مدى قابلية التأثر 16 قطاعًا للبنية التحتية الحيوية في الولايات المتحدة ليس سرا. وقد سلط مدير مكتب التحقيقات الفيدرالي كريستوفر راي مؤخراً الضوء على هذه القضية بإلحاح. في 18 أبريل، تحدث راي في قمة فاندربيلت حول الصراع الحديث والتهديدات الناشئة.
“… الحقيقة هي جمهورية الصين الشعبية [People’s Republic of China] إن استهداف البنية التحتية الحيوية لدينا واسع النطاق وبلا هوادة الملاحظات المعدة للتسليم.
تم اكتشاف فولت تايفون، وهو ممثل ترعاه الدولة في جمهورية الصين الشعبية الكامنة في البنية التحتية الحيوية لسنوات. وبالنظر إلى التوترات المتزايدة بشأن تايوان، فإن وجود جمهورية الصين الشعبية في البنية التحتية الحيوية للولايات المتحدة ينذر بعواقب مدمرة محتملة. وقال ستيفن مور، نائب الرئيس وكبير استراتيجيي الأمن في شركة الأمن السيبراني: “النشاط ليس جديدًا، ولكن التأثير قد يكون كبيرًا جدًا”. إكسابيم“، يقول InformationWeek.
كيف يمكن أن يؤثر النشاط السيبراني لجمهورية الصين الشعبية على البنية التحتية الحيوية؟ أين تكمن أكبر نقاط الضعف؟ وكيف تحتاج الحكومة والقطاع الخاص إلى التركيز لمواجهة هذا التهديد في الوقت الحقيقي؟
التهديدات التي تتعرض لها البنية التحتية الحيوية
كانت سرقة الملكية الفكرية هدفًا رئيسيًا لنشاط التجسس الإلكتروني في جمهورية الصين الشعبية. لكن التركيز على البنية التحتية الحيوية له دافع مختلف. “لا يمكنك الدخول إلى البنية التحتية الحيوية لسرقة البيانات. لا تدخل في البنية التحتية الحيوية للملكية الفكرية. يقول مايكل ماكلولين، مدير العلاقات الحكومية والأمن السيبراني والقائد المشارك لمجموعة ممارسة خصوصية البيانات في شركة محاماة: “إنك تتجه إلى البنية التحتية الحيوية لأنك تنوي التسبب في ضرر سواء الآن أو في وقت ما في المستقبل”. بوكانان انجرسول وروني.
إذا قامت الصين والولايات المتحدة بتصعيد صراعهما بشأن تايوان، فقد تتمكن الصين من استغلال موقعها في البنية التحتية الحيوية لشل الرد العسكري الأمريكي والتأثير بشكل مباشر على المواطنين.
“هم [are] وضع أنفسهم داخل أنظمة المياه لدينا، والاتصالات، وقطاع الطاقة لدينا – جميع القطاعات الـ 16 معرضة للخطر هنا – ليكونوا قادرين على أن يكونوا في موقف أنه إذا … وقع حدث ما … فيمكنهم حقًا أن يجعلونا رهائن من منظور مدني يقول أليسون كينغ، نائب رئيس الشؤون الحكومية في شركة الأمن السيبراني النبذة.
نقاط الضعف في البنية التحتية الحيوية
تعد البنية التحتية الحيوية، كما يوحي اسمها، أمرًا حيويًا للحياة اليومية. إذن، لماذا هي عرضة للتهديدات من الجهات الفاعلة في الدولة القومية مثل جمهورية الصين الشعبية؟ تكمن الإجابة جزئيًا في عمر البنية التحتية.
“إذا فكرت في منشأة لمعالجة المياه، أو الشبكة الكهربائية، أو دورة حياة كل هذه الاستثمارات الرئيسية كثيفة رأس المال والضرورية، والتي تؤدي وظيفة تشغيلية، فإن دورة حياة هذه العناصر تبلغ 25 عامًا أو أكثر. ويشير كينج إلى أن هذه الشركات تنتمي إلى الأجيال مقارنة بتكنولوجيا المعلومات.
