بعد عملية اختراق كبيرة، قررت شركة مايكروسوفت ربط رواتب كبار المسؤولين التنفيذيين بالتهديدات السيبرانية
وتعرضت مايكروسوفت لانتقادات مؤخرًا من كل من الحكومة الأمريكية والشركات المنافسة لفشلها في وقف الاختراق الصيني لأنظمتها في الصيف الماضي. أحد التغييرات التي تجريها شركة التكنولوجيا العملاقة ردًا على ذلك: ربط التعويضات التنفيذية بشكل أوثق بالأمن السيبراني.
في أبريل، مجلس مراجعة حكومي ووصف اختراق مايكروسوفت الصيف الماضي المنسوب للصين بأنه “يمكن الوقاية منه”. وأشار مجلس مراجعة السلامة السيبرانية التابع لوزارة الأمن الداخلي الأمريكية إلى “سلسلة من الأخطاء” وثقافة الشركة في مايكروسوفت “التي أدت إلى عدم إعطاء الأولوية لاستثمارات أمن المؤسسات والإدارة الصارمة للمخاطر”.
وقد استفاد المنافسون من الفجوة السيبرانية، مع جوجل تنشر منشور مدونة يسلط هذا الأسبوع الضوء على النتائج التي توصلت إليها الحكومة ويشير إلى أن “تقرير CSRB يسلط الضوء أيضًا على عدد البائعين، بما في ذلك Google، الذين يقومون بالفعل بالشيء الصحيح من خلال الأساليب الهندسية التي تحمي من التكتيكات الموضحة في التقرير.”
كراود سترايك يعرض بشكل بارز استنتاجات الحكومة على موقعها.
تتزايد هجمات الدول القومية من الصين وروسيا، وتستهدف الشركات في مختلف قطاعات الاقتصاد، فضلاً عن حكومة الولايات المتحدة والبنية التحتية الاجتماعية. لقد كانت مايكروسوفت هدفًا كبيرًا جدًا، بما في ذلك الاختراقات التي قامت بها روسيا و الصين. هناك ضغوط متزايدة من الحكومة الأمريكية لكي تقوم الشركة بتحسين بروتوكولات الأمن السيبراني الخاصة بها، مع استدعاء كبير محامي الشركة، براد سميث، للإدلاء بشهادته في الكابيتول هيل.
Microsoft في وضع التحكم في الأضرار. بعد اختراق حسابات البريد الإلكتروني التنفيذية في يناير الماضي، والذي نُسب إلى قراصنة روس، تم وكشفت الشركة عن الحادث امتثالاً لقواعد الكشف عن الأمن السيبراني الفيدرالي الجديد، على الرغم من أنه من الناحية الفنية لم يكن اختراقًا “ماديًا” كان مطلوبًا بموجب القانون مشاركته، مما أدى إلى مناقشة في شركات أخرى حول مكان رسم الخط عند الكشف الجديد. إن القرار الذي اتخذته شركة مايكروسوفت بربط التعويضات التنفيذية بالأداء الناجح في مجال الأمن السيبراني هو أمر آخر يثير المناقشات في الشركات الأخرى.
أطلقت شركة مايكروسوفت برنامجها مبادرة المستقبل الآمن في نوفمبر، وفي وقت سابق من هذا الشهر، الشركة موجز في منشور مدونة من تشارلي بيل، نائب الرئيس التنفيذي لـ Microsoft Security، أنه كجزء من أهداف SFI الخاصة بها، فإنه “سيغرس المساءلة من خلال إسناد جزء من تعويضات فريق القيادة العليا للشركة إلى التقدم الذي أحرزناه في تلبية خططنا ومعالمنا الأمنية. “
ورفض متحدث باسم مايكروسوفت تقديم تفاصيل بشأن التعويض، لكنه قال إنها باعتبارها شركة تلعب دورًا مركزيًا في النظام البيئي الرقمي في العالم، فإنها تتحمل “مسؤولية حاسمة” لجعل الأمن السيبراني أولوية قصوى. إنه جزء من “التغييرات المهمة في حوكمة الشركة”. [made] وقال المتحدث: “لمزيد من دعم ثقافة الأمن أولاً”.
غالبًا ما تقدم الشركات مزيدًا من التفاصيل، على الرغم من أنها تفاصيل محدودة في كثير من الأحيان، حول أهداف أداء التعويضات التنفيذية في وكلاء الاجتماعات السنوية، والتي عُقدت آخر مرة في حالة مايكروسوفت في ديسمبر 2023.
