لقد تعرضت مؤسستك للتو للاختراق – فهل تعرف بالفعل ما الذي تنوي القيام به؟ أم أنك ستستخدم عضلاتك في الاستجابة للحوادث لأول مرة أثناء أزمة حقيقية؟
تمنح التمارين المكتبية المؤسسات الفرصة لفحص الاختراق واختبار الاستجابة. ولكن لا يتم إنشاء جميع التمارين المكتبية على قدم المساواة. يمكن أن تساعد القوالب العامة المؤسسات على البدء، ولكنها على الأرجح لا تلتقط المخاطر المحددة وسطح الهجوم لمؤسسة فردية. تذهب المؤسسات الناضجة إلى أبعد من ذلك.
يقول روبرت بويس، رئيس المرونة السيبرانية العالمية في شركة الخدمات المهنية: “إنهم يفهمون سياق العمل وراء السيناريو وما الذي قد يسعى إليه الجهات الفاعلة في بيئتهم حقًا”. أكسنتشر.
كيف يمكن لقادة الأمن تطوير وتنفيذ تمارين مكتبية تعمل على تعزيز المرونة السيبرانية؟
ما هي التمارين ومتى؟
تُعَد الاختبارات المكتبية نوعًا من التدريبات الأمنية السيبرانية التي تختبر كيفية استجابة المؤسسة لحادث معين. أي مؤسسة ــ صغيرة أو متوسطة الحجم أو عملاقة ــ هي هدف محتمل للهجمات السيبرانية، وهذا يعني أن أي مؤسسة يمكنها أن تجد قيمة في الاختبارات المكتبية.
“إذا كنت تنظر إلى ما يزيد عن بضع عشرات إلى بضع مئات من الموظفين، فمن المهم حقًا … أن تتعرف على هذا وتفهم من يتولى الأدوار والمسؤوليات،” آرون شاها، مدير أمن المعلومات في شركة الكشف والاستجابة المُدارة سايبرماكس، كما يقول InformationWeek.
إن بعض التهديدات المحتملة، مثل برامج الفدية، تشكل سيناريوهات عملية قيمة لأي منظمة، ولكن قادة الأمن يحتاجون أيضًا إلى النظر في التهديدات السيبرانية الخاصة بصناعتهم ومؤسستهم. على سبيل المثال، ستواجه شركة الأدوية والشركة المصنعة تهديدات مختلفة للأمن السيبراني ومتطلبات تنظيمية يمكن استخدامها لتشكيل أكثر التمارين العملية تأثيرًا.
يعد البقاء على اطلاع بأحدث التهديدات جزءًا لا يتجزأ من عمل قائد الأمن السيبراني. ويمكنهم المساعدة في تثقيف فرق المؤسسة وإعدادها لمواجهة هذه التهديدات، جزئيًا، من خلال الاجتماعات المكتبية.
“أحد أكثر الموضوعات سخونة التي تسأل عنها المنظمات حول تشغيل أجهزة الكمبيوتر المكتبية [is] يقول Deepfakes بويس.
من الممكن أن تقوم المؤسسات بتشغيل جدول زمني متواصل على سطح المكتب في محاولة لمواكبة المشهد الواسع والمتنامي للتهديدات. لكن الوقت والموارد ليسا بلا حدود. فكم مرة ينبغي للمؤسسات أن تجري تمارين على سطح المكتب؟
يقول ديفيد بيبوت، كبير مسؤولي أمن المعلومات العالمي في شركة الأمن السيبراني: “هذا ليس عالمًا به موارد لا نهاية لها”. شركة إن تي تي للأمن القابضة. “نحن بحاجة إلى الاستفادة الجيدة من الوقت [when] نحن نأخذ الناس بعيدًا عن عملهم الطبيعي.
قد تستخدم بعض المؤسسات المتطلبات التنظيمية لتحديد جدول زمني، وإجراء التمارين مرة أو مرتين في السنة. ورغم أن هذا الإيقاع قد يكون كافياً لبعض المؤسسات، فإن مجرد تحديد المربع وإجراء نفس التمارين على أساس سنوي أو نصف سنوي قد لا يكون الاستراتيجية الأكثر فعالية.
