إن تحديد تعريف “الثقة المعدومة” داخل أي منظمة يمثل تحديًا كبيرًا. ضمن العمليات المترامية الأطراف لواحدة من أكبر الشركات المالية والبرمجيات والبيانات والإعلام في العالم، لا يعد التعريف مجرد تحدي، بل إنه أمر بالغ الأهمية.
هذا ما قاله فيل فاشون، رئيس البنية التحتية في بلومبرج في مكتب CTO، لموقع InformationWeek في مقابلة. فوربس تدرج بلومبرج في المركز 33بحث وتطوير في قائمة أكبر الشركات الخاصة في الولايات المتحدة، ويعمل بها أكثر من 19 ألف موظف حول العالم وإيرادات سنوية تبلغ 12.5 مليار دولار.
ومع هذا العدد الكبير من الموظفين وتدفق البيانات عبر مئات الصحفيين والمحللين يوميًا، تواجه الشركة مهمة شاقة تتمثل في تأمين بياناتها الخاصة والتأكد من أن الأشخاص المناسبين لديهم إمكانية الوصول إلى أنظمة الشركة.
تحدث فاشون مع InformationWeek حول مدى تعقيد العملية الأمنية للشركة وكيف صممت فلسفة الثقة الصفرية متعددة الطبقات لتلبية احتياجاتها.
[Editor’s note: Quotes have been edited for clarity]
يحتوي نوع Zero Trust على تعريف سلس في جميع أنحاء الصناعة. ما هو تعريف انعدام الثقة لدى بلومبرج وكيف طورت المنظمة هذه الفلسفة؟
عندما يقول لي أحد البائعين أو أي شخص: “أنا أبيع لك حلاً يعتمد على الثقة المعدومة”، أقول له: “أحتاج إلى إجابة حول ما يعنيه ذلك بالنسبة لك في ذلك الوقت.” الثقة المعدومة هي في الواقع فلسفة التصميم. إنها فلسفة حول كيفية بناء الأنظمة وتصميمها لتكون آمنة من الألف إلى الياء. إنها منهج أولي للبنية التحتية وهذا يعني أنه يتعين عليك التفكير بشكل أكثر تماسكًا وتماسكًا حول هوية الأشخاص – يجب تعزيز مفهوم الهوية هذا بشكل أساسي. ما هو الأشخاص أو ما الذي يجب السماح للأشخاص أو الخدمات أو الأنظمة بفعله. اللقب الذي نستخدمه هو مبدأ الامتياز الأقل. يجب أن تتمتع فقط بالقدر الكافي للقيام بعملك وليس أكثر. لذلك قد يبدو هذا وكأنه نوع من هراء التجسس المذعور، ولكنه يتعلق بعقلية “مرحبًا، هل سأكون مرتاحًا لوضع هذا النظام، وهذه الخدمة، وهذه الوظيفة على الإنترنت المفتوح.” وإذا لم يكن كذلك، لماذا؟
نريد أن تمتثل ممارسة التصميم هذه لكل ما نقوم به. في بلومبرج، نفكر في العالم من حيث التحكم الدقيق في الوصول، والهوية، والشعور القوي بالهوية للخدمات والأنظمة والمستخدمين المتضمنين في ذلك ونتأكد من أن المستخدمين أو الأنظمة المصرح لها فقط يمكن الوصول إلى البيانات في الواقع الوصول إلى تلك البيانات. نحن نصمم أنظمتنا لتكون قوية ومرنة للغاية – بحيث إذا تمكن أحد المهاجمين من الوصول إلى نظامنا، فلن يتمكن من الوصول إلى أبعد من ذلك.
تاريخيًا، قام الجميع ببناء هذا الغلاف الخارجي الصلب حول المؤسسة، ومن ثم يمكن للأشخاص التحرك بحرية بمجرد دخولهم إلى الداخل. نحن نقول إننا نريد بناء هذا الغلاف الصلب حول كل شيء بدءًا من قاعدة البيانات وحتى الكمبيوتر المحمول المطور إلى الخدمات التي تقدم رؤى السوق الرئيسية للعميل.
أخبرنا قليلاً عن التحديات التي تواجه بناء فلسفة الثقة الصفرية مع العديد من مستخدمي تكنولوجيا المعلومات في الشركات.
