يقال: أن العسكريين يمضون وقت السلم في دراسة كيفية خوض الحرب الأخيرة. يشبه ذلك ما يجب علينا عمله لبناء الدفاعات السيبرانية. بني العالم الافتراضي بواسطة أجهزة الكمبيوتر، التي لديها مجموعة واضحة من القواعد المرتبطة بها. تركز هذه القواعد على الاتصال بفعالية ولكنها لا تركز بذات القوة على الأمن. لذلك، يبدو جلياً أنه يجب حماية الفضاء السيبراني بشكل مشابه للمبادئ العلمية لهندسة الكمبيوتر وهندسة الشبكات. ربما تأخرنا و لكن لم يفت الأوان بعد لنبدأ في هذه المهمة.
حماية الأصول المعلوماتية – مسؤولية جماعية
الأمن السيبراني ، كمصطلح، يجمع الكمبيوتر والأمن. يتم الاحتفاظ بالمعلومات ومعالجتها ونقلها إلكترونياً بواسطة أجهزة الكمبيوتر، لذلك نجد أن هناك من يسلم مسؤولية الأمن السيبراني إلى الإدارات الفنية في المؤسسات. لكن المشكلة أن الأمن في الواقع هو مفهوم مستقل بذاته ويحمل مجموعة مختلفة من المتطلبات. الأمن يعني ، ببساطة،حماية شيء ما. نجح الأمن السيبراني جزئياً في مهمته. على سبيل المثال، فإن نسبة نجاح برامج استغلال الثغرات الإلكترونية قد انخفضت خلال العقد الماضي. ومع ذلك، فإن حماية الأصل من الوصول الإلكتروني غير المصرح به شيء، في حين أن ضمان عدم فقدان الأصل نفسه أو تعرضه للأذى بسبب أي نوع من الاستغلال أو الهجوم الغير تقني هو شيء آخر تماماً.
وعلى التوازي، يوسع جانب “الأمن” من الأمن السيبراني مهمة الحماية لتشمل مسؤولية حماية كل أصل رقمي ذي قيمة. وبالتالي، فإن دور الأمن السيبراني انتقل من مجرد التحكم بتدفق البيانات إلى التأكد من عدم تعرض الأصول الافتراضية للضرر بأي وسيلة متوقعة. لأن خسارة القيمة هي خسارة بغض النظر عن السبب.
هناك نوعان من الهجمات والتي تعد جزءاً لا مفر منه من سطح الهجوم الإجمالي: الاستغلال البشري والفيزيائي (المكاني). تظهر الأبحاث الحالية أن عمليات الاستغلال الإلكترونية تشكل أقل من ثلث التهديدات. بينما تتوزع بقية النسبة بين التهديدات الداخلية والهندسة الاجتماعية أو حتى الظواهر الطبيعية مثل الحرائق أو الزلازل. لذا، يبقى السؤال، من يجب أن يكون مسؤولاً عن تنسيق وتنفيذ الدفاع ضد هذه الأنواع من التهديدات؟
الدفاعات السيبرانية – الاختراقات الغير تقنية
إن هدف الخصم عادة هو اختراق النظام واستغلاله وليس استخدامه لأغراض . إلى جانب المهمة التقليدية المتمثلة في ضمان عمل النظام على النحو المنشود، من المتوقع أن يتأكد مطورو النظام ومسؤولوه من أن وظائفه محمية بالكامل من أي نوع متوقع من الاستغلال الضار. إذا كان هدف الخصم هو التخريب أو الحصول صلاحية على الأصل المعلوماتي، فإن الخصم سيتبنى النهج الأسهل في التنفيذ والأكثر فرصة للنجاح. من الناحية العملية، يتم تحديد شكل الاختراق من خلال شكل النقاط الضعيفة في الدفاع السيبراني.
إذا قامت المنظمة ببناء الدفاعات السيبرانية بشكل قوي، فإن فرص الهجوم ستقل مبدئياً ولكن الخصم سيغير خطط هجومه لاستيعاب التكتيكات الفنية للمدافعين. وبما أن سطح الهجوم غير الفني أوسع بكثير، فمن المحتمل أن يكون ذلك سبب زيادة الخسائر ونجاح الهجمات.
تندرج كل من أنواع الهجمات التي تتمحور حول الإنسان والهجمات المادية ضمن الاختراقات غير التقنية، التي لا تستهدف التكنولوجيا بشكل مباشر. وإنما نقاط الضعف السلوكية أو البشرية الموجودة في المنظمة. وبالتالي، من الناحية الواقعية، تستهدف الاختراقات غير التقنية سطح الهجوم البشري. يشير مصطلح سطح الهجوم البشري ببساطة إلى كل طريقة ممكنة يمكن من خلالها أن يؤدي السلوك المتعمد الذي يتم تنفيذه في الفضاء المادي إلى تعريض أحد الأصول أو سريتها للخطر. ويقدر حجم سطح الهجوم البشري ما بين 4 إلى 6 مليارات شخص.
