وسط تسونامي من الهجمات الإلكترونية في جميع أنحاء العالم، كثف القطاع الخاص بشكل كبير الإنفاق على الأمن السيبراني. ووفقاً لدراسة حديثة، أنفقت الشركات التي يعمل بها أكثر من 1000 موظف، متوسطاً يتجاوز 13 مليون دولار على الدفاع الإلكتروني في العام المنتهي في أبريل (نيسان) 2021، بزيادة تخطت 200 في المئة بالمقارنة مع النسبة المسجلة قبل عامين فحسب. ومن الواضح أن الإنفاق له مبرر. ففي الصيف الماضي، تسبب الهجوم على خط "كولونيال بايبلاين" في ظهور طوابير انتظار أمام محطات الوقود تذكرنا بحظر تصدير النفط الذي فرضته "أوبك" [في مطالع السبعينيات من القرن العشرين، عقب "حرب أكتوبر"]. كذلك حدث هجوم إلكتروني على "دكتور ريدي"، الشركة المصنعة للقاحات كورونا، أجبرها على إغلاق مصانع مهمة في خمس دول، إضافة إلى ذلك، تمكن أحد مجرمي الإنترنت أخيراً من سرقة 600 مليون دولار من العملات المشفرة الموجودة في بورصة "بولي نتورك".
وعلى الرغم من ذلك، لم ينجح النمو السريع في الإنفاق على الأمن السيبراني حتى الآن في فعل شيء يذكر من أجل تجنب التهديد. وحتى مع انخراط الشركات في بناء دفاعاتها الإلكترونية، أشارت آن نويبرغر، نائبة مستشار الأمن القومي الأميركي للتكنولوجيا الإلكترونية والناشئة، إلى "حدوث زيادة بشكل كبير" في "عدد وحجم" حوادث "برامج الفدية" [رانسوم وير Ransomware، وهي برامج تعوق الوصول إلى أجهزة ونظم معلوماتية مقابل دفع فدية لإعادتها إلى الخدمة]. وقد وجد تقرير جرائم الإنترنت الصادر عن "مكتب التحقيقات الفيدرالي" [أف بي آي FBI] أن الغالبية العظمى من الهجمات الإلكترونية ناتجة عن أخطاء أساسية، بما في ذلك التصيد الاحتيالي والإصلاح البطيء لنقاط الضعف المعروفة، ما يسمح للمهاجمين باستخدام أساليب منخفضة التكلفة في اختراق أنظمة الدفاع الإلكتروني باهظة الثمن.
والجدير بالذكر أن ما يدفع هذا السجل السيئ بشكل ملحوظ، يتمثل في عدد من القضايا ذات الصلة، إذ تستجيب الشركات ببطء شديد للتهديدات السيبرانية المتطورة، وتشتري منتجات برمجية ضعيفة [في الحماية الإلكترونية]، وتخطئ في تخصيص إنفاقها الأمني. في الواقع، تتجاهل معظم الشركات الممارسات الأمنية السليمة، حتى حينما تنهض باستثمارات كبيرة في الحماية.
ولكن، يكمن وراء كل تلك العيوب عيب أكبر، يمثله الفشل في الحصول على معلومات شاملة وفي الوقت المناسب، عن التهديدات السيبرانية الحالية التي تواجهها الصناعات المرجح استهدافها. عوضاً عن ذلك، تميل المعلومات الاستخباراتية المتعلقة بهجمات محددة، وبفاعلية دفاعات معينة، إلى أن تكون تحت حراسة مشددة من قبل شركات الأمن السيبراني وشركات التأمين، ما يترك الشركات والمؤسسات في حالة جهل بشأن نقاط الضعف في أنظمة المعلوماتية التي يستخدمونها أو يخططون لاستخدامها.
وبهدف معالجة العجز الحالي في الأمن السيبراني، ستحتاج حكومة الولايات المتحدة إلى تسهيل مشاركة البيانات الاستخباراتية حول التهديدات الإلكترونية بشكل أكبر في جميع مناحي الاقتصاد. ويمكن للكونغرس فعل ذلك من طريق تمرير تشريع عن إصلاح برنامج مشاركة المعلومات الخاص بـ"وكالة الأمن السيبراني وأمن البنية التحتية" CISA، و"مبادرة مشاركة المؤشرات الآلية" (AIS)، ومن خلال إنشاء "مكتب الإحصاءات السيبرانية" من أجل نشر البيانات الأمنية بانتظام. في المقابل، لن تستطيع المعلومات وحدها أن تحل أزمة الأمن السيبراني الحالية، إذ ستتطلب استراتيجية الدفاع السيبراني الشاملة أيضاً طرقاً جديدة في جعل الشركات نفسها تتصرف بسرعة لمواجهة أهم التهديدات وإنشاء أفضل الدفاعات.