ويوصي بويس بتقسيم التمارين التي يتم تنفيذها على طاولة العمل. ويوضح قائلاً: “يمكنك بناء القصة على أساس سنوي. قل، ‘إليك … السيناريوهات الثلاثة المختلفة التي سنختبرها هذا العام، وإليك كيفية اختبارها. هذا الشهر، سيكون الأمر متعلقًا بالتمويل والتسويق. وفي الشهر المقبل، سيكون الأمر متعلقًا بالقانون والامتثال”.
إن تقسيم التدريبات على الطاولة على هذا النحو يقلل العبء على الفرق الفردية؛ فلا يشارك الجميع في كل مرة. ولكنه يسمح للمؤسسة باتباع نهج شامل لاختبار الاستجابة للحوادث في مواقف محددة.
في حين أن اجتماعات العمل عادة ما تكون حدثًا متوقعًا في الأسابيع التقويمية، أو قبل فترة أطول، فقد تختار بعض الشركات نهجًا مختلفًا.
“لقد رأيت أيضًا في حالات نادرة فرق الاستجابة للحوادث تقوم بـ… تمارين مكتبية حيث يحاولون اختبار… مرونة الفريق أو قدرته على التكيف. لذا، فإن القليل من التخطيط المسبق ثم التوجه مباشرة إلى الأمر لمعرفة كيفية تعاملهم مع حادث غير متوقع تقريبًا،” جون برايس، الرئيس التنفيذي لشركة خدمات الاختبار والاستشارات للأمن السيبراني الزهرة السفلية، تشارك.
هيكلة سطح الطاولة
كيف يبدو التمرين الجيد على الطاولة؟
“إنهم لا يقتصرون على أي شيء آخر غير الخيال أو الاهتمام بجعلهم جزءًا أساسيًا من القدرة على تنفيذ السيناريوهات التي تريد اختبارها وما تريده المنظمة وأصحاب المصلحة من حيث النتيجة”، كما يقول بيبوت.
في حين أن هناك قدرًا كبيرًا من الحرية في التخطيط لسيناريو للاختبار، فإن قادة الأمن بحاجة إلى مراعاة التكلفة أيضًا. قد يكلف تمرين مكتبي نموذجي 30,000 إلى 50,000 دولارتعتمد التكلفة على النطاق وأصحاب المصلحة والوقت المستغرق. ستكون السيناريوهات الأصغر حجمًا والتي تحتوي على مكونات فنية أقل أقل تكلفة.
“إذا كنت تتطلع إلى إنشاء منظمة كبيرة، حيث يوجد العديد من اللاعبين والقطع المتعددة ومستويات متعددة من المنظمة، فلن تتمكن من القيام بذلك بشكل متكرر، ولكن يمكنك اختبار المكونات الفرعية والأقسام الأصغر بشكل متكرر، وربما يكون ذلك أكثر فعالية من حيث التكلفة،” كما يقول بيبوت.
كلما كان السيناريو أكثر تفصيلاً، كلما تطلب الأمر المزيد من التحضير المسبق. فالتخطيط لطاولة عمل تضم العديد من أصحاب المصلحة وتستمر لعدة أيام قد يستغرق أسابيع أو حتى أشهر. أما التمرين الأصغر الذي يختبر استجابة فريق واحد ويستمر لبضع ساعات فيمكن التخطيط له في جدول زمني أقصر بكثير.
بالنسبة للمؤسسات الأكبر حجمًا، قد يتولى مديرو أمن المعلومات وفرقهم مهمة تطوير تمارين مكتبية. أما المؤسسات التي لا تمتلك الموارد الداخلية فقد تستعين بطرف ثالث لتقييم المخاطر وتطوير التمارين المناسبة.
إن الاستجابة الواقعية لحادث الأمن السيبراني سوف تتطلب مشاركة العديد من أصحاب المصلحة: الأمن، وتكنولوجيا المعلومات، والقانونية، والاتصالات، والامتثال، والمديرين التنفيذيين، ومجلس الإدارة من بينهم.
يمكن تقسيم طاولات التدريب حسب الفريق. وللحصول على تمرين أكثر تعمقًا، يمكن لفرق متعددة التنسيق.
