لقد سمعنا جميعًا قصص الرعب: نظام التشغيل Windows 7 في الحكومة، وأنظمة الكمبيوتر المركزية ذات الأهمية البالغة التي لا يمكن إحالتها إلى التقاعد ــ ولكن إلى متى قد تستمر هذه الأنظمة؟ في مرحلة ما، تتقدم التكنولوجيا في العمر إلى الحد الذي يجعلها غير عملية أو حتى آمنة.
ومن الأمثلة على ذلك صناعة البنية الأساسية الحرجة. فوفقاً لإريك كرون، مناصر الوعي الأمني في KnowBe4، وهي منصة تعالج الجانب البشري من الأمن السيبراني، فإن المعدات القديمة المستخدمة لإدارة الطاقة والمياه وخدمات البنية الأساسية الحرجة الأخرى قديمة وقد يكون من الصعب أو باهظ التكلفة ترقيتها. وفي حين يمكن تصميم المعدات لتدوم 20 أو 30 أو حتى 50 عاماً قبل الحاجة إلى إصلاحها أو استبدالها، فإن التكنولوجيا التي تدير هذه الأنظمة سرعان ما تصبح قديمة.
“فيما يتعلق بالأنظمة الحرجة، قد يكون حتى ترقية بعض المعدات أمرًا صعبًا. تم تصميم العديد من هذه الأنظمة بحيث يمكن أن تتعطل، ولكن إذا تم فصل النظام الزائد عن الخدمة من أجل التحديث أو الترقية، فإن النظام الآن معرض لخطر الفشل الحرج، لذا فإن القيام بذلك قد يكون محفوفًا بالمخاطر”، كما يقول كرون في مقابلة عبر البريد الإلكتروني. “يعد التخطيط والاختبار للتحديث والترقية جزءًا بالغ الأهمية من ترقية البنية الأساسية الحرجة لدينا. إن الفشل في التخطيط والاختبار بشكل شامل قد يؤدي إلى ترك السكان بدون خدمة حيوية مثل المياه أو الكهرباء لفترة طويلة”.
لقد كانت أنظمة التحكم الصناعية منذ فترة طويلة مجالًا للتركيز بالنسبة لموردي ومستشاري الأمن السيبراني، وذلك لأنه اعتمادًا على تصميمها وموقعها، قد تكون عرضة للاختراق السيبراني أو المادي.
“بدلاً من استبدال كل شيء، يجب التفكير في كيفية حماية ما هو موجود. إن عزل أنظمة التحكم وشبكتها وتوفير وصول محدود للغاية يمكن أن يقطع شوطًا طويلاً نحو تأمين الأنظمة”، كما يقول كرون. “إن التأكد من استشارة خبراء الأمن السيبراني عند تصميم وتغيير طرق الوصول إلى النظام، وخاصة عن بعد، وإجراء اختبارات الاختراق بشكل منتظم يمكن أن يساعد. من خلال وضع الأنظمة الحديثة وضوابط الأمان أمام الأنظمة القديمة، تتمتع المنظمات بفرصة أفضل لإبعاد الجهات السيئة عن هذه الأنظمة القديمة”.
قد يكون لدى المنظمات التي كانت موجودة منذ عقود عديدة أو أكثر من قرن أنظمة قديمة للغاية لدرجة أن لغات البرمجة أو الأجهزة قد نسيها الجميع باستثناء عدد قليل من الأشخاص. غالبًا ما تكون الوثائق مفقودة أو قديمة جدًا لدرجة أنها عديمة الفائدة تقريبًا.
يقول كرون: “أعرف حالة واحدة في المعدات الطبية حيث تم التحكم في ذراع روبوتية تستخدم في الاختبار بواسطة كمبيوتر قديم من طراز 386. وعندما تم وضع أجهزة الكمبيوتر 486 في مكانها، اكتشفوا أن سرعة حركة الذراع مرتبطة بساعة وحدة المعالجة المركزية في الكود، وبالتالي فإن أجهزة الكمبيوتر الجديدة ستتسبب في تلف الذراع الروبوتية لأنها تتحرك بسرعة كبيرة. كانت هذه المعدات جزءًا من عملية استحواذ سابقة وكان الأشخاص الذين كتبوا الكود قد رحلوا منذ فترة طويلة”.
