الكشف عن فجوة المعرفة في مجال الأمن السيبراني في مجالس الإدارة الهولندية

هولندا هي التحضير لتنفيذ توجيه NIS2، الذي سيجعل المديرين التنفيذيين في مجالس الإدارة مسؤولين شخصيًا عن حوادث الأمن السيبراني. وفي حين انقضى الموعد النهائي الأوروبي في أكتوبر 2024، فقد تم تأجيل التنفيذ الهولندي حتى أوائل عام 2026 وحتى منتصفه.

ومع ذلك، وفقا ل بيبي فان دن بيرجيقول أستاذ حوكمة الأمن السيبراني في جامعة ليدن، إن هذا التشريع سيخلق عدم تطابق جوهري: فهو يضع المسؤولية على عاتق المديرين التنفيذيين الذين يفتقرون إلى البنية التحتية المعرفية اللازمة لإجراء تقييمات مستنيرة للمخاطر.

لاحظ فان دن بيرج تحولاً واضحاً في مواقف مجالس الإدارة خلال العقد الماضي. وبينما كان المسؤولون التنفيذيون يرفضون الأمن السيبراني باعتباره مسألة فنية من الأفضل تفويضها لموظفي تكنولوجيا المعلومات، فإنهم الآن يعترفون عالمياً بأهميته الاستراتيجية.

وترى أن المشكلة هي أن هذا الوعي لم يُترجم إلى فهم حقيقي. تدرك مجالس الإدارة الآن أن الأمن السيبراني أمر بالغ الأهمية ولكنها تفتقر إلى المعرفة اللازمة لتقييم ما إذا كانت مؤسساتها تديره بفعالية.

التركيز على التهديد في غير محله

عندما يُسألون عن مخاوفهم الأساسية المتعلقة بالأمن السيبراني، يشير المسؤولون التنفيذيون الهولنديون باستمرار إلى الجهات الحكومية باعتبارها مصدر قلقهم الأكبر – بغض النظر عما إذا كانوا يديرون بلدية، أو شركة كبرى، أو شركة صغيرة.

يرى فان دن بيرج نفس النمط في جميع أنواع المنظمات. وسواء تحدثت مع السلطات البلدية أو الشركات الكبرى أو الشركات الصغيرة، فإن المديرين التنفيذيين يحددون باستمرار الهجمات التي ترعاها الدولة باعتبارها مصدر قلقهم الأساسي.

قال فان دن بيرج: “عندما أسألهم لماذا يعتقدون أن منظمتهم ستكون هدفًا محددًا، لا يمكنهم تفسير ذلك حقًا”. “إنها تظهر في الأخبار باستمرار، لذا يفترض الجميع أنها أكبر تهديد لهم أيضًا.”

وقال فان دن بيرج إن التركيز الإعلامي المستمر على العمليات السيبرانية الروسية والصينية قد خلق مشكلة إدراك التهديد. واستخدمت مثالاً واضحاً: “إذا كنت تدير مصنعاً لخبز الزنجبيل، فهل أنت حقاً هدف لهجمات ترعاها الدولة؟ لا أعتقد ذلك. ولكن هذا ما يقلق الجميع”.

والنتيجة هي سوء تخصيص ميزانيات الأمن السيبراني. تستثمر المنظمات في الدفاعات ضد الجهات الحكومية المتطورة، في حين تهمل التدابير الأمنية الأساسية التي من شأنها أن تحميها فعليًا من التهديدات التي تواجهها.

مشكلة البيانات الأساسية

ينبع جزء من التحدي من الاختلاف الأساسي بين تقييم مخاطر الأمن السيبراني والأنواع الأخرى من إدارة المخاطر. وقارنها فان دن بيرج بإدارة مخاطر الفيضانات، حيث تمتلك السلطات الهولندية عقودًا من البيانات عن مستوى سطح البحر، وأنماط العواصف، وقدرات النمذجة.

وقالت: “لذا، أثناء العاصفة، عندما تحدث أشياء مختلفة، يمكنك وضع نموذج معقول لما ستفعله المياه”. “فيما يتعلق بالإنترنت، هناك عدة اختلافات جوهرية – أحدها، أنك لا تملك البيانات.”

إن بيانات الحوادث السيبرانية مجزأة في جميع أنحاء العالم، وغالباً ما تكون مملوكة لشركات الأمن السيبراني أو يتم حجبها من قبل المنظمات المعنية بالإضرار بالسمعة. وحتى في حالة وجود البيانات، فإن مشهد التهديد يتطور بسرعة كبيرة بحيث تكون للأنماط التاريخية قيمة تنبؤية محدودة.

وقال فان دن بيرج: “الأشياء التي كانت تمثل مشكلة كبيرة قبل خمس سنوات لم تعد تمثل مشكلة. تتغير مساحات الهجوم، ويتغير المهاجمون، وتتغير تكتيكات الهجوم، وتظهر أنواع جديدة تمامًا من الهجمات”. “تمامًا كما بدأنا في فهم شيء ما ولدينا بيانات كافية عنه، فقد وصلنا بالفعل إلى الشيء التالي.”

والفرق الأساسي الثاني: على عكس البحر، فإن الخصوم السيبرانيين يتصرفون بنية. “كثيرًا ما نتعامل مع ممثلين يحاولون عمدًا إفساد الأمور. ولن يتبعوا نمطًا يمكن التنبؤ به، لأنه بمجرد أن يصبح متوقعًا، سيتم القبض عليهم”.

فجوة المسؤولية المعرفية

يرى فان دن بيرج أن شيكل 2، على الرغم من حسن النية، يضع العبء في المكان الخطأ. وقالت: “كان من الممكن إبعاد العديد من هذه المشكلات عن مجالس الإدارة إذا كانت المنتجات والخدمات أفضل”.

