الأمن المعلوماتي هو في الأساس معلومات إدارة المخاطر الانضباط. من خلال جعل العديد من أنظمة المعلومات غير صالحة للعمل، فإن الانقطاع العالمي تم التعجيل به بواسطة Crowdstrike منعت العديد من الشركات من الوصول إلى معلومات تجارية مهمة بسبب التوقف غير المخطط له والممتد.
ولم يقتصر الأمر على عدم التوافر بالنسبة لأنظمة المعلومات، بل كان يشمل أيضًا معالجة المعلومات ذات الصلة. ولم يكن الأمر مجرد حدث مخاطرة معلوماتية، بل كان أيضًا حادثًا يتعلق بأمن المعلومات. وكان تأثير حدث المخاطرة/حادث أمن المعلومات كبيرًا من المنظور التشغيلي والمالي والسمعة والقانوني والتكنولوجي وحتى التنظيمي.
يمثل هذا الحادث الأمني الذي وقع في Crowdstrike بالتأكيد انهيار الثقة الرقمية بين البائعين وعملائهم. إذن ما الذي يتعين علينا فعله لاستعادة هذه الثقة؟
الخطأ
إن أتمتة الاختبارات هي مجال تفشل فيه العديد من المؤسسات بشكل روتيني. وبالنسبة للشركات الناشئة بشكل خاص، ليس من غير المألوف أتمتة الاختبارات داخليًا ثم إصدار تحديثات سريعة لإصلاح أي أخطاء – باستخدام عملائها بشكل أساسي لضمان الجودة.
ومع ذلك، في الآونة الأخيرة، تقوم المزيد من الشركات بدمج هذه الممارسة كجزء من “منهجيتها الرشيقة” أو لتعزيز كفاءة خط أنابيب CI/CD وتوسيع نطاق الأعمال بسرعة.
المزيد والمزيد من شركات الأمن تتعهدسكين الجيش السويسري الحلول التي توفر تحديثات آلية وتتولى دورات الصيانة المستمرة من الشركات.
إن الكارثة المحتملة في هذا الأمر تكون عندما يحدث تحديث تلقائي، حيث تم أتمتة الاختبار جزئيًا أو كليًا، وهناك مشكلات لم يتم اكتشافها بواسطة أنظمة الاختبار الآلية، مما يؤدي إلى انقطاعات جماعية للشركات في القطاعات الحيوية، مما يهدد السلامة العامة.
الحق
منذ البداية، تتعامل العديد من الشركات التي تواجه حوادث أمنية كبيرة بشفافية عامة مع جميع أصحاب المصلحة لديها – وهذا يشمل العملاء والشركاء والموظفين والمستثمرين.
على سبيل المثال، قامت شركة Crowdstrike بعمل جيد في هذا الصدد. فقد اعترفت بخطئها، وعملت بسرعة مع فرقها الخاصة وفرق Microsoft لتطوير حل. كما قادت الإدارة التنفيذية لشركة Crowdstrike الجهود في التواصل مع العديد من العملاء الذين عرضوا المساعدة من حيث الإصلاح والاسترداد. كما أجرت تحليلًا شاملًا للسبب الجذري (RCA) وكانت شفافة إلى حد ما فيما يتعلق بـ حيث فشلت ضوابط الأمن الخاصة بهم.
وقد التزمت الشركة بخطة عمل تتضمن تحسينات في الأفراد والعمليات والتكنولوجيا. ويبدو أنها مستعدة أيضًا لزيادة التدخل التنظيمي والإشراف، خاصة وأن الحادث كان له تأثير مادي على القطاعات الحيوية. على سبيل المثال، في الاتحاد الأوروبي، تم سن تشريعات مثل قانون المرونة التشغيلية الرقمية (DORA)، توجيه أمن الشبكات والمعلومات (NIS2)وسوف يطالب قانون المرونة السيبرانية شركة Crowdstrike بتقديم ضمانات للمشرعين بأن مثل هذه الحوادث لن تحدث في المستقبل.
ماذا يمكننا أن نفعل بشكل أفضل؟
في المستقبل، تحتاج المنظمات إلى التركيز بشكل أكبر على مرونة الأعمال، وتحديدًا فيما يتعلق بإدارة استمرارية الأعمال (BCM)، والتعافي من الكوارث، وإدارة مخاطر الطرف الثالث (TPRM)، وإدارة الحوادث.
إن مراقبة المخاطر في سيناريوهات متعددة، بما في ذلك مشكلات سلسلة التوريد، هي الخطوة الأولى. ويمكن إضافة هذه إلى سجلات المخاطر الحالية، وتحليلات تأثير الأعمال، وتقييمات المخاطر والضوابط الذاتية.
يمكن أن تشمل خطط معالجة المخاطر الأوسع نطاقًا، على سبيل المثال لا الحصر، تدقيقًا أكبر حول أمان المنتج في تقييمات المخاطر الخاصة بأطراف خارجية، واختبارات أكثر صرامة لتحديثات البائعين (نعم، حتى التحديثات من أدوات اكتشاف نقاط النهاية)، وتعطيل التحديثات التلقائية حيثما كان ذلك ممكنًا، والنشر المتدرج لتحديثات البائعين، وتحديثات كتيبات الحوادث وخطط التعافي من الكوارث لمعالجة مخاطر الجهات الخارجية، وإدراج محاكاة المخاطر لحوادث الأمن الخاصة بأطراف خارجية في تمارين الأمن السيبراني.
نيل هاربر هو نائب رئيس إيساكا مجلس إدارة.
