إخفاقات الأمن السيبراني لا تنتهي في أمريكا
شبح المتسللين الروس والاعتماد المفرط على التعاون التطوعي من القطاع الخاص يعني أن المسؤولين مستعدون أخيرًا لاتخاذ موقف صارم.
بقلم باتريك هويل أونيلارشيف صفحة
18 مارس 2022
البيت الأبيض ينظم مفهوم الإنترنت
MS TECH | إنفاتو
انتهى اختراق خط أنابيب كولونيال 2021 ، أكبر خط أنابيب وقود في الولايات المتحدة ، بآلاف الأمريكيين المذعورين الذين يخزنون الغاز ونقص الوقود عبر الساحل الشرقي. سمحت إخفاقات الأمن السيبراني الأساسية للمتسللين بالدخول ، ثم اتخذت الشركة قرارًا من جانب واحد بدفع فدية قدرها 5 ملايين دولار وإغلاق الكثير من إمدادات الوقود للساحل الشرقي دون استشارة الحكومة الأمريكية حتى حان الوقت لإزالة الفوضى.
من عبر المحيط الأطلسي ، نظر كياران مارتن في دهشة محيرة.
يقول مارتن ، الذي كان سابقًا أكبر مسؤول في مجال الأمن السيبراني في المملكة المتحدة: “التقييم الوحشي للاختراق الاستعماري هو أن الشركة اتخذت قرارات من مصلحة تجارية ضيقة ، وكل شيء آخر يعود للحكومة الفيدرالية”.
الإعلانات
الآن يقول بعض كبار مسؤولي الأمن السيبراني في الولايات المتحدة – بما في ذلك المدير السيبراني الحالي للبيت الأبيض – إن الوقت قد حان لدور حكومي أقوى وتنظيم في الأمن السيبراني حتى لا تحدث أخطاء مثل كولونيال مرة أخرى.
يأتي التغيير في المسار في الوقت الذي تجبر فيه الحرب في أوكرانيا ، والتهديد المتزايد بهجمات إلكترونية جديدة من روسيا ، البيت الأبيض على إعادة التفكير في كيفية الحفاظ على أمن الأمة.
قال كريس إنجليس ، المدير الإلكتروني الوطني للبيت الأبيض وكبير مستشاري بايدن للأمن السيبراني ، لـ MIT Technology Review في أول مقابلة له منذ الغزو الروسي لأوكرانيا: “نحن في نقطة انعطاف”. “عندما تكون الوظائف الحاسمة التي تخدم احتياجات المجتمع موضع خلاف ، فإن بعض الأشياء لا تكون تقديرية.”
تتكون إستراتيجية الأمن السيبراني الجديدة للبيت الأبيض من إشراف حكومي أقوى ، وقواعد تلزم المؤسسات بالوفاء بالحد الأدنى من معايير الأمن السيبراني ، وشراكات أوثق مع القطاع الخاص ، والابتعاد عن نهج السوق الحالي أولاً ، والإنفاذ للتأكد من اتباع أي قواعد جديدة. سيستلهم ذلك من بعض المعالم التنظيمية الأكثر شهرة في البلاد ، مثل قانون الهواء النظيف أو تشكيل إدارة الغذاء والدواء.
مع التهديدات التي تلوح في الأفق من المتسللين الروس ، تخطط لجنة الاتصالات الفيدرالية (FCC) لاحتمال قيام الروس باختطاف حركة المرور على الإنترنت ، وهو تكتيك رأوا أن موسكو تستخدمه في الماضي. تهدف مبادرة لجنة الاتصالات الفيدرالية الجديدة ، التي تم الإعلان عنها في 11 آذار (مارس) ، إلى التحقيق فيما إذا كانت شركات الاتصالات الأمريكية تفعل ما يكفي لتكون آمنة ضد التهديد. ومع ذلك ، فهو اختبار حقيقي للوكالة لأنها لا تملك القدرة على إجبار الشركات على الامتثال. إنهم يعتمدون على إمكانية حدوث أزمة أمن قومي لحملهم على السير على خط المرمى.
