سواء كان هناك فدية أم لا، فإن اختراقات البيانات لها دائمًا آثار مالية. قد تواجه المؤسسات عقوبات تنظيمية وخسائر تشغيلية وأضرارًا بالسمعة. يمكن أن يوفر لك التخطيط الدقيق الوقت والمال.
تأثير خرق البيانات
تحدث خروقات البيانات عندما يكون هناك ضعف في الأمان يؤدي إلى الكشف عن البيانات الخاصة. في بعض الأحيان يكون ذلك عملاً داخليًا. قد يرتكب الموظفون خطأً، أو يضمرون ضغينة وينشرون البيانات عمدًا، أو قد يكون شخص ما مُبلغًا عن المخالفات. لكن خروقات البيانات تحدث غالبًا بسبب الهجمات الإلكترونية. يمكن أن تؤدي هجمات برامج الفدية وحملات الاختراق والتجسس الصناعي إلى خروقات البيانات.
إن التأثير المالي لاختراق البيانات قد يكون هائلاً. على سبيل المثال، تتسبب هجمات برامج الفدية في خسارة المؤسسات للإيرادات منذ لحظة تعرضها للهجوم. وحتى إذا كانت بعض أجزاء الشركة قادرة على العمل، فقد تظل تخسر الإيرادات. في هجوم برامج الفدية الذي تعرضت له شركة Colonial Pipeline في مايو 2021، تمكنت مستودعات إنتاج الوقود من العمل، لكن هذا لم يساعد. فقدت شركة Colonial Pipeline أنظمة الفوترة الخاصة بها. كان بإمكانها إنتاج الوقود، لكنها لم تتمكن من تسليمه أو إرسال فواتيره.
إذا تم اختراق معلومات التعريف الشخصية (PII)، فمن المحتمل أن تفرض عليك تشريعات حماية البيانات المحلية أو الوطنية أو حتى الدولية غرامة. تأخذ الغرامات في الاعتبار عوامل مثل عدد الأشخاص المتأثرين بالبيانات وظروف الاختراق. حتى إذا لم تخرج أي بيانات من شبكتك، فإن هجوم برامج الفدية يعتبر اختراقًا لأنك فقدت السيطرة على بياناتك.
من السهل إحصاء الخسائر في الإيرادات والفديات، وكذلك تكلفة الإصلاح والاسترداد. ومن الأصعب بكثير تحديد مدى تأثير انخفاض ثقة العملاء والموظفين على مؤسستك. فالضرر الذي يلحق بالسمعة والعلامة التجارية قد يؤدي إلى انخفاض الأسهم، وهروب الموظفين الأبرز، ورحيل العملاء.
تزداد حالات اختراق البيانات ويتم الإبلاغ عن هجمات ملحوظة كل يوم تقريبًا. ولكل حدث رئيسي، هناك العديد من حالات الاختراق الأخرى الصغيرة في المؤسسات الأصغر حجمًا. لتقليل الأضرار المالية، يجب أن تكون قادرًا على الاستجابة بسرعة إذا حدث اختراق. وهذا يعني أنه يجب عليك الاستعداد بشكل استباقي لمثل هذا الحادث.
فهم حالة تكنولوجيا المعلومات الخاصة بك
لقد ولت أيام البنية الأساسية التقليدية لتكنولوجيا المعلومات في الموقع. لا تحتفظ سوى عدد قليل جدًا من المؤسسات بالبنية الأساسية الكاملة في الموقع والتي كانت موجودة قبل العقد الأول من القرن الحادي والعشرين. حتى لو كان الأمر يتعلق فقط ببعض النسخ الاحتياطية خارج الموقع، أو مستودع Git عن بُعد، أو Microsoft 365، فمن المستحيل تقريبًا عدم وجود نوع من مكونات السحابة في عمليات تكنولوجيا المعلومات الخاصة بك.
ورغم أن الحوسبة السحابية قد تجلب فوائد من حيث التكلفة وقابلية التوسع والتوافر، إلا أنها قد تجلب أيضًا تعقيداتها الخاصة. فعندما تضيف حاويات وخدمات صغيرة وأجهزة محمولة وأجهزة ذكية وواجهات برمجة تطبيقات، تصبح مساحة الهجوم أكبر كثيرًا. وهذا يجعل من الصعب الدفاع عن تكنولوجيا المعلومات والشبكات لديك، ويصبح من الصعب استعادتها في حالة وقوع كارثة.