الأمن السيبراني كمقياس أساسي لمخاطر الشركات والمكافآت
لقد أصبح من الشائع بالنسبة للشركات ربط نسبة مئوية من مكافآت المديرين التنفيذيين السنوية بأهداف مختلفة تتجاوز تحقيق أهداف المبيعات والأرباح. في السنوات الأخيرة، أضافت العديد من شركات Fortune 500، بما في ذلك Apple، مكافآت إضافية مرتبطة بمقاييس ESG. كانت إدارة المخاطر وأهداف السلامة لفترة طويلة جزءا من التعويضات التنفيذية، التي يعود تاريخها إلى عصر ما قبل ظهور المعايير البيئية والاجتماعية والحوكمة ــ على سبيل المثال، شركات التعدين والطاقة، فضلا عن الشركات المصنعة والصناعية، التي تربط المكافآت بالسلامة البيئية وسلامة العمال.
بدأت المحادثات حول رواتب المسؤولين التنفيذيين المرتبطة بالأمن السيبراني تجري في شركات أخرى منذ أن اتخذت مايكروسوفت خطوتها، وفقًا لما ذكره آلاب شاه، المدير الإداري في شركة بيرل ماير الاستشارية للتعويضات التنفيذية. وقال إنها ليست منتشرة كممارسة تعويضية اليوم، لكنه أضاف: “بعد إعلان مايكروسوفت، تلقيت مكالمات هاتفية تسألني: هل ينبغي لنا أن نفعل ذلك؟ هل سينجح؟” … هذه المحادثات تشبه إلى حد كبير تلك التي أجريناها قبل بضع سنوات بشأن مقاييس الحوكمة البيئية والاجتماعية والحوكمة، وتبنتها نسبة كبيرة من الشركات.”
وقال شاه إن هناك حجة مفادها أن الأمن السيبراني هو قضية أساسية يمكن مقارنتها بالتعدين أو السلامة الصناعية. ولكن هناك فرق كبير بين الأعمال التجارية في مجال الأمن السيبراني، وعلى سبيل المثال، بائع التجزئة، في تقديم هذه الحالة. وحتى في الصناعات التي تتجاوز التكنولوجيا والأمن السيبراني حيث يعد الحفاظ على أمان البيانات مشكلة أساسية، مثل الخدمات المالية والرعاية الصحية – التي كانت أهدافًا لاختراقات رفيعة المستوى – فليس من الواضح حتى الآن ربط التعويضات التنفيذية لكبار الموظفين ، مثل كبير المسؤولين الماليين أو المستشار العام، للأمن السيبراني، مقابل كبير مسؤولي أمن المعلومات أو كبير مسؤولي التكنولوجيا، على وجه التحديد.
ربط الدفع بالاختراقات هو “مكان جيد للبدء”
ستؤكد بعض الشركات أن الأمن السيبراني متأصل بالفعل في ثقافتها وأن مثل هذه الخطوة ستكون زائدة عن الحاجة، ولكن مع تصاعد تهديدات القرصنة وزيادة أهمية الإنفاق على الأمن السيبراني بالنسبة لشركات مثل مايكروسوفت، فإن مقياس الأجور التنفيذي الجديد هذا قد يكون متأخرا.
إن جعل تعويضات المسؤولين التنفيذيين مشروطة، إلى حد ما، بتحقيق أهداف الأمن السيبراني هو مكان جيد للبدء في غرس ثقافة أمنية في أعلى التسلسل الهرمي للشركات والتي تعتبر أساسية للنجاح، وفقا للخبراء.
وقال شاه: “إن الرسالة الأكثر أهمية التي يتم إرسالها داخليًا وخارجيًا هي أنها مهمة جدًا لثقافتهم، وسوف تحذو المزيد والمزيد من الشركات حذوها، بغض النظر عما إذا كانت المكاسب كبيرة أم لا”. “ما يريدون فعله هو التأكد من أن الأمر أصبح متأصلًا ثقافيًا، والطريق للقيام بذلك هو ربطه بالتعويض”.
