يجب أن تكون الجرائم السيبرانية والأمن السيبراني من بين الاهتمامات الرئيسة لكل صناعة وخدمة . لماذا؟ تدير التكنولوجيا العالم الحديث بأكمله، بدءاً من الخدمات المصرفية إلى الرعاية الصحية، ومن البيع بالتجزئة إلى الحرب الحديثة. يتمتع ممارسوا الأمن السيبراني بسلطة كبيرة، ويتعرضون لضغوط شديدة، ويعملون في ثقافة تتغير بسرعة كبيرة، وغالباً ما يتحملون مسؤوليات كبرى. كما أن بيئة الأمن السيبراني يمكن أن تكون أرضاً خصبة للأخطاء، وإساءة استخدام الصلاحيات عمداً أو عن طريق الخطأ. لقد ركزنا على التحول الرقمي ونسينا أهمية وجود إطار شامل يحكم الأخلاق في الأمن السيبراني و يتيح لنا التعامل مع التهديد الاقتصادي والأمني الكبير للتكنولوجيا.
أهمية الأخلاق في العالم الرقمي
في حال كنت تتساءل لماذا يجب أن تهتم بموضوع الأخلاق ونحن نحيا في عالم رقمي. بالنسبة لأولئك القادمون الجدد لعالم الأمن السيبراني، من المهم أن تعرفوا نطاق التأثير الذي يمكن أن تحدثه الهجمات الإلكترونية في عالمنا. في العام 2022، كلفت هجمات برامج الفدية الشركات العالمية ما يقدر بنحو 20 مليار دولار. لقد أصبح مجرمو الانترنت أكثر تقدماً و كثفوا هجماتهم على الشركات التي يمكنها دفع رسوم فدية أعلى. كما بلغ متوسط التكلفة التي تتحملها مؤسسة فردية تعرضت لاختراق بيانات في عام 2022 ما يقارب 4.35 مليون دولار. كما ويؤدي سباق التسلح السيبراني هذا من جانب الجهات الفاعلة للتهديدات السيبرانية في العالم إلى زيادة الإنفاق الأمني. حيث من المتوقع أن الإنفاق على الأمن السيبراني وصل إلى 172 مليار دولار في العام 2022.
كل يوم تحاصرنا تلك الأخبار الساخنة عن هجمات واختراقات سيبرانية تتراوح بين سرقة مليارات الدولارات من عملات مشفرة، إلى هجمات برامج الفدية وغيرها من المخططات الخبيثة التي تحدث أضراراً جسيمة للبنوك والمستشفيات والمدارس والبنى التحتية الحيوية، وغيرها. ويبدو أن الأمر يزداد سوءاً.
تأثير الهجمات السيبرانية
فيما يلي بعض التأثيرات التي يمكن أن تحدثها الهجمات السيبرانية عليك وعلى عملك:
- قد تتعرض لأضرار في أنظمة الكمبيوتر لديك. عندما تستهدف الجهات الضارة أعمالك، فيمكنهم إتلاف البيانات الموجودة على الأنظمة أو إتلافها، وقد تكون تكلفة إصلاحها أو إعادة بنائها مرتفعة للغاية.
- يمكن للمهاجمين سرقة بيانات حساسة من عملك مثل معلومات المستهلك أو حتى الأسرار التجارية، مما قد يكون له تأثير كبير على سمعة شركتك ووضعها المالي.
- يعرقل الهجوم الإلكتروني قدرة شركتك على تقديم الخدمات مما يتسبب في خسارة المال والعملاء والوقت.
- قد تواجه عواقب قانونية نتيجة للهجوم السيبراني. كما يمكن أن تتحمل أنت وشركتك المسؤولية عن الأضرار التي تلحق بعملائك.
- أحياناً، يؤدي التعرض لهجوم إلكتروني إلى تدمير علامتك التجارية وسمعتك، مما يزيد من صعوبة جذب العملاء والاحتفاظ بهم. وبالتالي يمكن أن يؤثر ذلك سلباً على عملك لفترة طويلة، حتى بعد تصحيح الأضرار المباشرة الناجمة عن الهجوم.
- هناك دائماً الجرائم الإلكترونية وتأثير سرقة الهوية على الأشخاص الحقيقيين. إذا سرق مجرمو الانترنت معلومات المستهلك من أنظمتك، فسيتعرض هؤلاء العملاء للخطر، مما يؤثر على الاحتفاظ بالعملاء لديك، ويؤثر على ثقة أصحاب المصلحة، ويؤدي إلى مشاكل قانونية.
والأمر الأكثر إثارة للقلق هو الهجمات الإلكترونية التي تستهدف أنظمة الرعاية الصحية أو وسائل النقل أو غيرها من البنى التحتية الحيوية، وربما تتسبب في أضرار جسيمة للحياة.
