درع الثقة

مرّ شهر بالفعل منذ أن أصدرت وزارة التجارة الأمريكية قرارها النهائي بخصوص مبيعات Kaspersky واستخدام منتجاتها من قبل الأشخاص الأمريكيين. ونص قرار الوكالة، إذا لم تكن على علم به، بشكل عام على حظر منتجات Kaspersky من السوق – مع بعض الاستثناءات القليلة للمنتجات والخدمات الإعلامية والتعليمية. وكانت النتيجة ما يلي: لم يعد بإمكان المستخدمين في الولايات المتحدة الوصول إلى برامج الأمن الإلكتروني التي يختارونها بناءً على الجودة والخبرة.

على مدار تاريخها الممتد طوال 27 عامًا، لطالما اشتهرت شركتنا بأنها توفر أفضل حماية في السوق من جميع أنواع التهديدات الإلكترونية – بغض النظر عن مصدر هذه التهديدات. وإليك بعض الأمثلة على ذلك: في وقت سابق من هذا العام حصلت منتجاتنا مرة أخرى على جائزة منتج العام من مختبر اختبار مستقل شهير؛ ومن عام إلى آخر كانت حلولنا تُظهر حماية بنسبة 100% ضد أهم التهديدات – برامج طلب الفدية الضارة؛ ويعد فريق أبحاث التهديدات في Kaspersky – الذي يحظى باحترام مجتمع أمان المعلومات العالمي ومستخدمينا – الجهة التي تكتشف وتحلل والأهم من ذلك أنها تكشف للعالم أكبر حملات التجسس التي ترعاها الدول وأكثرها تطورًا.

إذن، ما السبب وراء حظر أفضل حلول الأمن الإلكتروني التي يثق بها الملايين؟ هل تم تحديد المشكلة بوضوح وموضوعية؟ هل رأيت أي دليل على تلك المخاطر التي تشير إليها الحكومة الأمريكية منذ سنوات؟ لم نرَ نحن ذلك أيضًا.

بينما كان يتعين علينا أن نتعامل مع نتائج الحمائية المتزايدة (وآثارها القاسية) – مثل ادعاءات سوء السلوك التي لا تستند إلى أي دليل، والاتهامات المستندة على مخاطر نظرية بحتة – كنا نعمل باستمرار على تطوير منهجية عالمية لتقييم منتجات الأمن الإلكتروني، مع الحفاظ على وفائنا الدائم لمبدأنا الرئيسي: التحلي بالشفافية والانفتاح إلى أقصى حد بشأن كيفية أدائنا لعملنا.

أصبحنا أول شركة كبرى في مجال الأمن الإلكتروني وما زلنا الشركة الوحيدة التي تتيح للجهات الخارجية القدرة على الوصول إلى تعليماتنا البرمجية المصدرية، ونسمح كذلك لأصحاب المصلحة والشركاء الموثوق بهم بالتحقق من قواعدنا الخاصة باكتشاف التهديدات وتحديثات البرامج في بادرة حسن نية لا مثيل لها. وطبقنا منذ عدة سنوات بالفعل مبادرة الشفافية العالمية الخاصة بنا، وهي مبادرة فريدة من حيث نطاقها وقيمتها العملية، والتي تعكس مرة أخرى موقفنا التعاوني وتصميمنا على معالجة أي مخاوف محتملة بشأن كيفية عمل حلولنا. وعلى الرغم من ذلك، ما زلنا نواجه تخوفات بشأن موثوقية منتجاتنا، والتي عادةً ما تكون نابعة من عوامل خارجية مثل التخمينات الجيوسياسية، ولذلك قطعنا شوطًا إضافيًا من خلال اقتراح إطار عمل أكثر شمولاً، والذي من شأنه تقييم سلامة حلولنا الأمنية طوال دورة حياتها.

ما سأصفه أدناه هو إطار عمل شاركناه بشكل استباقي مع الأطراف التي تعبر عن مخاوفها بشأن مصداقية حلول Kaspersky، بما في ذلك الأطراف في حكومة الولايات المتحدة. ونعتقد أن الإطار شامل بما يكفي لمعالجة المخاوف الأكثر شيوعًا، وقادر على تشكيل سلسلة ثقة يمكن الاعتماد عليها.