وقال ستيوارت مادنيك، أستاذ تكنولوجيا المعلومات في معهد ماساتشوستس للتكنولوجيا: “يجب أن يكون الأمن السيبراني في ثقافة المنظمة”. لكن إعطاء الأولوية للأمن قد يكون أمرًا صعبًا داخل الشركة، كما يقول مادنيك، لأنه غالبًا ما يعني وضع الأموال في أماكن لا تنعكس بوضوح في النتيجة النهائية. وقال مادنيك: “إن ثقافة الشركات تعطي الأولوية لأشياء أخرى على حساب الأمن وإدارة المخاطر”. “كيف تعرف مدى أمانك؟ ربما لا يستهدفك أحد في ذلك الوقت. ولكن إذا قمت بزيادة المبيعات بنسبة 20%، فهذه أموال في البنك.”
يُظهر بحث مادنيك أن الثغرات الموجودة في ثقافة الشركات غالبًا ما تكون السبب وراء عمليات الاختراق رفيعة المستوى، وليس فقط مثال Microsoft. ويقول إن الوقاية تتعلق بالبصيرة بقدر ما تتعلق بالإدراك المتأخر. في مقال حديثواستشهد بدراسات معهد ماساتشوستس للتكنولوجيا حول الخروقات الأمنية لـ Equifax وCapital One في السنوات الأخيرة كأمثلة بارزة أخرى. وقال: “في حين أن بعض المخاطر تعتبر مفاجآت حقيقية من غير المرجح أن يتم التعرف عليها مقدما، فإن الكثير منها يشبه جهاز إنذار ضد السرقة المعروف أنه معيب”.
ولم تستجب Equifax وCapital One لطلبات التعليق.
وصف مادنيك عقلية الشركة بأنها في أغلب الأحيان “صنع قرار منهجي وشبه واعي”. وهذا يعني أن قرارات الإدارة يتم اتخاذها دون تحليل المخاطر السيبرانية التي يطرحها القرار. إن ربط التعويضات التنفيذية بالأهداف الأمنية لا يعني بالضرورة أن هذا النهج يتبخر من ثقافة الشركات، لكنه قال إن له صدى رمزيًا، ومن هذا السجل الرمزي، قد يتبعه العملي بالفعل.
“مصدر إزعاج ومركز ربح”
بالنسبة لشركة مايكروسوفت، فإن المخاطر أعلى مما هي عليه بالنسبة لمعظم المؤسسات. إن منصاتها وأنظمتها منتشرة في كل مكان – في قطاع الأعمال والحكومة – لدرجة أنه من المستحيل العيش بدونها. قال ريان كالمبر، نائب الرئيس التنفيذي لاستراتيجية الأمن السيبراني في شركة Proofpoint للأمن السيبراني: “لا يوجد بديل لمايكروسوفت، من وجهة نظر الإنتاجية. عليك القيام بأشياء مجنونة لمحاولة العمل بدونها”.
وقال إن ما يزيد من تعقيد عدم إمكانية تجنب مايكروسوفت هو الطبيعة الطبقية لمنصاتها، حيث يتم دعم التكرارات اللاحقة في كثير من الأحيان من خلال التطبيقات القديمة التي تعود إلى التسعينيات، قبل أن تشبه التهديدات الأمنية ما هو موجود الآن عن بعد.
ال دعت الحكومة الأمريكية أكبر وأقدم شركات التكنولوجيا لتحديث الأنظمة التي تعتمد عليها الشركات والمستهلكون. في العام الماضي، قال مدير وكالة الأمن السيبراني وأمن البنية التحتية، جين إيسترلي، في مقابلة مع قناة CNBC، إن الأمن السيبراني هو سلامة المستهلك، وقارنه بلوائح السيارات. وقالت: “إن شركات التكنولوجيا التي ظلت لعقود من الزمن تصنع منتجات وبرامج غير آمنة بشكل أساسي تحتاج إلى البدء في إنشاء منتجات آمنة حسب التصميم وآمنة افتراضيًا مع ميزات الأمان المضمنة”.
وقال كالمبر إن المنصات القديمة أسهل بكثير في التوصيل والبناء عليها بدلا من نشر نظام جديد بالكامل، لكنه “كابوس أمني”. “يعد جهاز MS365 للجميع من وزارة الخارجية إلى Joe’s Crab Shack نموذجًا تجاريًا جيدًا، لكنه لا يناسب التدابير الأمنية التقليدية.”
وقال إن المبادئ المعمارية المضمنة في بعض هذه الأنظمة القديمة تم تصميمها “عندما كانت برامج الفدية شيئًا غير موجود ببساطة – باستثناء الأقراص المرنة”. وقد أدى ذلك إلى تراكم مبالغ هائلة للشركة ما يسمى “الدين الفني”.وأضاف: “- عقود منها – يمكن إساءة استخدامها من قبل الدولة والسماح لوكالات الاستخبارات الأجنبية “بسرقة أي شيء تريده”.
