ما هي تفاصيل الخطة الهادفة إلى إصلاح الإخفاقات الأميركية المتكررة في الأمن السيبراني؟

8 دقائق
ما هي تفاصيل الخطة الهادفة إلى إصلاح الإخفاقات الأميركية المتكررة في الأمن السيبراني؟
حقوق الصورة: إم إس تيك/ إينفاتو.

أدت عملية قرصنة خط كولونيال، وهو أكبر خط للوقود في الولايات المتحدة، إلى إصابة الآلاف من الأميركيين بالذعر، ودفعتهم إلى تكديس الوقود، إضافة إلى نقص في الوقود على امتداد الساحل الشرقي للولايات المتحدة. وقد أدت بعض الأخطاء الأساسية في الأمن السيبراني إلى السماح بدخول القراصنة، ما دفع الشركة إلى اتخاذ قرار إفرادي بدفع الفدية البالغة 5 مليون دولار، وإيقاف أغلبية عمليات توريد الوقود في منطقة الساحل الشرقي دون استشارة الحكومة الأميركية، إلى أن حان وقت التعامل مع آثار هذه العملية.

ومن الجهة الأخرى من المحيط الأطلسي، كان سياران مارتن يراقب الوضع مذهولاً.

يقول مارتن، وهو المسؤول الأول السابق عن الأمن السيبراني في المملكة المتحدة: "يتلخص التقييم الصريح والمباشر لعملية قرصنة كولونيال بأن الشركة اتخذت قراراتها بناء على مصلحتها التجارية الذاتية الضيقة، وألقت بكل شيء آخر على عاتق الحكومة الفيدرالية لإصلاح الأضرار".

والآن، فإن بعضاً من أهم مسؤولي الأمن السيبراني في الولايات المتحدة –بما فيهم المدير السيبراني الحالي في البيت الأبيض- يقولون إن الوقت قد حان لكي تلعب الحكومة دوراً أقوى، وتفرض قوانين أكثر صرامة في الأمن السيبراني، تفادياً لتكرار فضائح مثل عملية كولونيال. 

يتزامن هذا التغيير في الأسلوب مع تصاعد الحرب في أوكرانيا، وزيادة خطر هجمات سيبرانية جديدة من روسيا، ما يرغم البيت الأبيض على إعادة النظر في كيفية الحفاظ على سلامة البلاد.

اقرأ أيضا: ما هي أنواع الثغرات الأمنية الأكثر شيوعاً؟

يقول كريس إنغليس، وهو المدير السيبراني الوطني في البيت الأبيض، في أولى مقابلاته مع إم آي تي تكنولوجي ريفيو منذ بدء الحرب الروسية الأوكرانية: "لقد وصلنا إلى نقطة انعطاف، فعندما تصبح الوظائف الأساسية التي تؤمن حاجات المجتمع على المحك، فإن بعض الأمور تصبح ببساطة غير خاضعة للتقديرات والاجتهادات".

تتألف استراتيجية الأمن السيبراني الجديدة للبيت الأبيض من إشراف حكومي أكثر صرامة، وقواعد تفرض تحقيق المنظمات للحد الأدنى من معايير الأمن السيبراني، وشراكات وثيقة مع القطاع الخاص، والابتعاد عن مقارنة تفضيل حاجات السوق، وضمان اتباع جميع القواعد الجديدة. وسترتكز هذه الاستراتيجية على بعض من أهم الإنجازات القانونية الفارقة للولايات المتحدة، مثل قانون الهواء النظيف، أو قانون تشكيل إدارة الغذاء والدواء.

ومع تصاعد الخطر المحدق للقراصنة الروس، فإن هيئة الاتصالات الفيدرالية تخطط لمواجهة العمليات الروسية الهادفة إلى قرصنة حركة البيانات على الإنترنت، وهو تكتيك استخدمته موسكو من قبل. وقد أعلنت الهيئة في 11 مارس/ آذار عن مبادرة تهدف إلى التحقيق في إجراءات شركات الاتصالات الأميركية وجاهزيتها لحماية نفسها من هذه الأخطار. ولكن هذه المبادرة تمثل اختباراً حقيقياً للوكالة، لأنها لا تمتلك السلطة لإجبار الشركات على الامتثال، فهي تعتمد على احتمال وقوع أزمة في الأمن القومي لدفع الشركات إلى التعاون.

