في بريطانيا ، فإن وصف Marks & Spencer (M&S) بأنه تاجر تجزئة رفيع المستوى يشبه وصف الملك تشارلز الثالث باعتباره ملكًا معروفًا. تأسست M&S في عهد الملكة فيكتوريا ، وهي واحدة من حفنة من تجار التجزئة المدرجة في FTSE-100 وهي فريدة من نوعها معروفة على قدم المساواة ببقالةها وملابسها.
تقريبا نصف البريطانيين يتسوقون هناك كل عام وحتى أولئك الذين لن يكون لديهم عادة رأي في جودته ، غالبًا مع تقييمات منفصلة لمحلات البقالة وملابسها. بدلا من السحب من خلال وجود أكثر من 1000 متجر مادي، يستخدمهم لدعم مبيعاتها عبر الإنترنت من خلال السماح للعملاء باختيار الدفع عبر الإنترنت ثم جمع العناصر من المتاجر.
لكن كان على M&S إيقاف هذا في 22 أبريل بعد تعرض لهجوم إلكتروني من الفدية. وقد أوقفت الطلبات عبر الإنترنت والمدفوعات التي لا تلامس في المتاجر ، ذكرت أن بعض بيانات العملاء قد سُرقت وفجوات من ذوي الخبرة على أرفف الطعام بسبب مشاكل التوزيع.
في نتائج السنة الكاملة نُشرت في 21 مايو 2025 ، وقالت إنها تتوقع إجمالي 300 مليون جنيه إسترليني لأرباحها نتيجة للحادث ، بما في ذلك الاضطرار إلى العودة إلى العمليات اليدوية ، على الرغم من أنه يمكن تخفيض هذا الرقم من خلال دفعات التأمين والإجراءات الأخرى.
أثناء استعادة المدفوعات بدون اتصال في غضون أيام من التقرير ، استغرق الأمر M&S حتى 9 يونيو لإعادة تشغيل الطلبات عبر الإنترنت ، وإن كان ذلك للحصول على مجموعة محدودة من الملابس.
“لحسن الحظ ، هذه المأساة لديها قوس تعويضي” ، قال مرات محرر الموضة هارييت ووكر في اليوم التالي.
التخطيط للفشل
تاجر التجزئة هي واحدة من العديد من الذين يتعرضون لهجوم ناجح على تطبيقات برامج الأعمال في الأشهر الأخيرة. في حين أن الوقاية تظل مثالية ، فإن التأثير على M&S يوضح قيمة المرونة عند وصول الهجوم.
من الأفضل التفكير في مثل هذه المرونة من قبل وليس بعد الهجوم. ساعدت شركة BML الاستشارية في مراجعة المرونة بعد انتهاكات كبيرة للبيانات ، حيث يتذكر كبير موظفي العمليات جاكو فيرميولين إحدى الأخطاء البشرية والضوابط الأمنية الضعيفة.
يقول: “لقد ذهبوا إلى طريقة” نحن بحاجة إلى القيام بكل شيء على الإطلاق “، وذهبوا إلى الخارج وأصبحوا مقيدين بدلاً من التمكين لأنهم يريدون حماية أنفسهم بجميع أشكال الأزياء”. “تحتاج إلى العثور على توازن عملي.”
يرتبط معظم أعمال Vermeulen بالاندماج والاستحواذات مثل تقييمات العناية الواجبة لمخاطر التكنولوجيا ، خاصة وأن المنظمات الناتجة يمكن أن تواجه مشكلات “عقار مختلط” مع مجموعة من الأنظمة غير المدمجة بشكل كاف.
يقول: “ينظر الجميع إلى اللامع” ، وهذا يعني أنظمة جديدة تعمل على تحسين الكفاءة في مجال واحد. “ما لا ينظرون إليه أبدًا هو الأسس.” وهذا يشمل القدرات التنظيمية لدمج الأنظمة ؛ الهوية والوصول وإدارة الامتياز ؛ وإدارة البيانات المركزية والمتكررة المصممة للعمل لجميع أجزاء العمل.