وقال كالمبر إن مايكروسوفت عالقة بين دافعين متنافسين، حيث أن الأمن “مزيج من الإزعاج ومركز الربح”. إنه مركز ربح لأن Microsoft هي أكبر مورد للأمن السيبراني في العالم، حيث تصل إلى 20 مليار دولار عائدات سنوية العام الماضي. وقال إن ذلك يجعل خطوة التعويض “بادرة جيدة”، لكنه أضاف أنه “من دون تفاصيل محددة وراءها، من الصعب للغاية تقييمها”.
لا توجد تفاصيل حول كيفية تأثير Microsoft Pay
إن عدم وجود تفاصيل حول صيغة التعويض يجعل من المستحيل تقييم الحافز بشكل صحيح. العديد من الشركات التي اعتمدت مقاييس المعايير البيئية والاجتماعية والحوكمة لم تفعل ذلك إلا في جزء المكافآت من رواتب المسؤولين التنفيذيين، وليس في خطة الحوافز طويلة الأجل، وهو أمر أكثر أهمية بكثير. قال شاه: “هذا يعني وضع أموالك في مكانها الصحيح”.
قد تشتمل المكافأة، في المتوسط، على 20% من رواتب المسؤولين التنفيذيين، وضمن مجموعة المكافآت على وجه التحديد، تساهم المقاييس المالية غير الأساسية مثل المعايير البيئية والاجتماعية والحوكمة (ESG) بنسبة 20% فقط من إجمالي دفعات المكافأة المحتملة. “عندما يكون لديك 20% من الإجمالي [bonus] قال شاه: “التعويض وتقسيمه إلى بضعة مقاييس مختلفة، ما مدى ربط شيء مثل الإنترنت به؟”.
خطط الحوافز طويلة الأجل المرتبطة بمنح الأسهم، وخاصة في مجال التكنولوجيا، هي المكان الذي يتم فيه جني الأموال الحقيقية، وهنا تكون هذه الأنواع من المقاييس المالية غير الأساسية منخفضة الانتشار. سيكون هذا هو المكان المثالي ضمن خطة التعويضات لتحديد الأجور مقابل الأمن السيبراني طويل المدى وأهداف الشركة، ولكن من الصعب على الشركات تصور أهداف تتراوح مدتها بين عامين وثلاثة أعوام تتعلق بالأمن السيبراني وخصوصية المستهلك وانتهاكات البيانات التي يمكن أن تكون تقاس مثل المبيعات والأرباح. وقال شاه “سيكون ذلك تحديا”. “هل هو عدد الحوادث؟ التحذير الذي لدي هو نفسه كما هو الحال مع المعايير البيئية والاجتماعية والحوكمة: أنت تريد التأكد ليس فقط من وجود الصلة، ولكنك تريد أيضًا التأكد من وجود أهداف قابلة للقياس الكمي. في عجلة من أمرنا للتبني، إذا إنه ذاتي، ومن ثم فهو أقل أهمية بالنسبة للمساهمين.”
تتمتع مجالس الإدارة بالفعل بسلطة تقديرية لمساءلة المديرين التنفيذيين كل عام وتقرر إجراء تعديلات تنازلية على المكافآت، بناءً على الأداء، بما في ذلك خروقات البيانات. حتى الآن، كان هذا النوع من الحوافز/العقوبات يقتصر في الغالب على كبار مسؤولي أمن المعلومات، وفقًا لمايك دونان، المدير الإداري في SPMB، وهي شركة بحث تنفيذية متخصصة في التكنولوجيا. من وجهة نظره، إنها مقارنة غير مثالية أن ننظر إلى تاريخ المكافآت المرتبطة بمقاييس مثل سلامة العمال، نظرًا لأن العديد من عمليات الاختراق تحدث بسبب نقاط ضعف تابعة لجهات خارجية، والتي غالبًا ما تكون خارجة عن السيطرة المباشرة للشركة. لكن دونان قال إنه يمكن أن يرى هذا النوع من الحوافز التنفيذية يتم اعتماده على نطاق أوسع، “لأنه من الجيد أن نقول إن الأمن يمثل أولوية قصوى عبر المجموعة التنفيذية بأكملها، وقد يؤدي إلى تحسينات”. لكنه يعتقد أن هناك طريقة أفضل لدعم دفاع الشركات: “توفير المكافآت واستثمار تلك الدولارات في البرامج الأمنية”.