معالجة تهديد البائع
قبل أكثر من عقد من الزمان، أبرزت عملية اختراق شركة تارجت الحاجة الملحة إلى معايير أمنية أكثر قوة للموردين. واليوم، تفاقمت هذه المخاوف. ومع اعتماد المؤسسات بشكل متزايد على خدمات الطرف الثالث ودمج المزيد من الأنظمة الخارجية في شبكاتها، فإن نقاط الدخول المحتملة للتهديدات السيبرانية تعمل على مضاعفة نقاط الضعف التي تتطلب اهتمامنا.
لقد أصبح مجرمو الإنترنت أكثر جرأة وصراحة في مطالبهم وأسرع في استغلال الفرص التي يكتشفونها. وأصبحت الهجمات أكثر تعقيدًا وتعقيدًا، وغالبًا ما يتسلل المتسللون إلى الشبكات ويحاولون التخفي ويكتسبون بصبر معلومات استخباراتية حول كيفية عمل المنظمات لإنشاء ثغرات مستهدفة. وعلاوة على ذلك، فإنهم يتكيفون مع بيئة غنية بالأهداف بشكل متزايد، حيث يوفر الترابط الواسع النطاق بين البائعين الخارجيين ومقدمي الخدمات فرصًا واسعة للاختراق.
لذلك، ليس من المستغرب أن يكون مقدمو الخدمات الذين تعتمد عليهم العديد من المنظمات أهدافًا في كثير من الأحيان. والسبب بسيط: لماذا نهاجم مؤسسة واحدة عندما يكون اختراق ناجح لمورد ما من شأنه أن يفتح الباب أمام العديد من المؤسسات الأخرى؟
وتعكس الهجمات البارزة الأخيرة هذا الواقع. ففي عام 2024، كانت للهجمات الإلكترونية عواقب تاريخية في صناعات السيارات والبنوك والرعاية الصحية والأدوية والمرافق. وتشير التقديرات إلى أن ثلث المعلومات الشخصية للأميركيين تعرضت للخطر في عام 2024. تغيير خرق الرعاية الصحية وحيد.
إن هذه الديناميكية، حيث تعمل أنظمة البائعين على توسيع مساحة الهجوم وتقديم المزيد من نقاط الدخول المحتملة لمجرمي الإنترنت، لن تختفي في أي وقت قريب. وربما يكون الأمر الأكثر أهمية هو أن المنظمات في معظم الحالات غالبًا ما تكون مستهدفة ليس بسبب هويتها، بل بسبب ما لا تفعله لحماية أصولها.
تبدأ معالجة ما لا تفعله بتقييم الأساسيات الخاصة بإشراك البائعين والتخفيف من المخاطر. ومن بين الأشياء العديدة التي يجب مراعاتها ما يلي:
-
وظيفة الأمن السيبراني: في أغلب المنظمات، يكون الرئيس التنفيذي مسؤولاً عن التوجيه الاستراتيجي والثقافة العامة، ويكون المدير المالي مسؤولاً عن الجدوى المالية والعمليات المطلوبة. وفي المقابل، يوفر مدير المعلومات وفريق تكنولوجيا المعلومات الأصول التكنولوجية اللازمة لنجاح كل منهما. ومع ذلك، فإن الأمن غائب بشكل ملحوظ. ويتمثل النهج الأكثر شمولاً في وجود مسؤول أمن معلومات مخصص ينظر إلى المخاطر ليس فقط من خلال عدسة تكنولوجية، بل كمسعى يخدم الرئيس التنفيذي والمدير المالي ومدير المعلومات بشكل مباشر. وفي مثل هذه المنظمات، يساعد مسؤول أمن المعلومات في فحص جميع البائعين ويساعد الرئيس التنفيذي في فهم كيف تخلق الاستراتيجية والثقافة الحالية بيئات مواتية للهجوم. كما يدعمون المدير المالي في فهم المخاطر الأمنية المرتبطة بعمليات الأعمال ويعملون مع مدير المعلومات لتقييم المخاطر الكامنة في التقنيات المختلفة المستخدمة داخليًا ومع البائعين.