العنصر البشري في الأمن السيبراني
نظراً لأن السلوك البشري مميز ومبدع ولا يمكن التنبؤ به، فهناك عدد لا حصر له من الطرق التي يمكن من خلالها تنفيذ الاختراق غير التقني. تتضمن الأساليب الأكثر شيوعاً عمليات استغلال مألوفة مثل الهجمات الداخلية وهجمات الهندسة الاجتماعية. لكن التأثيرات غير الفنية يمكن أن تكون أيضاً نتيجة لأخطاء تشغيلية يومية مثل الأعطال الإجرائية وحتى الإهمال البسيط.
من الصعب تقدير نسبة الضرر الفعلي الذي تمثله الاختراقات غير التقنية. نادراً ما يتم الإبلاغ عن عمليات استغلال ضارة، مثل التجسس الصناعي أو سرقة الأسرار التجارية الخاصة، ويميل الإهمال البشري البسيط أو الخطأ غير المقصود إلى التغاضي عنه أو التستر عليه. لذلك، من المستحيل وصف تأثير مثل هذه المجموعة من الأحداث بدقة. ومع ذلك، يُعتقد أن النطاق الإجمالي للمشكلة هو بالتأكيد أكبر بكثير مما هو مقدر حالياً.
هناك سببان منطقيان وراء عدم الإبلاغ عن الاختراقات غير التقنية أو عدم ملاحظتها، وهما:
أولاً، لا تربط الشركات، السلوك البشري بالخسائر. وبالتالي فإن التهديدات التي يمثلها المطلعون الخبيثون لا تحتسب بحجمها الصحيح. ومع ذلك، فإن الخصوم السيبرانيين يعتمدون أكثر فأكثر على استخدامها. لذلك، علينا من الأن فصاعداً، أن نتعلم دمج القدرة على تحديد وتصنيف ومكافحة الثغرات غير التقنية في الفهم الشامل لكل مؤسسة ونهجها تجاه الأمن السيبراني.
ثانياً، من المستحيل التنبؤ بدقة بالسلوك البشري أو مراقبته بشكل فعال. والأهم من ذلك، أن الشخص المطلع هو جزء من المنظمة. ولذلك، فهو موثوق إلى حد ما. وبناءاً على ذلك، يكاد يكون من المستحيل اكتشاف أحد المطلعين القادرين على التخطيط للقيام بهجوم، ولأن البشر مبدعون، يكاد يكون من المستحيل ضمان أفعالهم الضارة بالوسائل الآلية فقط. ومع ذلك، فإن معظم دفاعاتنا السيبرانية الحالية لا تزال تركز فقط على التصدي للهجمات الرقمية.
الدفاعات السيبرانية – ثلاثية الحماية
تعتمد الدفاعات السيبرانية على موشور ثلاثي الأوجه، إلكتروني، و بشري، ومادي. إن نقطة البداية العملية للدفاع الجيد هي البدء في استيعاب هذه الوجوه الثلاثة المهمة في عملية التخطيط الاستراتيجي الشامل. ومع ذلك، هناك مشكلة واحدة وهي أن هذه المجالات الثلاثة تعمل بشكل مستقل عن بعضها البعض. إذن السؤال هو كيف نبدأ العملية؟ نبدأ بهدم الحواجز التي جعلت الفرق تعمل بشكل مستقل عن بعضها البعض ولا تشارك المعلومات. لذلك من الضروري تضمين كل التهديدات في التخطيط للحماية، يشمل ذلك ولا يقتصر على الهجمات الداخلية والهندسة الاجتماعية مثلاً.
كذلك، قد لا يكون الأشخاص المشاركين في بناء الدفاع عن الأمن السيبراني على دراية بالأوجه الكاملة للمشكلة بسبب قلة المعرفة أو ضيق زاوية الرؤية التي لديهم. يشبه ذلك قصة الرجال المكفوفين الذين طُلب منهم أن يصفوا فيلاً بناءاً على ما يلمسونه. بالنسبة لأحدهم الذي لمس ذيل الفيل فهو ثعبان، وبالنسبة لآخر الذي لمس جسمه، هو جدار، وبالنسبة لآخر لمس رجل الفيل، فهو شجرة، وما إلى ذلك. ولكن، على الرغم من أن كل واحد منهم أعتقد أنه على حق (جزئياً)، إلا أن الجميع كانوا مخطئين تماماً.
