عندما تصبح مؤسستك موضوعًا لأخبار سلبية، فمن الأهمية بمكان الاستجابة بشكل فعال واستراتيجي لتقليل الأضرار وإعادة بناء ثقة أصحاب المصلحة.
إن التعلم من مثل هذه التجارب والتخطيط لمنع وقوع حوادث مستقبلية يعد أمرًا بالغ الأهمية. في صناعتنا، يمكن أن تكون حالات الفشل الأمني كارثية عندما تكون المنظمات غير قادرة على العمل، كما هو الحال في حادثة CrowdStrike الأخيرةعلى الرغم من العديد من النجاحات، واجهت CrowdStrike العديد من حلقات الانتقادات في الماضي، بما في ذلك أثناء اختراق اللجنة الوطنية الديمقراطية لعام 2016 وقد اتهمت الشركة روسيا بالوقوف وراء الهجوم قبل الأوان. وفي الآونة الأخيرة، أدى تحديث معيب لمنصة فالكون إلى تعطل النظام على نطاق واسع، مما أثر على كيانات مثل هيئة الخدمات الصحية الوطنية، وبنك إتش إس بي سي، والعديد من المطارات في المملكة المتحدة، مع تكبد أكبر 500 شركة أمريكية خسائر تقدر بنحو 5.4 مليار دولار، باستثناء مايكروسوفت.
غالبًا ما يتوصل الناس إلى استنتاج مفاده أن كل مشكلة هي قضية أمنية، معتقدين أن هناك “شخصًا سيئًا” متورطًا. ولكن ماذا نعني بالضبط بمشكلة أمنية؟ هل تكون مشكلة أمنية فقط إذا كان هناك جهة خبيثة؟
إن هذه العقلية غير منتجة بالنسبة لفرق الأمن ولا تساعد الشركات في إدارة مخاطر أمن المعلومات. فهي تؤثر على كيفية تعاملها مع الأمن داخل ثقافتها ومع موظفيها.
يواجه محترفو الأمن السيبراني العديد من التحديات
يواجه المتخصصون في مجال الأمن السيبراني العديد من التحديات التي تتجاوز مهامهم اليومية، بما في ذلك نقص المهارات، والقيود الزمنية، وعدم كفاية الميزانيات أو التدريب. وفي المملكة المتحدة، تتضح هذه الفجوة في المهارات، حيث تعتمد نصف الشركات على شخص واحد فقط في مجال الأمن السيبراني. حتى المنظمات الأكبر حجمًا نادرًا ما تمتلك فرقًا أكبر من خمسة أفراديواجه المتخصصون في مجال الأمن السيبراني صعوبة في تحديث مهاراتهم أو توظيف المواهب بسبب نقص الموظفين ونقص التمويل والضغوط.
من بين 53% من شركات القطاع السيبراني التي لديها وظائف شاغرة منذ عام 2021، أفاد 67% منها بصعوبة شغل الوظائف، وهو ما يتفق مع النتائج السابقة من دراسة Ipsos Cyber Security Skills في سوق العمل بالمملكة المتحدة 2022. وتتمثل التحديات الرئيسية في نقص المرشحين ذوي الخبرة الفنية وتقديم أجور أو مزايا منخفضة مقارنة بمتطلبات الأدوار.
إن المتخصصين في الأمن السيبراني يشعرون بالإرهاق بسبب أعباء العمل، ويرجع هذا جزئيًا إلى الحلول التي يتم تسويقها على أنها حلول شاملة لا تضيف سوى إلى مسؤولياتهم الإدارية. وتسعى فرق الأمن السيبراني باستمرار إلى القيام بالمزيد بموارد أقل. ويذكر نصف المتخصصين في الأمن السيبراني أن أعباء العمل اليومية تشكل مصدرًا رئيسيًا للتوتر، بينما يفقد 30% منهم النوم بسبب التهديد بالهجمات السيبرانية.
كما يواجه مجتمع الأمن السيبراني ضغوطًا هائلة للحفاظ على سمعة لا تشوبها شائبة، مما يسلط الضوء على المطالب والتوقعات العالية الملقاة على عاتقه. فمعظم الفرق منشغلة بالتهديدات المباشرة لدرجة أنها تفتقر إلى النطاق الترددي اللازم لتوقع التحديات المستقبلية. ويزيد من تعقيد هذه المشكلة اعتمادنا على عدد قليل من عمالقة التكنولوجيا: تهيمن شركة مايكروسوفت على برامج المكاتب، بينما تتصدر أيضًا مجال التخزين السحابي إلى جانب أمازون، مما يترك للمؤسسات خيارات محدودة.
