أوضح هجوم برنامج الفدية Colonial Pipeline مدى تعرض البنية التحتية الحيوية لأمريكا لخرق أمني. جذب نقص الوقود وارتفاع الأسعار انتباه الناس.
زادت خروقات البيانات بأكثر من الضعف خلال العقد الماضي. استغلت الهجمات الإلكترونية الأخيرة حالة "المورد الموثوق به" لشركة SolarWinds و Microsoft Exchange ، من بين شركات أخرى ، وأثارت مخاوف على أعلى المستويات في الحكومة والقطاع الخاص.
تزداد المخاطر فقط لأن إنترنت الأشياء يجعل كل شيء أكثر ارتباطًا وأصبحنا جميعًا أكثر اعتمادًا على التقنيات التي تدعم 5G. ما الذي يتم فعله لمنع الهجمات الإلكترونية - وهل يكفي؟
في الشهر الماضي ، أصدر الرئيس جو بايدن أمرًا تنفيذيًا لبدء تطوير متطلبات أمان أساسية إلزامية للوكالات الحكومية والشركات التي تتعامل معها. ينص الأمر على أن الحكومة الفيدرالية يجب أن تتعاون مع القطاع الخاص ومع المعهد الوطني للمعايير والتكنولوجيا ( NIST ) لتطوير وتنفيذ نموذج عدم الثقة الذي "يقضي على الثقة الضمنية في أي عنصر أو عقدة أو خدمة واحدة وبدلاً من ذلك يتطلب التحقق المستمر "من مصادر متعددة.
المزيد من أجلك
لماذا لم توافق إدارة الغذاء والدواء الأمريكية بالكامل على أي لقاحات لـ Covid-19 حتى الآن؟
ما مدى جودة لقاحات Covid-19 في الحماية من متغير دلتا؟
لماذا يعتقد هذا الرئيس التنفيذي أن المحادثات حول الكود ستصبح (في الغالب) عفا عليها الزمن في المستقبل القريب
على سبيل المثال ، سيتعين على الوكالات الفيدرالية الآن تنفيذ مصادقة متعددة العوامل وتشفير البيانات "في حالة الراحة أو أثناء النقل" للحماية من الوصول غير المصرح به.
هذه خطوات مهمة ، لكنها تمثل حقًا الحد الأدنى الذي يجب أن تفعله الشركات.
بعض جوانب الأمر التنفيذي واعدة للغاية. على سبيل المثال ، تخطط الحكومة لإطلاق برامج تجريبية لتثقيف الجمهور حول أمان البرمجيات المباعة للحكومة. إنه يشبه إلى حد ما Yelp للبرامج الحكومية ، حيث يوفر معلومات حول ما إذا كان المنتج يستحق الثقة.
هذا شيء دافع عنه الكثير منا لسنوات ، ليس فقط للمقاولين الحكوميين ولكن لجميع الشركات. نظرًا لتطور الجهات الفاعلة السيبرانية الخبيثة ، فنحن بحاجة إلى طريقة موضوعية وشفافة لمعرفة ما إذا كانت الشبكات ومنتجات الجهات الخارجية مرنة وآمنة قدر الإمكان. مثلما توجد مبادئ محاسبة مقبولة بشكل عام ، يجب أن يكون هناك إطار عمل مماثل للأمن السيبراني. يجب أن نتحرك نحو جعل عمليات تدقيق الأمن السيبراني وحماية البيانات هي المعيار للحكومة والبنية التحتية الحيوية والشركات المتداولة علنًا.
بالنسبة للمنتجات والمكونات الهامة ، نحتاج إلى برامج مطابقة واختبار مستقلة تغطي مشهد التهديدات السيبرانية للتأكد من تلبية المتطلبات. نهج عدم الثقة الذي تروج له حكومة الولايات المتحدة هو خطوة نحو التحقق المستمر من الموردين والمنتج. على سبيل المثال ، يتحقق باستمرار من النشاط بحثًا عن العلامات الحمراء ، مثل ما إذا كان يتم الوصول إلى المعلومات من عنوان IP غير معروف. هذا بالتأكيد يتحرك في الاتجاه الصحيح.
لكن هذه المتطلبات تنطبق فقط على الوكالات والشركات الفيدرالية التي تتعامل معها. بالنسبة للشركات التي لا تتعامل مع الحكومة ، فهي مجرد إرشادات.
ما لم يتم دمجها في المشتريات أو غيرها من المتطلبات التعاقدية ، فهي غير قابلة للتنفيذ.