تشمل الركائز الرئيسية لمنهجية تقييم الأمن الإلكتروني التي قدمناها (والتي نعتقد، بالمناسبة، أنها يمكن أن تشكل أساسًا لمنهجية على مستوى الصناعة) ما يلي (1) توطين معالجة البيانات، و(2) مراجعة البيانات المستلمة، و(3) مراجعة كل من المعلومات والتحديثات التي يتم تسليمها إلى أجهزة المستخدمين (كجزء من تحديثات البرامج وقاعدة بيانات التهديدات). وكما هو الحال في مبادرة الشفافية العالمية، فإن الهدف الأساسي للإستراتيجية هو إشراك مراجع خارجي للتحقق من عمليات الشركة وحلولها. لكن الجديد في هذه المنهجية هو مدى وعمق هذه المراجعات. دعونا نلقي نظرة على التفاصيل…

توطين معالجة البيانات

كانت مسألة معالجة البيانات وتخزينها من أكثر المسائل حساسية، ليس فقط بالنسبة لشركة Kaspersky، بل لصناعة الأمن الإلكتروني بأكملها. ونتلقى في كثير من الأحيان أسئلة معقولة بخصوص البيانات التي يمكن لمنتجاتنا معالجتها، وكيفية تخزين هذه البيانات، والأهم من ذلك، لماذا نحتاج إلى هذه البيانات. ويتمثل الغرض الرئيسي من معالجة البيانات بالنسبة لشركة Kaspersky في تزويد مستخدمينا وعملائنا بأفضل حلول الأمن الإلكتروني: من خلال جمع البيانات عن الملفات الضارة والمشبوهة التي نكتشفها على أجهزة المستخدمين، يمكننا تدريب خوارزمياتنا وتعليمها كيفية اكتشاف التهديدات الجديدة واحتواء انتشارها.

ينطوي الإطار الذي نقدمه أيضًا على توطين أكبر للبنية التحتية لمعالجة البيانات، وتنفيذ ضوابط تقنية وإدارية تُقيد الوصول إلى هذه البنية التحتية للمعالجة للموظفين خارج بلد أو منطقة معينة. وننفذ بالفعل هذا النهج في تقديم خدمة الاكتشاف والاستجابة المدارة (MDR) في المملكة العربية السعودية، وتم اقتراح الآليات ذاتها في مناقشاتنا مع السلطات الأمريكية للتخفيف من مخاوفهم. وستضمن هذه التدابير تخزين البيانات المحلية ومعالجتها في بيئة مادية حيث تقع السيطرة النهائية على البيانات على عاتق الأشخاص الخاضعين للولاية القضائية المحلية، أو تلك الخاصة بدولة حليفة بشكل وثيق الصلة حسبما يراه هؤلاء الأشخاص مناسبًا. وكما هو الحال تمامًا مع الخطوات المذكورة أعلاه، يمكن دعوة طرف ثالث مستقل للتحقق من فعالية التدابير المنفذة.

تتطلب المعالجة المحلية للبيانات تحليل التهديدات المحلية وتطوير توقيعات محلية لاكتشاف البرامج الضارة، وتوفر منهجيتنا ذلك. ويتطلب توطين معالجة البيانات محليًا توسيع نطاق الموارد البشرية لدعم البنية التحتية المحلية، ونحن على استعداد لمواصلة بناء فرق البحث والتطوير الإقليمية وفرق تكنولوجيا المعلومات في بلدان معينة. وستكون هذه الفرق مسؤولة حصريًا عن دعم معالجة البيانات المحلية، وإدارة برامج مراكز البيانات المحلية، وتحليل البرامج الضارة لتحديد التهديدات المستمرة المتقدمة الجديدة التي تستهدف المنطقة المعينة. وسيضمن هذا الإجراء أيضًا مشاركة المزيد من الخبراء الدوليين في تطوير مجموعات منتجات Kaspersky المستقبلية، ما يجعل البحث والتطوير لدينا أكثر لامركزية.

مراجعة عملية استرجاع البيانات

نحمي البيانات التي نجمعها من المخاطر المحتملة باستخدام سياسات وممارسات وضوابط داخلية صارمة؛ ولا ننسب البيانات التي نجمعها إلى فرد أو مؤسسة معينة، ونخفي هويتها حيثما أمكن، ونحد كذلك من الوصول إلى هذه البيانات داخل الشركة ونعالج 99% منها تلقائيًا.

