[ad_1]
بالنسبة لقادة الإنترنت، أصبحت المخاطر الإلكترونية شخصية.
في عام 2023، أدت القواعد الأمريكية الجديدة المتعلقة بالكشف عن خروقات البيانات إلى زيادة الضغوط على موظفي أمن الشركات – وخاصة كبار مسؤولي أمن المعلومات – في الوقت الذي كانت فيه الوكالات والمحاكم تشير إلى إمكانية تحميل الأفراد المسؤولية عن الحوادث.
في العام الماضي، على سبيل المثال، حكمت السلطات الأمريكية على جو سوليفان، كبير مسؤولي الأمن السابق في شركة أوبر، بالسجن لمدة ثلاث سنوات وغرامة قدرها 50 ألف دولار بتهمة التستر على خرق البيانات من عام 2016. وقد تم إخطاره من قبل قراصنة بوجود خلل أمني كشف المعلومات الشخصية لما يقرب من 60 مليون سائق وراكب على منصة نقل الركاب. وكانت هذه أول محاكمة جنائية لأحد المسؤولين التنفيذيين في الشركة بسبب التعامل مع خرق البيانات.
وبعد بضعة أشهر فقط، وجهت هيئة الأوراق المالية والبورصات الأمريكية الاتهام إلى تيموثي براون، رئيس قسم تكنولوجيا المعلومات في شركة SolarWinds، بتهمة الاحتيال وإخفاقات الرقابة الداخلية، بعد أن تم اختراق شركة تكنولوجيا المعلومات من قبل قراصنة روس كجزء من حملة تجسس. واتهمت الهيئة التنظيمية كلاً من الشركة وبراون بتضليل المستثمرين من خلال عدم الكشف عن “المخاطر المعروفة” وعدم تمثيل إجراءات الأمن السيبراني بدقة.
يقول واغنر ناسيمنتو، نائب الرئيس وكبير مسؤولي أمن المعلومات في شركة Synopsys لتصنيع أدوات تصميم الرقائق: “إذا كنت تتحدث داخل مجتمع CISO، فإن كل CISO الذي أعرفه يشعر بالقلق إزاء هذا الأمر”.
القوانين المسؤولة: واجه جو سوليفان، الرئيس السابق لقسم الأمن في أوبر، دعوى قضائية بشأن خرق البيانات في عام 2016 © Jim Wilson/eyevine
ونتيجة لذلك، يختار بعض موظفي الشركة عدم العمل كمدراء أمن معلومات، أو عدم المشاركة في لجان الإفصاح في شركاتهم، لتجنب تحمل المسؤولية والمخاطر بأنفسهم. وهو تطور يؤدي إلى تفاقم مشكلة نقص المواهب في أدوار الأمن السيبراني.
ومع ذلك، ترى ناسيمنتو أن التغييرات التنظيمية تمثل فرصة يجب على كبار مسؤولي أمن المعلومات اغتنامها، كوسيلة لاقتطاع دور أكثر نشاطًا وتأثيرًا في حوكمة الشركات.
ويقول: “لقد كنا نقاتل من أجل هذا المكان لفترة طويلة”. “الآن، لديك فرصة للحصول على مقعد على الطاولة، والتحدث مع الرئيس التنفيذي، وتكون جزءًا من المحادثة.”
إذا كنت تتحدث داخل مجتمع CISO، فإن كل CISO الذي أعرفه يشعر بالقلق إزاء هذا الأمر
أصبحت أهمية القادة السيبرانيين متزايدة حيث خضعت الشركات لتحولات رقمية وواجهت مجموعة واسعة من تهديدات القرصنة. وفي الآونة الأخيرة، كان التحول إلى العمل عن بعد، والتهديد المتزايد بالحرب السيبرانية وسط التوترات الجيوسياسية المتزايدة ــ وخاصة حول الصراع الروسي الأوكراني ــ سببا في زيادة أدوار الأمن الداخلي.
وبالتوازي مع ذلك، زاد العبء التنظيمي الذي يتحمله متخصصو الأمن السيبراني. تتطلب قواعد هيئة الأوراق المالية والبورصة الجديدة من الشركات العامة الكشف، في الإيداعات التنظيمية، عن أي حادث يعتبر “جوهريًا” في غضون أربعة أيام عمل بعد التأكد من ذلك. ويجب على أي شركة عامة أيضًا أن تقدم تقريرًا سنويًا حول كيفية إدارة وإدارة مخاطر الأمن السيبراني داخليًا.
توفر هذه القواعد الشفافية للمستثمرين، وقد تساعد الوكالات الحكومية على دعم الشركات بشكل أفضل، بل ويمكن أن تكشف عن أنماط الهجمات السيبرانية ونواقل الهجوم. يقول أميت يوران، الرئيس التنفيذي لشركة Tenable، وهي شركة لإدارة التعرض للأمن السيبراني: “هذه خطوة دراماتيكية نحو قدر أكبر من الشفافية والمساءلة وستحسن إلى حد كبير استعدادنا للأمن السيبراني كأمة”.
