بالنسبة لقادة الإنترنت، أصبحت المخاطر الإلكترونية شخصية.
في عام 2023، أدت القواعد الأمريكية الجديدة المتعلقة بالكشف عن خروقات البيانات إلى زيادة الضغوط على موظفي أمن الشركات – وخاصة كبار مسؤولي أمن المعلومات – في الوقت الذي كانت فيه الوكالات والمحاكم تشير إلى إمكانية تحميل الأفراد المسؤولية عن الحوادث.
في العام الماضي، على سبيل المثال، حكمت السلطات الأمريكية على جو سوليفان، كبير مسؤولي الأمن السابق في شركة أوبر، بالسجن لمدة ثلاث سنوات وغرامة قدرها 50 ألف دولار بتهمة التستر على خرق البيانات من عام 2016. وقد تم إخطاره من قبل قراصنة بوجود خلل أمني كشف المعلومات الشخصية لما يقرب من 60 مليون سائق وراكب على منصة نقل الركاب. وكانت هذه أول محاكمة جنائية لأحد المسؤولين التنفيذيين في الشركة بسبب التعامل مع خرق البيانات.
وبعد بضعة أشهر فقط، وجهت هيئة الأوراق المالية والبورصات الأمريكية الاتهام إلى تيموثي براون، رئيس قسم تكنولوجيا المعلومات في شركة SolarWinds، بتهمة الاحتيال وإخفاقات الرقابة الداخلية، بعد أن تم اختراق شركة تكنولوجيا المعلومات من قبل قراصنة روس كجزء من حملة تجسس. واتهمت الهيئة التنظيمية كلاً من الشركة وبراون بتضليل المستثمرين من خلال عدم الكشف عن “المخاطر المعروفة” وعدم تمثيل إجراءات الأمن السيبراني بدقة.
يقول واغنر ناسيمنتو، نائب الرئيس وكبير مسؤولي أمن المعلومات في شركة Synopsys لتصنيع أدوات تصميم الرقائق: “إذا كنت تتحدث داخل مجتمع CISO، فإن كل CISO الذي أعرفه يشعر بالقلق إزاء هذا الأمر”.
ونتيجة لذلك، يختار بعض موظفي الشركة عدم العمل كمدراء أمن معلومات، أو عدم المشاركة في لجان الإفصاح في شركاتهم، لتجنب تحمل المسؤولية والمخاطر بأنفسهم. وهو تطور يؤدي إلى تفاقم مشكلة نقص المواهب في أدوار الأمن السيبراني.
ومع ذلك، ترى ناسيمنتو أن التغييرات التنظيمية تمثل فرصة يجب على كبار مسؤولي أمن المعلومات اغتنامها، كوسيلة لاقتطاع دور أكثر نشاطًا وتأثيرًا في حوكمة الشركات.
ويقول: “لقد كنا نقاتل من أجل هذا المكان لفترة طويلة”. “الآن، لديك فرصة للحصول على مقعد على الطاولة، والتحدث مع الرئيس التنفيذي، وتكون جزءًا من المحادثة.”
أصبحت أهمية القادة السيبرانيين متزايدة حيث خضعت الشركات لتحولات رقمية وواجهت مجموعة واسعة من تهديدات القرصنة. وفي الآونة الأخيرة، كان التحول إلى العمل عن بعد، والتهديد المتزايد بالحرب السيبرانية وسط التوترات الجيوسياسية المتزايدة ــ وخاصة حول الصراع الروسي الأوكراني ــ سببا في زيادة أدوار الأمن الداخلي.
وبالتوازي مع ذلك، زاد العبء التنظيمي الذي يتحمله متخصصو الأمن السيبراني. تشترط قواعد هيئة الأوراق المالية والبورصة الجديدة على الشركات العامة الكشف، في الإيداعات التنظيمية، عن أي حادث يعتبر “جوهريًا” في غضون أربعة أيام عمل بعد إثبات ذلك. ويجب على أي شركة عامة أيضًا أن تقدم تقريرًا سنويًا عن كيفية إدارة وإدارة مخاطر الأمن السيبراني داخليًا.
توفر هذه القواعد الشفافية للمستثمرين، وقد تساعد الوكالات الحكومية على دعم الشركات بشكل أفضل، ويمكنها حتى الكشف عن أنماط الهجمات السيبرانية ونواقل الهجوم. يقول أميت يوران، الرئيس التنفيذي لشركة Tenable، وهي شركة لإدارة التعرض للأمن السيبراني: “هذه خطوة دراماتيكية نحو قدر أكبر من الشفافية والمساءلة وستحسن بشكل كبير استعدادنا للأمن السيبراني كأمة”.
