لسنوات طويلة كان يُنظر إلى الأمن السيبراني في المقام الأول على أنه مشكلة تقنية، حيث هيمنت جدران الحماية وحماية نقاط النهاية وأدوات الكشف وخطط الاستجابة للحوادث على النقاشات، كما استثمرت المؤسسات بكثافة في منع الهجمات وتحسين قدرتها على الكشف عنها والاستجابة لها.
في الواقع، لم يعد السؤال هو ما إذا كان الهجوم سيقع بل متى سيحدث، وتفاقم هذا الغموض مع الانتشار السريع للذكاء الاصطناعي، الذي ساعد الخصوم بقدر ما أسهم في تسريع القدرات الدفاعية.
وعندما تتعرض التكنولوجيا لخلل، فإن انضباط اتخاذ القرار والتنسيق التشغيلي في المؤسسة هما العاملان الحاسمان في تخطي تلك الأزمة السيبرانية. وهنا يتطور مفهوم الأمن السيبراني ليصبح مرونة سيبرانية، وهو الأمر الذي تناوله تقرير نشره المنتدى الاقتصادي العالمي، نستعرضه على النحو التالي:
- المرونة السيبرانية تتجاوز مفهوم الأمن السيبراني
بينما يركز الأمن السيبراني على الحماية والاستجابة حيث إيقاف الهجمات واستعادة الأنظمة، تطرح المرونة السيبرانية سؤالًا أوسع: كيف تستمر المؤسسة في العمل واتخاذ القرارات عندما تتعطل التكنولوجيا أو تتدهور أو تفقد موثوقيتها؟ من هذا المنطلق، تُشابه المرونة السيبرانية تخصصات تخطيط استمرارية الأعمال الأخرى. فعلى سبيل المثال، تستعد المؤسسات بشكل روتيني للكوارث الطبيعية واضطرابات سلاسل التوريد وانقطاعات العمليات، على افتراض أن الأنظمة أو الأفراد أو العمليات قد تصبح غير متاحة وأن العمل يجب أن يستمر.
وبالمثل، قد يؤدي حادث سيبراني خطير إلى تأخير أو تقييد استعادة تكنولوجيا المعلومات. فقد تتعطل الأنظمة لفترة أطول من المتوقع، وقد تصبح سلامة البيانات غير مؤكدة. كما قد يتزايد الضغط الخارجي من العملاء والجهات التنظيمية ووسائل الإعلام. لذلك لم يعد التحدي تقنيًا بحتًا، بل يكون تنظيمياً أيضًا.
- الطبيعة التنظيمية للأزمة السيبرانية
تتطلب المرونة السيبرانية الحقيقية تضافر جهود جميع أقسام المؤسسة، حيث يجب على الفرق القانونية تقييم المخاطر التنظيمية والالتزامات التعاقدية. كما يجب على الإدارة المالية تقييم الأثر التشغيلي والمسؤوليات المترتبة. ويتعين على فرق الاتصالات إدارة الرسائل الموجهة للموظفين والعملاء والشركاء والجمهور. أما الإدارة التنفيذية، فيجب عليها اتخاذ قرارات حاسمة في ظل معلومات غير مكتملة، وأحيانًا متضاربة.
وإذا لم تكن هذه الوظائف متناسقة، فإنه حتى الحادث الذي تتم إدارته تقنيًا بكفاءة عالية قد يتفاقم إلى أزمة عمل تؤدي إلى تأخير في اتخاذ القرارات وتضارب في الرسائل وتوقعات غير مُدارة وضرر يمكن تجنبه لسمعة المؤسسة.
ومع ذلك، لا تزال مؤسسات تختبر جاهزيتها السيبرانية بشكل شبه حصري داخل قسم تقنية المعلومات. وتركز تدريبات الاستجابة للحوادث على تحليل البرمجيات الخبيثة، والجداول الزمنية للاحتواء، واستعادة النظام. ورغم أهمية ذلك، فإنه لا يختبر قدرة المؤسسة على العمل في ظل اضطراب مستمر، أو قدرة القيادة على اتخاذ قرارات واثقة في ظل غموض الحقائق.
إن المرونة السيبرانية تتطلب نهجًا مختلفًا يتمثل في التدرب على كيفية تصرف المؤسسة عندما تقلل الوقاية من المخاطر، وعندما تعجز التكنولوجيا عن حل الغموض بشكل فوري.
- لماذا يُعد قياس المرونة السيبرانية أمرًا صعبًا؟
أحد أسباب كثرة الحديث عن المرونة السيبرانية وقلة قياسها هو استحالة قياسها باستخدام لوحات المعلومات فقط. لا يمكن لأي برنامج آلي أن يُخبرك بمدى سرعة استجابة المديرين التنفيذيين تحت الضغط، أو مدى قدرة الإدارات القانونية والاتصالات على تنسيق الرسائل في المواقف سريعة التغير، أو مدى فاعلية تبادل المعلومات بين الفرق المختلفة.
