واجه الآلاف من عملاء Capital One مؤخرًا تداعيات انقطاع التيار الكهربائي لعدة أيام. عملاء لا يمكن الوصول إلى الخدمات المصرفية عبر الإنترنت وذكرت صحيفة نيويورك تايمز أن الشركة واجهت تأخيرات في تلقي شيكات الرواتب المودعة مباشرة.
أرجعت شركة Capital One الانقطاع إلى “مشكلة فنية مع بائع خارجي”، وفقًا لما جاء في 16 كانون الثاني (يناير). مشاركة على X.
بائع الطرف الثالث المعني؟ شركة فيديليتي لخدمات المعلومات (FIS)، وهي شركة تكنولوجيا مالية. في 19 يناير، كابيتال وان نشر أنه تمت استعادة جميع وظائف حساب العميل.
كان رأس المال واحد تأثر أحد البنوك العديدة بسبب انقطاع نظام الجبهة الإسلامية للإنقاذ.
سواء كان ذلك عن طريق جهات فاعلة ضارة تنفذ هجمات برامج الفدية أو أخطاء غير مقصودة، يمكن أن يكون لانقطاعات الطرف الثالث آثار مضاعفة واسعة النطاق. يمكننا أن نرى ذلك هنا مع انقطاع خدمة FIS وآلاف عملاء البنوك. في العام الماضي، شهدنا تأثيرًا على نطاق عالمي من خلال انقطاع خدمة CrowdStrike وMicrosoft.
في الوقت الذي تعتمد فيه معظم الشركات على أطراف ثالثة للعمل، فإن هذا النوع من المخاطر لن يذهب إلى أي مكان. ما الذي يمكن أن يتعلمه قادة المؤسسات من انقطاع خدمة Capital One أثناء قيامهم بتقييم المخاطر المستمرة التي تواجهها مؤسساتهم من طرف ثالث؟
الانقطاع
وأرجعت الجبهة الإسلامية للإنقاذ انقطاع التيار الكهربائي إلى “انقطاع الطاقة في المنطقة المحلية وفشل في الأجهزة”، وفقًا لما ذكره أ بيان الشركة.
ولم تشارك الشركة المزيد من التفاصيل فيما يتعلق بطبيعة الانقطاع، لكنها تثير تساؤلات حول الاختبارات والنسخ الاحتياطية الموجودة لديها.
“يجب أن يتم إجراء الاختبار. “يجب أن تكون هناك الأدوات المناسبة مع النسخ الاحتياطية،” راندولف بار، CISO في الأمن التسلسلي، وهي شركة أمنية API، تقول InformationWeek. “من المستغرب أن يكون هناك انقطاع في التيار الكهربائي مما تسبب في اضطراب في بيئات عملائهم.”
عندما يحدث انقطاع مثل هذا، فإن من يقع عليه اللوم يعتمد على من تسأل. يعزو FIS الانقطاع إلى انقطاع الطاقة وفشل الأجهزة. ومن المرجح أن يلقي عملاؤها اللوم على الجبهة الإسلامية للإنقاذ. بالنسبة للمستهلكين، علاقتهم مع البنك الذي يتعاملون معه.
يقول جيسون ريبهولز، نائب الرئيس ومسؤول المخاطر السيبرانية في شركة التأمين: “إن مستهلكي Capital One… لا يعرفون من هو FIS ولا يهتمون”. المسافرون. “في نهاية المطاف، سيحملك عملاؤك المسؤولية. إنهم لا يهتمون بالتفاصيل.”
وبغض النظر عن السبب النهائي للانقطاع، فإن الشركات المتأثرة – FIS، وCapital One، وغيرها من البنوك المتأثرة – يجب أن تدير التداعيات.
تقييم العلاقات مع الطرف الثالث وإدارة المخاطر
من غير المرجح أن تتغير الطبيعة المترابطة للأعمال وسلسلة التوريد في أي وقت قريب. إذا كان هناك أي شيء، فسوف يستمر في النمو بشكل أكثر تعقيدًا حيث تبحث الشركات عن شركاء في الذكاء الاصطناعي والتعلم الآلي. وهذا يعني أن احتمالية الانقطاعات والانتهاكات المتعلقة بأطراف ثالثة لن تختفي أيضًا. معظم المنظمات (98٪) لديها طرف ثالث تم اختراقه في سلاسل التوريد الخاصة بهم، وفقًا لـ SecurityScorecard.
