“يجب على المهاجمين فهم الأمر بشكل صحيح مرة واحدة فقط”: كيف اقتحم الأمن السيبراني غرفة الاجتماعات

بعد ثلاثة أيام من تعيينه لإدارة مجموعة البرمجيات الأمريكية SolarWinds ، تلقى Sudhakar Ramakrishna مكالمة يخشى أي رئيس تنفيذي.

كان المستشار العام للشركة يحذره من اكتشاف برامج ضارة في التحديثات التي تم إرسالها إلى آلاف العملاء في القطاعين الخاص والعام.

يتذكر المدير التنفيذي التكنولوجي المخضرم قائلاً: “كان رد فعلي الأول هو الفضول حقًا”. “بدأت أتخيل ما كان يمكن أن يحدث.”

لم يكن من المقرر أن يتولى راماكريشنا زمام الأمور حتى الشهر التالي ، ولكن نظرًا لخطورة الهجوم ، وهو جزء من حملة تجسس إلكترونية ألقت الحكومة الأمريكية باللوم عليها لاحقًا على روسيا ، فقد تم تعيينه سريعًا في مجلس إدارة شركة SolarWinds حتى يتمكن من تلقي التحديثات اليومية . في غضون أيام ، كان يراجع أولوياته العشر الأولى لوظيفته الجديدة لمراعاة الظروف المتغيرة جذريًا.

قلة من الرؤساء التنفيذيين يواجهون مثل هذه المعمودية الإلكترونية للنار ، الأمر الذي دفع الولايات المتحدة إلى تشكيل فريق عمل رفيع المستوى لتنسيق استجابتها. حتى أقل من ذلك سوف يستجيب ببرودة. بالنسبة للقادة ، تبدو الهجمات الإلكترونية “أكثر شخصية (و) عاطفية” من الأزمات الأخرى ، وفقًا لمايكل سميتس ، أستاذ الإدارة في كلية سعيد للأعمال بجامعة أكسفورد.

حتى الهجوم المزعوم يمكن أن يدفع المديرين التنفيذيين إلى حافة الهاوية. يدير بيت الأمن السيبراني في لوكسمبورغ تمرينًا مكثفًا لمدة ساعة لقادة الأعمال ، يُسمى Room # 42 ، لتعزيز المرونة في مواجهة التهديدات الإلكترونية. يقول باسكال شتايتشن ، الذي يدير وحدة المرونة الإلكترونية ، إن المسؤولين التنفيذيين “فقدوا السيطرة” مرتين ، حتى أنهم يصرخون على زملائهم.

قد تعكس مثل هذه الردود فجوة مكشوفة في تقرير حديث أعده سميتس وآخرون لشركة Istari ، شركة إدارة المخاطر الإلكترونية المملوكة لشركة Temasek السنغافورية. قال جميع الرؤساء التنفيذيين الـ 37 الذين تمت مقابلتهم من أجل الدراسة إن المسؤولية توقفت معهم بشأن الأمن السيبراني ، لكن ما يقرب من ثلاثة أرباعهم كانوا غير مرتاحين لاتخاذ قرارات بشأن ذلك.

ما هو واضح هو أن التهديد آخذ في الازدياد. منذ اختراق SolarWinds لعام 2020 – الذي يطلق عليه اسم Sunburst – نجح المتسللون في قطع اتصال شبكة خط أنابيب كولونيال مع طلب فدية ، مما أدى إلى نقص البنزين في أجزاء من الولايات المتحدة ، وخرق الأنظمة الداخلية لصحيفة The Guardian ، وأجبر البريد الملكي البريطاني على تعليقه مؤقتًا الخدمات البريدية الدولية. هذا الشهر ، حذرت USS – أكبر خطة معاشات تقاعدية للقطاع الخاص في المملكة المتحدة – من أن البيانات الشخصية لحوالي 470،000 عضو قد تكون قد تعرضت لهجوم إلكتروني على مجموعة Capita للاستعانة بمصادر خارجية.