وبالنسبة للكثير من المسؤولين، فإن هذا الاعتماد شبه الكامل على حسن النية للشركات والسوق للحفاظ على أمن المواطنين لا يمكن أن يستمر. 

تقول سوزان سبولدينغ، وهي مسؤولة أساسية سابقة في الأمن السيبراني لإدارة الرئيس أوباما: "إن المقاربة الطوعية الكاملة للأمن السيبراني لم تحقق لنا ما نريد، ببساطة، وعلى الرغم من جهود امتدت عقوداً بأسرها. ولطالما كانت العوامل الخارجية مبرراً للقوانين والقواعد الملزمة، كما في حالة التلوث أو السلامة على الطرقات السريعة".

ومن المهم أن كبار مسؤولي البيت الأبيض متفقون مع هذه النظرة. يقول إنغليس: "أنا معجب للغاية بما تقوله سوزان، وأتفق معها تماماً".

ويقول مناصرو هذه المقاربة إن التغييرات الجذرية ضرورية لضمان عدم تكرار التاريخ لنفسه.

اقرأ أيضاً: البنية التحتية الذكية الجديدة تَعِد بمكاسب على مستوى الترابط لكن مع مخاطر على مستوى الأمن السيبراني

هل توقظ قرصنة خط أنابيب كولونيال مسؤولي الأمن السيبراني؟

يقول السيناتور رون وايدن، وهو من أكبر المتحدثين في الكونغرس حول مسائل الأمن السيبراني والخصوصية: "من المعروف أن الشركات لا ترغب بوجود قوانين صارمة للأمن السيبراني، وهو ما أوصل الأمن السيبراني لبلادنا إلى الوضع الحالي. ولهذا، لن أدعي أن تغيير الوضع الحالي سيكون سهلاً، ولكن البديل هو أن نترك القراصنة من روسيا والصين وحتى كوريا الشمالية يعيثون فساداً في الأنظمة الحساسة في جميع أنحاء أميركا، وأنا آمل بصدق ألا تسبب عملية القرصنة المقبلة أضراراً تفوق ما حدث في عملية خط أنابيب كولونيال، ولكنه أمر شبه محتوم ما لم يبادر الكونغرس إلى اتخاذ إجراءات صارمة".

لن تكون هذه النقلة سهلة. ويشعر الكثير من الخبراء، سواء في الحكومة أو خارجها، بالقلق من القوانين سيئة الصياغة التي يمكن أن تحدث من الضرر أكثر مما تعالجه، ويشعر بعض المسؤولين بالقلق من قلة خبرة المشرعين في مجال الأمن السيبراني. وعلى سبيل المثال، فإن أحدث قوانين إدارة أمان النقل المتعلقة بالأمن السيبراني لخطوط الأنابيب كانت "سيئة إلى درجة مثيرة للاستغراب" بسبب ما وصفه المنتقدون بأنه مجموعة من القواعد التي تفتقر إلى المرونة والدقة، والتي تتسبب بالمشاكل أكثر مما تحلها. ويشير المنتقدون إلى أنها نتيجة متوقعة من مسؤول تشريع يحمل مسؤوليات هائلة ولكن دون أن يمتلك من الوقت أو الموارد أو الطاقم المؤهل ما يسمح له بالقيام بعمله بشكل صحيح.   

ويقول غلين غيرستيل، والذي كان مستشاراً عاماً في وكالة الأمن القومي حتى 2020، إن المقاربة المشتتة الحالية، والتي تعتمد على قيام مجموعة من المشرعين المختلفين بالعمل على قطاعاتهم الخاصة، لن تؤدي المطلوب، وإن الولايات المتحدة بحاجة إلى سلطة واحدة مركزية للأمن السيبراني مع الخبرات والموارد التي تتيح السيطرة على عدة صناعات مختلفة وحساسة.