اقرأ المزيد
يحتوي هذا القسم على المقلات ذات صلة, الموضوعة في (Related Nodes field)
حماية الأسرار الخاطئة
في ظل قوى السوق السائدة، يظهر رادع قوي يمنع شركات الأمن السيبراني من مشاركة المعلومات حول التهديدات. على الرغم من أن عدداً من تلك الشركات قد جمع بيانات غنية حول نقاط الضعف والأمان النسبي للبرمجيات الإشاعة، إلا أنها لا تشارك تلك المعلومات الاستخباراتية مع المستخدمي النهائيين لتلك البرمجيات، خشية أن يؤدي ذلك إلى تقويض ميزتها التنافسية. نتيجة لذلك، تعتبر الشركات في معظمها غير مجهزة من أجل تقييم المخاطر الأمنية للبرمجيات التي تعتمد عليها. وفي سياق متصل، قدرت شركة "سايبرسيكجيل: Cybersixgill الإسرائيلية أن 90 في المئة من كبار مسؤولي أمن المعلومات في الشركة يتخذون قرارات تتعلق بالأمن السيبراني بناءً على بيانات استخباراتية قديمة. ونظراً لندرة مشاركة المعلومات، غالباً ما يكون المهاجمون الإلكترونيون قادرين على استغلال نفس الثغرة مراراً وتكراراً لإلحاق الضرر بآلاف الشركات في جميع أنحاء العالم.
وبما أن الشركات لا تبني قرارات الشراء الخاصة بها على تقييم دقيق للمخاطر، فليس هناك حافز كبير يدفع مقدمي البرمجيات للتركيز على الأمن السيبراني. ونادراً ما تتمكن البرمجيات المصممة وفق ميزات أمان محسنة، من الاستئثار بسعر مميز. وفي ذلك الإطار، أجرى عدد من شركات البرمجيات حسابات منطقية بينت أن استخدام موارد باهظة الثمن في الأمن السيبراني لن يكون له عائد مرتفع في السوق. وعادةً، لا تعاني تلك الشركات من المشقات حينما تتعرض منتجاتها [البرمجيات] للهجوم. في النهاية، وفق ما أشار إليه عالماً الكمبيوتر روس أندرسون وتايلر مور، إن من يتحمل معظم تكاليف فشل الأمن السيبراني هم عملاء شركات البرمجيات، وليس شركات البرمجيات نفسها.
وفي الوقت ذاته، غالباً ما تحجم الشركات عن الكشف عن الهجمات الإلكترونية عند حدوثها، خوفاً من الأضرار بسمعتها، أو الأسوأ من ذلك، تعريض نفسها لدعاوى قضائية. ويتيح ذلك التحفظ للـهاكرز ذوي النوايا الخبيثة، إعادة استخدام الأساليب نفسها في أي مكان آخر. وعلى نحو مماثل، لا تبدي شركات التأمين على الإنترنت، وهي تكتب بواليص التأمين بهدف تغطية الخسائر المالية التي تكبدتها انتهاكات البيانات والاضطرابات الرقمية، [لا تبدي] أي رغبة في مشاركة معلومات حول فاعلية دفاعات أمنية معينة تعتبرها ملكية خاصة. نتيجة لذلك، يتخذ عدد من الشركات قرارات استثمارية حاسمة في مجال الأمن السيبراني بناءً على التسويق أو توصيات الناس، بدلاً من الاعتماد على البيانات الموثقة.