كيف يمكن لقادة المؤسسات تقييم علاقاتهم مع البائعين الخارجيين لفهم تلك المخاطر وإدارتها بشكل أفضل؟
-
مراجعة العقود. يعد الانقطاع الكبير دائمًا بمثابة تذكير لقادة المؤسسات للنظر في عقودهم مع الطرف الثالث. ما نوع اتفاقيات مستوى الخدمة (SLAs) الموجودة؟ ما هو ضمان وقت التشغيل الذي يقدمه البائع؟
كلما كانت الشركة أكبر، كلما زادت قدرتها على التفاوض بشأن هذه الشروط. “إذا نظرت إلى… الشركات الصغيرة والمتوسطة الحجم، فستجد أنها لا تتمتع بقدر كبير من المرونة في العمل مع المنظمات الأكبر حجمًا. ولكن عندما تكون شركة كبيرة في مجال التكنولوجيا المالية أو شركة مصرفية – كون Capital One شركة كبيرة – يكون لديهم تأثير أكبر بكثير على العقود ويعملون بشكل وثيق مع البائعين، كما يقول بار.
-
إجراء تقييمات منتظمة. إن أمان الشركة يكون جيدًا بقدر جودة خطط أمن واستمرارية الأعمال الخاصة ببائعيها. ما هي الخطوات التي يتخذها الطرف الثالث لحماية عملياته، وبالتالي عمليات عملائه؟
“ابدأ بتصنيف الموردين لديك على أساس الأهمية [to] عملك، “يقول Rebholz. كلما كان التأثير الأكبر لانقطاع خدمة البائع على عملك، كلما كان الأمر أكثر أهمية.
قم بإجراء تقييمات منتظمة لممارسات الأمان واستمرارية الأعمال الخاصة بهذا البائع.
-
تقييم مقياس البائع. مع نمو الشركات، يحتاج القادة إلى النظر في قدرة موردي الطرف الثالث على مواكبة ذلك. “مثل [businesses] تنمو…، عليهم إعادة تقييم كل واحد منهم [their third parties] يقول بار: “للتأكد من قدرتهم على التوسع معهم”.
يمكن للشركات إدارة علاقات الطرف الثالث وتنويع سلاسل التوريد الخاصة بها لإنشاء المزيد من وسائل الحماية من الفشل، ولكن هذا لا يعني أن انقطاع الخدمة أو الانتهاكات لن تحدث.
“هناك دائمًا حالات طارئة تظهر… لا يوجد شخص عاقل [who] يقول ريبهولز: “سوف نفترض أن كل هذه الأشياء ستحدث معًا”.
عندما تضرب العاصفة الكاملة، سواء كان ذلك انقطاع التيار الكهربائي أو فشل الأجهزة أو أي شيء آخر، يجب أن يكون قادة المؤسسات جاهزين.
ويشير ريبهولز إلى أنه “لا يزال أمامك الكثير من العمل الذي يجب عليك القيام به من جانبك للتأكد من أنك تخطط لمواجهة الفشل الحتمي أو الحادث الأمني لدى البائعين المهمين لديك”.
يمكن أن يلعب التأمين دورًا مهمًا في عملية التخطيط لاستمرارية الأعمال. ما نوع التغطية التي تتمتع بها المؤسسة، وهل هي كافية؟
إن أعمال التأمين السيبراني تسير بقوة؛ ومن المتوقع أن تصل الأقساط السنوية إلى ما يقرب من 23 مليار دولار بنهاية 2026، بحسب ستاندرد آند بورز جلوبال. لكن يتعين على قادة المؤسسات فحص تفاصيل أي سياسة لديهم أو يفكرون في شرائها.
“الكثير من وثائق التأمين السيبراني موجهة بشكل كبير نحو الأحداث الضارة، والهجمات الإلكترونية من هذا النوع، ولا تغطي الحوادث العرضية،” سكوت كانري، الرئيس التنفيذي والمؤسس المشارك لشركة الأمن السيبراني اكسيويشير.
يمكن أن يساعد تحديد حجم المخاطر قادة المؤسسات في تحديد نوع التغطية التأمينية التي يحتاجون إليها ومبلغها. ما هي مخاطر انقطاع خدمة مورد الطرف الثالث؟ ما حجم الخسارة المالية المحتملة؟ هل تغطي سياستي انقطاع الخدمة من طرف ثالث، العرضي والناجم عن الهجمات الإلكترونية؟
إن انقطاع خدمة FIS وتأثيره على Capital One والعملاء الآخرين ليس هو الحادث الأخير من هذا النوع الذي سيشهده السوق.
يقول بار: “نحن بحاجة إلى التعلم من الكثير من هذه الحوادث، وعلينا أن نذكر أنفسنا بشكل منتظم بأن هذا يمكن أن يحدث لأي شخص”. “لذلك، نحن بحاجة للتأكد من أننا نعزز لعبتنا في تقييم هؤلاء البائعين.”
