير بيانات تابع لجهة خارجية متخصص في بيانات القوى العاملة، بما في ذلك التحليلات والامتثال التنظيمي.
شمل الإشعار حول الاختراق شركة Dollar Tree وشركتها التابعة Family Dollar كعميل من الشركات المتضررة، مع تكهنات تشير إلى احتمال تأثر موظفي تلك الشركة.
لفت الهجوم الانتباه إلى نقطة الهدف التي قد يكون مديرو بيانات الطرف الثالث تحتها. نظرًا لأن المزيد من المؤسسات تتطلع إلى مقدمي خدمات خارجيين للإشراف على بياناتهم لتحقيق احتياجات الكفاءة والامتثال، فقد يوفر هذا الاتجاه أيضًا للمتسللين وغيرهم من الجهات الفاعلة السيئة أهدافًا مركزية للفرص – اختراق مدير بيانات واحد والوصول إلى البيانات من العديد من المصادر.
يقول إيتاي ماور، المدير الأول لاستراتيجية الأمن في شركة أمن الشبكات Cato Networks: “لسوء الحظ، لا تستطيع المؤسسات اليوم أن تظل قادرة على المنافسة إذا لم تستخدم موفري وموردي الطرف الثالث، سواء كان ذلك يتعلق بالبيانات أو الخدمات أو البرامج”. لقد ربط بين خروقات بيانات الطرف الثالث وهجمات سلسلة التوريد، حيث يمكن أن يكون للجهات الفاعلة السيئة تأثير واسع النطاق عبر العديد من المؤسسات والمنظمات.
يقول ماور، نقلاً عن منظمة الصحة العالمية، إن مثل هذه التكتيكات، بشكل عام، ليست جديدة خرق معلومات بطاقة الائتمان في Target منذ ما يقرب من 10 سنوات. يقول: “حدث الانتهاك الأولي من خلال مقاول التدفئة والتهوية وتكييف الهواء الذي كان لدى شركة Target”. “هكذا دخلوا إلى الشبكة.” يبدو أنه إما من خلال تخزين البيانات الخارجية أو بيانات اعتماد طرف ثالث للوصول إلى الشبكة، سيبحث المتسللون عن طرق لاختراق الأنظمة.
على الرغم من أن العديد من الشركات لا تستطيع تلبية احتياجاتها من البيانات بالكامل داخل الشركة، إلا أن بعض المؤسسات مثل المؤسسات المالية قد تحاول الاحتفاظ بكل شيء في مكانها للتحكم المباشر في الأمان، كما يقول ماور. “معظم المنظمات لا تستطيع أن تفعل ذلك. لا يمكنك. يجب أن تظل مربحًا وتنافسيًا، لذا سيتعين عليك العمل مع البائعين الخارجيين. لا أستطيع التفكير في شركة لا تعمل معك. جوجل درايف أو Salesforce.com. ما يحدث هو، فجأة، أن أمنك يعتمد على أمنهم.
ويقول إنه يجب على المؤسسات أن تسأل إلى أي مدى يجب عليها العمل مع موردي الطرف الثالث وفهم المخاطر الأمنية التي تتعرض لها باستخدام تلك الخدمات، سواء كانت برامج أو بيانات أو خدمات. يقول ماور: “لا يكفي أن يقول طرف ثالث: “أوه، نعم، أنا معتمد”. “الشهادة لا تساوي الأمان.”
ويقول إن هذا هو المكان الذي يمكن أن تلعب فيه نماذج الأمان الصارمة وانعدام الثقة. “لا تثق ابدا؛ التحقق دائما. نعم، أنت البائع الخاص بي. نعم، أعمل معك يومياً. حتى أنني أعرف بعض الأشخاص شخصيًا. لا يهم. يجب التحقق من صحة كل وصول من مؤسستك إلى شبكتي.
تريد المؤسسات أيضًا معرفة ما يحدث من جانب البائع، كما يقول ماور، لأنه إذا حدث شيء ما مع البيانات أو الوصول الممنوح للبائع، فقد يكون ذلك مشكلة كبيرة. ويقول: “لا يمكنك التحكم بشكل كامل في المنظمة التي تعمل معها، لذا فأنت ترث موقفها الأمني”.
