هل أصبح يتحتم على مجالس الإدارة تعلم أساسيات الأمن السيبراني والمفاهيم الرقمية؟

بعد ثلاثة أيام من تعيينه لإدارة مجموعة سولار ويندز الأمريكية للبرمجيات، تلقى سوداكار راماكريشنا مكالمة يخشاها أي رئيس تنفيذي.

اتصل به المستشار العام للشركة ليحذره من أنه تم اكتشاف برامج ضارة موجودة في التحديثات التي أرسلت إلى آلاف العملاء في القطاعين العام والخاص.

يتذكر المدير التنفيذي المخضرم للتكنولوجيا قائلا، “كان رد فعلي الأول هو الفضول حقا. فقد بدأت أتخيل ما كان يمكن أن يحدث”.

لم يكن من المقرر أن يتولى راماكريشنا منصبه حتى الشهر التالي، ولكن نظرا إلى خطورة الهجوم، وهو جزء من حملة تجسس إلكتروني ألقت الحكومة الأمريكية باللوم فيها لاحقا على روسيا، فقد تم تعيينه على عجل في مجلس إدارة شركة سولار ويندز حتى يتمكن من تلقي تحديثات يومية. وفي غضون أيام، كان يراجع أهم عشر أولويات لوظيفته الجديدة لمراعاة الظروف التي تغيرت بشكل جذري.

قلة من المديرين التنفيذيين يواجهون مثل هذا التحدي السيبراني عند البدء في وظيفتهم، الأمر الذي دفع الولايات المتحدة إلى إنشاء فريق عمل رفيع المستوى لتنسيق استجابتها. حتى إن القليل من الرؤساء التنفيذيين سيستجيبون بتلك البرودة مثل راماكريشنا. فبالنسبة إلى القادة، تبدو الهجمات الإلكترونية “شخصية وعاطفية أكثر” من الأزمات الأخرى، وفقا لمايكل سميتس، أستاذ الإدارة في كلية سعيد للأعمال في جامعة أكسفورد.

حتى الهجوم الوهمي يمكن أن يدفع المديرين التنفيذيين إلى حافة الهاوية. تقوم مبادرة هاوس أوف سايبرسيكيوريتي في لوكسمبورغ بإدارة تمرين مكثف لمدة ساعة لقادة الشركات، يسمى غرفة رقم 42، لتعزيز المرونة في مواجهة التهديدات السيبرانية. يقول باسكال شتايتشن، الذي يدير وحدة المرونة الإلكترونية، إن المسؤولين التنفيذيين “فقدوا السيطرة” مرتين، حتى إنهم صرخوا على زملائهم.

قد تعكس مثل هذه الردود فجوة تم الكشف عنها في تقرير حديث أعده سميتس وآخرون لشركة إستاري وهي شركة لإدارة المخاطر الإلكترونية والتي تملكها شركة تيماسيك السنغافورية. قال جميع الرؤساء التنفيذيين الـ37 الذين تمت مقابلتهم من أجل الدراسة إن مسؤولية الأمن السيبراني في شركاتهم تقع عليهم، لكن ما يقارب ثلاثة أرباعهم كانوا غير مرتاحين لاتخاذ قرارات بشأنه.

ما يتضح من ذلك هو أن التهديد آخذ في الازدياد. فمنذ اختراق شركة سولار ويندز في 2020 – والذي أطلق عليه اسم صن بيرست – نجح المتسللون في إيقاف شبكة شركة كولونيال بايبلاين عن العمل مع مطلب بدفع فدية، ما أدى إلى نقص البنزين في أجزاء من الولايات المتحدة، وخرق الأنظمة الداخلية لصحيفة “الجارديان”، وأجبر البريد الملكي في المملكة المتحدة على تعليق الخدمات البريدية الدولية مؤقتا. وهذا الشهر، حذرت يو إس إس – وهي أكبر خطة معاشات تقاعدية للقطاع الخاص في المملكة المتحدة – من أن البيانات الشخصية لنحو 470 ألف عضو ربما تكون قد تعرضت لهجوم سيبراني على مجموعة كابيتا للتعهيد.