إن الإفراط في الاعتماد على مقدمي الخدمات الرئيسيين مثل مايكروسوفت أو أمازون يمكن أن يؤدي إلى العديد من التحديات للمؤسسات، بما في ذلك احتكار البائعين، وانخفاض القوة التفاوضية، وزيادة المخاطر الأمنية. كما يمكن أن يخنق الابتكار ويحد من خيارات التخصيص بسبب الطبيعة الموحدة لهذه المنصات. إن الاعتماد على مزود واحد يزيد من التعرض لانقطاع الخدمة ويمكن أن يؤدي إلى زيادة التكاليف بمرور الوقت. بالإضافة إلى ذلك، قد تواجه المؤسسات صعوبات في ضمان خصوصية البيانات والامتثال عبر ولايات قضائية مختلفة. للتخفيف من هذه المخاطر، يُنصح المؤسسات بتنويع مجموعة التكنولوجيا الخاصة بها وتبني استراتيجية متعددة البائعين لتعزيز المرونة والقدرة على الصمود.
لا تقتصر مهمة فرق الأمن على مكافحة الجهات الخبيثة؛ بل إنها تلعب دورًا حيويًا في معالجة الحوادث الأمنية والتخفيف من حدة المشكلات الناشئة عن التدريب غير الكافي أو ضعف الثقافة التنظيمية. إن التركيز فقط على تحديد اللوم يقوض ممارسات الأمن الفعالة ويخلق بيئة سامة. إذا كان الهدف هو العثور على كبش فداء، فسوف يردع الأفراد الموهوبين عن الرغبة في العمل في مثل هذه البيئة العقابية. بدلاً من ذلك، يجب علينا تعزيز ثقافة المساءلة والتعاون، حيث يتم تمكين فرق الأمن من الحماية والتثقيف بدلاً من مجرد رد الفعل والدفاع. قال 50٪ من المتخصصين في مجال الإنترنت إن المصدرين الرئيسيين للتوتر لديهم هما عبء العمل اليومي، بينما يظل 30٪ مستيقظين في الليل من خلال فكرة التعرض لهجوم إلكتروني.
ما الذي يشكل حادثًا إلكترونيًا؟
بالطبع، تم تصنيف حادثة CrowdStrike في البداية على أنها قضية غير متعلقة بالأمن السيبراني، ولكن يجب اعتبارها كذلك لأنها أدت إلى عدم توفر نظام معلومات واحد أو أكثر. غالبًا ما تركز المناقشات حول الأمن السيبراني بشكل ضيق على خروقات البيانات والمعلومات الشخصية، بينما لا ينظر آخرون إلا في فشل أنظمة تكنولوجيا المعلومات. ما نحتاجه هو تعريف شامل يشمل كل هذه الجوانب. أي انقطاع غير مخطط له للنظام يعطل الوصول المشروع يعتبر حادث معلومات. لذلك، إذا أعدنا تعريف “الحادث السيبراني” على أنه “حادث معلومات”، فإنه يلتقط بدقة طبيعة موقف CrowdStrike.
إن الاعتقاد بأن وقوع حادثة أمن إلكتروني يتطلب تدخلاً خبيثاً يتجاهل تأثير الأخطاء الداخلية العرضية أو سوء التكوين من جانب فرق تكنولوجيا المعلومات أو شركاء سلسلة التوريد. ومن خلال التركيز على مصطلح “الأمن الإلكتروني”، فإننا نخاطر بتجاهل النطاق الأوسع للتهديدات والحد من فعاليتنا في التعامل مع الحوادث. يتعين علينا أن ندرك أن الأمن الإلكتروني يشمل الهجمات الخارجية والحوادث الداخلية، وأن نكيف استراتيجياتنا وفقًا لذلك لضمان الحماية الشاملة.