“نحن نجعل الكثير من الأشخاص مسؤولين، والذين يحتاجون جميعًا إلى التدريب، ويحتاجون جميعًا إلى التفكير فجأة في التحديات التي يجلبها هذا، ولا يمكنهم دائمًا الإشراف عليها بشكل صحيح. وهم محقون في ذلك، لأنهم لا يعملون في مجال الأمن الرقمي.”

وتشير إلى النظام البيئي الأوسع من ضعف الأمن حسب التصميم. “نحن جميعا نستخدم أنظمة وبرمجيات من مجموعة محدودة من الموردين لنحو 90٪ إلى 95٪ من الأشياء التي نقوم بها يوميا. وإذا تمكنت من إقناع هؤلاء الموردين ــ من خلال التشريعات، ولكن أيضا من خلال الدبلوماسية وغيرها من التدابير ــ بتحمل مسؤوليتهم عن جعل الأمور أكثر أمانا بشكل أساسي عند المصدر، فإن هذا يعني أن قدرا كبيرا من المشاكل تختفي بالنسبة للمستخدمين النهائيين”.

ومع توقع التنفيذ في عام 2026، فإن مسألة كيفية قيام المديرين التنفيذيين في مجالس الإدارة بتثقيف أنفسهم بشكل مناسب تصبح ملحة. سوف يحملهم NIS2 المسؤولية الشخصية عن إخفاقات الأمن السيبراني، ومع ذلك تساءل فان دن بيرج عما إذا كان الاستعداد المناسب ممكنًا نظرًا لتعقيد واتساع المجال.

تقدم الحكومة الهولندية الدعم من خلال وكالات مثل المركز الوطني للأمن السيبراني، والذي يقدم المشورة وقدرات الاستجابة للحوادث. لكن فان دن بيرج يحدد فجوة خطيرة في التعليم المنهجي على مستوى مجلس الإدارة.

“إذا حملت الناس المسؤولية عن الأضرار وقلت: “كان ينبغي عليك أن تعرف هذا”، فإن السؤال هو كم عدد الكتب التي كان ينبغي عليهم قراءتها؟” قالت. “إنها معقدة للغاية، وكبيرة للغاية، والعديد من التحديات. هناك الكثير من المخاطر.”

تجاوز المخاطر

وقد دعت فان دن بيرج إلى تحول جوهري من إدارة المخاطر التقليدية إلى ما أسمته “التفكير المخفف” ــ بناء طبقات وقائية تعمل ضد أنواع متعددة من التهديدات في وقت واحد بدلا من محاولة التنبؤ بالمخاطر المحددة التي سوف تتحقق.

يعتمد هذا النهج على تشبيه: باب النار لا يحمي من الحريق فقط. أثناء الفيضان، سوف يحجز الماء لبعض الوقت. ضد الدخيل، فإنه يوفر حاجزا آخر. إجراء واحد له تأثيرات وقائية متعددة.

قال فان دن بيرج: “أنت تحرر نفسك من الاضطرار المستمر إلى التفكير في التهديد الأكبر الذي يواجهك”. “بدلاً من ذلك، عليك أن تسأل عن كيفية ترتيب الأشياء بحيث تحتوي على أكبر عدد ممكن من الوسائد حول المؤسسة لاستيعاب التأثير، مهما كان شكله.”

لكن المرونة التنظيمية الفردية لم تعد كافية. وقالت: “اعتادت المنظمات على القيام بذلك من تلقاء نفسها، قائلة: لدينا كل هذه الوسائد، ونحن بخير”. “ولكن بعد ذلك يتبين أن هناك كل هذه الاتصالات مع الموردين والعملاء، وهناك نقاط ضعف في تلك الاتصالات. لذا، عليك أن تفكر في هذا الأمر من منظور الشبكة باعتباره الطريقة الوحيدة الممكنة لتصحيح العوائق التي تواجهك.”

وهذا يعني أيضًا إعادة التفكير في التوازن بين الوقاية والكشف والاستجابة والحوكمة، وقال فان دن بيرج: “يجب أن تكون أنماط الاستثمار أكثر توزيعًا. ليس فقط على جانب الوقاية، ولكن أيضًا على الكشف، وكذلك على الاستجابة، وكذلك على الحوكمة في كل شيء، وكذلك على التعلم من الحوادث”.

إن التأخير في التنفيذ الهولندي يوفر فرصة سانحة ــ ولكن فقط إذا تم استغلال هذا الوقت لبناء البنية الأساسية الداعمة التي يحتاجها المسؤولون التنفيذيون. وبدون ذلك، حذر فان دن بيرج، من أن NIS2 يخاطر بأن يصبح مربع اختيار آخر للامتثال بدلاً من أن يكون محركًا لتحسين الأمان الحقيقي.

وقالت: “إننا نجعل الناس مسؤولين عن شيء لا يمكنهم الإشراف عليه بشكل أساسي”. “وهذا أمر مبرر فقط إذا أعطيناهم في نفس الوقت الأدوات اللازمة للقيام بالمهمة التي نطلبها منهم.”

والبديل هو إطار تنظيمي يعاقب المديرين التنفيذيين على الإخفاقات المتأصلة في سلسلة التوريد التي لا يمكنهم السيطرة عليها، والتسلح بمعلومات استخباراتية عن التهديدات التي لا يمكنهم تفسيرها على النحو الصحيح، والدفاع ضد المخاطر التي لا يمكنهم تقييمها بدقة. قد ينقل نظام NIS2 المسؤولية إلى مجلس الإدارة، لكن المساءلة بدون القدرة تؤدي ببساطة إلى إعادة توزيع المشكلة بدلاً من حلها.