وكما يشير الخبراء، تعد القرصنة خطرا غير متكافئ. حيث تقول كيلي ريتشديل، عضوة مجلس الإدارة ومستشارة الأمن السيبراني، “يجب على المهاجمين القيام بذلك بشكل صحيح مرة واحدة فقط”. ويقول شتايشن إن جهاز المحاكاة في لوكسمبورغ – الذي سيبحث عن العيوب في أنظمة شركة ما – تم تصميمه على غرار غرف الهروب المعروفة، لكن الفرق هو أنك “لا تستطيع الهروب، تستطيع الفشل فقط”.

يدرك كبار القادة بشكل متزايد أنه إذا لم يكن هناك نظام محمي بالكامل ضد محاولات الاختراق، فلا يكفي التركيز على الاستجابات التكنولوجية فقط. ويقول الخبراء ينبغي ألا ينقل المديرون التنفيذيون المسؤولية إلى كبير مسؤولي أمن المعلومات، أو حتى إلى لجنة التدقيق الخاصة بهم. لكن بدلا من ذلك، يجب أن يتعاملوا مع الهجمات السيبرانية كقضية استراتيجية، ينبغي التعامل معها على أعلى مستوى. وإذا تم التعامل مع التهديد بشكل صحيح باعتباره مشكلة في إدارة المخاطر، يمكن أن يكون الخطر أيضا فرصة لتحديد العمليات المهمة استراتيجيا، وحتى لتحسين الشركة ككل.

يقول راماكريشنا من سولار ويندز، “أنت تتحسن باستمرار ولكنك لن تصبح آمنا تماما على الإطلاق. لا يجب أن تعمل بدافع الخوف، بل من التعلم المستمر والتحسين المستمر”.

ساعد المنظمون في وضع الأمن السيبراني بقوة على جدول أعمال مجالس الإدارة. وتعد هيئة الأوراق المالية والبورصات الأمريكية، وبنك إنجلترا، والبنك المركزي الأوروبي من بين المنظمين الذين زادوا تركيزهم على المرونة الإلكترونية في العام الماضي. مثلا، يتطلب اقتراح هيئة الأوراق المالية والبورصات من الشركات العامة الكشف عن خبرة المديرين في مجال الأمن السيبراني “إن وجدت”. وكما تشير ريتشديل، “لا يجب على كل عضو في (مجلس) الإدارة أن يكون خبيرا في المخاطر المالية، ولكن يجب أن يكون قادرا على قراءة الكشوفات البيانية (حساب الربح والخسارة)”. وعلى نحو مشابه، “يجب أن يكون مجلس الإدارة على دراية بأساسيات الهجمات الإلكترونية والمفاهيم الرقمية” – وهو مستوى من المعرفة تقول إنه يفتقر إليه في عديد من الشركات.

إن تحقيق، هذا المستوى من الخبرة أو استئجاره أسهل بالنسبة إلى الشركات الكبيرة، كما يضيف ميتشل شير من شركة الأمن السيبراني أشورد سايبر بروتيكشن، “في الشركات متوسطة الحجم، لا يعرف مجلس الإدارة الأسئلة التي يجب أن يطرحها كما لا يعرف خبراء التكنولوجيا ما يجب عليهم تقديمه للمجلس”.

هذه الفجوة محفوفة بالمخاطر بشكل خاص لأن الشركات الصغيرة ومتوسطة الحجم هي التي في الأغلب ما تفتح المجال للأهداف الكبيرة للقراصنة عن غير قصد، من خلال ما يسمى بـ”هجمات سلسلة التوريد”. وكان اختراق صن بيرست مثالا كلاسيكيا على ذلك، حتى إنه كان متطورا بشكل خاص، لأن برنامج شركة سولار ويندز قد تم تركيبه من قبل عديد من العملاء “على الرغم من أن الشركة تقدر أن أقل من 100 شركة خاصة وتسع وكالات فيدرالية كانت مستهدفة”. وكان الهجوم الآخر قد وقع العام الماضي على شركة ميديبانك الأسترالية للتأمين الصحي. وفيه تمكن المخترقون من الوصول إلى بيانات العملاء باستخدام اسم مستخدم مسروق وكلمة مرور استخدمهما مزود خدمة تكنولوجيا معلومات خارجي. قالت ريتشديل، “لقد اتسع محيط الأمن السيبراني”.