لدعم الصحافة في MIT Technology Review ، يرجى التفكير في أن تصبح مشتركًا.
بالنسبة للعديد من المسؤولين ، فإن هذا الاعتماد شبه الكامل على حسن نية السوق للحفاظ على سلامة المواطنين لا يمكن أن يستمر.
تقول سوزان سبولدينج ، التي كانت سابقًا مسؤولة كبيرة في مجال الأمن السيبراني في إدارة أوباما: “إن النهج الطوعي البحت [للأمن السيبراني] لم يقودنا ببساطة إلى حيث نحتاج إلى أن نكون ، على الرغم من عقود من الجهود.” التلوث والسلامة على الطرق السريعة “.
يتفق كبار المسؤولين في البيت الأبيض بشكل حاسم. يقول إنجليس: “أنا معجب بشدة بما تقوله سوزان وأنا أتفق معها”.
يجادل المؤيدون بأنه بدون تغيير جذري ، فإن التاريخ سوف يعيد نفسه.
يقول السناتور رون وايدن ، أحد أعلى الأصوات في الكونجرس بشأن قضايا الأمن الإلكتروني والخصوصية: “ليس سراً أن الشركات لا تريد قواعد قوية للأمن السيبراني”. “هكذا وصل بلدنا إلى ما هو عليه في مجال الأمن السيبراني. لذلك لن أتظاهر بأن تغيير الوضع الراهن سيكون سهلاً. لكن البديل هو السماح للقراصنة من روسيا والصين وحتى من كوريا الشمالية بالاندفاع في الأنظمة المهمة في جميع أنحاء أمريكا. آمل بصدق ألا يتسبب الاختراق التالي في ضرر أكبر من اختراق خط الأنابيب المستعمرة ، ولكن ما لم يكن الكونجرس جادًا ، فسيكون ذلك أمرًا لا مفر منه تقريبًا “.
التحول لن يكون سهلا. يشعر العديد من الخبراء ، داخل الحكومة وخارجها ، بالقلق من أن اللوائح المكتوبة بشكل سيء يمكن أن تضر أكثر مما تنفع ، ولدى بعض المسؤولين مخاوف بشأن افتقار المنظمين لخبرة الأمن السيبراني. على سبيل المثال ، تم انتقاد اللوائح الإلكترونية الأخيرة لإدارة أمن النقل بشأن خطوط الأنابيب بصوت عالٍ من قبل البعض باعتبارها “فاشلة” بسبب ما يقول العديد من النقاد إنها قواعد غير مرنة وغير دقيقة تسبب مشاكل أكثر مما تحلها. يشير المنتقدون إلى ذلك على أنه نتيجة لمنظم لديه صلاحيات ضخمة ولكن ليس ما يكفي من الوقت والموارد والموظفين الخبراء للقيام بالمهمة بشكل صحيح.
“تحافظ إدارة أمن النقل (TSA) على اتصال منتظم ومتكرر مع المالكين والمشغلين ، وتقدر العديد من شركات خطوط الأنابيب هذه أهمية ووتيرة هذا المسعى بين القطاعين العام والخاص لتحسين الحماية والمرونة
الرئيس التنفيذي ضد الهجمات الإلكترونية المستقبلية “، كما يقول آر. كارتر لانجستون ، المتحدث باسم إدارة أمن المواصلات ، الذي يعارض منتقدي تنظيم خط الأنابيب.
جلين غيرستيل ، الذي كان مستشارًا عامًا في وكالة الأمن القومي حتى عام 2020 ، يجادل بأن النهج التشتيت الحالي – مجموعة من المنظمين المختلفين الذين يعملون في قطاعاتهم الخاصة – لا يعمل وأن الولايات المتحدة بحاجة إلى سلطة أمن إلكتروني مركزية واحدة تتمتع بالخبرة والموارد التي يمكن توسيع نطاقها عبر مختلف الصناعات الحيوية.
