الأمن السيبراني يزداد أهمية في التصنيفات الائتمانية
سيمون أشوورث
لندن- يمثل هجوم برنامج الفدية الأخير الذي أغلق خط أنابيب (كولونيال) في الولايات المتحدة مثالاً على التطور المتزايد الذي تشهده الهجمات الإلكترونية خلال الاثني عشر شهرًا الماضية، ومنذ الهجوم على كولونيال، شُنَّت هجمات على قطاع التأمين في آسيا، وشركة أوروبية لتأجير الشاحنات، ومؤسسة فرنسية لشراء الديون المتعثرة، وشركة أغذية عالمية. وقد تضمنت كل هذه الهجمات مطالب برامج الفدية، كما أبرزت قدرة المهاجمين على اختيار الأهداف بغض النظر عن منطقتها الجغرافية أو القطاع الذي تنشط فيه.
ولا تقتصر الهجمات على الشركات المذكورة، فالولايات ذات السيادة والمؤسَّسات العامة معرضة بشدة للخطر أيضًا. فقد شهدنا تعرض مدينة (هارتفورد) الأمريكية والعديد من المناطق التعليمية في تكساس لمثل هذه الهجمات، وفي الآونة الأخيرة استهدفَت نظام الرعاية الصحية الأيرلندي.
وليس غريباً أن تصبح المخاطر الإلكترونية عاملاً متزايد الأهمية في تحديد التصنيفات الائتمانية. ففي مؤسسة (ستاندارد أند بورز) للتصنيفات العالمية، شهدنا في الأشهر الستة الماضية أحداثًا سيبرانية ذات صلة بالائتمان أكثر من تلك التي شهدناها في السنوات الست السابقة، ونفكر بصورة روتينية في التطورات الإلكترونية الأخيرة لزيادة تركيزنا. فقد عزَّزت أحدث تقييماتنا العديد من وجهات نظرنا السابقة، لكن تصوراتنا بشأن إدارة المخاطر الإلكترونية مستمرة في التطور.
وترى العديد من الكيانات المصنفة لدينا، لا سيما مجال تكنولوجيا المعلومات والتأمين، أنَّ هناك المزيد من الفرص في الخدمات الإلكترونية. ولكن الشركات ستستفيد من اتخاذ عدة خطوات للمساعدة في التخفيف من الأثر الائتماني المحتمل للهجمات السيبرانية.
أولاً، يبقى اتخاذ إجراءات سريعة أمرًا أساسيًّا، وهذا ما رأيناه أخيرًا في أعقاب الهجوم الإلكتروني على شركة التأمين الأمريكية CNA. إذ ساعدت التدابير التعويضية السريعة للشركة- بما في ذلك التواصل مع الموظفين، والعملاء، والوسطاء، والوكلاء، والمستثمرين، والمنظمين- على الحد من مدى الضرر وتهدئة مخاوفنا الأولية بشأن التأثير المحتمل على علامتها التجارية، وسمعتها، ومكانتها التنافسية.
ثانيًا، رغم أنَّ الوقاية النشطة من الهجمات الإلكترونية أصبحت الآن هي القاعدة، فإنَّ العديد من الهجمات الإلكترونية تنظَّم الآن بطريقة تجعل اكتشافها أصعب من أي وقت مضى. لذا، فالاكتشاف النشط سيصبح ميزة تنافسية.
لقد شهدنا أهمية الاكتشاف النشط في شركة (سولار ويندز) القابضة، التي يُقال عنها على نطاق واسع أنها تعرضت لخرق إلكتروني في أوائل عام2020 قبل عدة أشهر من ملاحظة الشركة لذلك. فالوقت الذي انقضى من الهجوم إلى الاكتشاف زاد من نطاق الحدث وحجمه. وأسهم تأثير الهجوم وتكلفته جزئيًّا في خفض مؤسسة (ستاندارد آند بورز) أخيرًا تصنيف (سولار ويندز) إلى المرتبة (ب) بعد أن كانت في(ب+).
ثالثًا، على الرغم من أنه من المرجَّح أن تزيد جائحة كوفيد-19 من رغبة كبار المديرين التنفيذيين في تخصيص الأموال لإدارة تعرّض شركاتهم للمخاطر الإلكترونية، فإنَّ هذا لا يكفي. ونظرا إلى أنَّ نسبة كبيرة من الانتهاكات المتعلقة بالإنترنت يمكن أن تعزى إلى ضعف ثقافة إدارة المخاطر أو إلى خطأ بشري، فحتى الإنفاق الضخم على تكنولوجيا المعلومات الإلكترونية ليس كافيًا. إذ لا يمكن أن تعالج هذه المخاطر بالمال فقط. لذلك نتوقَّع رؤية المزيد من دعم كبار المسؤولين التنفيذيين لتدريبات المحاكاة لقياس مدى التأهب والتحقق منه.
