إدارة المخاطر السيبرانية – عودة للأساسيات

نحن نعمل في عالم مليء بالمخاطر. إذا غادرت منزلك وتوجهت إلى مكتبك هذا الصباح، فقد واجهت عدداً كبيراً من المخاطر. من الممكن أن تكون قد تعرضت لمطر مفاجئ ، أو واجهت تأخيراً في باص العمل أو ازدحام سير بسبب حادث مرور أو تفاجأت بدراجة مسرعة تمشي على الرصيف بقربك. نحن ندرك هذه المخاطر ولكن لا نسمح لها بأن تمنعنا من الذهاب لأعمالنا وتحقيق أهدافنا. بدلاً من ذلك فإننا نستخدم طرقاً لفهم تلك المخاطر وأثرها و بناء القدرة على معالجتها. وكذلك الأمر في إدارة المخاطر السيبرانية، تتبع المؤسسات نهجاً يساعدها في تحليل المخاطر. يبدأ ذلك بتحديد المخاطر، وتحديد مدى خطورة كل منها، ومن ثم اعتماد واحدة أو أكثر من استراتيجيات إدارة المخاطر لمعالجة كل من تلك المخاطر.

تحليل المخاطر السيبرانية

لنراجع سوية بعض المصطلحات الهامة في إدارة المخاطر:

• التهديدات: هي أي أحداث محتملة قد يكون لها تأثير سلبي على سرية، سلامة و/أو توفر المعلومات أو أنظمة المعلومات لدينا.
• نقاط الضعف: هي ثغرات في أنظمتنا أو عناصر التحكم التي يمكن استغلالها من قبل التهديدات.
• تحدث المخاطر عند تقاطع الثغرة الأمنية والتهديد الذي قد يستغل تلك الثغرة الأمنية. إن التهديد الذي لا يحتوي على ثغرة أمنية مقابلة لا يشكل خطراً، ولا تشكل أي ثغرة أمنية خطراً دون وجود تهديد.

خذ بعين الاعتبار المثال السابق للمشي على الرصيف في طريقك إلى العمل. حقيقة أنك على الرصيف دون أي حماية تعتبر نقطة ضعف. و وجود دراجة مسرعة على هذا الرصيف تشكل تهديداً. ونتيجة هذا المزيج من العوامل هو تعرضك لخطر الاصطدام بالدراجة على الرصيف. إذا منعت شرطة المدينة الدراجات من دخول الرصيف فسيقلل ذلك الخطر عليك.
وبطبيعة الحال، فإن ذلك لا يمنع وجود تهديدات أخرى مثل وجود حفرة في الرصيف مثلاً قد تسبب لك الأذى.

تقييم المخاطر -مثال عملي

كجزء من عملية إدارة المخاطر السيبرانية تدير المؤسسات بانتظام عمليات لفحص الثغرات الأمنية مصممة لتحديد نقاط الضعف المحتملة في بيئتها. قد تحدد إحدى عمليات الفحص تلك مخدماً معرضاً على الانترنت يستخدم منفذ TCP رقم 22، مما قد يتيح لمهاجم استخدام هذا المنفذ (SSH) لتنفيذ هجمات القوة الغاشمة. وبالتالي، يمثل المهاجم الذي يستخدم أداة تنفذ هجمات القوة الغاشمة تهديداً. وكذلك فالمزيج من تعرض التعرض للمنفذ ووجود المهاجمين يشكل خطراً. في هذه الحالة، ليس لديك أي طريقة للقضاء على المهاجمين، لذلك لا يمكنك معالجة مشكلة التهديد، ولكن لديك السيطرة على الخدمات التي تعمل على أنظمتك. فإذا عطلت خدمة SSH وأغلقت المنفذ 22، يمكنك التخلص من الثغرة الأمنية، وبالتالي التخلص من المخاطر أيضاً.
بالطبع، لا يمكننا دائماً القضاء على المخاطر بشكل كامل لأنه لا يمكننا دائماً إغلاق الخدمات وتعطيل العمل. وبالتالي فقد نقرر بدلاً من ذلك اتخاذ إجراءات تقلل من المخاطر.