التصرف قبل وقوع الأزمة
سلاف كوليك، الرئيس التنفيذي والمؤسس المشارك لشركة تطوير البرمجيات خطة A للتكنولوجياويقول إن موظفيه رأوا بعض الأمثلة “المذهلة للغاية” للتكنولوجيا القديمة التي كان ينبغي إيقافها منذ فترة طويلة.
“[N]يقول كوليك: “لا شيء يدوم إلى الأبد. فالتكنولوجيا التي تُترَك وحدها سوف تتقدم في العمر إلى الحد الذي تصبح معه غير عملية، وأقل موثوقية، أو حتى آمنة”. “في البداية، أعتقد أن الإهمال من السهل تبريره. فالمال محدود والوقت محدود. وتحديث البرامج التي تبدو في ظاهرها وكأنها تعمل بسلاسة ليس مبادرة مثيرة للاهتمام بشكل خاص [so] “أصبحت التكنولوجيا قديمة الطراز بشكل مؤلم.”
ومع استمرار التأخير، ترتفع المخاطر. ومع ذلك، إذا كان البرنامج أو الجهاز لا يزال يعمل، فما زال من السهل الوقوع ضحية لشعور زائف بالأمان. ويتصور أصحاب الأعمال والمديرون التنفيذيون أنهم يستطيعون الانتظار لفترة أطول قليلاً لمعالجة المشكلة حتى تصبح الحقيقة واضحة للغاية بحيث لا يمكن تجاهلها.
“بحلول ذلك الوقت، غالبًا ما يتم فقد البيانات، وتتعطل الأنظمة، وتحدث خروقات أمنية، وتبدأ كل الأشياء السيئة الأخرى التي يخشاها كل شخص يعمل في مجال تكنولوجيا المعلومات في التحقق”، كما يقول كوليك. “الأمر المخيب للآمال في هذا الأمر هو أن هذه المشكلات يمكن الوقاية منها عادةً. الأمر أشبه بالشعور بألم غريب ولكنك لا تذهب إلى الطبيب لفحصه. يمكن أن يؤدي القليل من الوقاية المبكرة غالبًا إلى معالجة ما قد يصبح حالة تهدد الحياة”.
ولتجنب هذا المصير، يقترح على أقسام تكنولوجيا المعلومات القيام بما يلي:
-
تعرف على عمر التقنية القديمةإذا لم تفعل ذلك، فأنت تهيئ نفسك لمفاجأة غير سارة في المستقبل.
-
إجراء تدقيق تقني منتظم. وإلا، فإنك تخاطر بالبقاء في الظلام.
-
تقسيم الجهد إلى مراحلغالبًا ما تثير فكرة إجراء إصلاح شامل الذعر. لكن التعامل مع التحدي على مراحل يسمح باتخاذ خطوات أصغر تمكن المنظمة من تحقيق تقدم ثابت بوتيرة يمكن التحكم فيها.
-
انتبه للبياناتإن النهج القائم على البيانات يمكن أن يساعد في تحديد أولويات ما يجب معالجته، واستهداف المجالات التي تكون فيها عملية التحديث أكثر إلحاحًا. وقد تكتشف أيضًا موارد غير مستغلة بشكل كافٍ والتي قد تكون بمثابة أخبار جيدة خلال فترة قد تكون صعبة للغاية.
-
ابق على اطلاع بأحدث الاتجاهات والابتكاراتلا تملك بعض الفرق أي فكرة عما هو متاح. وتستمر في القيام بالأشياء بالطريقة التي كانت تفعلها قبل 25 عامًا، فتفوت فرصًا لا حصر لها للكفاءة والأمان وقابلية التوسع وخفض التكاليف وغير ذلك من التحسينات.
-
تضمين المستخدمين النهائيينمن خلال الحصول على تعليقات نشطة من المستخدمين النهائيين، يمكنك التأكد من إنشاء ما تحتاج إلى إنشائه. يساعدك هذا أيضًا على تحديد أي مشكلات قد تظهر أثناء التحديث بسرعة.