إبقاء الأجواء ودية
إذا جرى تبادل المعلومات حول التهديدات بسرعة في جميع أنحاء العالم، ستفقد الهجمات الإلكترونية على الفور كثيراً من قوتها. وبطريقة موازية، ستكون الشركات قادرة على تحديد الثغرات الأمنية الملحة ومعالجتها بسرعة داخل شبكاتها الرقمية أو أنظمة التشغيل الخاصة بها، ولن يتمكن المنفذون الخبيثون من استغلال نقطة ضعف واحدة في مهاجمة عدد كبير من الأهداف، ولكن حتى الآن، لاقت الحكومة [الأميركية] صعوبة في التغلب على المقاومة الداخلية التي أظهرها القطاع الخاص في ما يتعلق بمشاركة المعلومات حول التهديدات الإلكترونية.
في المقابل، إن تلك المشكلة ليست مستعصية على الحل. قبل عقدين من الزمن، واجه قطاع الطيران صعوبة مماثلة في جعل الخطوط الجوية تشارك المعلومات حول الحوادث والتصادمات الوشيكة. ولكن، في 2007، توصلت "إدارة الطيران الفيدرالية" FAA إلى حل مبتكر، تمثل في هيئة طوعية لتبادل المعلومات، تسمى برنامج "تحليل معلومات سلامة الطيران ومشاركتها" ASIAS، ويكون لدى شركات الطيران حافزاً كبيراً للمشاركة فيه. في الواقع، استطاع برنامج "تحليل معلومات سلامة الطيران ومشاركتها"، الذي أشرف عليه متعاقد مستقل، أن يجذب مشاركة شبه عالمية في القطاع، وبات يتلقى حالياً بيانات السلامة من 99 في المئة من شركات النقل الجوي التي تديرها الولايات المتحدة.
هناك تفسيرات متعددة لذلك النجاح. في الحقيقة، تبقى جميع بيانات السلامة التي تجري مشاركتها مع "تحليل معلومات سلامة الطيران ومشاركتها" آمنة ومجهولة. وخلال 14 سنة من العمل، لم يحدث أي خرق أو تسريب للبيانات. لذا، تثق شركات الطيران بأنها تستطيع مشاركة بيانات السلامة من دون الأضرار بسمعتها. في الوقت نفسه، لا تتلقى الخطوط الجوية حصانة من تدقيق "إدارة الطيران الفيدرالية" إلا إذا شاركت البيانات بشكل استباقي مع "تحليل معلومات سلامة الطيران ومشاركتها". إن هذا الحافز قوي بما يكفي لتجاوز مشكلة الانتفاع المجاني الذي يتيح للشركات إمكانية أن تسعى إلى الاستفادة من معلومات الشركات الأخرى من دون مشاركة معلوماتها الخاصة.
يعتبر قطاع الطيران نموذجاً لمشاركة البيانات حول المخاطر بطريقة فاعلة
يعتبر منظمو "إدارة الطيران الفيدرالية" الآن أن برنامج "تحليل معلومات سلامة الطيران ومشاركتها" يشكل المصدر الأكثر قيمة لمعلومات السلامة في القطاع. استناداً إلى المعلومات المستمدة من تقارير "تحليل معلومات سلامة الطيران ومشاركتها"، طور "فريق سلامة الطيران التجاري" Commercial Aviation Safety Team، وهو شراكة بين المشرعين والمصنعين ومشغلي الطائرات والنقابات، مجموعةً موثوقة تتألف من 22 إجراء معززاً للسلامة، اعتمدتها جميع شركات الطيران الأميركية تقريباً. وأدى ذلك إلى تحسين السلامة الجوية. فعلى مدار العقد الماضي، وقعت حادثتان مميتتان على متن خطوط جوية أميركية، مقابل 16 حادثاً مميتاً في السنوات السبع الأولى من القرن الحالي.