قد ترى المنظمات تداخلاً بين فرق إدارة المعلومات والإنترنت لأن أطر الأمن السيبراني، مثل تلك التي وضعها المركز الوطني للأمن السيبراني والمعهد الوطني للمعايير والتكنولوجيا، لا تشمل تكنولوجيا المعلومات فحسب. وتشمل هذه الأطر عناصر مثل الأشخاص والممتلكات واستمرارية الأعمال والمعلومات، والتي يُنظر إليها تقليديًا على أنها جزء من ضمان المعلومات. ويخلق تصنيف كل هذه العناصر على أنها “إنترنت” تحديات لفرق تكنولوجيا المعلومات، والتي قد تفتقر إلى المهارات اللازمة لإدارة مجالات مثل عمليات تدقيق ضمان سلسلة التوريد. ومن الأهمية بمكان أن تدرك المنظمات هذا التمييز وتضمن أن فرق الأمن السيبراني لديها فهم واضح لمسؤولياتها لتجنب التعدي على الأدوار التي تتولاها فرق إدارة المعلومات تقليديًا.
إذا كان هناك ارتباك بشأن من يدير الأمن السيبراني وأمن المعلومات، فيجب على القيادة التدخل لتوضيح الأدوار وتقديم التوجيه. ليس من مسؤولية فرق الأمن السيبراني وحدها منع الخروقات الأمنية؛ يجب على الإدارة العليا ضمان التزام جميع الموظفين بأفضل ممارسات الأمن. سلطت شركة مايكروسوفت الضوء مؤخرًا على هذه القضية من خلال جعل الأمن على رأس أولوياتها لكل موظف، بعد سنوات من الانتقادات والتوبيخ الشديد من الحكومة الأمريكية مؤخرًا. التي وصفت مايكروسوفت بأنها “تهديد للأمن القومي”.
تكامل الموردين
على الرغم من أن القصة الأخيرة تركز على CrowdStrike، إلا أن CrowdStrike ومايكروسوفت مترابطان في مجال الأمن السيبراني من خلال حلولهما الأمنية التكميلية وشراكاتهما. توفر CrowdStrike حماية متقدمة لنقاط النهاية واستخبارات التهديدات، بينما تقدم Microsoft مجموعة من أدوات الأمان مثل Microsoft Defender. غالبًا ما تتكامل منتجاتهما لإنشاء استراتيجية دفاع متعددة الطبقات للمؤسسات.
تضمنت خروقات الأمان الأخيرة لشركة Microsoft مشكلات كبيرة مثل الكشف عن بيانات حساسة وثغرات أمنية في أنظمتها. ومن الجدير بالذكر أن هناك خللًا خطيرًا في Microsoft Exchange Serverوقد أدى استغلال المهاجمين لثغرات أمنية إلى حدوث خروقات واسعة النطاق للبيانات أثرت على العديد من المنظمات. بالإضافة إلى ذلك، تم استهداف نقاط الضعف في خدمات الحوسبة السحابية لشركة Microsoft، مما أثار مخاوف بشأن حماية البيانات والأمان بشكل عام. وقد أكدت هذه الحوادث على الحاجة إلى تدابير أمنية معززة ودفعت Microsoft إلى إعطاء الأولوية للأمان في جميع منتجاتها وخدماتها.
يتعين على المنظمات مثل مايكروسوفت وكراود سترايك، التي تتمتع بنفوذ كبير على أنظمة الأمن العالمية، أن تحافظ على معايير لا تشوبها شائبة فيما يتصل بالأمن. ونظراً لدورها المركزي في حماية عدد لا يحصى من الأنظمة، فلابد من تصميم عملياتها وإجراءاتها بدقة لمنع الخروقات والحوادث. ولابد وأن تخضع هذه الشركات لأعلى معايير المساءلة والتميز، بما يعكس الطبيعة الحرجة لمسؤولياتها الأمنية.
استمرارية الأعمال والسحابة
لسنوات عديدة، كنا نطمئن إلى أن السحابة توفر أمانًا ومرونة متفوقة مقارنة بالحلول الداخلية، مما دفعنا إلى التخلي عن السيطرة على مرونتنا. وعندما تحدث حوادث مثل فشل CrowdStrike الأخير، فإن ذلك يثير سؤالاً بالغ الأهمية: هل قمنا بدمج مثل هذه السيناريوهات في تخطيط استمرارية أعمالنا ومرونة أعمالنا؟ أم أننا وضعنا عن طريق الخطأ ثقة عمياء في عصمة السحابة، على افتراض أنها ستكون موثوقة دائمًا؟
يجب على جميع المنظمات العودة إلى خطط استمرارية الأعمال الخاصة بها والتأكد من تضمينها تخطيط المرونة للحوادث مثل هذا. كان الوعد الأولي للسحابة مغريًا: تكاليف أقل ومرونة أكبر وابتكار معزز. ومع ذلك، فإن الواقع يرسم صورة مختلفة. وجد 43٪ من قادة تكنولوجيا المعلومات أن نقل التطبيقات والبيانات إلى السحابة كان أكثر تكلفة من المتوقع، وفقًا لمسح أجرته Citrix. إعادة السحابة هو الاسم الذي أُطلق على التحول الذي نشهده من قبل المنظمات التي تعيد خدماتها إلى المنزل لتكون قادرة على إدارتها بنفسها.
