في 11 يوليو 2023 ، مايكروسوفت
MSFT
استغل المتسللون ثغرة أمنية في خدمة البريد الإلكتروني السحابية من Microsoft للوصول إلى الحسابات. ثم تمكنوا من استخدام بيانات الاعتماد المسروقة للوصول إلى حسابات أخرى. تمكن المتسللون من سرقة قدر كبير من البيانات ، بما في ذلك رسائل البريد الإلكتروني والوثائق والمعلومات الحساسة الأخرى.
قامت Microsoft منذ ذلك الحين بتصحيح الثغرة الأمنية وحظرت وصول المتسللين إلى الحسابات المتأثرة. ومع ذلك ، لا يزال النطاق الكامل للضرر غير معروف. تعمل الشركة مع تطبيق القانون للتحقيق في الحادث.
يعد خرق بيانات Microsoft بمثابة تذكير بالتهديد المتزايد للهجمات الإلكترونية من الجهات السيئة. من المهم للشركات أن تتخذ الخطوات اللازمة ليس فقط لحماية بياناتها من التهديدات السيبرانية ولكن أيضًا للاستعداد لخطة معالجة في حالة حدوث خرق.
أدى هذا الخرق إلى إطلاق إنذارات تحذير للعديد من مجالس الإدارة.
يعرف مديرو الشركات العامة أن دورهم هو القيام بالإشراف على الشركة. وهذا يشمل مراجعة خطط التشغيل ، والاستعراض المالي ، والمسؤولية الأساسية للتخفيف من المخاطر.
تركز العديد من مجالس الإدارة الآن على الخروج من منحنى تعلم الأمن السيبراني تحسبًا للوائح SEC الجديدة المقترحة بشأن الامتثال الإلكتروني لمجلس الإدارة.
بالنظر إلى هذه الحادثة الأخيرة التي تتعلق بشركة Microsoft ، أعتقد أنه سيكون من المفيد مشاركة نظرة عامة موجزة عن بعض الخطوات التي يمكن أن تتخذها لوحات الخطوات في رحلتهم نحو الاستعداد والتأهب السيبراني:
- فيما يتعلق بالإجراءات الفورية ، يجب أن تبدأ مجالس الإدارة بتعليم مجلس الإدارة لرفع الجميع إلى نفس مستوى معرفة القراءة والكتابة الإلكترونية. قد ترغب المجالس أيضًا في النظر في تعيين لجنة محددة لامتلاك الإشراف على الأمن السيبراني.
- بالإضافة إلى ذلك ، يجب أن يسعى أعضاء مجلس الإدارة إلى فهم التكاليف وتأثير الميزانية على رفع الأنظمة الإلكترونية للشركة إلى المستوى الذي يرتبط بالتكلفة والمخاطر التي يمكن للشركة قبولها كخسارة محتملة للأعمال. سيكون لكل صناعة مجالات تركيز مختلفة. على سبيل المثال ، قد لا تكون حماية الملكية الفكرية مشكلة كبيرة في تجارة التجزئة كما هي في الأعمال الصيدلانية.
- يعد إطار عمل NIST أحد الأدوات الأساسية الأساسية المقبولة على نطاق واسع والمعترف بها لأداء الرقابة الإلكترونية ، والتي تحتاج المجالس إلى فهمها. إطار عمل الأمن السيبراني NIST هو أداة إشراف تقسم المخاطر السيبرانية إلى خمس فئات وتراجع الموقف السيبراني للشركة واستعدادها لحماية الشركة من هجوم إلكتروني. غالبًا ما تستخدم لوحات NIST إطار عمل NIST كأداة لبطاقة قياس الأداء لمراجعة المرونة والجاهزية الإلكترونية ، ولتقييم وتحديد مجالات القوة ومجالات تركيز الموارد لتحسينها. سيتم تقديم خدمة جيدة للمديرين لإجراء مراجعة لإطار عمل NIST مع مجلس الإدارة الكامل.
في حين أنه من الأهمية بمكان اتخاذ تدابير وقائية ، فإن الحادث الأخير في Microsoft يسلط الضوء على أنه لا يمكن لأي شركة أن تكون محصنة بنسبة 100٪ من الهجمات الإلكترونية.
تتمثل الخطوة الطبيعية التالية في الاستعداد للأمن السيبراني في وضع بروتوكول استجابة إلكترونية في حالة حدوث اختراق أو هجوم إلكتروني:
- فكر في البروتوكول مقدمًا. اطلب من فرق تكنولوجيا المعلومات و / أو الإنترنت مراجعة التمرين المنضدي لإدارة الأزمات الذي أجروه مع مجلس الإدارة. تأكد من استعدادهم مع خبراء الطب الشرعي السيبراني الخارجيين.
- كجزء من التخطيط الإلكتروني للطاولة ، اطلب من CISO و / أو الفريق التقني تنفيذ بروتوكول ما بعد الاختراق مع المجلس. على سبيل المثال ، من هو المجلس الخارجي الذي قد يستخدمونه؟ من هو مستشار الطب الشرعي؟ من المسؤول عن فريق الاتصالات؟
- ما بعد الاختراق ، المنطقة الرئيسية التي تحتاج المنظمات إلى التركيز عليها هي كيفية إزالة وإيقاف قدرة المهاجم على التحرك داخل الشركة. من المهم أن تضع في اعتبارك أن العديد من أنظمة تكنولوجيا المعلومات الداخلية داخل الشركات قد تم إعدادها لتحقيق الكفاءة. تفترض أنظمة تكنولوجيا المعلومات الداخلية عادةً أن جميع الأنظمة الأخرى موثوقة ، وبالتالي توجد نقاط اتصال تسهل على المتسلل التنقل داخل النظام. بشكل عام ، لم يتم تصميم التصميمات العامة لأنظمة تكنولوجيا المعلومات بشكل خاص مع وضع الأمن السيبراني في الاعتبار. هذا مجال لإعادة الفحص.
نظرًا لأن أعضاء مجلس الإدارة يسعون إلى إجراء الرقابة وتوجيه أولويات الإدارة ، فقد يكون من المفيد لمجلس الإدارة التفكير في جلب خبراء خارجيين لتقديم التوجيه والإحاطة.
على سبيل المثال ، في عام 2022 ، ساعدت Mandiant (شركة للأمن السيبراني أصبحت الآن جزءًا من Google Cloud) أكثر من 1800 عميل في الاستعداد أو التعافي من حوادث الأمن السيبراني الخطيرة.
لا تزال المخاطر المتعلقة بالإنترنت واحدة من أهم المخاوف التي تواجه الشركات. لمزيد من المعلومات حول الكيفية التي يجب أن تفكر بها المجالس حول الاستعداد للأمن السيبراني وتخفيف المخاطر ، أوصي بقراءة هذا المستند التعريفي التمهيدي الذي شاركه فريق عمل Google Cloud Cybersecurity ، “وجهات نظر حول الأمان لمجلس الإدارة”.