وفي سياق متصل، حاولت "وكالة الأمن السيبراني وأمن البنية التحتية" محاكاة نموذج "إدارة الطيران الفيدرالية" الناجح من خلال برنامج "مشاركة المؤشرات الآلية"، الذي يمكن الشركات والوكالات الحكومية من مشاركة بيانات تهديد مقروءة آلياً. في المقابل، وجد تقرير المفتش العام أن برنامج "مشاركة المؤشرات الآلية" فشل في الوفاء بوعده بسبب وجود عدد "ضئيل" من مقدمي المعلومات، إذ لا تملك الشركات حافزاً لتسجيل بيانات التهديد من خلال برنامج "وكالة الأمن السيبراني وأمن البنية التحتية". كذلك، أكد المفتش العام أن البرنامج عانى نقصاً في الموظفين وسوء الإدارة. إذاً، يجب على الكونغرس تخصيص مزيد من الأموال لجهود مشاركة المعلومات في "وكالة الأمن السيبراني وأمن البنية التحتية" حتى تتمكن من تعيين موظفين بدوام كامل. ومن أجل ضمان الحصول على مزيد من المعلومات، يجب على "وكالة الأمن السيبراني وأمن البنية التحتية" ألا تتيح بيانات برنامج "مشاركة المؤشرات الآلية" إلا للشركات التي تشارك بيانات التهديد الخاصة بها بشكل نشط. وهكذا، سيعمل برنامج "مشاركة المؤشرات الآلية" المعزز كآلية استجابة سريعة، ما يتيح لكثير من الشركات بتقوية دفاعات محددة بسرعة حينما يتعرض أحد أقرانها للهجوم. وهذا من شأنه أن يزيد بشكل كبير، من صعوبة وتكلفة شن هجمات إلكترونية مضرة.
الاتحاد قوة وأمان
لا يمثل الوصول السريع إلى معلومات حاسمة بشأن الثغرات العنصر الوحيد المهم في الأمن السيبراني الفاعل، إذ تحتاج الشركات أيضاً إلى أن تتلقى بانتظام بيانات أكثر تفصيلاً بشأن اتجاهات الهجمات السيبرانية الأوسع عبر القطاعات وسجل الأمان الخاص بالتقنيات الحالية، والفوائد النسبية الناتجة من التدابير الأمنية المختلفة. والجدير بالذكر أن مثل تلك البيانات التي تمتد على مساحة زمنية طويلة، حول مرونة نظام تكنولوجيا المعلومات، ستتجاوز نطاق برنامج "مشاركة المؤشرات الآلية"، الذي لن يركز إلا على مكافحة التهديدات العاجلة.
مرة أخرى، في كل من تلك المسائل، غالباً ما عملت شركات الأمن السيبراني وشركات التأمين الإلكتروني على حماية المعلومات ذات الصلة بعناية. ولحسن الحظ، هنالك إمكانية لتحقيق قفزة نوعية. لقد أدركت الجهات التي تبيع الأمن السيبراني، وشركات التأمين بحد ذاتها، أن مجموعات البيانات الخاصة بها غير مكتملة، ذلك إنها قد تتضمن نقاطاً عمياء [بمعنى أنها لا تلحظ مخاطر موجودة فعلياً] في بعض القطاعات أو المناطق التي تعوق أداءها وتهدد حتى أرباحها الصافية. ومن خلال دمج البيانات، يمكنها اكتساب رؤى مفيدة لها جميعاً.
وتتمثل إحدى الطرق الواعدة لدمج هذا النوع من البيانات في إنشاء "مكتب وطني للإحصاءات السيبرانية". في الواقع، جرى تصميم المكتب من قبل "لجنة سولاريوم للفضاء السيبراني" المكونة من الحزبين [الجمهوري والديمقراطي]، وقد اختتمت عملها في ديسمبر (كانون الأول) 2021. وستتولى وزارة الأمن الداخلي إدارة المكتب، وسيكون بمثابة مركز تبادل للبيانات الواسعة النطاق المتعلقة باتجاهات الهجمات الإلكترونية وسجل أمان التقنيات الحالية. في المقابل، سيسهم مشروع قانون معروض الآن على الكونغرس برعاية أعضاء مجلس الشيوخ الأميركي أنغوس كينغ (عضو مستقل من ولاية "ماين")، بن ساسي (جمهوري من ولاية "نبراسكا")، ومايك راوندز (جمهوري من ولاية "داكوتا الجنوبية")، في إنشاء المكتب والمطالبة بأن يتلقى بيانات شاملة من شركات التأمين على الإنترنت وشركات الاستجابة للحوادث كل 180 يوماً. بعدئذٍ، سيضيف المكتب على تلك البيانات استنتاجات مستمدة من وكالات الاستخبارات، وينشئ مجموعات بيانات مجمعة تكون متاحة أمام الباحثين وشركات التأمين الإلكتروني والشركات التي تسعى إلى تحسين أمنها السيبراني.