يشير معارضة لوائح خطوط الأنابيب إلى مدى صعوبة العملية. ولكن على الرغم من ذلك ، هناك إجماع متزايد على أن الوضع الراهن – سلسلة من الإخفاقات الأمنية والحوافز الضارة – غير مستدام.
قانون المعالم
أثبتت حادثة خط أنابيب كولونيال ما يعرفه العديد من خبراء الإنترنت بالفعل: معظم الهجمات ناتجة عن قراصنة انتهازيين يستغلون مشاكل عمرها سنوات تفشل الشركات في الاستثمار فيها وحلها.
قصة ذات صلة
كيف يمكن أن تنتشر الحرب الإلكترونية الروسية في أوكرانيا على مستوى العالم
قد يهتم الجنود والدبابات بالحدود الوطنية. السيبر لا يفعل ذلك.
يقول جلين غيرستيل: “الخبر السار هو أننا نعرف بالفعل كيفية حل هذه المشكلات”. “يمكننا إصلاح الأمن السيبراني. قد يكون الأمر مكلفًا وصعبًا ولكننا نعرف كيفية القيام به. هذه ليست مشكلة تقنية “.
هناك هجوم إلكتروني كبير آخر يثبت هذه النقطة مرة أخرى: كان من الممكن تحييد SolarWinds ، وهي حملة قرصنة روسية ضد الحكومة الأمريكية والشركات الكبرى ، إذا كان الضحايا قد اتبعوا معايير الأمن السيبراني المعروفة.
يقول Wyden: “هناك ميل إلى تضخيم قدرات المتسللين المسؤولين عن حوادث الأمن السيبراني الكبرى ، عمليًا إلى مستوى الكارثة الطبيعية أو ما يسمى بأفعال الله”. “هذا يعفي المنظمات المخترقة وقادتها والهيئات الحكومية من أي مسؤولية. ولكن بمجرد ظهور الحقائق ، رأى الجمهور مرارًا وتكرارًا أن المتسللين غالبًا ما يحصلون على موطئ قدم أولي لأن المنظمة فشلت في مواكبة التصحيحات أو تكوين جدران الحماية الخاصة بهم بشكل صحيح “.
من الواضح للبيت الأبيض أن العديد من الشركات لا ولن تستثمر بما يكفي في الأمن السيبراني بمفردها. في الأشهر الستة الماضية ، سنت الإدارة قواعد جديدة للأمن السيبراني للبنوك وخطوط الأنابيب وأنظمة السكك الحديدية وشركات الطيران والمطارات. وقع بايدن على أمر تنفيذي للأمن السيبراني العام الماضي لتعزيز الأمن السيبراني الفيدرالي وفرض معايير أمنية على أي شركة تبيع إلى الحكومة. لطالما كان تغيير القطاع الخاص المهمة الأكثر صعوبة ، ويمكن القول إنها المهمة الأكثر أهمية. الغالبية العظمى من البنية التحتية الحيوية وأنظمة التكنولوجيا تنتمي إلى القطاع الخاص.
كانت معظم القواعد الجديدة بمثابة متطلبات أساسية للغاية ولمسة حكومية خفيفة – ومع ذلك فهي لا تزال تتلقى معارضة من الشركات. ومع ذلك ، فمن الواضح أن المزيد قادم.
يقول وايدن: “هناك ثلاثة أشياء رئيسية لازمة لإصلاح الحالة المؤسفة المستمرة للأمن السيبراني في الولايات المتحدة”. “الحد الأدنى من معايير الأمن السيبراني الإلزامية المطبقة من قبل المنظمين ؛ عمليات تدقيق الأمن السيبراني الإلزامية ، التي يتم إجراؤها من قبل مدققين مستقلين لم يتم اختيارهم من قبل الشركات التي يقومون بتدقيقها ، مع تسليم النتائج إلى المنظمين ؛ والغرامات الباهظة ، بما في ذلك عقوبة السجن لكبار المسؤولين التنفيذيين ، عندما يؤدي الإخفاق في ممارسة النظافة الإلكترونية الأساسية إلى حدوث خرق “.