التجاهل ليس خياراً
لم يعد الأمن السيبراني مشكلة يمكنك تجاهلها. بل ربما أصبح نجاحك كشركة، ومحترف، وقائد مرتبطاً بمدى جديتك في معالجة هذه المشكلة. ويتوقع الخبراء حالياً أن عوائد الجرائم الإلكترونية سوف تتجاوز الناتج المحلي الإجمالي لأكبر اقتصادات العالم في المستقبل القريب.
لكن مع تزايد وتنوع الهجمات، يبدو الأمر كما لو أننا نحاول إخماد حريق باستخدام مسدس مائي. كل يوم في صناعة الأمن السيبراني، نحن نواجه صعوبات في الموارد والتوظيف والتعليم والإطار الأخلاقي لإبعاد المهاجمين. في حين أن القوى العاملة في هذه الصناعة تبلغ حوالي 4.7 مليون عامل، فمن المتوقع أن يكون هناك نقص يبلغ 3.4 مليون عامل في مجال الأمن السيبراني في جميع أنحاء العالم في غضون بضع سنوات. وبينما تسعى المؤسسات لمواكبة الطلب على شغل وظائف في الأمن السيبراني، يجب علينا أيضاً أن نكون يقظين للعثور على مرشحين جيدين يتمتعون بشخصية حسنة السمعة وملتزمين بخدمةالمجتمع. إذا ملأنا المناصب المفتوحة بأشخاص يفتقرون إلى الإطار الأخلاقي والشخصية اللازمة لوضع ذلك موضع التنفيذ في العالم الحقيقي، فذلك لن يؤدي إلا إلى تفاقم المشكلة، بل أسوأ بكثير.
وهذه المشكلة تمس العمليات اليومية لكل كيان عام وخاص تقريباً. للأأسف، يوماً بعد يوم ستكون التحديات أكبر بكثير. ولا يوجد أي دليل على أن أي من مسببات هذه المخاوف سوف تعكس مسارها في المستقبل القريب. ستستمر التكنولوجيا في السيطرة على مشهد الأعمال وستصبح جزءاً لا يتجزأ من الحياة كلها. لن يتقلص علمنا الرقمي في أي وقت قريب. وبطبيعة الحال، من غير المرجح أن نصبح أقل تقدماً تقنياً في المستقبل فذلك عكس المنطق. لكن المهاجمون لن يستسلموا. لأن الجرائم السيبرانية تعتبر صناعة مربحة للغاية.
هل نحتاج إلى الأخلاقيات في مجال الأمن السيبراني؟
نعم. يعد المعيار الأخلاقي في الأمن السيبراني أمراً أساسياً لمستقبله. إذا كنت تعمل في مجال الأمن السيبراني، فقد تبدو وظيفتك اليومية وكأنك تكافح الحرائق. يمكن أن تتلقى يومياً ما يصل حتى 100 برسالة بريد إلكتروني أو تنبيه بالتطفل. وستجد نفسك في مواقف شديدة التوتر لها عواقب وخيمة على شركتك وعملائها أو أصحاب المصلحة. هناك ضغط هائل على ممارسي وقادة الأمن السيبراني لاتخاذ القرارات الصحيحة لأن هذه القرارات يمكن أن يكون لها تأثيرات بعيدة المدى على العديد من الأفراد. يمكننا توضيح بعض التحديات المرتبطة بمفهوم الأخلاق في الأمن السيبراني من خلال المثالين التاليين:
هجمات الطرف الثالث – الأخلاق في الأمن السيبراني
السيد عبد الله، هو الرئيس التنفيذي لشركة هندسية تعرضت مؤخراً لهجوم فدية. لم يمض وقت طويل قبل أن يحدد فريقه الأمني نقطة دخول القراصنة لشركته من خلال مزود خدمة تكنولوجيا المعلومات تابع لجهة خارجية والذي يستخدمه أيضاً العديد من أشد منافسيه. وبينما يبدأ فريق الأمن السيبراني في الرد والتحقيق، تتزايد الأسئلة: هل المهاجم متصل حقاً بالجهة الخارجية، أم أنه تم إعداد الهجوم بشكل مضلل ليظهر بهذه الطريقة؟ هل يتحمل الرئيس التنفيذي مسؤولية تنبيه منافسيه إلى الانتهاك المحتمل؟ هل يتمتع المنافسون بميزة على عبد الله و شركته أثناء فترة التوقف الناجمة عن هذا الهجوم؟