ومع ذلك، يشير بعض خبراء الأمن السيبراني إلى أن المعلومات التي يكشف عنها قادة الإنترنت من المرجح أن تكون غير كاملة وقد توفر تفاصيل أساسية عن نقاط الضعف في شركاتهم أمام المهاجمين السيبرانيين المحتملين.
وفي بعض الحالات، قد يتم استخدام اللوائح الجديدة لزيادة الضغط على الضحايا لدفع فدية.
على سبيل المثال، أبلغت إحدى عصابات برامج الفدية، المعروفة باسم ALPHV/BlackCat، عن أحد ضحاياها، وهو MeridianLink، إلى لجنة الأوراق المالية والبورصات لعدم الكشف عنها بعد أن رفضت شركة البرمجيات الدفع. ثم هددت ALPHV/BlackCat بنشر البيانات المخترقة إذا لم تدفع الشركة المبلغ خلال 24 ساعة.
وأصدرت شركة MeridianLink بيانًا قالت فيه إنها لم تحدد أي دليل على الوصول غير المصرح به إلى أنظمتها.
إذن، من نواحٍ عديدة، تثير القواعد التنظيمية الجديدة مخاطر قانونية بالنسبة للشركات العامة: تعريضها للدعاوى القضائية بشأن انتهاكات الخصوصية، فضلاً عن إثارة شبح الاتهامات والعقوبات المالية المفروضة على كبار مسؤولي أمن المعلومات الأفراد.
“هناك الكثير من القلق داخل مجتمع الأمن السيبراني اليوم من وجود . . . يقول هيو تومسون، الرئيس التنفيذي لمؤتمر الأمن السيبراني RSA والشريك الإداري في مجموعة رأس المال الاستثماري Crosspoint Capital Partners: “يمكن أن تكون عواقب على الأشياء التي يشعرون أنها لا تزال خارجة عن سيطرتهم”.
وقد تباينت الردود على القواعد الجديدة، وفقا لخبراء الأمن السيبراني. وقد تبنت الشركات عتبات مختلفة للحوادث السيبرانية “الجوهرية”، ولم تكن العديد منها مفصلة بشكل مفرط في إفصاحاتها، أو حذرتها بشدة.
“إن المسألة التي تثير قلقًا حقيقيًا بالنسبة لرؤساء أمن المعلومات هي أي دلتا [or variation] يقول إيجور فولوفيتش، نائب رئيس استراتيجية الامتثال في مجموعة Qmulos للامتثال للأمن السيبراني: “بين البيانات السابقة حول موقفهم الأمني”. ويحذر من أنه إذا ادعت الشركات أنها تتمتع بالمرونة السيبرانية أمام أطراف ثالثة عندما تكون على علم بأوجه القصور الأمنية، فقد يعتبر ذلك مخالفات للشركات أو احتيالًا على المساهمين.
ينصح الخبراء قادة الإنترنت بإجراء عمليات تدقيق أمنية منتظمة ووضع خطط واضحة للاستجابة للحوادث تتوافق مع إداراتهم القانونية والأمنية والعلاقات العامة والمالية.
يقول طومسون إنه يتم اتخاذ الإجراء. وهو “يرى المزيد من الاستثمار المهم” من قبل قادة الإنترنت في “تجسيد عمليات إدارة المخاطر”.
ويحاول البعض أن يحددوا مسبقاً ما يمكن اعتباره “مادياً” إذا تعرض جزء من أعمالهم لهجوم إلكتروني، ويقومون بتنفيذ “تمارين سطحية” [discussion-based assessment sessions].
لكن فيفيك جيتلي، نائب الرئيس التنفيذي ورئيس قسم التحليلات في شركة تحليل البيانات EXL، يضيف أن كبار مسؤولي أمن المعلومات “بحاجة إلى توثيق القرارات، حتى أصغرها، والاستعداد للدفاع عنها، ليس فقط داخليا، بل أمام المنظمين والمفتشين”.
تحث ناسيمنتو الشركات على وضع بروتوكولات في حالة وجود خلاف حول ما يشكل أهمية مادية. في بعض الحالات، “بالنسبة للمحامي، قد لا يكون الأمر جوهريًا، بالنسبة لـ CISO، فهو كذلك”، كما يوضح، “متى [that] يحدث، ما هو الطريق؟