هذا يضع المشكلة بشكل مباشر على مكتب المديرين التنفيذيين، الذين يتمثل دورهم في الحفاظ على رؤية استراتيجية للمخاطر والفرص تغطي شبكة التوريد بأكملها. كما أن الرؤساء التنفيذيين ومجالس الإدارة هم أيضا في وضع أفضل لتقييم مخاطر السمعة. إذ ينصح الخبراء بأن القادة في وضع أفضل من كبار مسؤولي أمن المعلومات لتحديد “أغلى أصولها” – وهي الأصول المهمة استراتيجيا أو العمليات التي تحتاج إلى أعلى مستوى من الحماية. أما بالنسبة إلى الفنادق، فقد تكون تفاصيل جوازات سفر النزلاء، وبالنسبة إلى المنتجعات الصحية، قد تكون البيانات الصحية للعملاء، وبالنسبة إلى الشركات المصنعة، قد تكون الملكية الفكرية. يتذكر شير إحدى الشركات الصينية التي اخترقت نظام شركة ناشئة تحت غطاء طلب منتجاتها. حيث قام المخترق بنسخ التكنولوجيا المبتكرة للشركة المستهدفة وبدأ في تصنيع وبيع المنتجات نفسها بربع السعر. بمجرد أن تتعامل الشركات مع المخاطر الرئيسة، يمكنها التحرك لتغطية أي مخاطر متبقية بالتأمين السيبراني.

يقول مانويل هيفر من إستاري إن الضغط نحو قدر أكبر من المرونة السيبرانية يمكن أن يتيح أيضا فرصا لتبسيط العمليات. حيث قال أحد المديرين التنفيذيين في إستاري، “جاء رئيس قسم المعلومات للتقديم في اجتماع تنفيذي وسألنا عن عدد الخوادم التي نعتقد أن الشركة تملكها. كان أقل تقدير في الغرفة أنها أربعة، والأعلى 250. إلا أنها في الواقع كانت أكثر من أربعة آلاف خادم. وكان ذلك حافزا لنا جميعا على فهم المزيد. وأدركنا أننا ننفق الملايين كل عام على هذا النوع من التكنولوجيا ولكننا لا نفهمها حقا”.

وقد أثبتت شركة إستاري “مفارقة التأهب”. فالشركات التي قالت إنها في أفضل وضع لتحمل هجوم إلكتروني كانت هي الأقل استعدادا له. فيما قال القادة الذين تعرضت شركاتهم للاختراق بالفعل إنهم تمكنوا من إعادة البناء بشكل أفضل.

يقول راماكريشنا إنه أعاد بناء ثقافة سولار ويندز على أساس الشفافية والتعاون والتواضع. وقال، “لن تكون قادرا على حل جميع المشكلات بنفسك. قد تحتاج إلى المجتمع للمساعدة”. وعندما طلب منه تقديم المشورة لمجالس الإدارة الأخرى، حثهم على تبني “التحيز للشفافية” نفسه الذي تستخدمه سولار ويندز، ومشاركة المعرفة بالهجوم الإلكتروني مع شبكتهم الأوسع.

إن مدى التعاون مع المنافسين في الأزمات هو قرار من المرجح أن يتخذه الرئيس التنفيذي ومجلس الإدارة فقط. ومعظمهم يخطئ في جانب السرية. ويقول شتايشن من مبادرة لوكسمبورغ إن 70 في المائة من تلك الشركات التي أدارت محاكاة غرفة رقم 42 لا تبحث عن مساعدة خارجية للتعامل مع أزمة إلكترونية. ويقول، “إن شعارنا العام هو، لا تعان في صمت”.

إن شعار شركة سولار ويندز هو “مصمم بأمان”. حيث يصف راماكريشنا هذا بأنه “مشروع أبدي”. هل يمكن أن يحدث هجوم على غرار هجوم صن بيرست مرة أخرى؟ يشير راماكريشنا إلى الانتهاكات الأخيرة للشركات “الغارقة في الأمان”، مثل مايكروسوفت، التي تعرض برنامجها إكستشينج للبريد الإلكتروني لهجوم من قبل قراصنة صينيين مفترضين في 2021، حيث يقول راماكريشنا، “يمكن أن يحدث ذلك لشركة سولار ويندز، أو لأي شركة أخرى، بغض النظر عن حجمها ونطاقها وأصولها. ما يمكننا القيام به هو العمل معا لتقليل هذا الاحتمال”.