بمجرد إنشاء "مكتب الإحصاءات السيبرانية"، ستقدم مجموعات البيانات المستمدة منه المساعدة لمجتمع الأمن السيبراني في تحديد شركات البرمجيات التي لديها نقاط ضعف أمنية منهجية أو متكررة، وكذلك تقدير أنواع استثمارات الأمن السيبراني التي تحقق أفضل مستوى من الحماية، في حين أن المعلومات الواردة من مبادرة "مشاركة المؤشرات الآلية" المحسنة، ستفيد نظراء رجال الإطفاء السيبرانيين في محاربة الحرائق، سيستخدم مديرو الغابات [تشبيه للأوضاع في الفضاء السيبراني للإنترنت] بيانات "مكتب الإحصاءات السيبرانية" من أجل تقليل احتمالية اندلاع الحرائق [بمعنى حدوث هجمات إلكترونية] في المقام الأول.
ثمن التراخي
من خلال برنامج "مشاركة المؤشرات الآلية" و"مكتب الإحصاءات السيبرانية"، ستحظى شركات القطاع الخاص بإمكانية الوصول إلى معلومات عن التهديدات السيبرانية الحالية واتجاهات الأمن السيبراني على المدى الطويل. على الرغم من ذلك، إذا لم تتصرف الشركات بناءً على المعلومات التي تتلقاها، لن يتحسن الأمن السيبراني عموماً في القطاع الخاص. يشار إلى أن عدداً من الشركات لا ينوي اعتماد تدابير استباقية تزيد من التكاليف على المدى القصير.
لنأخذ في الاعتبار حالة برمجية "إيترنال بلو" [حرفياً، الأزرق الأزلي]، وهو عبارة عن برنامج استغلال [رموز تستغل الثغرات البرمجية] يؤثر على "مايكروسوفت أوفيس". جرى تطوير "إيترنال بلو" على يد "وكالة الأمن القومي"، ثم سرقه متسللون مضرون، وحولوه إلى سلاح للاستيلاء على أجهزة الكمبيوتر وتشفيرها في آلاف المؤسسات الكبيرة. في 2017، وقع 80 مستشفى بريطانياً بين الأوائل من ضحاياه، واضطر كثير منها إلى الإغلاق مؤقتاً وإرسال المرضى إلى مكان آخر. لا شك أن فرق تكنولوجيا المعلومات في مجال الرعاية الصحية حول العالم قد سمعت عن هذا الهجوم المنهك. وعلى الرغم من ذلك، بعد مرور عامين كاملين، فشلت منظمات عدة في سد الثغرة [الموجودة في "مايكروسوفت أوفيس" ويستغلها "إيترنال بلو" في اختراق برامج "أوفيس" المستعملة على نطاق واسع]. واستطراداً، كشف تقرير صادم صدر من شركة البحوث الأمنية "آرميس" Armis أن 40 في المئة من منظمات الرعاية الصحية في جميع أنحاء العالم تعرضت لهجوم "إيترنال بلو" في الأشهر الستة الأخيرة من 2019.
وبهدف إجبار الشركات على أن تكون أكثر استجابة حيال تهديدات سيبرانية على غرار "إيترنال بلو"، دعا بعض الخبراء إلى مزيد من الرقابة الحكومية. وفي ذلك المجال، أشار كريس فينان، مسؤول سابق في إدارة أوباما، إلى أن سجل الأمن السيبراني الضعيف في الشركات الأميركية، عبارة عن "فشل واضح في السوق لا يمكن علاجه إلا بالتنظيم والقوانين"، لكن تنفيذ المعايير والتوجيهات التنظيمية والتشريعية غالباً ما يكون مرهقاً، وقد لا يكون فعالاً ضد تهديد يتغير باستمرار، إذ تقدر أساليب الهجوم الجديدة على جعل بعض المعايير غير صالح، بين عشية وضحاها.
وعلى الرغم من ذلك، يمكن للحكومة أن تدخل في شراكة مع قطاع التأمين السيبراني، الذي له مصلحة خاصة في حمل الشركات على تنفيذ تدابير أمنية فعالة من حيث التكلفة، من أجل تقليل حجم تعويضات الانتهاكات السيبرانية ووتيرتها (بصراحة تامة، واحد منا [كاتبا المقال]، راج شاه، يساعد في قيادة شركة "ريزيليانس" للتأمين السيبراني).