وتشير المقاومة التي تلقاها قوانين خطوط الأنابيب إلى صعوبة هذه العملية. ولكن، وعلى الرغم من هذا، فإن الكثيرين يجمعون، وبصورة متزايدة، على أن الوضع الحالي، أي تكرر الإخفاقات وانحراف أسباب العمل، غير قابل للاستمرار.

اقرأ أيضاً: الصين تتغلب على الولايات المتحدة في مجال الأمن السيبراني الكمومي

الحاجة إلى قوانين فارقة في الأمن السيبراني

أثبتت حادثة خط أنابيب كولونيال ما يعرفه الكثيرون من خبراء الأمن السيبراني مسبقاً، وهو أن معظم الهجمات ناتجة عن استغلال القراصنة لمشاكل تعود إلى عدة سنوات بسبب إهمال الشركات في الاستثمار في حلها.

يقول غلين غيرستيل: "أما الخبر الجيد فهو أننا نعرف كيف نحل هذه المشاكل فعلياً. نحن قادرون على إصلاح مشاكل الأمن السيبراني، وقد تكون العملية مكلفة وصعبة، ولكننا نعرف كيف نقوم بها، إنها ليست بمشكلة تكنولوجية".

وقد أثبت هجوم سيبراني كبير آخر هذه النقطة مؤخراً: فقد كان من الممكن تحييد مفعول سولار ويندز، وهي حملة قرصنة روسية ضد الحكومة والشركات الأميركية الكبيرة، لو كانت الجهات المستهدفة اتبعت معايير الأمن السيبراني المعروفة للجميع.

يقول وايدن: "هناك ميل إلى المبالغة في قدرات القراصنة المسؤولين عن الهجمات السيبرانية الكبيرة، وصولاً حتى إلى مستوى الكوارث الطبيعية أو أفعال الأقدار التي لا يمكن ردها، وهو أمر مناسب للمنظمات التي تم اختراقها، حيث يعفيها ويعفي قياداتها ويعفي الوكالات الحكومية من المسؤولية. ولكن، وبعد أن تتوضح الحقائق، تبين للعامة -وبشكل متكرر- أن القراصنة يحصلون في أغلب الأحيان على موطئ القدم الأول الذي يسمح لهم بالاختراق بسبب فشل المنظمات في الالتزام بالإصلاحات البرمجية أو ضبط الجدران النارية بصورة صحيحة".

لقد أصبح من الواضح بالنسبة للبيت الأبيض أن الكثير من الشركات لا تستثمر ما يكفي في الأمن السيبراني، ولن تقوم بهذا من تلقاء نفسها. ففي الأشهر الستة الماضية، فرضت الإدارة قواعد جديدة في الأمن السيبراني على البنوك وخطوط الأنابيب وأنظمة السكك الحديدية وشركات الطيران والمطارات. وقد وقع بايدن أمراً تنفيذياً للأمن السيبراني في السنة الماضية لتعزيز الأمن السيبراني الفيدرالي وفرض معايير الحماية على أي شركة تبيع منتجاتها أو خدماتها إلى الحكومة. لطالما كان إحداث التغيير في القطاع الخاص المهمة الأصعب، وفي أغلب الأحيان، الأكثر أهمية أيضاً. حيث أن أغلبية البنى التحتية والأنظمة التكنولوجية الحساسة تقع في نطاق القطاع الخاص. 

وتتلخص أغلب القواعد الجديدة بمتطلبات أساسية للغاية مع لمسة من الإشراف الحكومي، غير أنها ما تزال غير مقبولة من الشركات. وعلى الرغم من هذا، فمن الواضح أنها ستكون متبوعة بالمزيد. 

يقول وايدن: "يجب أن نطبق ثلاثة إجراءات كبيرة لإصلاح الحالة المزرية المتواصلة للأمن السيبراني في الولايات المتحدة. وتتلخص بفرض حد أدنى من المعايير الإلزامية للأمن السيبراني من قبل الجهات المنظمة، وتدقيقات إلزامية للأمن السيبراني تحت إشراف مدققين مستقلين غير مختارين من قبل الشركات الخاضعة للتدقيق مع تسليم النتائج إلى الجهات المنظمة، وعقوبات شديدة ورادعة تتضمن السجن للتنفيذيين الكبار عندما يؤدي الفشل في تطبيق أساسيات الأمن السيبراني إلى حدوث اختراق".

