إن مقالاً عن تقدير مخاطر الأمن السيبراني قد يخيف القراء أو يدفعهم للملل. لذلك، ربما من الأفضل أن نبدأ بسؤال بسيط عن تعريف المخاطر. نتوقع أن تختلف الإجابات، ولكن ما نتفق عليه الثابت هو “الضرر” الذي يلحق بالعلامة التجارية، أو بأنظمة المعلومات، أو بالأشخاص، وما إلى ذلك. وتستند هذه التعريفات إلى الاستخدام اليومي العادي للكلمة، ولكنها ليست دقيقة بما يكفي لاستخدامها كأساس لاتخاذ القرارات التجارية. ببساطة، تقدير المخاطر هو عندما تحدد احتمالية حدوث الضرر وشدته. يجب حينها تسجيل المخاطر في مصفوفة تتبع المخاطر أو تحليل المخاطر. يمكنك تنفيذ ذلك قبل أو بعد اتخاذ تدابير التحكم في المخاطر.
ما هي المخاطر السيبرانية؟
ومن المؤسف أن التوصل إلى إجماع بشأن تعريف المخاطر أمر صعب للغاية. فالمخاطر ليس مصطلحاً محبباً بالنسبة للعديد من العاملين في مجال الأمن السيبراني، وتميل التجارب السابقة إلى تلوين تصور هذا المفهوم الهام. وهناك الكثير من الخبراء في مجال المخاطر خارج مجال تكنولوجيا المعلومات. على سبيل المثال، تمتلك الشركات في الصناعات الخاضعة للتنظيم مثل الخدمات المالية موظفين لديهم خبرات قوية للحوكمة والمخاطر والامتثال (GRC) لحساب جميع أنواع المخاطر. ومع ذلك، لا يطبق هؤلاء الموظفين الدقة التحليلية على مخاطر التشغيل الناجمة عن التهديدات السيبرانية، ونادراً ما يحاول مسؤولو الأمن السيبراني تبني أساليبها.
تعرف وكالة الأمن السيبراني التابعة للاتحاد الأوروبي (ENISA) المخاطر بأنها “أي ظرف أو حدث يمكن تحديده بشكل معقول وله تأثير سلبي محتمل على أمن الشبكات وأنظمة المعلومات”. لكن ذلك يشكل تعريفاً معقداً للغاية ومضللاً جزئياً أيضاً.
بدلاً من ذلك، يجب على قادة أمن المعلومات تبني تعريف المخاطر الذي يستخدمه كل مدير أعمال ومجلس إدارة، وهو: إمكانية الخسارة المالية.
المخاطر في هذا السياق هي إمكانية أن يؤدي حدث ما في النهاية إلى انخفاض ربحية الشركة. يمكن قياس الحدث السيبراني الذي يسبب ضرراً لعلامة تجارية أو سمعة الشركة. السؤال الرئيس في هذا السياق، ما هي التكلفة النهائية التي قد تتحملها الشركة نتيجة لحدث سيبراني؟ يعني ذلك أن كل قرار يمكن توجيهه بإجابات على ثلاثة أسئلة:
- إذا لم نتخذ أي إجراء، فما هو الخطر (كم من المال من المرجح أن نخسره بسبب خروقات البيانات، أو تعطل العمليات، أو فقدان السمعة، أو أي شيء آخر)؟
- إذا اتخذنا الإجراء، فإلى أي مدى يقلل من المخاطر (كم من المال من المرجح أن نخسره)؟
- ما هي تكلفة الإجراء؟
تقدير مخاطر الأمن السيبراني – لغة الأعمال
عندما يجيب محترفو الأمن السيبراني على الأسئلة السابقة، فإنهم يتحدثون لغة الأعمال. يمكنهم حينها فقط نفي تهمة أنهم مجرد مركز التكلفة وإظهار كيفية زيادة الأرباح. يمكن بعد ذلك، مقارنة طلبات الميزانية الخاصة بهم بطلبات التسويق والمبيعات وكل قسم آخر في المؤسسة. يمكنهم التواصل مع المديرين التنفيذيين وأعضاء مجلس الإدارة الذين قد يكون لديهم فهم بسيط للتكنولوجيا. كما يمكن لفريق الأمن السيبراني التعامل مع المخاطر بنفس الطريقة التي تتعامل بها شركات التأمين. لا تبيع هذه الشركات بوليصة تأمين دون فهم المخاطر. فهي تستخدم الرياضيات الاكتوارية لحساب تغطية التأمين على الحياة والممتلكات والحوادث، وإذا لم يكن المتقدمون ضمن نطاق مقبول في أي عدد من المتغيرات، فسيتم رفض البوليصة. يجب على المسؤولين التنفيذيين في المؤسسة أن يطلبوا نفس النوع من التحليل لوظائفهم الأمنية الخاصة لفهم إمكانية الخسارة بشكل أفضل، وما إذا كانت تغييرات التحكم الأمني مطلوبة للحد من الخسائر المحتملة إلى مستويات مقبولة ولكن في مجال الأمن السيبراني قد لايمكن ببساطة تقييم المخاطر وذلك لمجموعة متنوعة من التبريرات والذرائع الواهية. مثل، توجد بيانات تاريخية تذكر عن التهديدات الجديدة التي نواجهها كل يوم. ولا يمكننا إنشاء نموذج مالي لتسجيل كل التفاصيل اللازمة لهذه الحسابات. وحتى لو استطعنا، فلن يكون لدينا الوقت الكافي أو الموظفين لتقدير المخاطر والتكاليف بدقة.