في الحقيقة، يمتلك قطاع التأمين حافزاً قوياً في اتخاذ إجراء حيال أحدث المعلومات عن تهديد ما، إذ إنه غالباً ما يتحمل تكلفة مالية مباشرة حيال انتهاكات الأمان في الشركات المؤمنة لديه. بالفعل، يتبنى عدد من شركات التأمين السيبراني نماذج تسعير ديناميكية في التماشي مع المخاطر المتغيرة باستمرار. وبما أن هجمات "برامج الفدية" مثلاً قد أصبحت أكثر تواتراً وتشويشاً، ارتفعت أقساط التأمين السيبراني بشكل كبير، وشهدت زيادة بـ96 في المئة خلال السنة الماضية.
يمكن أن تضغط إشعارات تغيير الأسعار السريعة على الشركات كي تبني أمان سيبراني أفضل
في منحى مقابل، تضغط إشعارات تغيير الأسعار السريعة تلك على الشركات لإصلاح نقاط الضعف، وشراء برامج آمنة، وتخصيص ميزانيات الأمن السيبراني بكفاءة. وتجدر الإشارة إلى أن الشركات التي تواصل الممارسات غير الآمنة ستعاقب، وتلك التي تستجيب للتهديدات المتغيرة بنشاط سترى أقساطها [التي تدفعها لشركات التأمين] تنخفض. وعلى غرار الطريقة التي تستخدمها شركات التأمين ضد الحرائق للمساعدة في إصدار معايير محسنة في قواعد البناء وزيادة عدد محطات الإطفاء، يمكن لشركات التأمين السيبراني حث الشركات على اعتماد معايير وممارسات الأمان الأكثر فاعلية وحداثة. ومن خلال فرض حد أدنى من التأمين السيبراني في الشركات التي تبيع السلع والخدمات للقطاع العام، تستطيع الحكومة تسخير قوة دافع الربح من أجل نشر الأمن السيبراني الفاعل بشكل أسرع.
احتواء الكارثة الآتية
في الوقت الحالي، هناك عوائق كبيرة تمنع استخدام التأمين السيبراني على نطاق واسع بهدف تبديل ممارسات الأمن السيبراني في القطاع الخاص. على الرغم من أن شركة "مكافي" McAfee قد أشارت إلى أن الاقتصاد العالمي يعاني خسائر سنوية تزيد على تريليون دولار بسبب الهجمات الإلكترونية، فإن سوق التأمين السيبراني بأكمله لا يجمع سوى 5.5 مليار دولار من الأقساط السنوية، وفقاً لكريستيان مومنتالر، الرئيس التنفيذي لشركة إعادة التأمين العملاقة "سويس ري" Swiss Re ومقرها في زيورخ، إضافة إلى تعثر النمو في قطاع التأمين السيبراني. ومع الارتفاع المفاجئ في هجمات "برامج الفدية" وهجمات سلسلة التوريد، خفض عدد من مقدمي الخدمة النفقات والموارد في السوق. وفي ذلك الإطار، وجد استطلاع أجرته شركة "ريزيليانس" Resilience للتأمين [في الفضاء السيبراني] أن 77 في المئة من الشركات أرادت الاستفادة من تغطية تأمينية سيبرانية أكبر مما يمكنها الحصول عليه.
في المقابل، أظهرت شركات تأمين عدة تردداً في توسيع التغطية بسبب افتقارها إلى الوصول القوي للبيانات، والنمذجة، وأدوات إدارة عملية التأمين التي توضح كيفية تنويع الاستثمار بهدف تخفيف المخاطر. وتكمن المشكلة في التعامل مع المخاطر الإلكترونية على أنها تهديد موحد. في الواقع، تشمل المخاطر الإلكترونية أنواعاً مختلفة من التهديدات. وقد حددت شركة "ميتر" MITER المتعاقدة مع الحكومة، 222 تقنية فريدة يستخدمها الخصوم السيبرانيون. في الآونة الأخيرة، بدأ بعض شركات التأمين السيبراني في وضع نماذج وأسعار لتهديدات مختلفة أو أشكال معينة من المخاطر. يمكنها بعد ذلك تنويع أنواع التأمين التي تقدمها للحد من الخسائر. ومثلاً، اكتشفت شركات التأمين أن معظم الثغرات في نظام التشغيل لا تؤثر سوى على نظام تشغيل واحد بمفرده، بالتالي يمكن لشركات التأمين تقليل الخسائر المحتملة من خلال تقديم تغطية لبعض الشركات التي تستخدم أجهزة "أبل"، ولشركات أخرى تستخدم أجهزة "ويندوز". من خلال هذا النهج المستند إلى تقييم المخاطر، يمكن لشركات التأمين زيادة تعرضها للمخاطر السيبرانية بحكمة، والمساعدة في زيادة حجم السوق عن طريق سندات الكوارث الإلكترونية، على غرار ما فعله قطاع التأمين في مواجهة مخاطر الأعاصير.