ويعتبر قانون التبليغ الإلزامي، والذي تم إقراره مؤخراً، خطوة أولى في هذا المجال. ويفرض هذا القانون على الشركات الخاصة مشاركة المعلومات بسرعة حول التهديدات المشتركة التي كانت الشركات تبقيها سرية، على الرغم من أن المعلومات الدقيقة يمكن في أغلب الأحيان أن تساعد في بناء دفاع مشترك أكثر قوة.

وعلى الرغم من فشل المحاولات السابقة لإقرار القوانين، فإن الاندفاعة الأحدث نحو قانون تبليغ جديد اكتسبت الزخم من الدعم الأساسي من بعض كبار التنفيذيين في الشركات العملاقة، مثل كيفن مانديا الرئيس التنفيذي لشركة "مانديانت" (Mandiant) وبراد سميث رئيس "مايكروسوفت" (Microsoft). وهي دلالة على أن قادة القطاع الخاص بدؤوا باعتبار القوانين أمراً حتمي الحدوث، بل ومفيداً في بعض المجالات الهامة.

ويشدد إنغليس على أن صياغة قوانين جديدة وفرضها سيتطلبان تعاوناً وثيقاً في كل خطوة بين الحكومة والشركات الخاصة. وحتى من داخل القطاع الخاص، يوجد اتفاق على ضرورة التغيير.

يقول مايكل دانييل، والذي يقود مجموعة "سايبر ثريت ألايانس"، وهي مجموعة من الشركات التكنولوجية التي تتشارك معلومات الأخطار السيبرانية لتشكيل دفاع مشترك أفضل: "لقد جربنا الاعتماد على التعاون الطوعي بالكامل لفترة طويلة، ولكنه لم يحقق النتائج المطلوبة بالسرعة الكافية".

اقرأ أيضاً: البرمجة الآمنة وأهميتها في تعزيز الأمن السيبراني

مقارنة عبر الأطلسي

في البيت الأبيض، يقول إنغليس إن الولايات المتحدة تأخرت عن حلفائها. ويشير إلى مركز الأمن السيبراني القومي (NCSC) في المملكة المتحدة كوكالة حكومية رائدة للأمن السيبراني تصلح كقدوة للولايات المتحدة. وبالنسبة لسياران مارتن، الرئيس التنفيذي المؤسس لوكالة "NCSC"، فإن المقاربة الأميركية للتعامل مع الأمن السيبراني مبعث للارتباك والذهول.

ويقول: "لو فعلت شركة طاقة بريطانية بالحكومة البريطانية ما فعلته كولونيال بالحكومة الأميركية، لتعرضت إلى أشد عبارات التأنيب قسوة على أعلى المستويات، ولكنت طلبت من رئيس الوزراء الاتصال برئيس مجلس إدارة الشركة ليقول له: أي حماقة هذه التي ارتكبتها بدفع الفدية وإيقاف عمل خط الأنابيب دون إبلاغنا؟"

تعمل قوانين الأمن السيبراني البريطانية على ضمان مقاومة البنوك ضد الصدمات المالية العالمية والضغوط السيبرانية. كما ركزت المملكة المتحدة أيضاً قوانين أكثر صرامة على شركات الاتصالات كنتيجة لكون إحدى شركات الاتصالات البريطانية "مملوكة بالكامل" من قبل القراصنة الروس، كما يقول مارتن، والذي يضيف أن قوانين الأمن الجديدة تجعل إخفاقات الأمن السابقة لشركة الاتصالات مخالفة للقانون.

أما على الجانب الآخر من المحيط الأطلسي، فإن الوضع مختلف تماماً. فهيئة الاتصالات الفدرالية، والتي تشرف على الاتصالات والحزمة العريضة في الولايات المتحدة، تعرضت إلى تقليص كبير في سلطاتها التنظيمية خلال رئاسة ترامب، وتعتمد في أغلب الأحيان على التعاون الطوعي من الشركات العملاقة في مجال الإنترنت. 

