خطط إدارة الأخطار واستمرارية الأعمال
هُناك جملة مأثورة تستحق أن تُذكر هُنا في ضوء ما حدث حول العالم يوم الجمعة 19 يوليو 2024. ظهرت هذه الجملة المأثورة عام 1949، وتُعرف "بقانون ميرفي Murphy’s Law"، نسبة إلى إدوارد ميرفي الذي كان يعمل مهندساً في أنظمة الأمان الحرجة الخاصة بمجال الطيران. تقول هذه الجملة "إن أي نظام يخضع لاحتمال الوقوع في الخطأ، سيُخطئ". ولعل المقصود بهذا القول هو التحذير من الأخطار التي تحملها الأخطاء المُحتملة في شتى المجالات، والدعوة إلى العمل على تجنبها. والحقيقة أن الأخطاء قد تكون مُتعمدة أو غير مُتعمدة، وقد تنتج غير المُتعمدة عن عوامل ضعف أو سوء تقدير، أو ربما عن حدث عشوائي غير متوقع.
كان حدث 19 يوليو الماضي سيبرانياً، أدى إلى وقف كثير من نشاطات العالم السيبراني التي تتحكم في عديد من نشاطات العالم المادي على مدى جغرافي واسع. فقد كان هُناك ضعف كامن في برنامج التحديث الأمني الذي أرسلته شركة كراودسترايك CrowdStrike، المُتخصصة في حماية الأمن السيبراني، إلى عملائها في العالم السيبراني من مُستخدمي نظام تشغيل شركة مايكروسوفت Microsoft.
ويُضاف إلى ذلك وجود ضعف كامن آخر في نظام مايكروسوفت ذاته أيضاً، حيث أصبح الضعف مُضاعفاً. ربما لم تُجرِ الشركة الأولى الاختبارات اللازمة للكشف عن ضعف تحديثها الأمني الذي تسبب في الحدث، ويُضاف إلى ذلك أن ضعف نظام الشركة الثانية الذي تمثل في حقيقة أنها لم تأخذ في الحسبان، كشف المشكلات الناجمة عن أخطاء في برامج واردة إليها من أجل تجاوزها. ونتيجة للحدث هبطت، ربما مُؤقتاً، قيمة أسهم كُل من هاتين الشركتين العملاقتين في السوق الدولية.
كانت خسائر الحدث كبيرة، فعدد عملاء "كراودسترايك" يصل إلى "24 ألفا" حول العالم، بينهم نحو نصف الشركات الألف الكبرى، كما أن مُعظم هؤلاء من مُستخدمي نظام "مايكروسوفت". توقف عديد من النشاطات المهمة في المجالات المُختلفة، ومن هذه المجالات الرحلات الجوية، والعناية الصحية، والأعمال المصرفية، والنشاطات الإعلامية، وغير ذلك من مجالات مهمة. وقد نتساءل هُنا: لماذا هذا الأثر المادي لأمر في العالم السيبراني، ألم نكن نستطيع سابقاً القيام بنشاطاتنا دون وجود تقنيات العالم السيبراني، فلماذا لا نستطيع ذلك اليوم؟ في إطار هذا التساؤل سنطرح موضوع البنية الأساس الحرجة Critical Infrastructure بين الأمس واليوم، ونناقش الواقع الحالي بشأن الاهتمام بالأخطار واستمرار الأعمال، ونُقدم بعض التوصيات حول هذا الأمر.
هُناك في العالم المادي، بما يشمل دوله المُختلفة، "بنى أساسية حرجة CI" تُقدم خدماتها للناس، بينها بنى الطاقة الكهربائية، والمياه، والمواصلات البرية والبحرية والجوية، والتعليم، والصحة، وغيرها. وقد أضاف العالم السيبراني إليها تقنياته التي تُعرف بالبنى الأساسية المعلوماتية الحرجة CII ليجعل إدارتها والتحكم في عملها، وما تقدمه من خدمات، أكثر ذكاء، وأعلى فاعلية، وأفضل كفاءة. وبذلك بات أي خطأ في بنية العالم السيبراني الحرجة مُؤثراً في بنية العالم المادي الحرجة.
لذلك نجد أن معايير الأمن السيبراني الصادرة عن منظمة المعايير الدولية توصي بتحليل الأخطار وإدارتها، وتهتم بشؤون استمرارية العمل في حال حدوث الأخطار. كما نجد أيضاً مثل هذه المعايير، ربما بحرص أكبر في وثائق مٌتخصصة تُصدرها المؤسسات المحلية في بعض الدول، مثل "المعهد الوطني الأمريكي للمعايير والتقنية NIST، ومثل هيئة الأمن السيبراني السعودية NCA، وغيرها.
ليست الأخطاء السيبرانية هي فقط ما يُهدد عمل البنى الأساسية الحرجة في العالم المادي، بل إن هُناك أخطاء أخرى مُتعمدة وغير مُتعمدة يُمكن أن تحدث، فضلاً عن أحداث عشوائية خارجة عن التوقعات. ونادراً ما نجد خطط عمل، في شتى مجالات هذه البنى، خالية من قضايا تحليل الأخطار، وإدارتها، واستمرارية العمل. هٌناك جانبان في مسألة استمرارية العمل. أولهما سرعة الاستجابة وإصلاح الخطأ، بحيث تكون مدة التوقف عن العمل محدودة، وهذا ما حاولت شركتا حدث 19 يوليو فعله، لكن بنجاح أقل من المأمول. وثانيهما إيجاد وسائل بديلة لاستمرار العمل، دون انقطاع، ريثما يتم الإصلاح، وهذا ما لم يتم أخذه في الحسبان في إطار الحدث المذكور.
لا شك أن في حدث 19 يوليو تجربة مُهمة تستحق الدراسة من أجل المُستقبل. ولعلنا نحتاج، حول العالم، إلى مزيد من التعاون في إطار وضع خطط فاعلة، وقابلة للتنفيذ، لإدارة الأخطار واستمرارية الأعمال.