كان للتحول الرقمي، والتقنيات الناشئة كالذكاء الاصطناعي، وتقنيات المعلومات والاتصالات الحديثة فوائد لا تعد ولا تحصى. لكن الاعتماد الهائل على المنتجات والخدمات الرقمية جعل المؤسسات أكثر عرضة للهجمات أكثر من أي وقت مضى. وللا تقتصر الهجمات الإلكترونية على منظمات الأعمال الكبرى فقط ولكن على الشركات الصغيرة والمتوسطة أيضاً. ومن أجل زيادة الثقة في أنظمة المعلومات والبنية التحتية التقنية فقد برزت الحاجة إلى المرونة الإلكترونية والتي تعتبر تغييراً في التفكير. يفترض هذا المفهوم أنه لا يمكن حماية أنظمة المعلومات بالكامل من الهجمات الإلكترونية. لذلك، يجب تطبيق مبادئ وتقنيات تصميم جديدة لضمان مرونة الوظائف الحرجة حتى في حالة تعرض أجزاء من الأنظمة للخطر.
المرونة الإلكترونية وأمن المعلومات
عند التفكير في المرونة الإلكترونية (السيبرانية)، يفكر الناس على الفور في مصطلحات أخرى، مثل أمن المعلومات أو الأمن السيبراني وتتداخل هذه المصطلحات وتتكامل مع بعضها. إن أحد المفاهيم الرئيسية لأمن المعلومات هو ما يسمى بمثلث CIA الذي يصف السرية والنزاهة والتوافر. غالباً ما يشار إلى أضلاع هذا المثلث على أنها أساس صياغة أهداف الأمن.
تصف السرية هدف الحفاظ على المعلومات آمنة ضد الكشف غير المصرح به لأطراف غير مقصودة. وهي تشمل التدابير المضادة، مثل ضوابط الوصول، والتشفير ، وحماية المعلومات الحساسة. أما النزاهة فهي حماية المعلومات من التعديل غير المصرح به، ويتم ذلك عبر تدابير مثل التوقيع الرقمي والنسخ الاحتياطي للبيانات لحمايتها من العبث والتخريب. وأخيراً، يعبر التوافر عن القدرة على الوصول إلى البيانات عند الحاجة إليها. ويتم ذلك مثلاً عبر التخطيط المناسب للموارد بشكل يبقي الأنظمة والبيانات متوفرة بشكل مستمر.
أولويات أمن المعلومات
تعتمد أولوية كل هدف بشكل أساسي على طبيعة النظام المعني، والهدف من استخدامه ، ومؤشرات أدائه الرئيسية. في حين كان يُنظر إلى التوافر على أنه أقل أهمية للعديد من الأصول المستندة إلى الويب، حيث لم يتم اعتبار الانقطاعات القصيرة لموقع ويب أو إعادة تحميل تطبيق معطل مشكلة، يختلف هذا بشكل كبير في التكنولوجيا التشغيلية (OT) حيث يكون التوافر عادةً هو الهدف الأكثر أهمية.
اعتماداً على المتطلبات ، قد تتعارض أهداف أمن المعلومات -نظرياً-. على سبيل المثال، يؤدي إضافة أنظمة اكتشاف التسلل ،بشكل غير مدروس، إلى اضطراب في توافر النظام. ولذلك من الضروري دراسة العلاقات بين التدابير الأمنية وتأثيراتها عند تصميم الأنظمة. يجب أن تكون تلك التدابير متسقة بشكل يأخذ فيه التصميم بالاعتبار ضمان جميع متطلبات الأمن بشكل معقول بذات الوقت.
تأخذ المرونة السيبرانية أمن المعلومات إلى مستوى آخر. في حين أن الأمن يختض عادة بصد المهاجمين ، فإن المرونة السيبرانية تتطلب طريقة جديدة للتفكير تفترض أن الاختراق نجح ولكن مع تصميم وتشغيل ومراقبة الأنظمة بحيث لا يزال من الممكن تنفيذ الوظائف والعمليات المهمة للأعمال حتى في حالة تعرض أجزاء من الأنظمة للخطر. كما تركز المرونة السيبرانية على توقع نقاط الضعف والتهديدات والتقنيات الجديدة من أجل الاستعداد للعواقب السلبية. وبالتالي، فأهداف المرونة السيبرانية تختلف عن أهداف أمن المعلومات “التقليدية” (السرية والنزاهة والتوافر).
أهداف المرونة الإلكترونية
يحدد المعيار NIST SP 800—160 أربعة أهداف رئيسة وهي التوقع، التحمل التعافي والتكيف. يتم عبر تلك الأهداف إنشاء المرونة السيبرانية والحفاظ عليها. وبالتالي، يعد توقع التهديدات الجديدة أمراً حيوياً للاستعداد للتهديدات الحالية والجديدة. ويتم ذلك عبر معرفة الأصول الهامة ونقاط الضعف والمخاطر المحتملة، والتهديدات الحالية والتطورات المستقبلية في مشهد التهديد. تشمل الأنشطة التي تدعم هدف “التوقع”، استخبارات التهديدات السيبرانية، و مسح الثغرات، ونشاطات الفريق الأحمر.