رابعًا، يظل التأثير الائتماني في أعقاب الهجوم الإلكتروني مرهونًا بنوع الهجوم والدافع الكامن وراءه. فقد تعاني الشركات بصورة غير مباشرة نتيجة لهجمات مركزية، وربما ذات دوافع سياسية، على غرار ماحدث مع (سولار ويندز) و(مايكروسوفت إكستشينج سورفر)Microsoft Exchange Server، ولكن قد لا يكون لها دائمًا عواقب مالية مباشرة وآثار على السمعة. ومن المحتمل أن يكون للهجمات المباشرة على شركات أو مؤسَّسات معينة، والتي تجمع بين حدث في الميزانية العمومية وتعطيلات تشغيلية مادية، آثاراً على تصنيفها، خاصة إذا كانت تدار بصورة سيئة.
خامسًا، تخوض الشركات سباق تسلح افتراضي مع المهاجمين، لذا فهي بحاجة إلى الحصول على أساسيات المخاطر الإلكترونية بصورة صحيحة، حتى تحصل على فرصة للبقاء في المقدمة. ومن المرجَّح أن يكون لدى المؤسَّسات التي لديها معايير حوكمة دون المستوى تصنيف ائتماني أضعف نسبيًّا قبل أي هجوم إلكتروني. وسنراقب بصورة متزايدة معايير الحوكمة الإلكترونية المتراخية على وجه الخصوص، ولا سيما الافتقار إلى الميزات الأساسية مثل تدريب الموظفين، وإصلاح البرامج. إذ يقلل التصحيح المناسب وفي الوقت المناسب من تعرُّض الشركات المحتمل لأوجه الضعف المعروفة التي غالبًا ما يحاول المهاجمون الإلكترونيون استغلالها.
إننا نعتبر إدارة المخاطر الإلكترونية جزءاً من إدارة المخاطر التشغيلية الشاملة. إذ يمكن تكييف إدارة المخاطر التقليدية والقياسية والحوكمة بسهولة، لذلك من المهم أن تكون الشركات على دراية بمستوى تقبلها للمخاطر الإلكترونية ومستوى تحمُّلها لها. وإذا لم تستطع شركة ما أن تستبق أقرانها بخطوة واحدة، فيجب أن لا تتخلَّف عنها. وكحد أدنى، نتوقَّع أن يكون لدى شركة ما استراتيجية موثوقة ومُختبرة بالكامل لعمليات التخزين الاحتياطي للبيانات واسترجاعها.
سادسًا، يمكن أن يكون التهديد الرئيس المنتظر للنظام المالي العالمي مرتبطًا بسهولة بالإنترنت، مع وجود أكبر لمخاطر ذات صلة وانتشارها بوتيرة أسرع مما هو متوقع حاليًّا. ويجب على الشركات والحكومات التخطيط وفقًا لذلك. إذ يمكن أن يؤدي حجم هذا التهديد وتأثيره المالي، إضافة إلى نجاح جهود التخفيف إلى إجراءات تصنيف واسعة النطاق. ومن المرجَّح أن تواجه الشركات ذات الميزانيات العمومية الأضعف، والتي تفتقر إلى التأمين الإلكتروني الملائم، ضغوطًا تتعلَّق بالتصنيف الائتماني.
وتتعلَّم شركات التأمين نفسها من الغموض المرتبط بالوباء من خلال منتجاتها، ويجب أن يظلَّ هذا محور التركيز. إذ ليس من المفترض أن يكون الهجوم الإلكتروني الذي تعرَّضت له بورصة نيوزيلندا في تموز/ أغسطس2020 مفاجئًا، نظرًا للدور الذي تضطلع به البورصة في النظام المالي. وقد اعترفت البورصة لاحقًا أنَّ مواردها التكنولوجية وتخطيطها لإدارة الأزمات بحاجة إلى تحسينات.
أخيرًا، سلطت الأحداث على مدار الاثني عشر شهرًا الماضية الضوء على ضعف شبكات الإنتاج المعقدة والمترابطة، مما يجعل سلاسل التوريد معرضة بصورة متزايدة للمخاطر الإلكترونية في السنوات القادمة. وكما أبرزت عدد من الهجمات الأخيرة- بما في ذلك تلك التي استهدفت (سولار ويندز)، وMicrosoft Exchange Server، وCodecov - وحادث خرق البيانات الذي تعرضت له شركة (تارغيت) في عام 2013، يجب أن تركز إدارة المخاطر الإلكترونية على سلسلة التوريد الأوسع، بما في ذلك المعايير الإلكترونية لدى مقدمي الخدمات من الطرف الثالث.
ويجب على الشركات أن تجعل التعلُّم من الهجمات الإلكترونية السابقة جزءًا من حمضها النووي، وأن تتخذ تدابير فعّالة لمنع التهديدات المستقبلية واكتشافها. ونظرًا لأهمية حوكمة المخاطر الإلكترونية بالنسبة للتصنيفات الائتمانية، فمن المرجَّح أن تمتد فوائد الأمن الحاسوبي القوي إلى ما وراء المجال الرقمي.
ترجمة: نعيمة أبروش Translated by Naaima Abarouch
يشغل سيمون أشوورث منصب كبير المسؤولين التحليليين– في قسم التأمين لدى مؤسَّسة S&P Global Ratings (سداندارز آند بورز) للتصنيفات العالمية.
حقوق النشر: بروجيكت سنديكت ، 2021
www.project-syndicate.org