قد تقوم الجهات الفاعلة السيئة باختراق الأنظمة لسرقة المعلومات، أو لتحقيق احتيال محتمل على المدى الطويل، أو لهجمات برامج الفدية الفورية التي تتطلب الدفع هنا والآن.
إن الوصول إلى المعلومات الشخصية قد يشير إلى خطط ممتدة من جانب الممثل السيئ، خاصة وأن الموارد المؤقتة قد يتم استخدامها لإحباط مكاسبهم غير المشروعة. يقول ماور: “يعلم المجرمون أنهم بحاجة إلى الانتظار لمدة عام حتى تنتهي صلاحية مراقبة الائتمان المجانية”. “ثم سيستخدمون أوراق الاعتماد.” وبدلاً من ذلك، كما يقول، قد يستخدمون بيانات الاعتماد بسرعة كبيرة، ولكن ليس للاحتيال على بطاقات الائتمان، بل لتنفيذ هجوم قائم على الشبكة.
فإنه يأخذ القرية
تقول دانا سيمبركوف، كبيرة مسؤولي المخاطر والخصوصية وأمن المعلومات في شركة AvePoint، وهي تتذكر نصيحة حصلت عليها من مدرب كرة قدم في الصف الخامس: “إن فريقك قوي بقدر قوة أضعف لاعب لديك”. “الفرق الآن هو أن الفريق الذي تمتلكه الشركات فيما يتعلق بمحفظة تكنولوجيا المعلومات الخاصة بها أصبح الآن ممتدًا خارج الشركة الخاصة بها.”
وهذا يعني أن المنظمات بحاجة إلى إجراء محادثات مع تلك الأطراف الخارجية التي قد تجريها مع نفسها بشأن الدفاع ضد الهجمات. “ما هو نوع برنامج الأمان لديك؟” هي تسأل. “ما نوع الضمانات التي تقدمها للبنية التحتية الخاصة بك ومؤسستك الخاصة وما الذي يجب أن تتوقعه من البائعين والموردين لديك؟”
يقول سيمبركوف إن الفكرة هي إبقاء سلسلة التوريد على نفس المستوى من المساءلة الذي تتحمله الشركات نفسها. “ليس من السهل القيام بذلك، لأنه عندما تكون مسؤوليتك، يكون لديك رؤية واضحة لها. لذا، أعتقد أنه من المهم حقًا أن يكون لديك برنامج قوي لتقييم مخاطر البائعين. وتقول إن هذا يجب أن يكون جزءًا من عملية الشراء، ولكن أيضًا مع جزء من المراجعات المستمرة للبائعين، خاصة مع قيام المنظمين وصانعي السياسات بتعزيز المساءلة عن خصوصية البيانات.
يقول سيمبركوف: “أحد الأشياء الأحدث التي قدمتها اللائحة العامة لحماية البيانات كانت مسؤولية معالجي البيانات تجاه وحدات التحكم الخاصة بهم”. في الأساس، إذا كانت إحدى المنظمات تستخدم بائعًا لمعالجة المعلومات، فإن المنظمة التي تعاقدت معه تواجه المسؤولية عن أفعاله السيئة. وتقول: “عليك واجب الاعتناء بهم، وأعتقد أن هذا مفهوم حكيم للغاية”. “إنه شيء تعرف أنه يجب عليك البحث عنه حقًا. إنه نوع من رفع المستوى للجميع.”
في الماضي، ازدهرت الجهات الفاعلة السيئة في الظل حيث قد لا يتم الكشف عن أفعالها من قبل أهداف لا تريد الاعتراف بتعرض بياناتها للخطر. قد يكون وجود قنوات واضحة لمعالجة مثل هذه الحوادث أمرًا ضروريًا للتخفيف من الضرر الذي قد يلحقه هؤلاء المتسللون. يقول سيمبركوف: “أعتقد أن وجود اتصالات جيدة وشفافة وخطة للاستجابة للحوادث، حيث في حالة حدوث شيء سيئ، يمكنك التواصل بسرعة ليس فقط مع الجهات التنظيمية، بل مع الموظفين أو العملاء أو الأفراد الذين قد يتأثرون، وهو أمر مهم حقًا”.