إن مقاربة المملكة المتحدة في التعامل مع صناعات محددة في كل مرة على حدة بالبناء على أساس السلطات التنظيمية الموجودة لديها مسبقاً، بدلاً من قانون واحد مركزي يغطي كل شيء، تماثل استراتيجية إدارة بايدن للأمن السيبراني.

يقول إنغليس: "يجب أن نستنفد جميع الصلاحيات التشريعية الموجودة لدينا من قبل". 

وبالنسبة لوايدن، فإن استراتيجية البيت الأبيض تشير إلى تغيير أصبح حاجة ضرورية للجميع.

ويقول: "إن الجهات المنظمة في جميع القطاعات كانت خائفة من استخدام السلطة التي لديها لمطالبة الكونغرس بصلاحيات جديدة لتنظيم ممارسات الأمن السيبراني في الصناعات المختلفة. ولهذا، لا عجب في أن الأمن السيبراني أصبح في حالة مزرية في الكثير من الصناعات، فما حدث عملياً هو أن الجهات المسؤولة تركت الشركات تشرف على نفسها بنفسها".

اقرأ أيضاً: هل يمكن الوثوق بمنتجات شركة كاسبرسكي الروسية المختصة بالأمن السيبراني؟

سبب فشل سوق الأمن السيبراني 

هناك ثلاثة أسباب رئيسية يُعزى إليها فشل سوق الأمن السيبراني، على الرغم من نموه السريع عالمياً وقيمته البالغة مئات المليارات من الدولارات.

ويقول دانييل إن الشركات لم تتمكن بعد من تحديد طريقة جني المال بالأمن السيبراني. فقد فشل السوق في تقدير مستوى الأمن السيبراني، والأهم من ذلك أنه يعجز في أغلب الأحيان عن ربطه بأرباح الشركة، وهو ما سبب العجز في تبرير صرف هذه الأموال.

أما السبب الثاني فهو السرية. فلم تكن الشركات ملزمة بالتبليغ عن الاختراقات، ولهذا فإن البيانات الهامة حول الاختراقات الكبيرة بقيت مخفية لحماية الشركات من الانتقادات الصحافية والدعاوى القانونية والمشرعين. 

أما السبب الثالث فهو مشكلة توسيع النطاق، فالسعر الذي دفعته الحكومة ودفعه المجتمع بسبب اختراق كولونيال تجاوز بكثير ما دفعته الشركة نفسها. وكما في مشكلة التلوث، "فإن التكاليف لا تظهر على شكل تغير في عائدات الشركة"، كما تقول سبولدينغ، ولهذا فإن حوافز السوق لإصلاح المشاكل ضعيفة.

يقول مناصرو الإصلاحات إن زيادة صرامة الإجراءات الحكومية يمكن أن تغير من المعادلة، تماماً كما غير الإصلاح من عشرات الصناعات في القرن الماضي.

ويرى غيرستيل أن الضغط يزداد ببطء لتغيير الوضع الحالي.

ويقول: "لم يسبق لي وأن رأيت هذه الدرجة من الإجماع والوعي من قبل. أرى الاختلاف وأشعر به بوضوح. وعلى الرغم من أنه ليس من المؤكد ما إذا كان كافياً للدفع نحو التغيير، فإنه يزداد ولا شك".

يشير إنغليس إلى المبلغ المخصص للأمن السيبراني في مشروع قانون البنية التحتية لبايدن في 2012، والبالغ 2 مليار دولار، على أنه "فرصة تأتي مرة واحدة في الجيل" تتيح للحكومة تعزيز إجراءاتها حول الأمن السيبراني والخصوصية.

ويقول إنغليس: "يجب أن نحرص على عدم تفويت الفرص المذهلة التي لدينا للاستثمار في مقاومة وتعزيز البنية التحتية الرقمية، ويجب أن نتساءل: ما هي الوظائف الحساسة التي تعتمد عليها أنظمة مجتمعنا؟ هل ستتكفل قوى السوق لوحدها بالاعتناء بكل شيء؟ وعندما تفشل في ذلك، كيف نحدد ما يجب فعله؟ هذا هو المسار الذي يمتد أمامنا، وليس من الضروري أن تمتد العملية لسنوات، بل يمكننا القيام بهذا بدافع من الحاجة الطارئة".