“ركز على الأشياء المملة ولكن المهمة أولاً” ، كما يقول ، وهو أمر مهملة غالبًا ما يتم إهمالها كجزء من عملية الاستحواذ ، مع اعتقاد متزايد ، وربما مضللة ، بأن الذكاء الاصطناعي (AI) يمكن أن يحل مثل هذه المشكلات التي من المحتمل أن تجعل ذلك سوءًا في المستقبل.
يقول Vermeulen ذلك الثانوي أنظمة استمرارية الأعمال، المصممة للتدخل إذا تم اختراق الأنظمة الأولية ، يمكن أن تكون جديرة بالاهتمام ولكن تحتاج إلى وزنها مقابل تكلفة الهجوم الناجح ، مضيفًا: “استمرارية العمل مرتبطة مباشرة بالحفاظ على القيمة”.
يقول إنه عمل مع مقدم الرعاية الصحية باستخدام جزء متخصص من معدات رعاية السرطان بقيمة حوالي 10 ملايين جنيه إسترليني والتي كانت حاسمة في دعم رعاية المرضى. قرر المزود دفع ثمن الأنظمة الثانوية وتكرار الشبكة التي تكلف مئات الآلاف في السنة ، بالنظر إلى التكاليف المرتفعة لوجود المعدات المتخصصة غير متوفرة.
ومع ذلك ، عند مساعدة شركة إدارة المستودعات وتوزيعها على الانتقال من الورق إلى الرقمية ، نصحت الاستشارات بعدم دفع الكثير مقابل نظام ثانوي. بدلاً من ذلك ، احتفظت الشركة بنظامها الورقي بمثابة احتياطي ، مما يؤدي إلى زيادة هذا من خلال جعل الموظفين يلتقطون صورًا للعلامات على الأجهزة المحمولة. عندما تمت استعادة النظام الرقمي الجديد ، يمكنهم ملء الثغرات بما تم جمعه على الورق ، وأتمتة جزئيًا باستخدام الباركود ، ورمز QR ، والتعرف على الأحرف البصرية للصور.
اختبار الاختراق – الحصول على خبراء الأمن لإيجاد نقاط الضعف – هو وسيلة شائعة لاختبار مرونة التكنولوجيا بما في ذلك تطبيقات الأعمال.
يقول أليكس وودوارد ، نائب الرئيس الأول للأمن السيبراني في الاستشارات CGI: “لا أعتقد أنني رأيت اختبارًا على الإطلاق حيث لا نجد ثقوبًا”.
تشمل المشكلات الشائعة سوء نظافة الأمن ، بما في ذلك تصحيح الأمن القديم ، وأذونات المستخدم المفرطة وضعف الإدارة للأصول-وهي الأخيرة التي تتضمن عادة نسبة صغيرة من تطبيقات الأجهزة والبرامج غير القياسية التي لا تتم إدارتها إلى مستوى الأغلبية.
يقول وودوارد إن المؤسسات تركز على نقاط الضعف الحرجة والعالية المستوى مع الأنظمة الأساسية: “عادةً ما يكون هناك تراكم من نقاط الضعف المنخفضة ، أدنى مستوياتها والوسائط في نظام التصنيف ، والتي يتم تركها دون علاج لأنها يُعتبر أقل أهمية.”
يمكن أن توفر نقاط الضعف هذه الطرق ، مع السلطات المحلية غير الممولة بشكل مزمن بشكل خاص نظرًا لأنها تدير الكثير من التطبيقات لدعم وظائفها العامة العديدة.
يمكن تقليل هذه المخاطر عن طريق منح عدد أقل من الأشخاص الوصول إلى البرامج غير القياسية ، مثل طلب سبب لاستخدام هذه الاختيار الحر. يتيح ذلك لأولئك الذين يحتاجون إلى استخدام امتداد خاص بالمتصفح لاستخراج البيانات من إدارة موارد المؤسسة مع تقليل المخاطر الكلية.
وجود قوارب نجاة كافية
تخطط مرونة تطبيقات الأعمال الجيدة تفترض الفشل في مرحلة ما. يقول وودوارد: “إن الفلسفة في هذه الأيام تحتاج حقًا إلى أن تكون ،” ستحصل في مرحلة ما ، شخص ما سوف يدخل “.