تصمم الشركة التي يرأسها السيد عبد الله، المخططات الهندسية للعديد من المؤسسات ومنها مؤسسات ذات طبيعة عمل حساسة. وبالتالي، هل هناك التزامات قانونية تفرض تنبيه تلك الكيانات بالهجوم؟ هل يتعين عليهم أيضاً تنبيه الشركة الأم التي تتبع لها هذه الشركة الهندسية بالحدث الأمني والتي قد تتأثر سلباً بهذا الحدث إذا تم نشره للعامة؟ عندما يطلب المهاجمون فدية، هل يجب عليهم أن يدفعوا بهدوء حتى تنتهي هذه القصة برمتها؟ هل هذا ممكن؟ كيف يوازنون بين الالتزام بحماية الجمهور والتزامهم بالدفاع عن مصالح شركتهم الهندسية؟ هل يوجد إطار أخلاقي يمكن من خلاله فحص كل هذه الأسئلة المعقدة والإجابة عليها بشكل صحيح؟
الشفافية في الأمن السيبراني
الأنسة رنا ، هي محللة مركز العمليات الأمنية (SOC) في الشركة التي توفر لشركات الهندسة الدعم الفني الخاص بأمن وتكنولوجيا المعلومات. لقد طُلب منها مؤخراً تقديم بعض الاستشارات الأمنية المربحة بعد ساعات العمل في شركة محلية. في حين أن هذا العمل المستقل يتعارض من الناحية الفنية مع شرط عدم المنافسة الذي وقعته في عقدها مع صاحب العمل الأساسي، إلا أن رنا قبلت لأنها تحتاج حقاً إلى المال. ويبدو أن كبير مسؤولي أمن المعلومات (CISO) في مؤسستها لم يمانع في قيامها بهذا العمل الجانبي، على الرغم من أنه لم يوافق عليه رسمياً.
لقد علمت رنا مؤخراً أن شركتها قد تعرضت للاختراق وأن رئيس أمن المعلومات لديهم اختار عدم مشاركة المعلومات حول الاختراق مع رؤسائه أو المساهمين أو العملاء. لدى المنظمة سياسات وإجراءات لا يتبعها رئيسها ببساطة. نظراً لكونها محللة رئيسة، فهي تمتلك كل البيانات التي تحتاجها فيما يتعلق بالاختراق وتأثيره ولديها ما يكفي من المعلومات لمراجعة رئيس CISO وتحذير رئيس الشركة.
وعلمت رنا أيضاً أن الاختراق مرتبط على الأرجح بهجوم برنامج الفدية على العديد من الشركات الهندسية التي تخدمها شركتها (مثل شركة عبد الله). يستفيد المهاجمون من وصول شركتها إلى بيئات العملاء لنشر برامج الفدية. لكن رنا تشعر بالقلق من أن وظيفتها الجانبية المربحة يمكن أن يتم كشفها من قبل رئيس أمن المعلومات الخاص به كعقاب إذا اختارت التحدث عن الاختراق. ما الذي ورطت رنا نفسها فيه؟ ما هو مدى التزامها الأخلاقي بإخبار شخص ما عن الانتهاك؟ هل تخطئ في تقدير مستوى القلق بشأن الانتهاك؟ هل لديها حقاً الصورة الكاملة لكيفية استجابة رئيس أمن المعلومات (CISO) للأزمة؟
هناك شيء واحد صحيح: ليس لدى رنا أي فكرة عن التأثير الكبير الذي يمكن أن تحدثه اختياراتها الشخصية على عبد الله والشركات الهندسية الأخرى التي تعمل معها شركته.
العنصر البشري و الأخلاق في الأمن السيبراني
بالنسبة لأولئك منكم المتخصصين في الأمن السيبراني، قد تبدو قصص عبد الله و رنا شائعة. مثل هذه المواقف تحدث كل يوم. هذه قصص لمهنيين محترمين، وليست مجرمين. ولكن، بينما نربط مسألة الأخلاقيات بعمل الأمن السيبراني، من المهم أن ندرك أن العديد من الهجمات التي قد تواجهها مؤسستك هي نتيجة لتهديد داخلي، مما يعني أنها غالباً ما تكون نتيجة إما إهمال أو ارتباك أو موظف ذو نوايا خبيثة. وفقاً لبعض الأبحاث، فإن المطلعين الخبيثين مسؤولون عن ربع الحوادث الأمنية. وأن ما يفوق ثلاثة أرباع خروقات البيانات ناتجة عن خطأ أحد الموظفين أو سوء التعامل مع الموقف.
