إنشاء هيئة للأمن السيبراني … مطلب عاجل

من يحرس الحراس؟

الدورالأكبر المطلوب يقع على المشرعين والجهات التنظيمية

الأمن السيبراني يجب أن يوضع على أجندات مجالس الإدارة عاجلا

الدروس المستفادة من حادثة  CrowdStrike

الخطأ البشري الذي تسبب في توقف عالمي يكشف هشاشة العالم الشبكي

 بقلم: عدنان البدر.

باحث ومستشار استراتيجي في سياسة الموارد البشرية وبيئة العمل ورئيس ومؤسس الجمعية الكندية الكويتية للصداقة والأعمال.

في 19 يوليو الماضي، شهد العالم توقفًا مؤقتًا بسبب خطأ تقني هائل وكان السبب الرئيسي هو في تحديث أجرته شركة الأمن السيبراني الأمريكية الكبيرة CrowdStrike  لعملائها من الشركات في وقت مبكر من صباح الجمعة. هذا التحديث تعارض مع نظام التشغيل ويندوز من مايكروسوفت، والمتعلق بمنتج اسمه Falcon Sensor أدى إلى تعطيل الأجهزة وجعلها غير صالحة للاستخدام ومن الطبيعي وبالنظر إلى أن كل مؤسسة كبيرة تقريبًا في العالم تستخدم نظام ويندوز، كانت النتائج متوقعة. ولحسن الحظ، سارع الرئيس التنفيذي لشركةCrowdStrike لطمأنة المتابعين أن الحادثة ليست أمنية؛ أي أنها ليست بسبب اختراق أو برمجية خبيثة. كانت هذه الحادثة نتيجة خطأ بشري وليست هجومًا سيبرانيًا مثل هجوم SolarWinds في عام 2020. ولكن ما غفل عنه الرئيس التنفيذي أن الأمن السيبراني يشمل محاور ثلاثة: السرية Confidentiality والموثوقية Integrity والتوافرية Availability. إن حادثة اليوم تعتبر حادثة أمنية، واعتبار تعطل الأنظمة حدثا مستقلا عن عالم الأمن السيبراني نقاش فقد معناه في العالم الرقمي المتشابك الحالي. إنني أتفهم أن الرئيس التنفيذي أراد مخاطبة عموم الناس لطمأنتهم، إلا أن هذا لا ينفي أن الحادثة أمنية سيبرانية الطابع في الدرجة الأولي.  فمن الواضح أن التحديث من قبل شركة CrowdStrike لم يفحص جيدا قبل تطبيقه على الأجهزة. بعد تطبيقه المتسرع، ظهرت مشاكل تكامل مع نظام تشغيل ويندوز، وتضررت التطبيقات العاملة على الخوادم. فحص التحديثات ضابط رقابي وقائي هام لتلافي حدوث سيناريوهات مشابهة، وهذا كله متصل مع ضوابط التغييرات Change Management وضوابط التعامل مع الجهات الخارجية Third party. واتضح أيضا أن الشركات العالمية الكبري هي أيضا معرضة لضعف الضوابط الرقابية، والصورة المزهرة للناظر من بعيد قد لا تكون واقعا داخليا في كثير من الحالات. تلك الحقيقة لا بد من تذكرها عند التعامل معها، لأن أي إخفاق من جهتها قد يؤثر علي عمليات مهمة مثل المطارات والبنوك والمسستشفيات الخ.. وحادثة اليوم أبرز دليل على ذلك.

فيما يلي الدروس الرئيسية التي يجب تعلمها من هذه الحادثة:

1. هشاشة النظام:

تكشف الحادثة عن مدى هشاشة الأنظمة الشبكية العالمية، حيث يمكن لخطأ واحد من شركة تقنية واحدة أن يسبب اضطرابات كبيرة.  فالحادثة الأخيرة فرصة للتفكير العميق في كيفية تحسين أنظمتنا الشبكية لضمان أنها ليست فقط فعالة ولكن أيضًا قادرة على الصمود أمام التحديات والأعطال. تحقيق هذا التوازن بين الكفاءة والصمود سيسهم في حماية مصالح الأفراد والشركات والمجتمعات على حد سواء، ويضمن استمرارية الخدمات في وجه الأزمات. 

• المخاطر الناجمة عن الأحادية التكنولوجية Industrial consolidation)):

الحادثة الأخيرة تسلط الضوء على هشاشة البنية التحتية الشبكية التي نعتمد عليها بشكل كبير. بينما كان هذا الخطأ نتيجة عامل بشري وليس هجومًا سيبرانيًا متعمدًا، فإن الحادثة تثير العديد من التساؤلات حول المخاطر المجتمعية الناجمة عن التركيز الصناعي(Concentration) في قطاع التكنولوجيا.  حيث يعتبر CrowdStrike  واحدة من أكبر الشركات في سوق الأمن السيبراني، بينما تهيمن مايكروسوفت على سوق الحوسبة التجارية. تعتمد كل مؤسسة كبيرة تقريبًا على نظام ويندوز، وكذلك الحال بالنسبة لمعظم الشركات الصغيرة. هناك ضغوط متزايدة من الحكومات والوكالات والهيئات على الشركات لتحسين أمنها السيبراني وحتي يحدث ذلك بالفعل، فنحن أمام احتمال لعاصفة مماثلة كما شهدنا الأسبوع الماضي.   تشغيل معظم الأعمال على نظام ويندوز يجعل الحوسبة التجارية أشبه بالأحادية الزراعية. قد يكون هذا جيدًا من حيث الكفاءة والتنظيم والإنتاجية والتدريب، ولكنه سيئ من حيث الصمود إذا حدث أي خطأ.