غالبًا ما تعمل الأنظمة القديمة مثل هذه باستخدام تكنولوجيا قديمة لا يمكنها اعتماد الأمن السيبراني الحديث وضوابط الوصول، مما يجعلها عرضة للتطفل والهجمات السيبرانية.
كما قامت مؤسسات البنية التحتية الحيوية أيضًا بربط أنظمتها بالإنترنت. “لقد أدى الحجم الهائل لإنترنت الأشياء وتنوعها إلى خلق هذا التدفق الهائل من نقاط النهاية، أو نقاط الوصول، داخل شبكات البنية التحتية الحيوية، وهذا يعني فقط أن سطح الهجوم ليتمكن الخصم من التسلل إلى الشبكة قد زاد بشكل ملحوظ،” كما يقول. ملِك.
بالإضافة إلى ذلك، تشكل سلسلة توريد البرامج خطرًا على البنية التحتية الحيوية، تمامًا كما هو الحال بالنسبة لأي مؤسسة. تعرض نقاط الضعف التابعة لجهات خارجية ومكونات البرامج الضارة مؤسسات البنية التحتية الحيوية لنشاط الجهات الفاعلة التهديدية.
بريان فوكس، المؤسس المشارك والرئيس التنفيذي للتكنولوجيا في سوناتايب، وهي شركة لإدارة سلسلة توريد البرمجيات، تشير إلى أن نقاط الضعف في البرامج مفتوحة المصدر تمثل أحد الاعتبارات الرئيسية. وعرض Log4Shell، وهي ثغرة أمنية خطيرة تم اكتشافها في Log4j، كمثال. أدت هذه الثغرة الأمنية إلى تداعيات واسعة النطاق في عام 2021. ومع ذلك، بعد سنوات، ظلت العديد من الأنظمة التي تستخدم Log4j دون إصلاح. في ديسمبر 2023، أفاد موقع BleepingComputer بذلك تقريبًا 38% من التطبيقات تستخدم مكتبة Apache Log4j لا تزال تستخدم نسخة ضعيفة.
يقول فوكس: “إذا قمت باستقراء ذلك عبر الصناعة بشكل عام، فهذا يسلط الضوء على حقيقة أننا لا نقوم بعمل جيد بما فيه الكفاية لحل هذه المشكلات”.
يمكن لأي برنامج، سواء كان مفتوح المصدر أم لا، أن يحتوي على نقاط ضعف، ولكن هذه الأخطاء ليست مصدر القلق الوحيد. يمكن لمكونات البرامج الضارة أن تعرض مؤسسات البنية التحتية الحيوية للخطر أيضًا.
“لقد كنا نتتبع على مدى السنوات السبع الماضية انفجارًا هائلاً لما نسميه المكونات الضارة المتعمدة،” يشارك فوكس.
في وقت سابق من هذا العام، أ تم اكتشاف الباب الخلفي في XZ Utils أثارت برامج ضغط البيانات قلقًا واسع النطاق. “إذا وصل هذا إلى توزيعات Linux [and] يقول فوكس: “إذا تم دفعها بعيدًا وعلى نطاق واسع، فإنها ستؤثر حرفيًا على كل شيء تقريبًا”. تم اكتشاف التعليمات البرمجية الضارة مبكرًا، ولكن من غير المرجح أن يكون هذا النوع من النشاط فريدًا.
إن معالجة نقاط الضعف في البنية التحتية الحيوية ليست بالأمر السهل. “جزء من ذلك هو طبيعة تعقيد هذه البيئات. جزء منها يتعلق بمسألة التوظيف والتعليم. يقول مور: “ليس لدينا ما يكفي من الناس”. “إنها مشكلة غير متماثلة.” في تعليقاته الأخيرة، شارك راي أنه مقابل كل شخص مدرج في طاقم مكتب التحقيقات الفيدرالي السيبراني، هناك ما لا يقل عن 50 هاكرًا صينيًا.