-
التحقق من البائعين: إن الفحص الأولي للبائعين، وتقييمات المخاطر المنتظمة التي يجب أن تتم بعد ذلك، يجب أن تتبع عملية مدروسة ومفصلة. على المستوى الأكثر أساسية، يتضمن هذا تحديد ما إذا كان مزود الخدمة يمتلك شهادات أساسية خاصة بالصناعة أو العملية مثل تلك المرتبطة بـ HIPAA وGDPR وPCI DSS وCMMC وISO 27001. تشمل الأسئلة المهمة الأخرى ما إذا كان البائع قد تم إنشاؤه من خلال نشاط اندماج واستحواذ كبير، مما يؤدي غالبًا إلى أنظمة متباينة معرضة للثغرات الأمنية. والأهم من ذلك، هل تعرضوا لاختراقات في الماضي، وإذا كان الأمر كذلك، فكيف تفاعلوا؟ هذه المعلومات ليست متاحة دائمًا للعامة ولكن يمكن غالبًا استخلاصها من تجارب الآخرين.
-
دمج البائعين الجدد: تنبع العديد من الخروقات الأخيرة من الاختراقات في أنظمة البائعين التي تم دمجها بواسطة فرق التشغيل، وليس الأمن أو تكنولوجيا المعلومات. لا ينبغي لأي متخصص تشغيلي، سواء كان رئيس المحاسبة أو رئيس الموارد البشرية، أن يشرف على أمن نظام البائع بمفرده. الأمن مهنة مميزة ومسار وظيفي يجلب معه خبرات ومعرفة فنية فريدة. يجب دائمًا إشراك قائد أو فريق الأمن عند فحص أنظمة مقدمي الخدمة وقبل إنشاء أي اتصالات مع المؤسسة.
-
إدارة البائعين: يجب أن يكون الحق في تدقيق عمليات الأمن والاستعداد مكتوبًا في جميع عقود الموردين. كما يجب النظر بعناية في كل من توقعات خط الأساس الأمني الأدنى واتفاقيات مستوى الخدمة. يجب على فريق الأمن، أو قائد الأمن، أيضًا الحفاظ على حوار قوي مع مقدمي الخدمات حول أنظمتهم. الوقت المناسب لبدء الحوار ليس أثناء الأزمة.
-
تقسيم الأنظمة: إن تقسيم الأنظمة، على سبيل المثال إزالة الاتصالات بين الأنظمة السريرية الأساسية والأنظمة التشغيلية، أو عزل الأنظمة القديمة المعرضة للخطر مثل أنظمة التحكم الصناعية وأنظمة التحكم SCADA القديمة، يمكن أن يقلل بشكل كبير من دائرة التسلل للهجوم الإلكتروني ويمكن القول إنه الخطوة الأكثر أهمية التي يمكن لقادة الأمن اتخاذها لتأمين الأعمال والحفاظ على المرونة. يجب على المنظمات أيضًا أن تفكر فيما إذا كان من المنطقي إعادة بعض وظائف الأعمال وتكنولوجيا المعلومات المهمة للغاية إلى الموقع لتقليل حجم سطح الهجوم، أو بدلاً من ذلك إلى سحابة خاصة بالصناعة ومستأجر واحد لمزيد من المرونة.
إن مزودي الخدمات اليوم يقدمون للمؤسسات القدرات التي قد تجد صعوبة في تطويرها بمفردها، وفي كثير من الحالات، مع توفير كبير في التكاليف مقارنة بالأساليب الداخلية. ولكن كما تظهر الهجمات الإلكترونية الأخيرة، يجب موازنة هذه الفوائد بالمخاطر التي تنشأ عندما تؤدي عمليات التكامل إلى التعرض الإضافي للتهديدات. ومن خلال معالجة الأساسيات والتكاليف والفوائد الناتجة أولاً، يمكن لقادة تكنولوجيا المعلومات إدارة ما سيكون دائمًا عملاً موازنة دقيقًا.