“في بيئة العمل من المنزل اليوم … العديد من الشركات [and] يقول شاها: “لا تحظى الفرق أحيانًا بفرصة جيدة للجلوس والتعاون في الأمور، مثل ألعاب الحرب”. يمكن أن تكون التمارين المكتبية هي تلك الفرصة للتواصل، وكسر بعض الصوامع التي تميل إلى التشكل في المؤسسات، مؤقتًا على الأقل. مع القدرة على الاتصال افتراضيًا، لا يتعين على المشاركين الرئيسيين في التمارين المكتبية أن يكونوا في نفس الغرفة أثناء التمرين.
قد تفكر المنظمات أيضًا في إشراك أصحاب المصلحة الخارجيين، مثل فرق إنفاذ القانون أو الطب الشرعي، الذين سيلعبون أدوارًا محورية في الاستجابة للهجوم الإلكتروني أو الاختراق.
يمكن تنفيذ السيناريوهات على طاولة العمل بطرق لا حصر لها. وقد شهدت شركة Beabout استخدام قادة التدريبات لرمي النرد لتحديد مستوى المعلومات التي يتلقاها المشاركون حول سيناريو التهديد. وكلما ارتفع مستوى الرمي، زادت المعلومات. وتحاكي رمية النرد حالة عدم اليقين والصورة غير المكتملة غالبًا التي تظهر أثناء وقوع حادث حقيقي.
وقد يقرر بعض القادة الذين يرأسون المكاتب إزالة أحد أصحاب المصلحة الرئيسيين لمعرفة كيفية رد فعل الفريق. ويقول بيبوت: “إذا أردنا حقًا اختبار قدرة المنظمة، فيمكن أن يغيب مسؤول أمن المعلومات أو قائد الأمن لمعرفة ما سيحدث”.
إن فرق العمل في المؤسسة، وسطح الهجوم، ومخاطر الأعمال ليست ثابتة، مما يعني أن أجهزة الكمبيوتر المكتبية لا ينبغي أن تكون كذلك أيضًا. “إذا كنت [don’t] يقول برايس: “عندما تتكيف وتحسن عملياتك باستمرار، فإنك تظل راكدًا، وفي مرحلة ما قد يتحول هذا الأمر إلى ضرر لك عندما تتعرض لحادث فعلي”.
إيجاد القيمة في طاولات الطعام
إن الاجتماعات على الطاولات تبعد الناس عن مسؤولياتهم اليومية. ورغم أن عقد اجتماع آخر قد يبدو وكأنه عبء، إلا أنه إذا تم صياغته وتنفيذه بالطريقة الصحيحة، فقد يكون بمثابة تمارين قيمة للغاية.
إن التواصل بين المشاركين أمر ضروري، وكثيراً ما يتطلب هذا التواصل درجة من الضعف.
“هناك الكثير من الخوف من الناس … خاصة إذا كان المسؤولون التنفيذيون موجودين هناك وكانوا موظفين من مستوى أدنى. “لا أريد أن أبدو غبيًا أمام المدير”، كما تقول شاها.
وباعتباره مُيسِّرًا للمناقشات على الطاولة، يهدف شاها إلى القيادة بقدر من الجرأة من خلال طمأنة كل المشاركين بأنه حتى مع كل هذه الخبرة، فإنه لا يملك كل الإجابات. ويمكن للقادة الذين يُظهِرون بعض عدم اليقين أن يفتحوا الباب أمام محادثات أكثر انفتاحًا وإنتاجية أثناء الانتقال من خلال هذه التمارين.
تختبر الطاولات سيناريوهات افتراضية؛ فهي لا تحمل نفس الشعور بالإلحاح أو التوتر الذي قد تحمله الحوادث الحقيقية. ولكنها لا تزال يمكن أن تكون أداة مفيدة للتعرف على كيفية رد فعل أعضاء الفريق أثناء حدث حقيقي.
يقول شاها: “بعض الناس جيدون في التعامل مع الضغوط. ورغم أنك لا تختبر النظام تحت الضغط على طاولة، إلا أنك قد تستشعر هذا الشعور: من سيكون مفيدًا، ومن لن يكون، وما هي نقاط القوة لدى بعض الأشخاص”.