الحقيقة هي أن الأمن السيبراني، رغم كل البرامج والأنظمة والأجهزة لا تزال عملاً بشرياً. يتخذ الأشخاص الحقيقيون قرارات حقيقية، وهذه القرارات تحتاج إلى نقطة مرجعية أو دليل أو بوصلة. الأن، ربما تتساءل عما إذا كانت هناك بالفعل قواعد أخلاقية مستخدمة على الإطلاق في مجال الأمن السيبراني. الإجابة المختصرة هي نعم، هناك العديد من قواعد الشرف الأخلاقية في الصناعة. العديد منها محدد للغاية ويرتبط بشهادات فنية صناعية مختلفة. وهي جهود ترمي إلى تعزيز السلوكيات الأخلاقية جنباً إلى جنب مع التميز التقني. ومع ذلك، تميل هذه الجهود إلى أن تكون مشتتة ومرتبطة بخبرة فنية محددة بدلاً من الصناعة ككل.
الأهم من ذلك كله، أن هذه القواعد الأخلاقية هي عادة عبارة عن سلسلة إما من سلوكيات مطلوبة أو من نشاطات ممنوعة، ولكن لا يشكل أي منها إطاراً أخلاقياً حقيقياً لاتخاذ القرار. ليس هناك مدونة واحدة متفق عليها أو معتمدة عالمياً لأخلاقيات الأمن السيبراني. وبالتالي، نعتقد أن هناك حاجة لإطار لمساعدة القادة والممارسين على فهم وتحليل الأثار المترتبة على القرارات التي يتخذونها. بغياب إطار الأخلاق و السلوك الشامل، يُترك الجميع ليبحروا في مساراتهم الخاصة. تستخدم كل منظمة خبرتها الخاصة، أو لا تستخدم أي طريقة، للتنقل بين الاختيارات اليومية التي تؤثر على عملائها وموظفيها. نحن بحاجة إلى اتجاه واحد ورمز واحد الآن أكثر من أي وقت مضى.
الأخلاق في الأمن السيبراني – الحاجة لإطار شامل
نحن نؤمن بأن نطاق وحجم الأمن السيبراني يتساوى مع نطاق وحجم مجالات القانون والطب والحرب. في الواقع، فإن الأمن السيبراني يعيد تعريف الحرب ويؤثر بشكل كبير على القانون والطب. ومع ذلك، فقد استفاد البشر في القانون والطب والحرب من الوقت فاستغرقوا ألفي عام أو أكثر في تطوير القواعد والأطر الأخلاقية التي ترشدهم. لكن الأمن السيبراني أمر جديد، وليس أمامنا ترف انتظار ألفي عام لنكتشف تلك القواعد والأطر. ولابد أن يحدث ذلك الأن، نظراً للوتيرة السريعة للتغير التكنولوجي، ومركزية تكنولوجيا المعلومات، وتداخل أمنها مع حياتنا اليومية.
إن وتيرة التطور التكنولوجي سريعة للغاية، ويكاد يكون من المستحيل مواكبتها. في مجال الأمن السيبراني، تتقدم القدرات الهجومية بلا هوادة، في حين نعزز أوضاعنا الدفاعية وبنيتنا التحتية لاحتواء نشاطات المهاجمين مع تزايد تعقيدها. وفي الوقت نفسه، تتغير البنية التحتية والأطر التكنولوجية الأساسية بوتيرة لا هوادة فيها.
إن السرعة التي تتغير بها التكنولوجيا تملي أيضًا الحاجة الملحة إلى وسيلة لتفسير أفضل الممارسات من منظور أخلاقي في هذا المشهد المتغير. ومع تقدمنا، نواجه أسئلة وتحديات جديدة حول التعامل مع الخصوصية والملكية الفكرية والحقوق الفردية وحماية أصحاب المصلحة لدينا. بينما يتغير عالم الانترنت يومياً، تزداد الحاجة لدليل أخلاقي يرشدنا لفعل الشيء الصحيح. عالمنا معقد، وفي بعض الأحيان نواجه قرارات صعبة للغاية. نحن بحاجة إلى ما يساعدنا على تقييم كيفية التعامل مع هذه الخيارات الصعبة.
كلمة أخيرة
حتى لو أخترنا الابتعاد عن التداعيات الفلسفية والثقافية للأخلاق في الأمن السيبراني فإن الحقيقة أن نجاحك المهني وتقدمك في هذا المجال هو مسألة ثقة، وكسب الثقة هو إلى حد كبير نتاج اتخاذ خيارات أخلاقية متسقة. وبهذه الطريقة، فإن ممارسة أخلاقيات الأمن السيبراني ليست فقط ما هو الأفضل للعالم، بل هو الأفضل لك ولمسارك المهني. إن ممارسة الأخلاقيات ستؤثر بشكل إيجابي على سمعتك، وتدعم تقدمك المهني ونجاح مؤسستك أو عملك. وبالتوازي مع ما سبق، فإنك ستكون جزءاً من الجهود الطيبة التي تسعى لجعل العالم مكاناً أكثر أماناً وأخلاقاً.