الهدف الرئيسي التالي مخصص لمقاومة الهجمات، مما يعني أنه حتى أثناء الهجمات السيبرانية التي تنفذها الجهات الضارة، لا يزال من الممكن أداء الوظائف والعمليات الحرجة بشكل مقبول. ونظراً لاحتمال بقاء المهاجمين مخفيين لفترة طويلة، فمن الضروري مراعاة مرونة الوظائف والعمليات التجارية حتى لو تم اختراق أجزاء من أنظمة المؤسسة. تشمل الأنشطة الداعمة لهذا الهدف، تجزئة الشبكة، و اعتماد الثقة الصفرية، و التخطيط لاستمرارية الأعمال.
أما التعافي، فيعد هدفاً أساسياً آخر مرتبطاً بتحسين قدرات المرونة. لذلك، يجب اختبار قدرة المؤسسة على استرداد أنظمتها بمجرد تعرضها للخطر أو التأثر سلباً بالتهديدات. كما أن موثوقية وأمن وسلامة النسخ الاحتياطي من أسس التخطيط للاسترداد. وأخيراً، فالتكيف يسلط الضوء على أهمية تعديل العمليات أو الوظائف التجارية وفقاً للتغيرات المتوقعة في سياق الأعمال أو البيئة التنظيمية.
الخصوم السيبرانيون بمواجهة المرونة الإلكترونية
إن معرفة المزيد عن الخصوم السيبرانيين ودوافعهم وتكتيكاتهم وهجماتهم أمر ضروري لحماية المؤسسة وأنظمتها. يمكن تصنيف أولئك الخصوم إلى مجموعات مختلفة حسب نواياهم ومستوى مهاراتهم واتصالهم بالهدف.
الخصوم الداخليون مقابل الخارجيون
غالباً ما يتم النظر إلى الخصوم على أنهم فقط الجهات الضارة الخارجية. على سبيل المثال، منافس يحاول سرقة أسرار تجارية، أو جاسوس شرير -على طريقة جيمس بوند- يحاول تخريب منشأة حيوية . ومع ذلك، فإن العديد من الهجمات تنشأ من داخل المؤسسة ذاتها. أحياناً، لا يكون لدى هؤلاء المهاجمين الداخليين نية خبيثة ولكنهم يلتفون حول تدابير الأمن ليكونوا أكثر كفاءة في عملهم -باعتقادهم-. إن المهاجمين من الداخل، سواء كانوا خبيثين أو عن غير قصد، يشكلون خطراً على أي مؤسسة لأنهم يعرفون الأنظمة التي يريدون مهاجمتها. كما يمتلكون مكانية الوصول (المادي) إلى مكونات النظام، و لديهم اتصال بأشخاص آخرين داخلها.
مستوى تعقيد الهجمات
يختلف المهاجمون على نطاق واسع من حيث المهارة. أحياناً يكون المهاجمون هواة يستخدمون أدوات هجوم جاهزة دون امتلاكهم رؤية أو فهم أعمق. لكنهم قد يكونوا أيضاً خبراء ذوي كفاءة عالية، بل ربما كانوا يوماً ما، جزءاً من فريق تصميم النظام أو طوروا مكونات معينة فيه. نظراً لمستوى خبرتهم العالي، يمكن للمجموعة الأخيرة أن تظل غير مكتشفة لفترة طويلة جداً، حتى على أعلى الأنظمة مراقبة و قوة. وبالتالي، لبناء المرونة السيبرانية، من المهم تحديد وتوقع مستويات مهارة المهاجمين المحتملين.
التصميم والإرادة
حتى المهاجمين ذوي المهارات العالية قد يصطدمون بالدفاعات البسيطة للغاية إذا كان تصميمهم على مهاجمة نظام معين منخفضاً أو إذا كانوا يبحثون عن هدف يسهل مهاجمته. يجب أخذ هذا العامل في الاعتبار عند تقييم المهاجمين، حيث قد يشكل المهاجم ذو المهارة المتوسطة ولكن مع الإرادة والتصميم ، خطراً أكبر من المهاجم الخبير بدون تصميم أو رغبة جدية في الاستمرار بالهجوم. بالإضافة إلى ذلك، يجب تحليل مدى تعرض المؤسسة كهدف لهجمات محددة ونوع خصومها السيبرانيين.
التهديدات والهجمات السيبرانية
من أجل تطوير نظام يمكنه الاستجابة للهجمات والتكيف مع فرضية نجاح هجوم سيبراني على أحد الأصول الهامة، يجب فهم كيفية عمل الهجمات والأثار اللاحقة التي ستظهر على النظام المصاب. ويجب ملاحظة أن مهاجمة نظام للسيطرة عليه قد تتم بخطوات وتقنيات وأوقات مختلفة. توفر Cyber Killchain إطاراً بسيطاً الهجمات السيبرانية ولكنه غير كافي لنمذجة الهجمات المتقدمة. كما تحتوي مصفوفة MITRE ATT&CK على مجموعة من التكتيكات والتقنيات التي يستخدمها المهاجمون.
كلمة أخيرة
في بيئة تهديد متطورة بشكل متزايد، يجب على المؤسسات اتخاذ خطوات ليس فقط لتأمين أنظمتها ضد التهديدات السيبرانية، بل يجب عليها أيضاً جعل أنظمتها مرنة بما يكفي للتخفيف من حدة الهجوم والحفاظ على سلامة الأعمال الخاصة بها.