كما يشير الخبراء ، القرصنة خطر غير متماثل. تقول كيلي ريتشديل ، مديرة مجلس الإدارة ومستشار الأمن السيبراني: “يجب على المهاجمين فقط فهم الأمر بشكل صحيح مرة واحدة”. يقول Steichen إن جهاز محاكاة لوكسمبورغ – الذي سيبحث عن العيوب في أنظمة الأعمال – مصمم على غرار غرف الهروب الشهيرة ، باستثناء “لا يمكنك الهروب ، يمكنك فقط الفشل”.

يدرك كبار القادة بشكل متزايد أنه إذا لم يكن هناك نظام محمي بالكامل ضد محاولات الانتهاك ، فلا يكفي التركيز فقط على الاستجابات التكنولوجية. يقول الخبراء إن الرؤساء التنفيذيين لا ينبغي أن ينقلوا المسؤولية إلى مسؤول أمن المعلومات الرئيسي ، أو حتى إلى لجنة التدقيق الخاصة بهم. بدلاً من ذلك ، يجب عليهم التعامل مع الهجمات الإلكترونية على أنها قضية استراتيجية ، يجب التعامل معها على أعلى مستوى. يمكن التعامل مع التهديد بشكل صحيح باعتباره مشكلة إدارة مخاطر ، ويمكن أن يكون أيضًا فرصة لتحديد العمليات المهمة استراتيجيًا ، وحتى لتحسين الأعمال ككل.

يقول Ramakrishna من SolarWinds: “إنك تتحسن باستمرار ولكنك لست آمنًا تمامًا”. “أنت لا تعمل من موقف الخوف ، ولكن التعلم المستمر والتحسين المستمر.”

ساعد المنظمون في وضع الأمن السيبراني بقوة على جدول أعمال مجلس الإدارة. تعد لجنة الأوراق المالية والبورصات الأمريكية ، وبنك إنجلترا ، والبنك المركزي الأوروبي من بين المنظمين الذين زادوا تركيزهم على المرونة الإلكترونية في العام الماضي. على سبيل المثال ، سيتطلب اقتراح هيئة الأوراق المالية والبورصات من الشركات العامة الكشف عن خبرة المديرين في مجال الأمن السيبراني “إن وجدت”. “لا يجب أن يكون كل عضو (مجلس إدارة) خبيرًا في المخاطر المالية ، ولكن يجب أن يكون قادرًا على قراءة ورقة انتشار أو حساب الربح والخسارة (P&L) ،” يشير ريتشديل. وبالمثل ، “يجب أن يكون مجلس الإدارة على دراية بأساسيات الهجمات الإلكترونية والمفاهيم الرقمية” – وهو مستوى من المعرفة تقول إنه يفتقر إليه في العديد من الشركات.

إن تحقيق هذا المستوى من الخبرة أو تعيينه أسهل بالنسبة للشركات الأكبر حجمًا ، كما يضيف ميتشل شير من شركة الأمن السيبراني Assured Cyber ​​Protection: “في الشركات متوسطة الحجم ، لا يعرف مجلس الإدارة الأسئلة التي يجب طرحها ولا يعرف خبراء التكنولوجيا ما يجب تقديمه للمجلس “.

هذه الفجوة محفوفة بالمخاطر بشكل خاص لأنه غالبًا ما تكون الشركات الصغيرة والمتوسطة الحجم هي التي تفتح عن غير قصد الباب الخلفي لأهداف أكبر للقراصنة ، من خلال ما يسمى “هجمات سلسلة التوريد”. كان Sunburst مثالًا كلاسيكيًا ، إذا كان معقدًا بشكل خاص ، لأن برنامج SolarWinds قد تم تثبيته من قبل العديد من العملاء (على الرغم من أن الشركة تقدر أن أقل من 100 شركة خاصة وتسع وكالات فيدرالية مستهدفة). وكان الهجوم الآخر هو الهجوم العام الماضي على شركة التأمين الصحي الأسترالية Medibank. هناك ، تمكن المتسللون من الوصول إلى بيانات العملاء باستخدام اسم مستخدم وكلمة مرور مسروقين يستخدمهما مزود خدمة تكنولوجيا معلومات خارجي. قال ريتشديل: “لقد اتسع نطاق (الأمن) السيبراني”.