إدارة المخاطر السيبرانية – تحديد الخطر

تتطلب عملية تحديد المخاطر تحديد التهديدات ونقاط الضعف الموجودة في بيئة التشغيل الخاصة بك. قد تأتي هذه المخاطر من مجموعة واسعة من المصادر التي تتراوح بين الجهات الضارة إلى الحرائق والموارث الطبيعية. لنعدد بعض فئات المخاطر المختلفة التي تواجه المؤسسات:

• المخاطر الخارجية التي تنشأ من مصدر خارج المؤسسة وهي تمثل مجموعة واسعة من المخاطر، بما في ذلك الخصوم السيبرانيين والبرمجيات الضارة، والكوارث الطبيعية.
• المخاطر الداخلية التي تنشأ من داخل المؤسسة. كالمطلعين الذين لديهم نوايا خبيثة، والأخطاء التي يرتكبها المستخدمون ، وأعطال التجهيزات ، والمخاطر المماثلة.
• المخاطر المتعددة الأطراف التي تؤثر على أكثر من مؤسسة في وقت واحد. على سبيل المثال، انقطاع التيار الكهربائي أو اختراق قاعدة بيانات موفر SaaS الذي يعرض معلومات العديد من العملاء المختلفين للخطر.
• تشكل الأنظمة المتقادمة -end of life- خطراً على المؤسسات. هذه الأنظمة لا تتلقى تحديثات أمنية، وبالتالي يجب على مسؤولي الأمن السيبراني اتخاذ تدابير استثنائية لحمايتهم من نقاط الضعف التي لا يمكن إصلاحها.

إن ما سبق ليست قائمة شاملة لجميع أنواع المخاطر المحتملة التي تواجه مؤسستك. لكنها فقط أمثلة لمساعدتك في توضيح الأنواع المختلفة للمخاطر الموجودة كنقطة بداية تستخدم في تحليل المخاطر الخاصة بك بناءً على خصوصية كل مؤسسة وطبيعة عملها.

حساب المخاطر

ليست كل المخاطر متساوية. وبالعودة إلى مثال المشي على الرصيف، فإن خطر التعرض لدراجة هو أمر أكثر إثارة للقلق من خطر التعرض لصاعقة أو نيزك. وهذا أمر منطقي، ولكن دعونا نستكشف عملية التفكير التي أدت لهذا الاستنتاج. إنها عملية تسمى حساب المخاطر. عندما تقييم أي خطر، فإننا نفعل ذلك باستخدام عاملين مختلفين:

• احتمالية حدوث الخطر (likelihood) قد نعبر عن ذلك بالنسبة المئوية لاحتمال أن تستغل حهة التهديد ثغرة أمنية على نطاق محدد فترة زمنية، كالعام المقبل مثلاً.
• التأثير (impact) الذي سيحدثه الخطر على المنظمة في حالة حدوثه. ونعبر عن ذلك بالتكلفة المالية التي سنتكبدها نتيجة المخاطرة.

باستخدام هذين العاملين، يمكننا فهم كل خطر بشكل مقبول. من خلال الجمع بين الاحتمالية والتأثير. وهذا يقود العديد من محللي المخاطر إلى التعبير عن مدى خطورة المخاطر باستخدام هذه الصيغة: شدة المخاطرة = الاحتمالية × التأثير
من المهم الإشارة إلى أن هذه المعادلة لا يجب دائماً تفسيرها حرفياً. فقد ينتهي بك الأمر إلى مضاعفة هذه القيم معاً في بعض تقييمات المخاطر.
عودة للمثال السابق، عندما نفاضل في تقييم المخاطر بين خطر التعرض لدراجة أو خطر ارتطام نيزك بالرصيف، فإننا نستطيع استخدام هذه العوامل لترتيب المخاطر. من الواضح أن التعرض لضربة نيزك لها حجم كارثي من التأثير، ولكن احتمال وقوع مثل هذا الحادث ضعيف حداً إن لم نقل غير محتمل، لذلك فإن تركيزنا سيكون على معالجة مخاطر الدراجة أو الحفرة بدل النيزك.

ترتيب الأولويات

قد تلعب القوانين واللوائح التي تواجه الصناعة دوراً مهماً في تحديد تأثير المخاطر. على سبيل المثال، منظمة تخضع للـ (GDPR) ستواجه غرامات كبيرة إذا كان لديها خرق للبيانات يؤثر على المعلومات الشخصية للمقيمين في الاتحاد الأوروبي. حجم هذه الغرامات من شأنه أن يؤثر بشكل كبير تقييم تأثير مخاطر انتهاك الخصوصية. ولذلك يجب أن تبقى المنظمات
على دراية باللوائح الحالية التي تؤثر على وضع المخاطر الخاص بهم.

وكذلك فقد يكون لمؤسسة تعمل في العالم العربي تقييماً للمخاطر لا يعطي كل هذا الثقل لمخاطر انتهاك الخصوصية وإنما لمخاطر انقطاع الكهرباء أو تعطل خدمات الاتصالات.