يُنظر إلى اللائحة الإلزامية الجديدة للإبلاغ عن الحوادث ، والتي أصبحت قانونًا يوم الثلاثاء ، على أنها خطوة أولى. يطالب القانون الشركات الخاصة بمشاركة المعلومات بسرعة حول التهديدات المشتركة التي استخدمتها للحفاظ على السرية – على الرغم من أن هذه المعلومات الدقيقة يمكن أن تساعد في كثير من الأحيان في بناء دفاع جماعي أقوى.
فشلت المحاولات السابقة لوضع اللوائح ، لكن أحدث دفعة من أجل إصدار قانون جديد للإبلاغ اكتسبت قوة بسبب الدعم الرئيسي من الشركات العملاقة مثل الرئيس التنفيذي لشركة Mandiant ، كيفن مانديا ، ورئيس Microsoft Brad Smith. إنها علامة على أن قادة القطاع الخاص يرون الآن التنظيم على أنه أمر حتمي ومفيد في المجالات الرئيسية.
يؤكد Inglis أن صياغة القواعد الجديدة وإنفاذها سيتطلب تعاونًا وثيقًا في كل خطوة بين الحكومة والشركات الخاصة. وحتى من داخل القطاع الخاص ، هناك اتفاق على أن التغيير ضروري.
يقول مايكل دانيال ، الذي يقود تحالف Cyber Threat Alliance ، وهو مجموعة من شركات التكنولوجيا التي تشارك معلومات التهديد السيبراني لتشكيل دفاع جماعي أفضل: “لقد حاولنا طوعيًا بحتًا لفترة طويلة الآن”. “إنها لا تسير بالسرعة أو بالقدر الذي نحتاجه.”
المنظر عبر المحيط الأطلسي
من البيت الأبيض ، يقول إنجليس إن الولايات المتحدة تخلفت عن حلفائها. ويشير إلى المركز الوطني للأمن السيبراني (NCSC) في المملكة المتحدة باعتباره وكالة حكومية رائدة في مجال الأمن السيبراني تحتاج الولايات المتحدة إلى التعلم منها. ينظر كياران مارتن ، الرئيس التنفيذي المؤسس لـ NCSC ، إلى النهج الأمريكي تجاه الإنترنت بدهشة مرتبكة.
يقول: “إذا كانت شركة بريطانية للطاقة قد فعلت بالحكومة البريطانية ما فعلته كولونيال بحكومة الولايات المتحدة ، لكنا قد مزقناها لفظيًا على أعلى مستوى”. “هوية شخصية
لقد طلب من رئيس الوزراء الاتصال برئيس مجلس الإدارة ليقول ، “ما الذي تعتقد أنك تفعله لدفع فدية وإيقاف تشغيل خط الأنابيب هذا دون إخبارنا؟”
قصة ذات صلة
تقوم الولايات المتحدة بكشف القناع عن المتسللين الروس بشكل أسرع من أي وقت مضى
سارع البيت الأبيض إلى إلقاء اللوم على روسيا علنًا في هجوم إلكتروني على أوكرانيا ، وهو أحدث مؤشر على أن الإسناد الإلكتروني أداة حاسمة في الترسانة الأمريكية.
تعمل لوائح الإنترنت في المملكة المتحدة بحيث يجب أن تكون البنوك مرنة في مواجهة كل من الصدمات المالية العالمية والضغوط الإلكترونية. كما ركزت المملكة المتحدة أيضًا على تنظيم أقوى على الاتصالات نتيجة لكون شركة اتصالات بريطانية كبرى “مملوكة بالكامل” للقراصنة الروس ، كما يقول مارتن ، الذي يقول إن القواعد الأمنية الجديدة تجعل الإخفاقات الأمنية السابقة للاتصالات غير قانونية.
على الجانب الآخر من المحيط الأطلسي ، الوضع مختلف. تراجعت سلطتها التنظيمية بشكل كبير خلال رئاسة ترامب وتعتمد في الغالب على التعاون التطوعي من عمالقة الإنترنت.