تقدير مخاطر الأمن السيبراني – تدريب عملي
لقياس أي شيء في مخاطر الأمن السيبراني، فإن الجميع يريدون بيانات تاريخية مثالية للنمذجة، ولكن هذه البيانات ليست ضرورية لإنشاء نموذج ذي معنى. فما يحتاج رؤساء أمن المعلومات إلى معرفته حول الأمن السيبراني القائم على المخاطر
والسماح بأحداث من نوع البجعة السوداء. الهدف هو مستوى ثقة بنسبة 90% -تقريباً-.
على سبيل المثال، ما لم تكن ملماً بالتاريخ ، فمن المحتمل أنك لا تعرف العام الذي وقعت فيه معركة القادسية. فكر في نطاق يناسب ذلك. ما هو أفضل تقدير لديك؟ من المحتمل أنك تعلم أن معركة القادسية، وقعت في العراق. وعند حساب النطاق الزمني المتوقع لهذه المعركة قد تخمن قيمة منخفضة تبلغ العام 600 ميلادي وقيمة عالية تبلغ العام 1000. وقد يحدد هواة التاريخ نطاقاً أضيق من الأعوام يتراوح بين عامي 600 و 700. في الحقيقة، وقعت معركة القادسية في عام 636 ميلادي. إذا كان ذلك العام يقع ضمن نطاقك، فقد أكملت تمرين التقدير بشكل صحيح. وبالمثل، يمكنك بناء نموذج لمخاطر الأمن السيبراني من خلال تقدير نطاقات الخسارة النقدية بسبب أحداث الأمن السيبراني المختلفة. لست بحاجة إلى معرفة الخسارة الدقيقة، بل إلى نطاق الخسائر المعقولة. وبالتالي، فالتدريب على التقدير مهم.
تعتبر تمارين التقدير مهمة للتعامل مع عدم اليقين والثقة المفرطة. يميل أقلية من الناس إلى عدم الثقة في معرفتهم.
تواجه أغلبية الناس مشكلة الثقة المفرطة عند تقدير النطاقات. يمكن أن يساعد التدريب في سد فجوات البيانات التاريخية غير الكاملة، وخاصةً عند دمجه مع الأساليب الإحصائية الصالحة مثل محاكاة مونت كارلو. إن التحيز في التقدير هو ما يجب الاعتراف به وتعديله لإنشاء نتائج نموذج مخاطرة ذات جودة أعلى عبر معرفة التهديد وحالة ضوابط الأمن الداخلي للمؤسسة.
كلمة أخيرة – محاكاة مونت كارلو
هل سمعت النكتة عن الإحصائي الذي كاد أن يغرق عند محاولته عبور نهر؟ أُبلغ أن العمق المتوسط كان ثلاثة أقدام، وفوجئ بوجود هبوط بارتفاع سبعة أقدام في المنتصف. إن تحليل المخاطر يحتاج إلى النظر ليس فقط في المتوسطات (“القيم
المتوقعة” في لغة الاحتمالات)، بل وأيضاً في الحد الأدنى والأقصى غير المحتمل ولكن الممكن. وهذا يشمل سيناريوهات كأن يحدث أمران سيئان أو أكثر في نفس الفترة. قد تتمكن إحدى الشركات من التغلب على الفيضان، وقد تتمكن من التعافي من زلزال، ولكن هل يمكنها النجاة من الفيضان والزلزال في نفس العام؟
إذا لم يكن الأمر كذلك، فما هي أفضل طريقة لتقليل أقصى خسارة ممكنة إلى مستوى مقبول؟ بناء سد، أو جعل مبنى المقر الرئيسي مقاوماً للزلازل، أو شراء بوليصة تأمين أكبر. يمكن الإجابة على مثل هذه الأسئلة باستخدام محاكاة مونت كارلو. تتضمن هذه الطرق اختيار قيمة عشوائية واحدة لكل مدخل نموذجي من نطاق محدد وحساب الخسائر الناتجة. ويمكن تكرار المحاكاة آلاف (أو ملايين) المرات ويمكن فحص توزيع الخسائر. وفي بعض الحالات، يمكن حسابها وتحديثها في جدول بيانات Excel.