يمكن أن تتألف خطة أزمة محددة لفقدان كامل لتطبيقات الأعمال القياسية ، بما في ذلك البريد الإلكتروني والاجتماعات عبر الإنترنت والدردشة ، من تعليمات مطبوعة بما في ذلك أرقام الهواتف لأعضاء الفريق واستخدام “أنظمة قارب النجاة” ، مثل مؤسسة تعتمد على Microsoft التي تعتمد على عدد قليل من تراخيص مكان عمل Google لأولئك الذين سوف يستجيبون بشكل مباشر لحادث ما.
يقول وودوارد إن الاعتماد على خدمات الطرف الثالث مثل WhatsApp هو خيار آخر ، ولكنه يلاحظ أنهم خارج سيطرة المنظمة. على الرغم من أن الاتصالات العامة ضرورية ، إلا أنه ينصح بالحديث عن الاحتمالات بدلاً من الإدلاء ببيانات نهائية مثل “لم يتم سرقة بيانات العميل” حتى تصبح المؤسسة متأكدة تمامًا.
يضيف Davey McGlade ، الرئيس العالمي لأمن الإنترنت في شركة خدمات التكنولوجيا ، الإصدار 1 ، أن الاتصالات الداخلية مهمة أيضًا. يمكن أن تعمل بشكل جيد من أجل الحصول على قنوات دردشة مشتركة لكل من الإدارة والاستجابة للحوادث ، وإلا من المحتمل أن تحدث الاتصالات بين الأفراد.
ويضيف أن الأمر يستحق أخذ منظور هندسي – على سبيل المثال ، اختبار أن النظام الثانوي يمكن أن يعمل على نطاق نظام الإنتاج الذي يُقصد به استبداله ، حيث غالبًا ما تحدث الاختبارات على نطاق صغير فقط. وبالمثل ، يحتاج المستخدمون إلى أن يكونوا مرتاحين باستخدام نظام ثانوي ، إما لأنه يعمل بنفس طريقة الإنتاج أو لأنهم تم تدريبهم على وجه التحديد على استخدامه. يمكن أن تتمتع المنظمات القائمة بميزة من حيث أنها يمكن أن تتراجع عن العمليات القديمة ، سواء كانت رقمية أو قائمة على الورق.
يقول McGlade: “إن التحدي الذي يواجهه أعمال تواجه الرقمية هو الحصول على ميزانية لتطبيق واحد” ، مما يعني أن هذه المنظمات قد تحتاج إلى دفع المزيد من المرونة من خلال السعة الإضافية أو الخدمات الاحتياطية. أحد الخيارات هو تصميم أنظمة للتدهور الرشيق ، حيث يعلقون وظائف أقل أهمية للحفاظ على مستمرة.
من المنطقي النظر في من يمكن أن يتم استجابة الحادث. يقول جيمس بليك ، نائب رئيس استراتيجية المرونة الإلكترونية العالمية في متماسك لمادة أمن البيانات والإدارة ، إن مستشفى كبير في أمريكا الشمالية ، والذي كان يتجرب من أنظمته ، تعرض لهجوم قد تعرض للاضطراب وشرح متجر البيانات الرئيسي.
لم يكن لديها موظفين كبير في مجال التكنولوجيا في المنزل ولكنه حمل التأمين على الأمن السيبراني ، وأرسلت شركة التأمين الخاصة به فريق استجابة عند الاتصال به. لكنهم قاموا مرارًا وتكرارًا بترميم الأنظمة من خدمتها الاحتياطية الرئيسية التي ستتم إعادة تشكيلها في غضون بضع دقائق ، مما دفع المستشفى إلى الاعتقاد بأن الفريق كان يبحث عن أدلة لإبطال بوليصة التأمين بدلاً من القيام بالشفاء.
“إذا كنت تستخدم مستجيبًا لحوادث الطرف الثالث ، فمن يعملون؟” يسأل بليك.
ثم دفع المستشفى ثمن فريق الاستجابة للحوادث الخاص به والذي قام أيضًا بالتحقيق والأنظمة المستردة. لقد استخدم النسخ الاحتياطي الذي توفره التماسك ، والذي غطى في هذه المرحلة بعض البيانات الهامة بدلاً من كل شيء ، لإيجاد السبب الجذري من خلال النظر إلى ما حدث.
