هل الشفافية الجذرية هي أفضل سلاح في الحرب السيبرانية للشركات؟
ابق على اطلاع بالتحديثات المجانية
ببساطة قم بالتسجيل في الأمن الإلكتروني myFT Digest – يتم تسليمه مباشرة إلى صندوق الوارد الخاص بك.
قد يكون هذا هو المثال النهائي لصياد رقمي تحول إلى حارس ألعاب. بعد أن هاجمت عصابة برامج الفدية AlphV/BlackCat شركة MeridianLink الشهر الماضي، قرر المتسللون أن شركة البرمجيات لم تمتثل لقواعد هيئة الأوراق المالية والبورصة الجديدة للكشف عن الحوادث السيبرانية. لذلك أبلغوا الجهة التنظيمية بهذا الفشل، ونشروا صورة للنموذج حيث سلطت العصابة الضوء على هذه “المسألة المثيرة للقلق”.
ومع ذلك، فقد أخطأ المتسللون. القواعد، التي تتطلب من الشركات إصدار ملف عام في غضون أربعة أيام من تحديد حادث الأمن السيبراني “المادي”، لن تدخل حيز التنفيذ حتى منتصف ديسمبر.
لكن هذه الخطوة جذبت الانتباه بالتأكيد: “بقدر ما كنا نجري مناقشات حول ما إذا كانت هذه القاعدة تضيف أداة أخرى إلى صندوق أدوات المتسللين، فإن هذا يجعل الأمر واضحًا للغاية”، كما يقول إيريز ليبرمان، الشريك في شركة المحاماة. ديبيفواز وبليمبتون. “لقد وضعت هيئة الأوراق المالية والبورصات المتسللين في مقعد القيادة.”
تعمل اللوائح الجديدة على توسيع حدود ما هو متفق عليه عمومًا باعتباره أفضل الممارسات في المجتمع السيبراني: حيث تعتبر الشفافية الأكبر سلاحًا مهمًا ضد هجمة مجرمي الإنترنت. ارتفع العدد المعروف للهجمات السيبرانية بنسبة 75 في المائة على مدى السنوات الخمس الماضية، وفقا لشركة إي واي. كانت تكلفة هجمات برامج الفدية البالغة 20 مليار دولار في عام 2021 أعلى 57 مرة مما كانت عليه في عام 2015. ومن المتوقع أن ترتفع مرة أخرى إلى 265 مليار دولار بحلول عام 2031، وفقًا لشركة Cybersecurity Ventures.
على الرغم من هذه الزيادة في النشاط الإجرامي، لا تزال العديد من الشركات لم تقم بما يعادل قفل الأبواب والنوافذ، والعديد من مجالس الإدارة لا تعرف ما يكفي لتتساءل عن السبب. أقل من 70 في المائة من الشركات المدرجة في قائمة فورتشن 100 تستشهد بخبرة الأمن السيبراني في السيرة الذاتية لمدير واحد على الأقل. وقال 16 في المائة فقط إن إدارة المخاطر لديهم شملت عمليات محاكاة أو اختبار استجابتهم للإصابة. يقول أحد صناع السياسة الأمريكيين السابقين: “إنه يذهلني تماما أننا نستمر في عدم القيام بالأساسيات”. “إذا كانت الشركات تقوم بالنظافة السيبرانية الأساسية ولديها نسخة احتياطية ذكية، فمن المؤكد أنك لن تمر بيوم سيئ حقًا”.
وقد أثارت قواعد هيئة الأوراق المالية والبورصات القلق، بما في ذلك من جانب غرفة التجارة الأمريكية. إن عتبة الإفصاح البالغة أربعة أيام تشكل تحدياً كبيراً، وسوف تحتاج إلى إنفاذ معقول: نظراً للشكوك (والذعر العام) بعد أن يصبح الانتهاك الكبير معروفاً، فإن الإفصاحات قد تكون جزئية أو يتم تعديلها بشكل متكرر مع التأكد من الحجم أو الخطورة. ويرى المستشارون أيضاً أن القلق بشأن الإعلانات يمكن أن يصرف الانتباه عن احتواء حادث ما، وأن الاعتراف بأن الاختراق أمر “مادي” يمنح السلطة للمهاجم.
ومع ذلك، فإن الزخم العالمي يتجه نحو تبادل المعلومات من أجل النظام. وفي المثال الأكثر تطرفا، يعود الفضل إلى الشفافية الجذرية والتعاون بين القطاعين العام والخاص في المساعدة على احتواء الهجمات السيبرانية في أوكرانيا منذ اندلاع الحرب مع روسيا.
وكانت الحكومات بشكل عام بطيئة للغاية في الإصرار على تبادل المعلومات لبناء صورة كاملة عن الجرائم السيبرانية، والأهم من ذلك، تقديم دعم غير قضائي للشركات لإدارة الهجمات أو احتواء الضرر. قامت الولايات المتحدة والاتحاد الأوروبي بتوسيع متطلبات الإبلاغ عن الحوادث إلى السلطات في القطاعات التي تعتبر بنية تحتية حيوية. واقترحت أستراليا الشهر الماضي توسيع ما يعادلها عبر الاقتصاد بأكمله.
جزئيًا، قد تحاول سياسات الإفصاح تثبيط دفعات برامج الفدية، عن طريق إزالة خيار كتابة شيك (أو تسليم بعض العملات المشفرة) وجعلها تختفي بهدوء. وفي مجال الخدمات المالية، التي تميل إلى أن تقود الطريق، تشترط الهيئة التنظيمية في ولاية نيويورك الآن على الشركات إخطارها وتبريرها عند سداد أموال الابتزاز.
السرية، في نهاية المطاف، لا يمكن أن تساعد. ويرى سياران مارتن، الرئيس السابق للمركز الوطني للأمن السيبراني في المملكة المتحدة، تشابها مع قواعد حماية البيانات في أوروبا: “على الرغم من كل عيوبها، فقد انتزع القانون العام لحماية البيانات حقا مثيرا للإشكالية للغاية لإخفاء مشكلة، وكان هذا أمرا جيدا”. تستخدم الولايات المتحدة بشكل متزايد المعلومات التي تتلقاها طوعا لإصدار تحذيرات عامة، كما فعلت الشهر الماضي بناء على تقرير من شركة بوينغ حول خطأ Citrix Bleed. تأخذ قواعد هيئة الأوراق المالية والبورصات هذه الخطوة إلى الأمام من حيث مدى سرعة تنبيه المستثمرين والعملاء والموردين إلى المخاطر الجديدة.
على أقل تقدير، فإن الحاجة إلى فهم الهجوم السيبراني بسرعة، والحكم على مدى خطورته، ومن ثم الاتفاق على الكشف الذي يحتمل أن يكون محرجا، تعمل على تحويل تخطيط الشركات حول كيفية التعامل مع الحوادث، كما يقول المستشارون. وينبغي لهذا أن يشجع على زيادة التركيز والاستثمار في المرونة، فضلا عن ضمان الشعور بالمخاوف السيبرانية بشكل واضح وفهمها جيدا في أعلى الشركات. وهو بالطبع ما كان ينبغي أن يكون منذ بعض الوقت.
helen.thomas@ft.com