لهذا السبب، من الضروري أن تقوم بجرد وتحديد كمية ما يتكون منه جهاز تكنولوجيا المعلومات لديك. قم بتوثيق جميع أنظمة التشغيل والتطبيقات والأجهزة. قم بإنشاء سجلات لأصول الأجهزة والبرامج، وقم بتضمين الأدوار والوظائف الخاصة بالأصول. سيساعدك هذا في إنشاء خطة الاستجابة للحوادث. ستكون هذه هي الخطة التي تتبعها عند وقوع حادث.
ماذا يجب عليك استعادته أولاً؟
إذا تعطل كل شيء، فما الذي يجب عليك استعادته أولاً؟ كلما تمكنت من استعادة القدرة التشغيلية بشكل أسرع، كلما تمكنت من استعادة تدفقات الإيرادات بشكل أسرع. ولهذا السبب، يجب أن تتضمن سجلات أصول تكنولوجيا المعلومات الخاصة بك الأدوار والوظائف الخاصة بالتطبيقات والخوادم والبرامج. وستوجه هذه المعلومات إنشاء خطة الاستجابة للحوادث (IRP) الخاصة بك.
إن التدرب على خطة الاستجابة للحوادث ـ بحضور جميع الأطراف المعنية المعنية ومشاركتهم ـ من شأنه أن يكشف عن الأنظمة الحرجة التي تحتاج إلى الاستعادة قبل أن يعمل أي شيء. وبمجرد القيام بذلك، يمكنكما تحديد الترتيب الذي تحتاج به الوظائف أو الأقسام الحيوية إلى الاستعادة.
ستساعدك خطة الاستجابة للحوادث على تقليل وقت التوقف الإجمالي. ولا يمكن تقليل ذلك إلى ما هو أبعد من بعض القيود العملية، التي تمليها حجم وتعقيد البنية الأساسية لتكنولوجيا المعلومات لديك وخطورة الهجوم. وأفضل ما يمكنك فعله هو تحديد الترتيب الذي يتم به إعادة الفرق أو الأقسام ذات الأهمية المالية إلى العمل عبر الإنترنت.
إذا كنت تستنزف الأموال من مكان معين، فهذا هو المكان الذي تضغط فيه على المكواة الساخنة.
IRP هي وثيقة عمل
إن خطة الاستجابة للحوادث ليست مجرد وثيقة لفريق تكنولوجيا المعلومات أو فريق الأمن. بل إنها سياسة وإجراءات عمل بالغة الأهمية. ومن الأهمية بمكان أن يشارك جميع أصحاب المصلحة في العمل عند مراجعتها والموافقة عليها والتدرب عليها. وبالإضافة إلى تقديم المدخلات والإرشادات، سيكتسبون فهمًا للقضايا والتحديات التي يفرضها وقوع حادث حقيقي.
إن هذا الفهم من شأنه أن يحقق فائدتين رئيسيتين. الأولى هي أن الشركات ستدرك أنه في حالة وقوع حادث حقيقي، يجب السماح لفريق الأمن بالعمل على حل المشكلات والتعامل مع الحادث. ولن يكون من المفيد أن نتجاهلهم. والثانية هي أن الشركات ستدرك الحاجة إلى الخبرة المتخصصة. وإذا لم تكن هذه الخبرة متاحة داخل الشركة، فيجب أن تدرك قيمة العثور على مزود خدمات كفء والتعامل معه الآن، وليس في خضم الحادث.
إن البحث عن خبراء خارجيين أثناء الأزمات أمر متأخر للغاية. وإذا وجدت شخصًا ما، فسوف تدفع أسعار الطوارئ. ومن الناحية الفنية، سيكونون أقل فعالية إذا جاءوا دون أن يتدخلوا مما لو تم تعيينهم مسبقًا، ومنحهم الوقت الكافي للتعرف على عملياتك.
بالطبع، قد لا تكون الخبرة الأمنية أو غيرها من الخبرات الفنية هي ما تحتاج إلى الاستعانة به فقط. فقد تحتاج وظائف العلاقات العامة والموارد البشرية ومراكز الاتصال ووسائل التواصل الاجتماعي إلى الدعم الخارجي.