ووجد أن الهجوم الأصلي ينطوي على إضافة أ كائن السياسة العالمية (GPO) إلى الدليل النشط للمستشفى الذي من شأنه أن يدفع البرامج الضارة إلى الأجهزة بنفس الطريقة التي نشرت بها إصدارات جديدة من التطبيقات ، وهو هجوم “العيش خارج الأرض”. وقد أدى ذلك إلى تحسين تأهبها ، بما في ذلك التخطيط الذي ستجلبه عندما تعرضت لهجوم آخر بالإضافة إلى مراقبة أفضل للاتصالات الجانبية “الشرق والغرب” بين الأجهزة على شبكتها الخاصة (على عكس “الشمال والجنوب” من وإلى الإنترنت).
يقول بليك إن الاعتماد على استمرارية العمل والتعافي من الكوارث وحده ، بدلاً من التحقيق في المشكلة وحلها ، أمر شائع للغاية. في بعض الحالات ، يرجع ذلك إلى أن كبير موظفي أمن المعلومات غير مدرك لهجوم فدية لأن قسم تكنولوجيا المعلومات لا يبلغ عن ذلك ، لذلك لا يؤدي إلى استجابة.
يقول: “تحتفظ CISO بسلسلة المرحاض لأنها حادثة إلكترونية ولكن يتم توفير كل السباكة من أجل الانتعاش”.
بناء مرة أخرى أقوى
في بعض الحالات ، ستعزز المنظمات مرونتها بعناية بعد هجوم. هذه بالتأكيد هي الطريقة التي تقدم بها Marks & Spencer مقاربتها ، مع قسم الحوادث الإلكترونية في بيانه التجاري في مايو قائلاً: “نحن نسعى لتحقيق أقصى استفادة من الفرصة لتسريع وتيرة تحسين تحولنا التكنولوجي ووجدنا طرقًا جديدة ومبتكرة للعمل”.
يقول Daryl Flack ، الشريك في مزود خدمة الأمن المدارة Avella ، إنه عمل مع مزود كبير لـ NHS على إعادة البناء بعد هجوم فدية ، مضيفًا: “كان عليهم إعادة بناء كل شيء من نقطة الصفر”.
على الرغم من أنها اتخذت ترتيبات مؤقتة ، فقد عمل مقدم الرعاية الصحية لمدة عام مع Avella على نقل العديد من الأنظمة إلى بيئة سحابية ، لتحل محل الأنظمة المحلية التي تعرضت للهجوم. يقول فلاك إن الأمر استغرق وقتًا وجهد في نقل العديد من المتخصصين ، وفي بعض الحالات ، فإن تطبيقات الشيخوخة على استضافة السحابة بطريقة آمنة ، لكن الخطوة يجب أن تزيد بشكل كبير من مرونة المزود. إنه الآن يتقسم تطبيقات وأجهزة مختلفة.
يقول: “إذا أرادوا التعرض للخطر ، فإن الحد من هذا التسوية سيكون هذا الجهاز”. “إنه التصنيف الدقيق – هذا يعني أن نصف قطر الانفجار للعدوى يتوقف عند مضيف واحد ، لا ينتشر في بيئتك الخاصة. “
نجح هجوم الفدية الذي أدى إلى العمل من خلال إيجاد المهاجمين نقطة دخول ضعيفة ومن ثم التحرك أفقياً في أنظمة المؤسسة للحصول على مزيد من الامتيازات-وهو أمر يهدف النهج السحابي المقطوع إلى جعل أكثر صعوبة. ويضيف Flack أن المزود قام أيضًا بتحسين مراقبة الأمن وخدمات النسخ الاحتياطي والتخطيط للهجمات المستقبلية.
كما هو الحال مع زملائه الخبراء ، يقول فلاك إن المنظمات بحاجة إلى افتراض أن المهاجمين السيبرانيين سيدخلون ويخططون وفقًا لذلك. يقول: “لا يمكنك دائمًا هزيمة الأشرار”. “عليك للتو التأكد من أنك تستطيع التراجع بسرعة إذا حدث شيء سيء.”