نهج المملكة المتحدة في معالجة صناعات محددة واحدًا تلو الآخر من خلال البناء على السلطات التنظيمية التي تمتلكها بالفعل ، بدلاً من قانون مركزي واحد جديد يغطي كل شيء ، يشبه الطريقة التي ستعمل بها إستراتيجية بايدن للبيت الأبيض بشأن الإنترنت.
يقول إنجليس: “يتعين علينا استنفاد السلطات [التنظيمية] التي لدينا بالفعل”.
بالنسبة لوايدن ، تشير استراتيجية البيت الأبيض إلى تغيير مطلوب بشدة.
يقول: “كان المنظمون الفيدراليون ، في جميع المجالات ، يخشون استخدام السلطة التي لديهم أو أن يطلبوا من الكونجرس سلطات جديدة لتنظيم ممارسات الأمن السيبراني في الصناعة”. “لا عجب أن العديد من الصناعات لديها أمن إلكتروني فظيع. لقد سمح المنظمون للشركات بشكل أساسي بتنظيم نفسها “.
لماذا فشل سوق الأمن السيبراني
هناك ثلاثة أسباب أساسية وراء فشل سوق الأمن السيبراني ، الذي تبلغ قيمته مئات المليارات من الدولارات وينمو عالميًا.
يقول دانيال إن الشركات لم تكتشف كيف يدر الأمن السيبراني لها الأموال. يفشل السوق في قياس الأمن السيبراني ، والأهم من ذلك ، أنه غالبًا لا يمكنه ربطه بالنتيجة النهائية للشركة – لذلك لا يمكنهم في كثير من الأحيان تبرير إنفاق الأموال اللازمة.
السبب الثاني هو السرية. لم تضطر الشركات إلى الإبلاغ عن الاختراقات ، لذلك تم الاحتفاظ بالبيانات الهامة حول الاختراقات الكبيرة في مكان مغلق لحماية الشركات من الصحافة السيئة ، والدعاوى القضائية ، والمشرعين.
الثالث هو مشكلة الحجم. إن الثمن الذي دفعته الحكومة والمجتمع مقابل اختراق المستعمرة تجاوز بكثير ما ستدفعه الشركة نفسها. كما هو الحال مع قضية التلوث ، “لا تظهر التكاليف في صافي أرباحك كشركة” ، كما يقول سبولدينج ، وبالتالي فإن حوافز السوق لإصلاح المشكلات ضعيفة.
يقول المدافعون عن الإصلاح إن اليد الحكومية القوية يمكن أن تغير المعادلة في كل ذلك ، تمامًا كما حدث الإصلاح في عشرات الصناعات خلال القرن الماضي.
يرى غيرستل أن الضغط يتزايد ببطء للقيام بشيء مختلف عن الوضع الراهن.
يقول غيرستل: “لم أر قط مثل هذا الإجماع القريب والوعي من أي وقت مضى”. “هذا يبدو مختلفًا ويشعر به. لم يتضح بعد ما إذا كان ذلك كافيًا لدفع التغيير حقًا. لكن درجة الحرارة آخذة في الازدياد “.
يشير Inglis إلى ما يقرب من 2 مليار دولار من أموال الأمن السيبراني من فاتورة بايدن للبنية التحتية لعام 2021 البالغة 1 تريليون دولار باعتبارها “فرصة واحدة في كل جيل” للحكومة لتكثيف الأمن السيبراني والخصوصية.
يقول إنجليس: “علينا أن نتأكد من أننا لا نغفل الفرص المذهلة التي لدينا للاستثمار في مرونة وقوة البنية التحتية الرقمية”. “علينا أن نسأل ، ما هي الوظائف الحاسمة النظامية التي يعتمد عليها مجتمعنا؟ هل ستتحضر قوى السوق وحدها لذلك؟ وعندما يقصر ذلك ، كيف نحدد ما يجب أن نفعله؟ هذا هو المسار الذي ينتظرنا. لا يلزم أن تكون عملية تستمر لسنوات. يمكننا القيام بذلك بشعور من الإلحاح “.