من الناحية المثالية ، يجب على كل مؤسسة أن تسعى جاهدة لتلبية المعايير المعمول بها وأفضل الممارسات الصناعية بشفافية. على سبيل المثال ، يجب على كل مؤسسة استخدام أداة لتحليل المخاطر مثل إطار عمل الأمن السيبراني الذي طوره المعهد القومي للمعايير والتقنية (NIST). سيساعدهم ذلك على فهم موقفهم من المخاطر ويساعدهم في توجيه مسارهم إلى موقف مخاطر أكثر ملاءمة ، بالنظر إلى أهداف أعمالهم وبيئتهم. سيكون من الرائع أن تطلب هيئة الأوراق المالية والبورصات من الشركات المتداولة علنًا تبني هذه الممارسة.
تحاول حكومة الولايات المتحدة أيضًا تعزيز تبادل المعلومات بشكل أفضل بين الشركات الخاصة والوكالات الفيدرالية. سيتعين على أي شركة تتعاقد مع الحكومة الآن الكشف عن الحوادث الإلكترونية المهمة. أوضح وزير الأمن الداخلي أليخاندرو مايوركاس بعد حادثة SolarWinds: "تعرضت حكومتنا للاختراق العام الماضي ، ولم نكن نعرف عنها منذ شهور" . ومضى ليشرح قائلاً: "لم يحدث ذلك حتى تم اختراق واحدة من أفضل شركات الأمن السيبراني في العالم وإبلاغ الحكومة بأننا اكتشفنا ذلك. هذه الحادثة هي واحدة من العديد من الحوادث التي تؤكد على حاجة الحكومة الفيدرالية لتحديث دفاعات الأمن السيبراني وتعميق شراكاتنا ".
من خلال مشاركة المعلومات بشكل أفضل وفي الوقت المناسب حول الحوادث الإلكترونية ، قد تكون حكومة الولايات المتحدة وخبراء آخرون أكثر قدرة على اكتشاف النشاط الضار وإحباطه. على سبيل المثال ، مع زيادة الوعي بما كان يحدث للأقسام المختلفة التي قامت بتنزيل تحديثات برامج SolarWinds ، ربما تكون السلطات قادرة على تحديد أنماط النشاط غير المنتظمة ، وتحديد أنها ربما تكون ضارة واتخاذ خطوات وقائية لتقليل الضرر.
يجب أن تكون استراتيجية الأمن السيبراني الفعالة مشروعًا استراتيجيًا بين القطاعين العام والخاص على نطاق عالمي. يجب على الولايات المتحدة والدول الأخرى العمل معًا بشكل أوثق وتبادل المعلومات بشكل أكثر انفتاحًا مما هي عليه الآن. يجب على الحكومات والشركات أيضًا الاستفادة من الجهود التي استمرت عقودًا لتطوير معايير السلوك السيبراني.
أصدرت مجموعة خبراء تابعة للأمم المتحدة من 25 دولة عضوًا مؤخرًا تقريرًا حول تعزيز سلوك الدولة المسؤول في الفضاء الإلكتروني. يجب دمج نتائج التقرير مع مدخلات أخرى واستخدامها لإنشاء معايير إلكترونية. من الناحية المثالية ، سيتم توضيح هذه في نهاية المطاف في المعاهدات أو اتفاقيات الثقة المتبادلة القابلة للتنفيذ بين البلدان ، مع الموردين والمشغلين الدوليين الذين يوقعون مثل هذه الاتفاقيات مع عملائهم ومع حكومات البلدان التي يمارسون فيها أعمالهم.
ستكون خطوة كبيرة إلى الأمام إذا كانت الحكومات والشركات العالمية ستخضع نفسها لعمليات اختبار وتحقق قابلة للتدقيق للمكونات الهامة والعمليات القانونية في البلدان التي تم توقيع اتفاقيات الثقة المتبادلة معها. قد تكون هذه خطوة نحو مساءلة الدول الموقعة والموردين الذين يفشلون في الامتثال لتلك المعايير ، مما يخلق إطارًا للمساءلة في جميع أنحاء العالم.
من الجيد أن ترى الولايات المتحدة تأخذ ممارسات الأمن السيبراني بجدية أكبر مع تركيز أكبر على التعاون بين القطاعين العام والخاص ، ووضع المعايير ومشاركة المعلومات المحسّنة. لكن تطوير شبكات وأنظمة أكثر أمانًا ومرونة ، وسلسلة توريد برمجيات أكثر موثوقية ، سيستغرق وقتًا. هذه فرصة للولايات المتحدة للعمل بشكل تعاوني - ليس فقط مع شركائها في G7 و G20 ولكن مع الصين وروسيا ودول أخرى - لبناء نظام قائم على القواعد للفضاء الإلكتروني له متطلبات غارقة في المعايير وأفضل الممارسات والشفافية وآليات التوافق والمساءلة الهادفة.