الدفاع عن البنية التحتية الحيوية
إن معظم البنية التحتية الحيوية في البلاد يملكها ويديرها القطاع الخاص، ولكن حل المشكلة لا يمكن أن يكون مهمة القطاع الخاص وحده، أو مهمة الحكومة وحدها. “هذه ليست مشكلة مكتب التحقيقات الفيدرالي. إنها ليست مشكلة تتعلق بالقيادة السيبرانية الأمريكية. يقول ماكلولين: “هذه مشكلة الجميع”.
تحتاج الشركات التي تدير البنية التحتية الحيوية إلى الوعي بنقاط الضعف والالتزام بتخفيف المخاطر. وهذا يعني تنفيذ القواعد الأساسية للنظافة السيبرانية ومحاولة فهم أين يكمن هذا الخطر في أنظمتهم. ما الذي يتعرض له الإنترنت؟ ما هي وسائل الحماية الموجودة؟ كيف تسبب سلسلة توريد البرمجيات المخاطر، وما الذي يفعله البائعون لتقليل تلك المخاطر؟
توفر الوكالات الحكومية مثل وكالة الأمن السيبراني وأمن البنية التحتية (CISA) والمنظمات غير الربحية مثل مراكز تبادل وتحليل المعلومات (ISACs) موارد مجانية للبنية التحتية الحيوية.
وبعيداً عن الموارد المجانية، هناك أسئلة حول الدور الذي ينبغي للحكومة أن تلعبه في حماية البنية التحتية الحيوية. من ناحية، يعمل كمنظم. على سبيل المثال، الإبلاغ عن الحوادث السيبرانية لقانون البنية التحتية الحيوية لعام 2022 (CIRCIA) يمر بعملية وضع القواعد. وبموجب CIRCIA، سيُطلب من الكيانات المشمولة الإبلاغ عن بعض حوادث الأمن السيبراني ومدفوعات برامج الفدية إلى CISA.
التنظيم أمر حيوي، ولكن هل يكفي؟ يمكن تقديم الحجج لتحفيز الأمن السيبراني بدلاً من معاقبة مؤسسات البنية التحتية الحيوية التي تصبح ضحايا للهجمات السيبرانية.
يقول ستيف وينترفيلد، كبير مسؤولي أمن المعلومات الاستشاري في شركة “هناك الكثير من الطرق للتحفيز، ليس فقط التنظيم (العصا)، ولكن من خلال الجزرة مثل الإعفاءات الضريبية للتحسينات السيبرانية”. تقنيات أكاماي، شركة حوسبة سحابية وأمن وتوصيل المحتوى.
ستستمر التهديدات السيبرانية القادمة من جمهورية الصين الشعبية. “إذا أراد الصينيون الدخول إلى شبكة، فليس لديهم أي يوم تحت تصرفهم. لديهم أدوات متقدمة للغاية. لديهم الصبر الاستراتيجي. يحذر ماكلولين قائلاً: “سيكونون قادرين على الدخول”.
وفي مواجهة هذا الواقع، فإن المرونة أمر ضروري. “نظرائي، وزملائي من مدراء تكنولوجيا المعلومات، عندما أتحدث إليهم، لا يتعلق الأمر بالدفاع المحيطي بقدر ما يتعلق الأمر [more] يقول وينترفيلد: “حول العثور على هذا التهديد الذي دخل إلى الداخل… والقضاء على وقت المكوث وتقليله”.
تحتاج البنية التحتية الحيوية إلى خطط للمرونة السيبرانية تمكنها من اكتشاف الخصوم الدائمين – الخصوم الذين غالبًا ما يستخدمون تقنيات العيش على الأرض – ومواصلة العمل إذا ومتى قررت الجهات التهديدية هذه الهجوم.
ويتطلب تحقيق هذا النوع من المرونة التعاون بين القطاعين العام والخاص. وقال راي: “… نحن بحاجة إلى بناء دفاع قوي، وهذه شراكات متينة – كما ناقشنا، أساس عملنا في مواجهة بكين”. في حدث فاندربيلت.