رؤية محدودة للأمن السيبراني
وينطبق هذا على الطريقة التي تتم بها مقاربة مشكلة الأمن السيبراني في أغلب المؤسسات. رؤية منقوصة، بعيدة عن الحقيقة. حيث يُصار إلى التركيز على نطاق تهديدات معين و يتم التغاضي عن الحاجة إلى مواجهة التهديدات التي تنشأ في مجالات أخرى. مثلاً، من المفهوم أن مهمة فريق أمن الشبكة هي تأمين الشبكة، وليس البرامج والتطبيقات. كذلك، لا يعتبر موظفو الموارد البشرية أن إعداد قواعد جدار الحماية أو تقييد التحكم في الوصول إلى الخوادم جزء من مهامهم. إنها ممارسة من خلال وجهات نظر و زوايا رؤيا محدودة للعالم، مما يضع وظيفة الأمن السيبراني في حالة اختلال وظيفي لا علاج له. على الرغم من وجود ضوابط في كل مجال يمكنها حماية الجزء الذي نلمسه من الفيل، إلا أن أياً من تلك العناصر التقليدية لا يمثل حلاً فعالاً كاملاً في حد ذاته. وإذا لم يتم دمج كل الجوانب العملية للحل بشكل كامل في الاستجابة، فمن المحتم أن تظهر الفجوات موقف الأمن السيبراني.
تعلم اللعب بشكل أفضل مع الآخرين
تنشأ الفجوات القابلة للاستغلال عندما لا تتعاون الجهات الفاعلة المهمة في عملية الدفاع السيبراني. وكما رأينا، فإن معظم المدافعين السيبرانيين ربما لا تكون على دراية بالمتطلبات الفعلية للتعاون. على سبيل المثال، سيؤدي الفشل في قفل غرفة الكمبيوتر ومراقبتها إلى هدم أي حل أمني . وذلك لأن الوصول المباشر إلى الآلة يتفوق على أي شكل آخر من أشكال الحماية الرقمية.
تعتبر هذه المواقف مصادر لأنواع الثغرات القابلة للاستغلال. ومع ذلك، فإن تصميم الخطوات للحد من كل شكل من أشكال الوصول المادي المباشر إلى المخدم، مثل الأقفال ومراقبة الموظفين والإشراف عليهم، يتطلب مشاركة الجهات الفاعلة ذات الصلة من الموارد البشرية والأبنية والأمن المادي. في كثير من الأحيان، لا يشارك هؤلاء الخبراء في التخطيط أو العمليات اليومية لوظيفة الأمن السيبراني.
يجب أخذ كل العوامل بعين الاعتبار حتى يكون الدفاع السيبراني خالياً من الثغرات. ولكن لأن التخطيط للأمن السيبراني غالباً ما يُنظر إليه باعتباره ممارسة تكنولوجية بحتة، فإن المنظمة غير قادرة على تطبيق المجموعة الكاملة من الضوابط اللازمة لحماية أصولها بشكل كامل من كل مصدر ضرر يمكن تصوره. وبناءاً على ذلك فإن التحدي واضح. وبالتالي، يجب على المعنيين التاكد ان الممارسة الحقيقية للأمن السيبراني تشتمل على مجموعة كاملة ودقيقة وفعالة للغاية من الضوابط المحددة جيداً والمقبولة بشكل عام. إنها تلك الضوابط القادرة على إغلاق كل نوع ممكن من النشاطات العدائية.
خلق حل شامل
تم اعتماد مصطلح “شامل” لوصف حالة الأمن السيبراني. الشامل، تعني ببساطة أنه تم تحديد كل نوع من أنواع التهديد ومواجهته من خلال آلية مراقبة موثقة. من الناحية العملية، تصف الحلول الشاملة المواقف التنظيمية التي تمت فيها مواجهة جميع التهديدات المحتملة بشكل فعال من خلال مجموعة فعلية من الضوابط الإلكترونية والمادية والبشرية والتي يتم تمكينها من خلال عملية تخطيط محكمة. ولذلك، فإن ممارسة الأمن السيبراني الجيدة يجب أن تأخذ في الاعتبار جميع السبل المعقولة للاستغلال ويتم تنفيذ جميع الضوابط والتدابير المضادة اللازمة لضمان الدفاع السيبراني الفعال بحيث يتم دمج كل واحدة من هذه الضوابط في نظام الدفاع السيبراني.
الدفاعات السيبرانية – كلمة أخيرة
لن نتمكن من تنفيذ حل دفاعي شامل إلا عندما نكون قادرين على توحيد مسؤوليات الحماية والمهارات والاهتمامات المطلوبة لها. كما يجب أن يكون هناك اتفاق حول العناصر التي تشكل الممارسة الصحيحة والفعالة للأمن السيبراني. أفضل الممارسات تشير ببساطة إلى الأشياء التي نعرفها نتيجة للدروس العالمية المستفادة مع مرور الوقت. لاداعي لاختراع العجلة كل مرة. لكن يمكن اتباع أفضل الممارسات التي تمثبل ما اتفق عليه الخبراء حول أفضل طريقة للقيام بشيء ما.
