تواجه الشركات الصغيرة والمتوسطة الحجم تحديات خطيرة بسبب محدودية الموارد والمعلومات. وكذلك الأولويات التنافسية و السرعة التي تتطور بها تكنولوجيا المعلومات. يجعل ذلك من الصعب عليها البقاء بأمان من تهديدات الأمن السيبراني. ومع ذلك ، يمكن أن يساعد التخطيط المستدام والوعي الأمني بشكل أفضل هذه الشركات على حماية منشأتها و الحفاظ على استمرارية أعمالها. و تدعم الحكومات خطط تعزيز الأمن السيبراني و تعتبرها أساساً في أمنها الاستراتيجي بسبب الكم الهائل للبيانات الشخصية و السجلات الخاصة بمواطنيها إضافة لتحديات البنية التحتية غير المؤمنة بشكل كافي.
في الأسبوع الأخير من الشهر الماضي، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ما أسمته “أهداف أداء الأمن السيبراني الطوعية العابرة للقطاعات CPGs“. كان ذلك الإصدار خطوة باتجاه تقليل مخاطر تهديدات الأمن السيبراني لأنظمة التحكم في البنية التحتية الحيوية. و تم ذلك بالتنسيق مع المعهد الوطني للمعايير والتكنولوجيا (NIST). و توفر تلك الأهداف أرضية لكل القطاعات لمواجهة الهجمات السيبرانية التي تستهدف تكنولوجيا التشغيل OT. كما أنه من المفترض أن يقلل ذلك من احتمالية وتأثير المخاطر المعروفة وتقنيات المهاجمين بشكل فعال. تستند تلك الأهداف التوجيهية إلى إطار عمل الأمن السيبراني NIST. و يمكن أن تصبح المعايير الأساسية للأمن السيبراني و أن تستخدم كذلك في قياس الاستجابة للمتطلبات التنظيمية مستقبلاً.
الأمن السيبراني سلسلة مترابطة
مع أن الإجراءات CPGs ستطبق في الولايات المتحدة إلا أن ذلك سيكون ملهماً للعديد من المؤسسات عبر العالم لمحاولة استخلاص نسختها الخاصة من هذا الدليل التوجيهي و تخصيصها بما يناسب احتياجاتها دون الحاجة لاختراع العجلة من الصفر. ويشمل ذلك تحديد وترتيب أولويات ممارسات الأمن السيبراني بما يمثله من خطة طموحة لتقليل المخاطر . علماً أن إطار العمل NIST الذي يعتبر من أكثر الأطر تكاملاً و شمولاً ويمثل مصدر CPGs مستخدم في كثير من البلدان العربية كإطار مرجعي لأمن المعلومات . تم تقسيم هذا الدليل التوجيهي المؤلف من 28 صفحة إلى مواضيع مفصلة بإيجاز ، بما في ذلك: أمن الحسابات، أمان الأجهزة، أمن البيانات، الحوكمة والتدريب، إدارة الضعف سلسلة التوريد و الاستجابة للحوادث والتعافي.
أهداف CISA الجديدة – “خطوة أولى جيدة في طريق طويل”
كان رد الفعل على إطلاق CISA لهذا الدليل إيجابياً بشكل عام. و ذلك باعتبار أنه سيساعد في حماية البنية التحتية من تهديدات الأمن السيبراني و ذلك عبر تبسيط القرارات الأمنية لمالكي تلك البنية والمشغلين. كما أنه يضع أساساً واضحاً لضوابط الأمان التي يجب توفيرها للخدمات والوظائف الأساسية. و بالتالي يعتبر هذا الدليل خطوة أولى جيدة سيتم تحسينها بمرور الوقت عبر الاستفادة من آراء و خبرات المعنيين أثناء و بعد تطبيقه. علماً أن الانطباع العام لدى من راجع الدليل أنه واضح ومدروس بشكل جيد و مهم للشركات الصغيرة والمتوسطة الحجم. حيث من غير المرجح أن تحتاج الشركات الكبرى ذات الإجراءات المتأصلة إلى هذا النوع من النصائح. غالباً تطبق هذه الشركات الإطار الأشمل و الأكثر تفصيلاً من NIST.
مجال لتحسين أهداف الأمن السيبراني
ببساطة ، تهدف CPG إلى الحد بشكل هادف من المخاطر في جميع القطاعات وهي كذلك تتسق مع التهديدات والتكتيكات الأكثر شيوعاً و تأثيراً. لكنها ليست برنامجاً شاملاً للأمن السيبراني – بدلاً من ذلك ، يمكن اعتبارهاالحد الأدنى من الممارسات التي يجب على المنظمات تنفيذها لشق طريقهم نحو موقف قوي للأمن السيبراني. إن CPGs بهذا المعنى هي أرضية وليست سقفًا للأمن السيبراني.
يجب أن تطبق منظمات الحماية لتقليل مخاطر الإنترنت.
تخطط CISA للعمل مع قطاعات البنية التحتية الحيوية لتعزيز الأهداف. و كذلك لتحديد أي ممارسات إضافية للأمن السيبراني لم يتم تضمينها بالفعل في هذه المرحلة. و من هذه الممارسات على سبيل المثال غياب ضوابط أمن الشبكة أو مجموعة أدوات ووثائق الأمان ISA Secure. كما أنهم قد يحتاجون لتناول سلسلة التوريد بطريقة أعمق و أكثر تفصيلاً.
مستقبل أهداف الأمن السيبراني CPGs
على الرغم من أن CISA تشدد على أن هذه الأهداف التوجيهية CPGs ستبقى طوعية تماماً. لكن البعض يراها أقرب إلى أن تصبح متطلبات تنظيمية ملزمة. سيكون من واجب منظمات الأعمال تبني مجموعات حماية البيانات لتحسين أوضاع الأمن السيبراني لديها. ولكن إذا لم تطبق ذلك بطريقة هادفة ، فمن المحتملأن يفرض عليها اتباع لائحة بعينها. و بغض النظر عما يحمله المستقبل قد تقوم مجموعات حماية البيانات بوضع معايير يمكن للمنظمين وشركات التأمين والمديرين التنفيذيين استخدامها كمبادئ توجيهية لتقييم أداء الأمن السيبراني. كما سيتم ذلك بطريقة تمنحها مستوى إضافي من الاهتمام قد يجذب انتباه مجالس الإدارة والقيادة العليا. و يمكن أن نرى متطلبات CPG على جداول ميزانية الشركات قريباً لحجز الموارد اللازمة لتطبيقها. من الناحية العملية ، فمن المرجح أن الشركات في قطاع البنية التحتية الحيوية ستتبنى هذه الممارسات كأفضل الممارسات أو كمعايير صناعية. و بالتالي قد تصبح قاعدة أساسية للممارسات الجيدة والسلوك الذي يأمل الجميع تطبيقه.