وعلى الرغم من ذلك، حتى في قطاع واسع ومتنوع، لن تتمكن شركات التأمين التابعة للقطاع الخاص من تغطية أخطر الهجمات السيبرانية، لا سيما تلك التي تستهدف الشبكات الرقمية الواسعة النطاق، التي قد ترتكبها الدول. ومثلاً، قد يكلف هجوم مباشر على البنية التحتية المخصصة لتقنيات "حوسبة السحاب" التي تعتمد عليها أجزاء ضخمة من الاقتصاد الأميركي، نحو تريليون دولار. ويفوق ذلك الرقم الإيرادات السنوية مجتمعة التي يكتسبها مقدمو الخدمات السحابية المهيمنون، الذين يصنف بعضهم من بين أكبر الشركات العالمية. في الحقيقة، يفتقر قطاع التأمين إلى الموارد الجماعية لاستيعاب مثل تلك الخسائر، بالتالي، يتمثل أحد حلول تلك المشكلة في أن تصبح الحكومة هي شركة التأمين التي يجري اللجوء إليها كملاذ أخير. لقد أسهمت المساعدة الحكومية في إنقاذ عدد من الشركات من الإفلاس حينما انتشرت جائحة كورونا. وعلى نحو مشابه، قد تحتاج الحكومة إلى مساعدة القطاع الخاص في حالة وقوع هجوم إلكتروني كارثي حقاً. وفي المقابل، من دون فرض شروط مسبقة، قد تكون الأضرار الناجمة عن دعم مماثل أكثر من منافعه. إذا علمت الشركات أنها ستتلقى معونة في حالة وقوع هجوم إلكتروني واسع النطاق، فقد لا يتوفر لديها حافز كبير للاستثمار في الأمن السيبراني الفاعل. بدلاً من ذلك، يجب على الحكومة ألا تقدم المعونة سوى للشركات التي استوفت بالفعل معايير الأمن السيبراني الصارمة، وحصلت على الحد الأدنى من التأمين من القطاع الخاص، وتعرضت للهجوم من قبل مجموعات ترعاها الدولة أو تدعمها.
واستطراداً، سيؤدي تعزيز برنامج "مبادرة مشاركة المؤشرات الآلية" وإنشاء "مكتب الإحصاءات السيبرانية"، دوراً كبيراً في موازنة الأمور بين المدافعين والمهاجمين [أثناء صد هجمات إلكترونية في الفضاء السيبراني]، من خلال كشف المعلومات المعزولة والسماح للشركات بتسخيرها من أجل دفاعاتها الخاصة. في المقابل، لن تكون تلك المبادرات فاعلة إلا إذا استكملت بشراكات جديدة بين القطاعين العام والخاص بهدف تشجيع ممارسات أفضل في الأمن السيبراني، والسماح بقياس المخاطر السيبرانية وتسعيرها بدقة. واستطراداً، فباستخدام المزيج الصحيح من الأدوات، على غرار المعلومات في الوقت الفعلي، والمعايير القوية، والحوافز لتحسين الممارسات السيبرانية من قبل الشركات نفسها، والتغطية التأمينية ذات الأسعار الديناميكية، سيدفع المتسللون ثمناً أكبر بكثير عند تنفيذ الهجمات الإلكترونية، وستصير عملية صد تلك الهجمات أسهل على الشركات الأميركية.
* راج م. شاه، رئيس مجلس إدارة شركة "ريزيليانس" للتأمين والشريك الإداري في "شيلد كابيتال".
** كيران سريدهار، باحث في "مركز دراسات المخاطر" بجامعة كامبريدج.
فورين آفيرز
يناير (كانون ثاني)/ فبراير (شباط) 2022