إعداد الوثائق التنظيمية
عندما يحدث خرق، تبدأ الساعة في الدوران. واعتمادًا على تشريعات حماية البيانات التي تدخل حيز التنفيذ – والتي تمليها إقامة الأشخاص المعنيين بالبيانات، وليس موقع مؤسستك – فلن يكون لديك سوى فترة قصيرة من الوقت لإجراء عدة خطوات إلزامية. وعدم تنفيذ هذه الخطوات أو عدم الالتزام بالمواعيد النهائية من شأنه أن يزيد من الغرامات المفروضة عليك.
على سبيل المثال، قد تكون الفترة الزمنية التي يتعين عليك خلالها إخطار هيئة حماية البيانات المختصة ـ السلطة الإشرافية ـ بالانتهاك قصيرة، وقد تصل إلى 72 ساعة. ومن الواضح أنك بحاجة إلى فهم كافة تشريعات حماية البيانات التي تنطبق عليك، وما يتطلبه كل منها منك.
إذا كنت تعالج البيانات الشخصية لمواطني المملكة المتحدة، فيجب عليك تلبية قانون حماية البيانات لعام 2018، والذي يتضمن النسخة البريطانية من اللائحة العامة لحماية البيانات. إذا كنت تعالج البيانات الشخصية لمواطني دول الاتحاد الأوروبي، فيجب عليك تلبية النسخة الأوروبية من اللائحة العامة لحماية البيانات. إذا كنت تستوفي المعايير المؤهلة لقانون CCPA وتقع ضمن نطاقه، فيجب على مؤسستك تلبية قانون CCPA أيضًا. وهكذا يستمر الأمر، لكل تشريع قابل للتطبيق. يجب أن يقدم مسؤول حماية البيانات أو مسؤول تكنولوجيا المعلومات لديك مدخلات لخطة الاستجابة للحوادث حتى تكون الإجراءات والجداول الزمنية المطلوبة لكل تشريع واضحة.
يجب أن تتضمن الإخطارات المرسلة إلى السلطات الإشرافية وأصحاب البيانات لإبلاغهم بالانتهاك أقسامًا إلزامية وتفاصيل كافية لإرضاء السلطة الإشرافية. وهذا يجعل من غير الممكن إعداد بيانات مملوءة مسبقًا. ولكن يمكنك إعداد مستندات تحتوي على المعلومات الإلزامية حول أنظمة تكنولوجيا المعلومات الخاصة بك والمؤسسة. مع وجود مجموعة من المستندات الجاهزة للحوادث لكل قطعة تشريعية، يتم تقليل تحدي إكمال المتطلبات التنظيمية في الإطار الزمني إلى سلسلة من تمارين جمع البيانات وملء النماذج.
ربما يتم تغريمك بسبب خرق البيانات. إن التأكد من معالجة جوانب الامتثال للحادث يتجنب زيادة الغرامات دون داع.
المسؤوليات العليا والسفلى
تُعرف المنظمات التي تعالج البيانات نيابة عن منظمات أخرى باسم معالجي البيانات. والمنظمات التي تتعامل معهم هي وحدات تحكم في البيانات. يتحمل معالجو البيانات ووحدات تحكم البيانات مسؤولية مشتركة عن البيانات. إذا تعرض معالج البيانات لاختراق، فإن تشريعات حماية البيانات الحديثة تعتبر كلا الطرفين مسؤولين. اختار وحدة تحكم البيانات معالج البيانات، وتعرض معالج البيانات للاختراق.
يمكن أن يتلقى كلا الطرفين غرامات، ويمكن لأصحاب البيانات مقاضاتكما. إذا قال معالج البيانات أن سبب حدوث الاختراق كان بسبب بعض الإغفال أو المراقبة من جانب مراقب البيانات، فيمكنه مقاضاة مراقب البيانات.
من المهم أن يكون لديك اتفاقيات معالجة بيانات مع جميع معالجي البيانات لديك. وإذا كنت معالج بيانات، فتأكد من أن شروط اتفاقيات معالجة البيانات التي تلتزم بها لا تفرض عقوبات مالية غير عادلة.
الوقاية خير من العلاج
ولكن الاستعداد أفضل من الفوضى إذا حدث الأسوأ. إن وجود خطة شاملة تحكم الفرق الفنية الداخلية والمساعدة المتخصصة الخارجية وفرق الامتثال والفرق القانونية سوف يرشدك خلال خرق البيانات بطريقة تساعد في تقليل الآثار المالية.