يجب أن تكون خطط استمرارية أعمالنا قوية بما يكفي لمعالجة حالات الفشل المحتملة وتجنب خطأ افتراض أن مقدمي الخدمات السحابية الرئيسيين معصومون من الخطأ أو متفوقون بطبيعتهم. إن الاعتماد على افتراض أن الأمان مدمج تلقائيًا في حلولنا السحابية قد يكون مضللًا، تمامًا مثل التجارب السابقة مع معدات الأمان. يجب علينا تقييم نقاط الضعف والاستعداد لها بشكل نقدي، بدلاً من الاعتماد على الثقة العمياء في موثوقية السحابة.
لا تلوم فرق الأمن السيبراني على المشاكل الأوسع نطاقًا
لا ينبغي لنا أن نلوم مهنة الأمن السيبراني على إخفاقات شركات التكنولوجيا الكبرى، حيث قد يفتقر العديد منها إلى الخبرة العميقة في مجال الأمن السيبراني. تذكر أن شركات التكنولوجيا الكبرى تعطي الأولوية للربح، وأن أنظمتها المعقدة، التي تتألف من كميات هائلة من التعليمات البرمجية، معرضة دائمًا للثغرات والأخطاء البرمجية التي يمكن أن تتسبب في انقطاع الخدمة. ومن مسؤوليتنا كمحترفين في مجال الأمن السيبراني ضمان أن تكون مرونتنا الداخلية قوية بما يكفي للتعامل مع مثل هذه الحوادث. وفي حين أن هذا يشكل تحديًا نظرًا لاعتمادنا على هؤلاء المزودين، فمن الضروري الحفاظ على دفاعات داخلية صارمة.
غالبًا ما لا يتم الاعتراف بنجاحات المتخصصين في الأمن السيبراني ولا يتم ملاحظتهم إلا عندما تظهر المشكلات. لتحسين ظهورنا وإدراكنا، نحتاج إلى تحسين كيفية تقديم أنفسنا والاندماج بشكل أكثر فعالية في العمل. ترجع الصورة النمطية لفرق الأمن السيبراني على أنها معزولة ودفاعية جزئيًا إلى اللوم والنقد المتكرر الذي يواجهونه عند وقوع الحوادث. العديد من جوانب ما يُعتبر الآن “سيبرانيًا” خارج السيطرة المباشرة لمعظم فرق الأمن السيبراني، ومع ذلك غالبًا ما يتم تحميلهم المسؤولية بشكل غير عادل ومعاقبتهم على مشاكل خارج نطاق نفوذهم.
إن القيادة الفعّالة تشكل أهمية بالغة في تحديد المسؤوليات بوضوح داخل فرقنا وضمان فهم كبار القادة لما تتواصل به فرق الأمن السيبراني. وتحدد القيادة النبرة، وتتبع ممارسات الأمن السيبراني هذا التوجيه. ويجب أن يكون القادة على دراية جيدة بمخاطر الأمن السيبراني الرئيسية وأن يتعاونوا بنشاط مع فرقهم لتوضيح الأدوار في إدارة المخاطر والتخفيف منها. ومن الضروري أن تفهم القيادة كل من الفروق الدقيقة للمخاطر السيبرانية والآثار التجارية، في حين يحتاج محترفو الأمن السيبراني إلى التواصل بشكل أكثر فعالية من حيث المخاطر التجارية. وكثيراً ما يكافح كبار القادة لفهم التأثير الأوسع وقد لا يدركون أن بعض القضايا تتطلب اتخاذ قرارات خارج سيطرة فريق الأمن السيبراني. وينبغي دمج الأمن السيبراني في كل جانب من جوانب العمل، بدلاً من النظر إليه باعتباره مصدر قلق هامشي.