• مسافة وساحة الهجوم:

يزيد التركيز الصناعي (Concentration) أيضًا من “مسافة ومساحة الهجوم” الذي يسعى القراصنة لاستهدافه. إذا كان هناك عدد قليل من الشركات الكبيرة التي تزود وتحدث ملايين أجهزة الحاسوب المكتبية للشركات، فإن تلك(Supply Chain)السلاسل التوريدية تشكل مساحة واسعة جاذبة لاحتمال حدوث تعطيل كبير. أظهر هجوم SolarWinds بوضوح هذا الخطر، حيث تأثرت كبري الوكالات الحكومية الأمريكية الهامة بالإضافة إلى شركات مثل FireEye ومايكروسوفت وإنتل وسيسكو وديليويت.

لذلك فمن الضرورة الملحة تنويع محفظة الأمن السيبراني الخاصة بها وتجنب الاعتماد على بائع واحد أو منصة واحدة، لأن هذا يخلق نقطة فشل واحدة ويقلل من التكرار والمرونة فيجب التنوع في التعاقد مع الشركات، وألا نضع البيض في سلة واحدة وللجهاز المركزي لتكنولوجيا المعلومات الكويتي خبرة يستطيع أن يساعد بها الجهات الحكومية في تسريع الدورة المستندية للشراء حيث يجب أن يكون لدى الجهات الحكومية خطط احتياطية وخطط طوارئ في حالة فشل الخدمة المستندة إلى السحابة، مثل الاستعانة بموفري الأمان البديلين، والنسخ الاحتياطي دون اتصال بالإنترنت، والإجراءات اليدوية.

• إنشاء هيئة للأمن السيبراني National Cybersecurity Authority(الهيئة الوطنية للأمن السيبراني) للتواصل والتعاون بين الأقسام:

في الكويت، إنشاء هيئة للأمن السيبراني مطلب عاجل.  تكون الجهة المختصة في دولة الكويت بالأمن السيبراني، والمرجع الوطني في شؤونه، وتهدف إلى تعزيزه حمايةً للمصالح الحيوية للدولة وأمنها الوطني والبنى التحتية الحساسة والقطاعات ذات الأولوية والخدمات والأنشطة الحكومية. ومن مهامها أن تقوم بتطوير الضوابط الأساسية للأمن السيبراني التي تهدف إلى توفير الحد الأدنى من المتطلبات الأساسية للأمن السيبراني المبنية على أفضل الممارسات والمعايير لتقليل المخاطر السيبرانية على الأصول المعلوماتية والتقنية للجهات من التهديدات الداخلية والخارجية ويكون وفقًا لمؤشر الأمن السيبراني العالمي (CGI). ومن ضمن دورالهيئة للأمن السيبراني الفعال هو تعزيز وتفعيل التعاون بين جميع الجهات مثل الجهاز المركزي لتكنولوجيا المعلومات و هيئة الاتصالات وتقنية المعلومات وجمعيات المجتمع المدني والنفع العام. حيث كشفت حادثة CrowdStrike عن وجود ثغرات في التواصل بين الفرق المختلفة. ودورها الاستراتيجي يضمن إنشاء قنوات وبروتوكولات تواصل واضحة وأن يكون الجميع على دراية بالتهديدات المحتملة ويعرف كيفية الاستجابة. ويمكن أيضا أن تعزز التدريبات المنتظمة والتدريبات على أفضل الممارسات والمعايير لتقليل المخاطر السيبرانية.

• اكتشاف التهديدات والاستجابة في الوقت الحقيقي

كانت إحدى القضايا الأكثر وضوحًا في حادثة CrowdStrike هي التأخير في اكتشاف الحادثة والاستجابة لها. يجب على المؤسسات إعطاء الأولوية لاكتشاف التهديدات في الوقت الحقيقي وأن تكون لديها خطة استجابة للحوادث. تعد أنظمة اكتشاف التهديدات المتقدمة، والمراقبة المستمرة، وبروتوكولات الاستجابة الفورية ضرورية لتخفيف الأضرار.

• تحديث أنظمة الأمان وتشفيرها بانتظام

البرامج القديمة ونقاط الضعف غير المشفرة هي نقاط دخول شائعة للمهاجمين. أكدت قضية CrowdStrike على ضرورة التحديثات المنتظمة والتشفير لجميع الأنظمة. يجب على المؤسسات تنفيذ جدول صارم لتحديث البرامج وضمان تطبيق جميع التصحيحات الأمنية على الفور.