لزيادة التخفيف من أي مخاطر محتملة على بيانات عملائنا، اقترحنا إشراك مراجع معتمد خارجي لمراجعة عملية استرجاع البيانات لدينا بشكل دوري. وسوف يُجري هذا المراجع في الوقت الحقيقي تقييمًا دوريًا للبيانات التي نتلقاها باستخدام أدوات تحليل البيانات ومنصات معالجة البيانات للتأكد من عدم نقل أي معلومات محددة للهوية الشخصية أو بيانات محمية أخرى إلى Kaspersky، وللتأكد من أن البيانات المستردة تُستخدم فقط لاكتشاف التهديدات والحماية منها، وأنه يتم التعامل معها بشكل مناسب.

مراجعة التحديثات والبيانات التي تم تسليمها إلى أجهزة المستخدمين

كخطوة تالية على جانب المنتج، سيتم توفير إطار عمل التخفيف من المخاطر للمراجعات المنتظمة بواسطة طرف خارجي لتحديثات قاعدة بيانات التهديدات وتطوير التعليمات البرمجية المصدرية المتعلقة بالمنتج للتخفيف من مخاطر سلسلة التوريد لعملائنا. والأهم من ذلك، أن يكون الطرف الخارجي مؤسسة مستقلة تقدم تقاريرها مباشرة إلى جهة تنظيمية محلية. وسيكون هذا الأمر إضافة إلى عملية تطوير البرامج الصارمة والآمنة التي تتبعها Kaspersky حاليًا، والتي تركز على التخفيف من المخاطر، بما في ذلك سيناريو يتضمن وجود دخيل في النظام، لضمان عدم تمكن أي شخص من إضافة تعليمات برمجية غير مصرح بها إلى منتجاتنا أو قواعد بياناتنا الخاصة ببرامج مكافحة الفيروسات.

لكن لزيادة تعزيز الضمانات الأمنية، تهدف مشاركة مراجع خارجي في الوقت الحقيقي إلى تقييم أمان التعليمات البرمجية التي طورها مهندسو Kaspersky، واقتراح التحسينات وتحديد المخاطر المحتملة، ومن ثم تحديد الحلول المناسبة.

فيما يلي أحد سيناريوهات كيفية تنظيم هذا الفحص لتحديثات قاعدة بيانات التهديدات:

أحد سيناريوهات المراجعة في الوقت الحالي لقواعد بيانات التهديدات

من المهم التأكيد على أن المراجعة الخارجية يمكن أن تكون إما محظورة أو غير محظورة، ويمكن إجراؤها إما على أساس منتظم أو بمجرد تراكم كتلة حرجة من التحديثات / المكونات للمراجعة، يمكن كذلك تطبيقها على جميع المكونات أو على مجموعة مختارة منها فقط. ويتضمن خيار المراجعة الأكثر تقدمًا المقترح الحظر في الوقت الحقيقي، مما يتيح للمراجعين التحكم الكامل في التعليمات البرمجية التي يتم تسليمها إلى أجهزة المستخدمين. وستوقف أي مراجعة محظورة وصول أي تعليمات برمجية أثناء عملية المراجعة إلى المنتج أو التحديثات، وبالتالي إلى عملاء Kaspersky.

يمكن زيادة تعزيز عملية المراجعة الشاملة هذه من خلال اشتراط توقيع المراجع على جميع التحديثات التي يتم تسليمها إلى أجهزة المستخدمين بعد تأكيد التعليمات البرمجية الأساسية وبنائها. وسيضمن هذا عدم تغيير التعليمات البرمجية بعد مراجعتها في الوقت الحقيقي.

لا تتيح المراجعة المقترحة التحقق في الوقت الحقيقي من أمان التعليمات البرمجية المطورة حديثًا فحسب، بل توفر أيضًا إمكانية الوصول إلى التعليمات البرمجية المصدرية بالكامل، بما في ذلك سجلاتها. ويسمح ذلك للمراجع بإجراء تقييم كامل للتعليمات البرمجية المطورة حديثًا، وفهم التغييرات التي طرأت عليها بمرور الوقت، ومعرفة كيفية تفاعلها مع مكونات المنتج الأخرى.