وفقًا لكوليك، “تأكد من عدم الوصول إلى ثقافة لا تعالج فيها هذه الأمور إلا بعد حدوث مشكلة. بدلًا من ذلك، تأكد من سؤال نفسك بانتظام: “ما الذي يتم القيام به لتحديث التكنولوجيا القديمة لدينا أو على الأقل التأكد من أنها لا تزال تعمل بشكل صحيح؟” إذا لم يكن أحد يعرف الإجابة، فكن متوترًا، وإذا لم يكن أحد يعرف حتى كيفية العثور على الإجابة، فاطلب المساعدة!”
احذر من الأنظمة المتخصصة للغاية
يقول مايكل هاس، مستشار الأمن السيبراني والتكنولوجيا، إن السبب الجذري لمشاكل الأنظمة القديمة هو عادةً الأنظمة المتخصصة للغاية من بائعين تابعين لجهات خارجية. وتنتشر المشكلة بشكل خاص في قطاع التصنيع، ولكن أيضًا في مجال الأمن المادي، مثل أدوات التحكم في الأبواب، والأنظمة البيئية مثل أنظمة التدفئة والتهوية وتكييف الهواء، وأدوات التحكم الصناعية، والمعدات الطبية.
في هذه الصناعات، هناك عدد قليل من البائعين ذوي الأسعار المرتفعة الذين يقدمون حلولاً شاملة ومجموعة مختارة من الخيارات ذات الأسعار المنخفضة والتي تناسب المهمة المطروحة.
يقول هاس: “المشكلة هنا هي أن الأنظمة المتخصصة تتطلب عمليات تطوير متخصصة، وخاصة في حالة سلامة الحياة، حيث يتعين على هذه الأنظمة تجاوز عدد لا بأس به من العقبات التنظيمية قبل أن يتسنى بيع المنتج. والنتيجة النهائية هي أن هذه الشركات لا تستطيع ببساطة مواكبة معدل التغير التكنولوجي. وعلى هذا النحو، فإنها تميل إلى تجاهل التطورات الجديدة حتى تضطر إلى ذلك، وبعد ذلك قد يكون هناك تأخير لسنوات قبل أن يتسنى نشر المنتج لعملائها”.
وفي الوقت نفسه، تحاول فرق دعم التكنولوجيا التعامل مع الموقف بأفضل ما يمكنها، وغالبًا ما تختار عزل هذه الأنظمة تمامًا، أو إذا كان لا بد من توصيلها لسبب ما، فتلجأ إلى تدابير متطرفة للتحكم في الاتصالات المسموح بها.
“المفارقة العظيمة [is] “إن تكلفة التعامل مع المنتجات ذات الجودة المنخفضة في وقت لاحق من دورة حياتها أعلى بكثير من المدخرات الناتجة عن الاختيار الأصلي لاستخدامها. ويتفاقم هذا الأمر عندما لا يتم التعامل معها على الإطلاق، مما قد يؤدي إلى حدوث خروقات وأضرار فعلية”، كما يقول هاس. “باختصار، يجب أن يكون الدعم والأمان على المدى الطويل أحد أهم الاعتبارات عند اختيار البائع، مع إلقاء نظرة نقدية عن كثب على سجله السابق في هذا الصدد”.
الحد الأدنى
ليس من غير المألوف أن تتجاوز التكنولوجيا القديمة دعم البائعين. وعلى نحو مماثل، قد تعاني الأنظمة القديمة المملوكة لأن الخبرة التي بنتها لم تعد متاحة، أو أن المهارات اللازمة للعمل معها قليلة ومتباعدة. ورغم أن المؤسسات كانت تبني حول هذه الأنظمة وفوقها، مثل توفير الوصول عبر الهاتف المحمول أو قدرات أكثر حداثة، فإن التكنولوجيا الأساسية لن تدوم إلى الأبد.
السؤال الحقيقي هو إلى متى ستستمر التكنولوجيا القديمة وكيف ستتمكن الشركة التي تملكها من تحقيق مسار تحديث سلس؟