• الاستثمار في أدوات وحلول أمنية متقدمة

لم يعد الاعتماد فقط على الإجراءات الأمنية الأساسية كافيًا. سلطت فضيحة CrowdStrike الضوء على الحاجة إلى أدوات وحلول أمان متقدمة، مثل الذكاء الاصطناعي والتعلم الآلي لاكتشاف التهديدات، وتقنيات التشفير، والمصادقة متعددة العوامل. يمكن للاستثمار في البنية التحتية الأمنية المتطورة أن يعزز الحماية بشكل كبير.

• الشفافية والتواصل الفوري أثناء حدوث اختراق

الشفافية أمر بالغ الأهمية عندما يحدث اختراق للبيانات. أدى التأخير في تواصل CrowdStrike بشأن الحادثة إلى الارتباك وانعدام الثقة. يجب أن يكون لدى المؤسسات استراتيجية تواصل واضحة تشمل تحديثات فورية وشفافة لأصحاب المصلحة والموظفين والأفراد المتأثرين. هذا يبني الثقة ويسمح باستجابة منسقة. وهنا تأتي أهمية إنشاء هيئة للأمن السيبراني

• سياسات حماية البيانات الشاملة

وجود سياسات حماية بيانات شاملة أمر ضروري. يجب أن تغطي هذه السياسات جميع جوانب أمان البيانات، من جمع البيانات وتخزينها إلى التحكم في الوصول والاستجابة للاختراقات. تضمن المراجعات والتحديثات المنتظمة لهذه السياسات أن تظل فعالة ضد التهديدات المتطورة. يجب أن يكون الموظفون على دراية جيدة بهذه السياسات من خلال التدريب المستمر.

1.  الأمن السيبراني على أجندات مجالس الإدارة:

حادثة CrowdStrike تذكير جيد أن الأمن السيبراني لا بد أن يكون على أجندات مجالس الإدارة عموما، وتلك المخاطر نقاشها ومراقبتها يبدأ من اجتماعات مجالس الإدارة ولا أن تبقى حبيسة مكاتب الإدارة التنفيذية أو فرق العمل.

حادثة اليوم ناقشتها جل الوسائل الإعلامية على سطح الكوكب، والرئيس التنفيذي لشركة CrowdStrike تصدى للمشهد، واضطربت أسعار الأسهم، والخسائر بالملايين إن لم تكن مليارات. ذاك الخطر الجوهري لا يستوي استثناؤه من أجندات مجالس الإدارة.️

1. التحسين المستمر والتكيف:

يتطور مشهد الأمن السيبراني باستمرار، ويجب أن تتطور كذلك استراتيجيات الأمان في البلد والمؤسسة علي حد سواء. تذكرنا حادثة CrowdStrike بأن التحسين المستمر والتدريب والتكيف هما الأساس. تعد عمليات التدقيق الأمني المنتظمة وتقييمات المخاطر والبقاء على اطلاع بأحدث التهديدات والتقنيات ضرورية للحفاظ على وضع أمني قوي.

الخاتمة

تعد حادثة CrowdStrike تذكيرًا صارخًا بأهمية اتخاذ إجراءات قوية للأمن السيبراني واستراتيجيات حماية البيانات الاستباقية. من خلال التعلم من أوجه القصور التي ظهرت في هذه الحادثة، يمكن للمؤسسات العامة والخاصة تعزيز دفاعاتها، وتحسين التواصل والتعاون، وضمان أمان وخصوصية بياناتها. سيساعد تنفيذ هذه الدروس في منع حدوث اختراقات مماثلة في المستقبل وبناء ثقافة الأمان والثقة داخل الدولة والمؤسسة.  في العصر الرقمي الحالي، أصبحت المخاطر أعلى من أي وقت مضى. من الضروري أن نتعلم من هذه الدروس ونلتزم بالتحسين والتدريب المستمر في ممارساتنا الأمنية السيبرانية. جزء كبير من المراقبين اليوم علم عن شركة CrowdStrike للمرة الأولى بسبب الحادثة، وربما تفاجأوا من مدى تغلغلها في مجمل الشركات. لعل القضية الأهم تذكر أن نقاط الفشل موجودة بكثرة في عالم الإنترنت، وجلها غير معلوم لدى عموم الناس.  الموقف الذي نحن بصدده اليوم أن شركات تقنية بعينها باتت تتحكم بالمشهد التقني العام، وإن هي أصيبت بعارض ما، صاح معها العالم بأجمعه. قد لا يكون هناك ما يمكن عمله كثيرا من قبل المستخدم العادي، والدور الأكبر على المشرعين والجهات التنظيمية. سيناريو تعطل الإنترنت كليا في يوم ما ليس مستبعدا، وإن كان احتمالية حدوثه قليلة، إلا أنه ممكن. وإن حدث، التأثيرات ستكون كارثية على كل صعيد.