تتمحور المرونة السيبرانية حول اتخاذ القرارات والتنسيق والقدرة على التكيف. ولتقييمها، تحتاج المؤسسات إلى منهجية منظمة طريقة لتدريب ومراقبة وقياس أداء الأفراد والعمليات في ظل ظروف قاسية. وهنا تبرز أهمية تمارين المحاكاة.
- تمارين المحاكاة
غالبًا ما تُعتبر تمارين المحاكاة متطلبات امتثال أو تدريبًا أساسيًا على الاستجابة للحوادث. ومع ذلك عند تصميمها بشكل جيد تُعد من أكثر الطرق العملية لبناء المرونة وقياسها.
وعلى عكس المحاكاة التقنية، تُركز تمارين المحاكاة على الأفراد والقرارات، حيث تضع المشاركين في سيناريوهات واقعية وتُجبرهم على التعامل مع حالة عدم اليقين والمفاضلة بين الخيارات وتضارب الأولويات.
ولتحقيق ذلك بفاعلية، يجب أن يتجاوز السيناريو حادثة إلكترونية عادية، بهدف اختبار قدرة المؤسسة على العمل في ظل تأخر التعافي وشكوك حول موثوقية البيانات وتزايد الضغوط الخارجية.
ويتطور تمرين المرونة الفعال تدريجيًا كالتالي:
- تشير المؤشرات المبكرة إلى هجوم يؤثر على الأنظمة الحيوية.
- تظهر مخاوف بشأن سلامة البيانات مما يُثير التساؤلات حول مدى موثوقية ما هو موجود في أنظمتك.
- يطرح العملاء والشركاء أسئلة وتلوح في الأفق متطلبات الجهات التنظيمية والمواعيد النهائية.
- يجب على المؤسسة اتخاذ قرارات قبل استعادة اليقين.
في مرحلة معينة، يتضح أن التكنولوجيا وحدها لن تحل الموقف بسرعة. وهنا تكمن أهمية هذه العملية. يُقيم القسم القانوني التزامات الإبلاغ ومخاطر التعرض للأمور في ظل غياب الحقائق الكاملة. كما يُقيم القسم المالي تأثير ذلك على الأعمال في ظل تعطل الأنظمة. ويتولى قسم الاتصالات الداخلية إدارة حالة عدم اليقين لدى الموظفين والسيطرة على الشائعات.
أما قسم الاتصالات الخارجية، فيوازن بين الشفافية والمخاطر القانونية ومخاطر السمعة.
- ما يمكن أن تقيسه تمارين المرونة فعليًا
يكشف تمرين محاكاة المرونة السيبرانية المصمم جيدًا عن رؤى لا توفرها الاختبارات التقنية البحتة، كما أنه يُنشئ مؤشرات قابلة للقياس يمكن تتبعها بمرور الوقت، مثل:
- سرعة استجابة الإدارة التنفيذية: مدى سرعة انضمام القيادة واستمرارها في المشاركة.
- وضوح القرار: ما إذا كانت المسؤولية واضحة أم أن القرارات تتعثر بسبب الغموض.
- تدفق المعلومات: ما إذا كانت الحقائق الرئيسية تنتقل بين الفرق أم تبقى معزولة.
- استمرارية العمليات: القدرة على تشغيل الخدمات الحيوية.
- جاهزية الاتصالات في الأزمات: توافق الرسائل الداخلية والخارجية ووصولها في الوقت المناسب.
- هدفا وقت ونقطة التعافي تحت الضغط: ما إذا كانت افتراضات التعافي تتطابق مع الواقع.
- نقاط التضارب والتأخير: مواضع ظهور الاحتكاك بين الوظائف.
وتأسيسًا على ما سبق، تظل الوقاية جوهر أي استراتيجية للأمن السيبراني، وذلك للحد من احتمالية وقوع الحوادث وتأثيرها وكسب الوقت وتقليل الاضطرابات. كما أن المرونة السيبرانية ليست مشروعًا يُنفذ لمرة واحدة، بل تتطلب ممارسة مستمرة وتحسينًا دائمًا ومشاركةً فعالة من القيادة. وينبغي تكرار تمارين المحاكاة وتكييفها وتوسيع نطاقها مع تطور المؤسسة.
وختامًا، إن أكثر المؤسسات مرونة ليست التي تمتلك دفاعات مثالية بل التي تدربت على مواجهة الفشل وتعلمت منه.