إنها مشكلة تنسيق كبيرة. والخبر السار هو أن البشر ككل أصبحوا معتادين جدًا على إدخال اسم المستخدم وكلمة المرور وتوفير عامل ثانٍ كجزء من كيفية بدء يومهم. لذلك، فإن جلب مفهوم الهوية هذا، ومن هو الشخص الموجود في نقطة النهاية إلى أنظمتنا الخلفية في الخدمات المختلفة التي يحتاجها الأشخاص للقيام بوظائفهم، يصبح تمرينًا على انتقاء المنهجيات الصحيحة القائمة على المعايير. على سبيل المثال، التعبير عن المصادقة، والتأكد من حدوث ذلك بأكبر قدر ممكن من الشفافية للمستخدمين. لا تريد أن يشعر المستخدم بالإرهاق عند كتابة كلمة المرور الخاصة به، عشرات المرات يوميًا. وبدلاً من ذلك، تريد منهم إدخالها مرة واحدة يوميًا، والتأكد من نقل المعلومات إلى كل شيء أثناء تواصلهم داخل بنيتنا التحتية.
إنها مشكلة تنسيق لأنه، في النهاية، قد تكون تلك الهوية التي لديك على الكمبيوتر المحمول الخاص بك مختلفة تمامًا فيما يتعلق بما يجب التعبير عنه لبعض خدمات الطرف الثالث، أو ما نستخدمه للمصادقة على قاعدة بيانات. لذلك، هناك الكثير من الطبقات للتأكد من أننا نستطيع ربط واحدة بالأخرى، والتأكد من أن لدينا فهمًا جيدًا لمعنى السياسة… هناك الكثير من العمل للتأكد من أن لدينا ما نسميه “نوايا السياسة”. أو ما ينبغي أن يسمح لك القيام به.
وهل تشعر أن هذا الطبقات جزء من الثقافة في بلومبرج، في جميع أنحاء المنظمة؟
لقد استثمرنا بكثافة في سير العمل والتقنيات للسماح لنا بالحصول على تلك الضوابط الدقيقة. لا يتعلق الأمر فقط بالسماح لشخص واحد بالوصول إلى قاعدة البيانات. يتعلق الأمر لماذا يجب السماح لهذا الشخص بالوصول إلى قاعدة البيانات تلك. ربما يتطلب الدور القدرة على عرض البيانات أو تحديث البيانات أو أيًا كان. نريد التأكد من فهم كافة مسارات العمل وتتبع الديناميكيات التنظيمية التي تغير ما إذا كان يجب أن يتمتع هذا الشخص بهذه الامتيازات أم لا. لذلك، لقد استثمرنا بكثافة ليس فقط في التأكد من سهولة اتخاذ تلك القرارات، ولكن أيضًا التأكد من أن لدينا سير العمل الصحيح في الأعلى لتتبع هويتك، ومكان عملك، وما هو دورك، ثم القيام بذلك تأكد من أن هذه الامتيازات لا تتبعك أثناء انتقالك إلى أدوار مختلفة.
من الواضح أن ChatGPT غيّر كل شيء وسرّع اعتماد الذكاء الاصطناعي في جميع أنحاء المؤسسة. هل بدأت في الاستفادة من الأدوات المتوفرة؟
من الواضح أنه كان هناك بعض العمل الرائع الذي تم إنجازه داخليًا حول نماذج اللغات الكبيرة. بالنسبة لي، إنه في الواقع أمر مثير للغاية. وكانت بلومبرج من أوائل الشركات التي نشرت نظرة عامة مفصلة للغاية حول كيفية إنشاء نموذج مصمم خصيصًا لتطبيق مثل التمويل. وكنا من أوائل من توصلوا بالفعل إلى وصفة لكيفية تصميم مثل هذا النموذج. لذلك، من المثير جدًا البناء على ذلك. سيكون الذكاء الاصطناعي عنصرًا أساسيًا في استراتيجيتنا وكيف نضمن أن مخزوننا الهائل من البيانات وأن البيانات الصحيحة يتم وضعها أمام عملائنا – لتسهيل عليهم العثور على تلك البيانات والعثور على الوظائف فيها منتجاتنا والحصول على الإجابات الصحيحة بشكل أسرع مما كانوا قادرين عليه من قبل. ثم علينا أن نعود إلى الجانب الأمني للأشياء. وأحد الأشياء التي نهتم بها حقًا هو كيفية تعزيز محترفي الأمن أثناء قيامهم بعملهم. كيف نصل إلى نقطة حيث يمكننا الإجابة على أي نوع من الأسئلة حول البنية التحتية لدينا، وأنظمة التكوين لدينا – لنكون طيارًا مساعدًا للمستجيبين للحوادث أو الأشخاص الذين يحققون في المخاطر الأمنية، أو حتى مجرد تمكين المطورين من اتخاذ القرارات الصحيحة. نحن نعمل في مجال الذكاء الاصطناعي في بلومبرج منذ عام 2009، وفي ذلك الوقت، أعتقد أننا قطعنا شوطًا طويلًا. من شأن اعتماد بعض نماذج GPT أن يمكّننا من بناء ابتكارات لتسريع الجوانب المختلفة لأعمالنا.
