لقد اتخذ توجيه أصابع الاتهام بشأن الخسائر التشغيلية الناجمة عن انقطاع خدمة CrowdStrike منعطفًا قانونيًا مع وجود شخص واحد على الأقل دعوى قضائية جماعية رفعها المساهمون ضد شركة الأمن السيبراني وإمكانية المزيد من التقاضي، هذه المرة من شركة دلتا للطيران، التي ربما تنتظر دورها.
إن الأضرار التشغيلية والمالية الناجمة عن الانقطاع الهائل في تكنولوجيا المعلومات الذي أدى إلى توقف 8.5 مليون جهاز كمبيوتر يعمل بنظام التشغيل Microsoft Windows في منتصف شهر يوليو/تموز تم قياسها بالمليارات من الدولاراتبدلاً من التدخل من قبل جهة سيئة، تم إلقاء اللوم على التحديث السيئ من CrowdStrike. وجدت العديد من الشركات المتضررة من الانقطاع طرقًا للتعافي بسرعة، لكن شركة دلتا إيرلاينز شهدت اضطرابات في عملياتها لمدة خمسة أيام تقريبًا، مما أجبرها على تأخير الرحلات وإلغائها.
من الصعب تجاهل التكاليف
لقد لفتت المشاكل التي واجهتها دلتا انتباه وزارة النقل، والتي فتحت تحقيقا في تعامل شركة الطيران مع الانقطاع و العملاء المتضررين.
وقال الرئيس التنفيذي لشركة دلتا إد باستيان سي إن بي سي وقد كلف الاضطراب شركة دلتا للطيران 500 مليون دولار. المحامي ديفيد بويزأعلن رئيس مجلس الإدارة والشريك المؤسس لشركة المحاماة Boies Schiller Flexner، أنه قد يسعى للحصول على تعويضات من CrowdStrike وMicrosoft بسبب الانقطاع.
وعندما تواصلت معها InformationWeek، قالت دلتا إنها “ليس لديها معلومات تضيفها” فيما يتعلق بإمكانية المطالبة بتعويضات من مقدمي التكنولوجيا.
في مقابلة أجراها مع برنامج Squawk Box على قناة CNBC، أشار باستيان إلى أن مايكروسوفت وCrowdStrike من أبرز المنافسين لبعضهما البعض في مجال الأمن السيبراني. وقال خلال المقابلة: “لا يتعاونان بالضرورة على نفس المستوى الذي نحتاجه”، ثم أثار فكرة صناعية حول ضرورة تحمل شركات التكنولوجيا الكبرى المسؤولية.
دور السياسة في التكنولوجيا
ومع استمرار التقاضي، قد تضطر المحاكم إلى تحديد المسؤول عن انقطاع الخدمة أو الخروقات الأمنية في العلاقة المتشابكة بين بائعي التكنولوجيا والشركات التي تستخدمها. وهناك أيضاً احتمال أن تلعب الهيئات التنظيمية دوراً في هذا المجال.
“هناك تركيز كبير صادر عن DHS-CISA في الوقت الحالي على ما يسمى الآن SBOM، أو فاتورة مواد البرنامج“يقول نيكولاس كارول، مدير الاستجابة للحوادث الإلكترونية في جناح الليلفي مقابلة مع InformationWeek، تُعد قائمة المكونات التي يتكون منها البرنامج قائمة بـ “المكونات” التي تشكل البرنامج، والتي قد تكون بالغة الأهمية لأمن البرنامج وإدارة مخاطر سلسلة توريد البرنامج، وفقًا لوكالة الأمن السيبراني وأمن البنية التحتية (CISA)، وهي جزء من وزارة الأمن الداخلي (DHS).
يقول كارول إن هناك دافعًا لهذا النوع من الوعي والمعلومات حول البرمجيات نظرًا للطريقة التي يميل بها البائعون إلى دمج مشاريع مفتوحة المصدر مختلفة وسحب مكتبات مختلفة من GitHub في تكنولوجيتهم. يقول: “إنهم يجمعون كل هذه الأشياء معًا في أي حزمة نهائية يطرحونها”. “عندما يحدث ذلك، في بعض الأحيان … يتم بناء الكثير من الأشياء التي يتم بناؤها على أشياء متأخرة بضع مراجعات”.
وقد يؤدي هذا إلى مواقف قد لا تعرف فيها الشركة العميلة ما إذا كان المنتج الموجود تحت الغطاء محدثًا أم لا أو ما بداخله قبل وضعه على الشبكة. ويقول كارول: “لا يوجد شيء يخبرني بما قد يكون عرضة للخطر فيه أو ما بداخله”.
