حين تتعرض أي شركة لهجوم سيبراني ناجح، وبعد اكتشاف الاختراق، يبدأ توجيه أصابع الاتهام. الرئيس التنفيذي سيلقي اللوم على كبير مسؤولي أمن المعلومات (CISO)، فيما يلقي كبير مسؤولي أمن المعلومات باللوم على المسؤولين الماليين الذين لم يخصصوا ما يكفي من التمويل لإجراءات الأمن السيبراني. باختصار، سيتم البحث عن كبش فداء لتحميله المسؤولية.
قد يكون كبش الفداء موظفاً عادياً ارتكب خطأ ما أو تسبب في ثغرة أمنية، ولا يتحمل المسؤولون رفيعو المستوى أي مسؤولية.
هل يعتبر لوم الموظفين أمراً عادلاً؟ نحن نعلم أن كل شخص يمكن أن يخطئ، والموظف في النهاية ليس وحده، يجب أن يدرك المسؤولون عن الأمن السيبراني الخطأ المرتكب وأن يكشفوا أي سلوك مريب، أليس كذلك؟
تتعقد المشكلة أكثر حين توجد أطراف من خارج الشركة، على سبيل المثال إذا حدث الاختراق في السحابة، مَن سيتحمل المسؤولية؟ مزود الخدمة السحابية أمْ صاحب البيانات؟
اقرأ أيضاً: كيف ينبغي على الشركات أن تتعامل مع تهديد سيبراني داخلي؟
مسؤولية المدراء التنفيذيين وأعضاء مجلس الإدارة
بعد الاختراق الناجح الذي تعرضت له شركة سولار ويند (SolarWinds) الأميركية، قرر المساهمون في الشركة رفع دعوى قضائية ضدها. زعم المساهمون أن المسؤولين في الشركة بالغوا في الترويج لجهود الأمن السيبراني التي يوفرونها على الرغم من وجود أدلة على عدم اتخاذ إجراءات فعّالة.
جاء في الدعوى أن خفض التكاليف على حساب الأمن السيبراني في الشركة أدى في النهاية إلى حدوث الاختراق، واستهدفت الدعوى المدراء التنفيذيين ومجلس إدارة سولار ويند، بالإضافة إلى كبير مسؤولي أمن المعلومات.
لكن القوانين الأميركية تحمي المدراء التنفيذيين وأعضاء مجالس الإدارة رفيعي المستوى من أي مسؤولية قانونية حين يتخذون قراراتهم بحسن نية، حتى لو تبين أن هذه القرارات كانت سيئة أو تضر بمصالح الشركة.
هذا يعني أن المسؤولين رفيعي المستوى لن يتحملوا أي مسؤولية قانونية حتى لو كانت قراراتهم هي التي أدت لحدوث الأخطاء والأضرار، إلا إذا تبين أنهم اتخذوا قرارات عن سوء نية، أي بغرض الإضرار بالشركة.
بناءً على ذلك، من المرجح أن يحكم القضاء لصالح المدراء التنفيذيين ومجلس إدارة شركة سولار ويند لتتم تبرئتهم من أي مسؤولية.
نفس السيناريو تكرر في عام 2017، حيث رفع المساهمون في شركة هوم ديبوت (Home Depot) دعوى قضائية ضد مسؤولي الشركة بعد أن تمكن قراصنة من الوصول إلى بيانات بطاقات الدفع الخاصة بملايين العملاء في عام 2014، وتتهم الدعوى المسؤولين في الشركة بأنهم السبب في خرق البيانات بعد أن قاموا بإنهاء عمل لجنة مكلفة بالإشراف على تكنولوجيا المعلومات.
في أثناء التحقيق، تبين أن إدارة الشركة قد حصلت من الموظفين على معلومات كافية عن المخاطر السيبرانية قبل إنهاء عمل لجنة الإشراف، لهذا السبب، اعتبر القاضي أن مسؤولي الشركة اتخذوا قراراتهم بشكل مستنير، وبالتالي، لا يمكن تحميلهم المسؤولية.