ومع ذلك، يشير بعض خبراء الأمن السيبراني إلى أن المعلومات التي يكشف عنها قادة الإنترنت من المرجح أن تكون غير كاملة وقد توفر تفاصيل أساسية عن نقاط الضعف في شركاتهم أمام المهاجمين السيبرانيين المحتملين.
وفي بعض الحالات، قد يتم استخدام اللوائح الجديدة لزيادة الضغط على الضحايا لدفع فدية.
على سبيل المثال، أبلغت إحدى عصابات برامج الفدية، المعروفة باسم ALPHV/BlackCat، عن أحد ضحاياها، وهو MeridianLink، إلى لجنة الأوراق المالية والبورصات لعدم الكشف عنها بعد أن رفضت شركة البرمجيات الدفع. ثم هددت ALPHV/BlackCat بنشر البيانات المخترقة إذا لم تدفع الشركة المبلغ خلال 24 ساعة.
وأصدرت شركة MeridianLink بيانًا قالت فيه إنها لم تحدد أي دليل على الوصول غير المصرح به إلى أنظمتها.
مُستَحسَن
إذن، من نواحٍ عديدة، تثير القواعد التنظيمية الجديدة مخاطر قانونية بالنسبة للشركات العامة: تعريضها للدعاوى القضائية بشأن انتهاكات الخصوصية، فضلاً عن إثارة شبح الاتهامات والعقوبات المالية المفروضة على كبار مسؤولي أمن المعلومات الأفراد.
“هناك الكثير من القلق داخل مجتمع الأمن السيبراني اليوم من وجود . . . يقول هيو تومسون، الرئيس التنفيذي لمؤتمر الأمن السيبراني RSA والشريك الإداري في مجموعة رأس المال الاستثماري Crosspoint Capital Partners: “يمكن أن تكون عواقب على الأشياء التي يشعرون أنها لا تزال خارجة عن سيطرتهم”.
وقد تباينت الردود على القواعد الجديدة، وفقا لخبراء الأمن السيبراني. وقد تبنت الشركات عتبات مختلفة للحوادث السيبرانية “الجوهرية”، ولم تكن العديد منها مفصلة بشكل مفرط في إفصاحاتها، أو حذرتها بشدة.
يقول إيجور فولوفيتش، نائب رئيس استراتيجية الامتثال في مجموعة الامتثال للأمن السيبراني Qmulos: “من الأمور المثيرة للقلق الحقيقي بالنسبة لرؤساء أمن المعلومات هو أي دلتا (أو اختلاف) بين البيانات السابقة حول وضعهم الأمني”. ويحذر من أنه إذا ادعت الشركات أنها تتمتع بالمرونة السيبرانية أمام أطراف ثالثة عندما تكون على علم بأوجه القصور الأمنية، فقد يعتبر ذلك مخالفات للشركات أو احتيالًا على المساهمين.
يحتاج جميع المديرين التنفيذيين اليوم – وليس فقط رئيس أمن المعلومات – إلى مستوى معين من الكفاءة في مجال الأمن السيبراني
ينصح الخبراء قادة الإنترنت بإجراء عمليات تدقيق أمنية منتظمة ووضع خطط واضحة للاستجابة للحوادث تتوافق مع إداراتهم القانونية والأمنية والعلاقات العامة والمالية.
يقول طومسون إنه يتم اتخاذ الإجراء. وهو “يرى المزيد من الاستثمار المهم” من قبل قادة الإنترنت في “تجسيد عمليات إدارة المخاطر”.
ويحاول البعض أن يحددوا مسبقاً ما يمكن اعتباره “مادياً” إذا تعرض جزء من أعمالهم لهجوم سيبراني، ويقومون بتنفيذ “تمارين الطاولة” (جلسات تقييم قائمة على المناقشة).
لكن فيفيك جيتلي، نائب الرئيس التنفيذي ورئيس قسم التحليلات في شركة تحليل البيانات EXL، يضيف أن كبار مسؤولي أمن المعلومات “بحاجة إلى توثيق القرارات، حتى أصغرها، والاستعداد للدفاع عنها، ليس فقط داخليا، بل أمام المنظمين والمفتشين”.
تحث ناسيمنتو الشركات على وضع بروتوكولات في حالة وجود خلاف حول ما يشكل أهمية مادية. في بعض الحالات، “بالنسبة للمحامي، قد لا يكون الأمر جوهريًا، بالنسبة إلى رئيس أمن المعلومات، فهو كذلك”، يوضح. “عندما يحدث ذلك، ما هو المسار؟”
[ad_2]
المصدر