ستكون هذه المراجعة المطلقة للتعليمات البرمجية مصحوبة أيضًا بإمكانية الوصول إلى نسخة من بيئة إنشاء البرامج الخاصة بالشركة، والتي تعكس تلك المستخدمة في Kaspersky، بما في ذلك تعليمات التجميع والنصوص البرمجية ووثائق التصميم التفصيلية والأوصاف التقنية للعمليات والبنية التحتية. بالتالي، يستطيع المراجع في الوقت الحقيقي بناء / تجميع التعليمات البرمجية بشكل مستقل ومقارنة التعليمات الثنائية و/أو كائنات البناء الوسيطة بالإصدارات التي يتم شحنها إلى المستخدمين. وسيتمكن المراجع أيضًا من التحقق من البنية التحتية للبناء والبرامج للتحقق من التغييرات.

بالإضافة إلى ذلك، يمكن تزويد طرف خارجي مستقل موثوق به بإمكانية الوصول إلى ممارسات تطوير برامج الشركة. ويهدف هذا التحليل المستقل إلى توفير مزيد من الضمانات بأن التدابير والعمليات المطبقة لدى Kaspersky تتطابق مع الممارسات الرائدة في المجال. وسيغطي هذا الوصول جميع وثائق الأمان ذات الصلة – بما في ذلك على سبيل المثال لا الحصر: تحديد متطلبات الأمان، ونمذجة التهديدات، ومراجعة التعليمات البرمجية، والتحقق من التعليمات البرمجية الثابتة والديناميكية، واختبار الاختراق، وما إلى ذلك.

خلاصة القول هي إن الاستراتيجية المذكورة أعلاه، في تقديرنا، يمكن أن تعالج معظم مخاطر سلسلة توريد تكنولوجيا المعلومات والاتصالات المتعلقة بتطوير المنتجات وتوزيعها بطريقة فعالة وقابلة للتحقق منها. وكما ذكرت أعلاه، فإن هذه في الواقع هي تدابير التخفيف التي قدمناها في اقتراح للمناقشة إلى وزارة التجارة الأمريكية، مما يؤكد مرة أخرى انفتاحنا على الحوار وعزمنا على توفير المستوى النهائي من الضمانات الأمنية. وعلى الرغم من ذلك، تم تجاهل اقتراحنا ببساطة. ويقودني هذا إلى الاعتقاد بأن السبب في ذلك يعود إلى أفكار الوزارة المسبقة. ويبدو أنه بدلاً من تقييم اقتراحنا من حيث فعاليته في التصدي للمخاطر، فقد تم فحصه لإيجاد ذريعة لرفضه.

على الرغم من أننا يجب أن نعترف بأننا مضطرون مرة أخرى إلى التعامل مع إجراءات الحمائية الرقمية، إلا أنني أعلم يقينًا أن العالم في حاجة ماسة إلى إستراتيجية عالمية لإدارة مخاطر الأمن الإلكتروني. ومن الأهمية بمكان أن نكون قادرين على التعامل مع مشهد التهديدات المتطور بفعالية وضمان اتباع نهج موحد لإدارة مخاطر الأمن الإلكتروني عبر مجالات أمان تكنولوجيا المعلومات المتنوعة. ويمكن أن يساعد هذا النهج أيضًا في منع القرارات قصيرة النظر التي تحرم ملايين المستخدمين من حرية الاختيار فيما يتعلق بالحماية الموثوقة للأمن الإلكتروني ووضع قيود مصطنعة على تبادل البيانات بين خبراء الأمن الإلكتروني. دعونا نسمح لهؤلاء الخبراء بالتركيز على عملهم المهم دون العبء الإضافي للجغرافيا السياسية، التي لا يستفيد من تأثيرها سوى مجرمي الإنترنت.

في عالم مترابط تتخطى فيه التهديدات الإلكترونية الحدود، يمثل وجود إستراتيجية عالمية أمرًا حيويًا لتعزيز دفاعات الأمن الإلكتروني وتعزيز الثقة والترويج لمنظومة رقمية أكثر أمانًا. ويفتح إطار عملنا الباب أمام مناقشة داخل الصناعة حول الشكل الذي يجب أن يبدو عليه تقييم الأمن الإلكتروني لسلسلة التوريد العالمية، بهدف بناء درع موثوق من الثقة، وبالتالي بناء عالم أكثر أمانًا.