في مجال الأمن السيبراني، لدينا تصور بأننا بحاجة إلى إخضاع أنفسنا لمستوى أعلى من التدقيق مقارنة بالآخرين. من المتوقع منا أن نكون المعيار الذهبي – مستوى كامل من الكمالية التي لا يمكن تحقيقها. إذًا، ماذا يحدث عندما تقع شركة أمن إلكتروني في خطأ بسيط؟
يمكن اعتبار CrowdStrike دراسة حالة لهذا الأمر. أتذكر القراءة القراءة الفنية وكان الأمر “بسيطًا” مثل إضافة حقل إضافي إلى القالب وهذا ما أدى إلى تعطل كل شيء. ومع ذلك، أتوقع أن هذه لم تكن حالة بسيطة لفشل حالة اختبار، بل ربما كانت سلسلة من الأحداث التي أدت إلى مشكلة عالمية كبيرة. يُطلق على هذا أحيانًا اسم نموذج الجبن السويسري حيث تفشل مجموعة من الأخطاء أو الاختبارات، وتصطف جميع الثقوب الموجودة في الجبن مما يسمح بحدوث حدث ما.
ولكن يجب علينا أن نقبل أن هذا قد حدث بالفعل، وذلك لأننا لا نستطيع أبدًا القضاء على المخاطر في التكنولوجيا – فكلما قمنا بتغيير تصورنا لهذا الأمر بشكل أسرع، كلما تمكنا من الاستعداد للتعامل مع الحوادث المستقبلية بفعالية، أو الأهم من ذلك فهم المخاطر التي تنطوي عليها. من غير المحتمل أن يكونوا كذلك.
الاعتراف بالطبيعة النظامية للمخاطر
لقد سلط انقطاع خدمة CrowdStrike الضوء على السؤال التالي: هل أصبحنا نعتمد بشكل كبير على شركات التكنولوجيا التي تعتمد جميعها بشكل حاسم على بعضها البعض في نظام واحد كبير؟
السبب وراء استخدامنا لجميع موفري الخدمات السحابية المركزية وSaaS هو أن الفوائد غالبًا ما تفوق المخاطر. ولكن إذا تعرض أحد مقدمي الخدمات الكبار هؤلاء لحادث، فقد يكون له تأثير واسع النطاق عبر العديد من المؤسسات التي تعتمد على خدماتهم.
وهذا يمكن أن يخلق ديناميكية “أكبر من أن يُسمَح لها بالفشل”، مثل القطاع المالي، حيث يمكن أن يكون لفشل لاعب رئيسي تأثيرات متتالية.
لقد وجدت أن الناس، بشكل عام، جيدون في فهم المخاطر الشخصية بالنسبة لهم. نعلم جميعًا أن عبور طريق مزدحم في ساعة الذروة أمر محفوف بالمخاطر، لكننا نخفف من هذا الخطر باستخدام مناطق العبور المخصصة. ولكن كبشر، نحن غير قادرين على فهم المشاكل النظامية الكبرى التي نواجهها بنفس الطريقة، وأننا من المحتمل أن نحمل كل هذه المخاطر على عاتق حفنة من المنظمات. هل حان الوقت للبدء في تنويع مجموعات التكنولوجيا لدينا وعدم وضع كل البيض في سلة واحدة؟
خطر الصفر لا يمكن تحقيقه
لنكن صادقين مع أنفسنا! بقدر ما تريد أن تعتقد أنه يمكنك القضاء على جميع المخاطر، لا يمكننا ذلك.
نحن بحاجة إلى أن نكون واقعيين بشأن المخاطر، وإلا فإن المؤسسات ستنفق أموالًا ووقتًا لا حصر له للتخفيف من المخاطر على الضوابط الأمنية، وهذا ليس عمليًا أو عمليًا. إذا انتهى بك الأمر إلى البرمجة حتى تعود الأبقار إلى المنزل، فلن يتم تحرير أي شيء.
وينبغي أن يكون التركيز على تقليل المخاطر إلى مستوى معقول يمكن التحكم فيه، بدلاً من السعي إلى تحقيق مستوى الصفر المطلق من المخاطر. سيكون هناك دائمًا مستوى ما يحتاج إلى إدارته. لقد عملت في قطاع السكك الحديدية في المملكة المتحدة وكان هناك مفهوم يسمى منخفضة بقدر الإمكان بشكل معقول. أستخدم هذا النهج اليوم وقد خدمني جيدًا.
كن شفافًا بشأن المخاطر المتبقية
إن الصراحة بشأن حقيقة أن بعض المخاطر ستظل قائمة، حتى بعد جهود التخفيف، أمر مهم لوضع توقعات واقعية مع أصحاب المصلحة وكبار المديرين.
لا تحاول إخفاء أعين أي شخص والقول إن المخاطر التي تتعرض لها مؤسستك ستكون صفرًا – يجب أن تكون شفافًا مع أصحاب المصلحة لديك بشأن أداء الوظيفة أو ما تعمل معه. لا يمكنك الجلوس هناك والقول إن كل شيء على ما يرام عندما لا يكون كذلك وتعطي شخص ما مفاجأة سيئة إذا ساءت الأمور. الشفافية ليست مهمة فقط في حالة تعرضك لحادث ما – فهي في كثير من الحالات أكثر أهمية في منع وقوع الحادث نفسه.
أنا شخصياً أشعر أن CrowdStrike بذلت قصارى جهدها للرد بشكل جيد على الحادث. لقد كانوا منفتحين وصادقين، وتواصلوا بوضوح مع العملاء وأصحاب المصلحة، وخصصوا الكثير من الموارد والجهد في العلاقات العامة وإدارة العلاقات والمساعدة الفنية المهمة. يمكنك رؤية هذا على التحديثات والعلاج المستمر نصيحة نشرت على الانترنت. ولكن بغض النظر عما تفعله المنظمة، لا يمكنها أبدًا القضاء على المخاطر في أنظمتها والوعد بذلك للعالم.
المفتاح هو إيجاد التوازن الصحيح. يعد الحفاظ على بساطة التدابير الأمنية والاستجابة للحوادث وسهولة تنفيذها أمرًا بالغ الأهمية، وإلا فمن المحتمل أن يتم إهمالها. وفي الوقت نفسه، يتعين على المنظمات أن تتمتع بالقدر الكافي من الشفافية للحفاظ على الثقة، وإدارة المخاطر إلى مستوى مقبول، وتنفيذ الحلول العملية التي يمكن اتباعها باستمرار.