تم إرجاع انقطاع خدمة CrowdStrike إلى تحديث خاطئ يتطلب بعض الإصلاحات العملية لتصحيحه.
يقول كارول إن معرفة ما هو موجود تحت الغطاء قد يساعد الشركات على الدفاع بشكل أفضل ضد الثغرات الأمنية أو الاستعداد للتحديثات. “أعتقد أننا سنرى المزيد من الضغط من أجل هذا النوع من الإجراءات قريبًا وربما نرى أن هذا الأمر سيصبح متطلبًا تنظيميًا أكثر”.
ويقول كارول إن المنظمات مثل CISA تشجع مثل هذه التدابير بدلاً من إصدار أوامر، لمساعدة الشركات على فهم أفضل للتكنولوجيات التي تدمجها في شبكاتها. ويضيف: “الأمر أشبه بمحاولة الإمساك بالذباب بالعسل في الوقت الحالي”.
هل ينبغي تكثيف اللوائح؟
من المفهوم أن تكون هناك مراقبة شديدة على كبار موردي التكنولوجيا نظرًا للثقة الممنوحة لهم واستخدامهم على نطاق واسع عبر الشبكات. ويشير كارول، كما أظهرت شركة كراود سترايك، إلى أن مشكلة مع أحد الموردين يمكن أن تؤثر بسرعة على آلاف الشركات العميلة. ويقول إن الجهود المبذولة لإصدار لوائح أو أطر امتثال للإشراف على هذه الجبهة قد تستغرق وقتًا. ويقول كارول: “يتعين عليك الحصول على موافقة المشرعين. ويتعين عليك وضع الجميع في الغرف المناسبة في الأوقات المناسبة، لذا فإن الأمر يستغرق الكثير من الوقت لإحداث هذه التغييرات وتحقيقها”.
يمكن أن يلعب الوقت أيضًا دورًا في التقاضي. في المشهد السياسي الحالي، يقول إيمونيويب يقول الرئيس التنفيذي إيليا كولوتشينكو، إذا تعرض أحد موردي دعم تكنولوجيا المعلومات أو أي مزود خدمة آخر، مثل المحاسب، لاختراق بيانات بسبب حادثة من طرف ثالث، فقد لا يكون هناك علاج سريع. ويقول: “ستكون رحلة طويلة للحصول على تعويض منهم في المحكمة”.
كولوتشينكو هو أيضًا محامٍ وأستاذ مساعد في ممارسات الأمن السيبراني وقانون الإنترنت في جامعة الكابيتول للتكنولوجياويعتقد أن الموردين من جهات خارجية مثل CrowdStrike يميلون إلى اختيار التسوية الودية، عندما يكون ذلك ممكنًا، مع عملائهم. ويقول كولوتشينكو: “من الواضح أن لا أحد يريد الدعاية السلبية”.
وحتى لو تم التوصل إلى حل هادئ على الجانب القانوني، فإن تأثير الانقطاع قد يؤدي إلى تغييرات أخرى. ويقول: “أعتقد أن التأثير الجانبي لكارثة CrowdStrike سيجعل معظم المنظمات تبدأ في تنفيذ المزيد من تمارين إدارة المخاطر من قبل أطراف ثالثة”. ومع ذلك، يتساءل أيضًا عن قيمة مثل هذه الجهود. يقول كولوتشينكو: “من المرجح جدًا أن يرفعوا ببساطة سقف التوقعات إلى مستوى أعلى”.
على سبيل المثال، قد تطلب إحدى الشركات خدمات تكنولوجيا المعلومات والأمن التي تقدمها، مما قد يؤدي إلى رفض بعض البائعين، الذين لا يستطيعون تحمل تكاليف تقديم مستويات الخدمة والحماية الجديدة والمرتفعة المطلوبة. يقول كولوتشينكو: “في الأمد القريب، سنرى زيادة كبيرة في تكاليف ممارسة الأعمال للعديد من الشركات التي من غير المرجح أن تجلب أي أمن إضافي للاقتصاد بشكل عام. لا يسعني إلا أن آمل أن يفكر المشرعون في إضافة استراتيجيات الحد من مخاطر الطرف الثالث لدمجها في القوانين الحالية أو التي تم إقرارها حديثًا”.
ويشير إلى أن الاتحاد الأوروبي قانون المرونة التشغيلية الرقمية (DORA) سيدخل هذا القانون حيز التنفيذ في يناير 2025 ويتضمن متطلبات شاملة ومفصلة لإدارة المخاطر من قبل أطراف ثالثة، على الأقل لبعض التقنيات. يقول كولوتشينكو: “يتعلق الأمر في الغالب بالأمن السيبراني”.