إدارة المخاطر السيبرانية -المعالجة

ومع وجود تقييم كامل للمخاطر، يمكن للمؤسسات بعد ذلك أن توجه انتباهها إلى معالجة تلك المخاطر. معالجة المخاطر هي عملية الاستجابة المنهجية للمخاطر التي تواجه المؤسسة. يفيد التقييم في معالجة المخاطر كما يلي:
■ يوفر تقييم المخاطر إرشادات حول تحديد أولويات المخاطر بحيث يتم تحديد المخاطر مع معالجة الأعلى احتمالية وحجماً أولاً.
■ تساعد التقييمات الكمية للمخاطر في تحديد ما إذا كان التأثير المحتمل للمخاطر يبرر التكاليف المتوقعة لمعالجتها.

هناك أربع استراتيجيات لمعالجة المخاطر يمكن الاختيار منها وهي: تخفيف المخاطر، وتجنب المخاطر، ونقل المخاطر،
وقبول المخاطر.

تخفيف المخاطر

عملية تطبيق الضوابط الأمنية لتقليل احتمالية و/أو حجم المخاطرة تسمى تخفيف المخاطر. إنها استراتيجية إدارة المخاطر الأكثر شيوعاً، وتدور الغالبية العظمى من عمل المتخصصين في مجال الأمن السيبراني حول تخفيف المخاطر من خلال تصميم وتنفيذ وإدارة الضوابط الأمنية. تتضمن العديد من هذه الضوابط مقايضات بين الوظائف والأداء والأمان.
عندما تختار التخفيف من المخاطر، يمكنك تطبيق ضابط تحكم control واحد أو سلسلة من الضوابط الأمنية التي ينبغي لكل منهاأن تقلل من احتمال حدوث المخاطر وحجم المخاطر في حالة تحققها.

تجنب المخاطر

إن تجنب المخاطر هو استراتيجية لإدارة المخاطر نقوم من خلالها بتغيير إجراءات العمل للقضاء على احتمالية تحقق الخطر. تجنب المخاطر قد يبدو في البداية وكأنه نهج ممتاز. من لا يريد القضاء على المخاطر التي تواجهه؟ ومع ذلك، هناك خلل في استراتيجيات تجنب المخاطر لأنه عادة ما يكون لها تأثير ضار خطير على الأعمال التجارية. تخيل فقط أنك لم تشترك بخدمة الانترنت لتجنب مخاطر الانترنت.

إدارة المخاطر السيبرانية – نقل المخاطر

يؤدي نقل المخاطر إلى تحويل بعض تأثير المخاطر من المؤسسة التي تعاني من الخطر إلى كيان آخر. المثال الأكثر شيوعاً هو شراء بوليصة تأمين تغطي المخاطر. عند شراء التأمين، يدفع العميل قسطاً إلى شركة التأمين. وفي المقابل، توافق شركة التأمين على تغطية الخسائر الناجمة عن المخاطر المحددة في البوليصة. في حالة سرقة سيارة ، قد تغطي وثائق التأمين على الممتلكات المخاطر. من غير المرجح أن تغطي بوليصة التأمين السيبراني كامل ضرر هجوم DDoS لكنها قد تسدد بعض أو كل تكاليف عمليات الاسترداد وقد تغطي أيضًا الإيرادات المفقودة أثناء هجوم.

قبول المخاطر

إن قبول المخاطر هو الإستراتيجية النهائية لإدارة المخاطر، وهو يتلخص في عدم اختيار اتخاذ أي استراتيجية أخرى لإدارة المخاطر ومواصلة العمليات بشكل طبيعي في مواجهة المخاطر. قد يكون هناك ما يبرر نهج قبول المخاطر إذا كانت تكلفة
تخفيف الخطر أكبر من تأثير الخطر نفسه. قبول المخاطر هو قرار متعمد يأتي نتيجة لتحليل مدروس. ولا ينبغي اعتماده كاستراتيجية أساسية. إن القول بأننا “نقبل هذه المخاطرة” دون تحليل هو خطأ فادح.

كلمة أخيرة

يجب على المؤسسات أن تفهم المخاطر التي تواجهها والضوابط التي يمكنهم تنفيذها لإدارة تلك المخاطر. ويجب عليهم أيضاً إجراء تقييمات مخاطر بشكل منتظم لتحديد ما إذا كانت تلك الضوابط تعمل بفعالية.