هذا يضع المشكلة بشكل مباشر على مكتب الرؤساء التنفيذيين ، الذين يتمثل دورهم في الحفاظ على رؤية استراتيجية للمخاطر والفرص التي تغطي شبكة التوريد بأكملها. الرؤساء التنفيذيون ومجالس الإدارة هم أيضًا في وضع أفضل لتقييم مخاطر السمعة. ينصح الخبراء بأن القادة في وضع أفضل من CISOs لتحديد “جواهر التاج” – الأصول المهمة من الناحية الاستراتيجية أو العمليات التي تحتاج إلى أعلى مستوى من الحماية. بالنسبة للفندق ، قد تكون هذه تفاصيل جواز سفر النزلاء ؛ بالنسبة للمنتجع الصحي ، يمكن أن تكون البيانات الصحية للعملاء ؛ بالنسبة للشركة المصنعة ، يمكن أن تكون ملكية فكرية. يتذكر شير أن شركة صينية اخترقت نظام شركة ناشئة تحت غطاء طلب منتجاتها. قام المهاجم بنسخ تقنية الهدف المبتكرة وبدأ في تصنيع وبيع نفس العناصر بربع السعر. بمجرد أن تتعامل الشركات مع المخاطر الرئيسية ، يمكنها التحرك لتغطية أي مخاطر متبقية بالتأمين الإلكتروني.

يقول مانويل هيبر من Istari إن الدفع نحو مزيد من المرونة السيبرانية يمكن أن يوفر أيضًا فرصًا لتبسيط العمليات. قال أحد الرؤساء التنفيذيين لشركة Istari: “جاء رئيس قسم المعلومات للحضور في اجتماع تنفيذي وسألنا عن عدد الخوادم التي اعتقدنا أن الشركة تمتلكها”. “أقل تقدير في الغرفة كان أربعة ، وأعلى 250. الواقع كان أكثر من 4000. كان هذا حافزًا لنا جميعًا لفهم المزيد. أدركنا أننا ننفق الملايين كل عام على هذا النوع من التكنولوجيا ولكننا لا نفهمها حقًا “.

حدد استاري “مفارقة الاستعداد”. الشركات التي قالت إنها في وضع أفضل لتحمل هجوم إلكتروني كانت أقل استعدادًا. قال القادة الذين تعرضت شركاتهم للاختراق بالفعل إنهم تمكنوا من إعادة البناء بشكل أفضل ، وهو ما يشبه سميتس في أكسفورد بالفن الياباني كينتسوجيوإصلاح الفخار المكسور بالذهب.

يقول راماكريشنا إنه أعاد بناء ثقافة SolarWinds على أساس الشفافية والتعاون والتواضع. “لن تكون قادرًا على حل جميع المشكلات بنفسك. قد تحتاج إلى مساعدة المجتمع “. عندما طُلب منه تقديم المشورة إلى المجالس الأخرى ، حثهم على تبني نفس “التحيز للشفافية” الذي تستخدمه SolarWinds ، ومشاركة المعرفة بهجوم إلكتروني مع شبكتهم الأوسع.

إلى أي مدى يمكن التعاون مع المنافسين في أزمة ما هو قرار من المرجح أن يتخذه الرئيس التنفيذي ومجلس الإدارة فقط. معظمهم يخطئون في جانب السرية. يقول Steichen من لوكسمبورغ إن 70 في المائة من تلك الشركات التي قامت بتشغيل محاكاة Room # 42 لا تبحث عن مساعدة خارجية في التعامل مع أزمة إلكترونية. يقول: “شعارنا العام هو:” لا تعاني في صمت “.

شعار SolarWinds هو “آمن حسب التصميم”. يصف راماكريشنا هذا بأنه “مشروع إلى الأبد”. هل يمكن أن يحدث هجوم من طراز Sunburst مرة أخرى؟ يشير Ramakrishna إلى الانتهاكات الأخيرة لشركات “غارقة في الأمان” ، مثل Microsoft ، التي تعرض برنامج البريد الإلكتروني الخاص بها Exchange للهجوم من قبل قراصنة صينيين مفترضين في عام 2021: “يمكن أن يحدث لـ SolarWinds ، لأي شركة أخرى ، بغض النظر عن حجمها ونطاقها وأصولها يقول راماكريشنا. “ما يمكننا فعله هو العمل معًا لتقليل الاحتمالية.”