اقرأ أيضاً: لماذا قد يستغرق التعافي من اختراق سولار ويندز 18 شهراً؟
مسؤولية كبير مسؤولي أمن المعلومات
عادة ما يلام كبير مسؤولي أمن المعلومات ويتم تحميله المسؤولية القانونية عن الخرق السيبراني الناجح الذي تتعرض له الشركة. قد يتحمل الرئيس التنفيذي ومجلس الإدارة بعض المسؤولية، لكن غالباً سيتم تحميل كبير مسؤولي أمن المعلومات المسؤولية.
تنص بعض عقود العمل الخاصة بكبير مسؤولي أمن المعلومات أنه سيتحمل "المسؤولية الكاملة" وفقاً للقانون إذا تعرضت الشركة لاختراق سيبراني، مثل هذه العقود مصممة تحديداً لحماية المدراء التنفيذيين والمسؤولين في الشركة من التداعيات القانونية.
ينصح المحامون بأن يتجنب كبير مسؤولي أمن المعلومات التوقيع على عقود كهذه، لأنها ستحمله المسؤولية عن أي خرق سيبراني حتى لو لم يكن له علاقة فيه.
إذا كان كبير مسؤولي أمن المعلومات مضطراً للتوقيع على عقد يحمّله المسؤولية القانونية عن الخروقات السيبرانية، عليه أن يشترط إضافة بند إلى العقد يحميه من المسؤولية المالية. في هذه الحالة، حين تتعرض الشركة لخرق سيبراني، سيتحمل المسؤولية، لكنه لن يتحمل أي تبعات لذلك مثل تعويض الأضرار للشركة وعملائها.
اقرأ أيضاً: استخدم أدوات الأمن السيبراني هذه لحماية أجهزتك من الاختراق
المسؤولية الفردية
حتى لو وفرت الشركة أدوات وبرامج حماية قوية، فإنها لن تكون فعّالة إطلاقاً إذا لم يستخدمها الموظفون بشكل كامل صحيح أو تجاهلوا بعض قواعد الأمن السيبراني. لذلك، من الشائع أن يكون الخرق السيبراني الذي تعرضت له الشركة ناجماً عن خطأ ارتكبه أحد الموظفين.
إذا تبين أن موظفاً قد تسبب بالخرق السيبراني، يتم تحميله المسؤولية، لكن في معظم الحالات يتم أخذ نية الموظف بالاعتبار، واعتبار الخرق ناجماً عن خطأ غير مقصود أو إجراءً كان يعتقد الموظف أنه صحيح. هذا قد يشكل عذراً يحميه من تحمل المسؤولية.
مسؤولية الشركة
بغض النظر عن سبب الخرق، على الشركة أن تقدم ضمانات للعملاء بعدم تعرضها للاختراق أو عدم تسريب بياناتهم. وإذا حصل أي خرق أو تسريب للبيانات، يجب أن تتحمل الشركة مسؤولية ذلك ككيان قانوني وتعوض العملاء عن الأضرار والخسائر التي سببها هذا الخرق لهم.
اقرأ أيضاً: مَن هو مختص أمن المعلومات وما المهارات التي يجب أن يمتلكها؟
الخلاصة، مَن يتحمل مسؤولية الهجمات السيبرانية؟
لا توجد إجابة عن هذا السؤال، كل حادثة اختراق تختلف عن غيرها، ويجب أن يتم النظر إليها بشكل حيادي ومستقل لتحديد المسؤول.
بعيداً عن الأفراد، ستتحمل الشركة ككيان المسؤولية القانونية والمسؤولية المالية، وستكون مضطرة لتعويض أي خسائر.
بعد خرق البيانات الذي تعرضت له شركة هوم ديبوت عام 2014، توصلت الشركة إلى تسوية دفعت بموجبها مبلغ 17.5 مليون دولار أميركي. لم يتحمل المدير التنفيذي وأعضاء مجلس الإدارة أي مسؤولية، لكن تم تعيين كبير مسؤولي أمن معلومات جديد، ورفع مستوى الإجراءات الأمنية وتدريب الموظفين.