غالبًا ما تصبح الفجوات في خطة الاستجابة للحوادث في المؤسسة واضحة بسهولة أثناء التدريب العملي. إذا كان شخص ما لا يعرف دوره، فسيكون ذلك واضحًا.
في حين أن الاعتراف بهذه الفجوات أمر مهم، إلا أن بويس يجد غالبًا أن المنظمات لا تتابع بشكل كافٍ بعد إجراء هذه الاكتشافات أثناء اجتماعات العمل. “التأكد من [it’s] “يقول إن مسؤولية شخص ما ثم إعادة اختباره للتأكد من أن الإصلاح الذي توصلنا إليه قد حل المشكلة بالفعل أمر بالغ الأهمية،” “لا أرى العديد من المنظمات تقوم بالفعل بالتحقق من صحة الإصلاحات أو العناصر التي تحتاج إلى التغيير للتأكد من أنها لا تزال تعمل.”
إن العثور على الثغرات المحتملة في الاستجابة للحوادث وإصلاحها والتحقق من صحتها هي نتائج إيجابية من التمارين المكتبية، ولكن هناك أيضًا قيمة يمكن العثور عليها في العنصر البشري.
“لا تهدف الاجتماعات على الطاولات بالضرورة دائمًا إلى العثور على نقاط الضعف. هناك أيضًا فرص في الاجتماعات على الطاولات لإيجاد طرق جديدة للقيام بالأشياء التي لم تكن واضحة من قبل لأن هؤلاء الأشخاص لم يعملوا جميعًا معًا”، كما يشير بيبوت.
في نهاية المطاف، لا تعد أجهزة الكمبيوتر المكتبية سوى جزء من استراتيجية الأمن السيبراني التي تعطي الأولوية لمرونة المؤسسة. يقول برايس: “لذا، فهي بالتأكيد جزء مهم للغاية من اللغز، ولكن بالنسبة لأي شخص ينظر إلى اللغز بأكمله، فهناك الكثير من المكونات الأخرى التي يجب ربطها بذلك”. تحتاج الشركات أيضًا إلى تكنولوجيا الكشف المناسبة، ومسح الثغرات الأمنية، وتدريب الفريق.
داخل طاولة في العالم الحقيقي
ماذا سيحدث إذا استولى شخص خبيث على حساب X (الذي كان يُعرف سابقًا باسم Twitter) الخاص بمسؤول تنفيذي لنشر معلومات كاذبة؟ كان بويس جزءًا من فريق عمل اختبر كبار المسؤولين التنفيذيين في شركة أدوية بهذا السيناريو.
كان هذا التمرين عبارة عن سيناريو يركز على الأعمال وليس على الجانب التقني العميق. وقد تم تنفيذه تقريبًا مثل مسرحية، مع فصول ومشاهد منفصلة. حتى أن منظمي التمرين استعانوا بنشرة إخبارية مسجلة مسبقًا لجعل التجربة غامرة قدر الإمكان.
يقول بويس: “كان الفيديو عبارة عن مذيع أخبار يتحدث عن شركته وما حدث وانخفاض سعر أسهمها. يمكنك أن ترى على الفور أن الأمر لم يعد مزيفًا بالنسبة لهم. لقد كانوا هناك. لقد كانوا حاضرين”.
وبينما كان المسؤولون التنفيذيون يستعرضون السيناريو، ناقشوا كيفية التعامل مع الفرق المختلفة في الاستجابة للحوادث، وكيفية التواصل مع الجهات التنظيمية، وكيفية التحدث إلى وسائل الإعلام.
وأكد بويس على أهمية دفع الطاولات إلى ما هو أبعد من مجرد التقليب بين صفحات سيناريو مكتوب والتحقق من مربع.
“في خضم الأزمة، تحتاج إلى المشاعر. تحتاج إلى [to be] “لقد انغمسنا في هذه التجربة، ولهذا السبب وجدنا، وخاصة بالنسبة للمديرين التنفيذيين على هذا المستوى، أن دفعهم إلى خوض هذه التجربة مفيد للغاية”، كما يقول.
