الثقة المشروطة بالتحقق: كيف نضع معايير الشفافية والموثوقية

لا تقتصر حياة مدير أمان المعلومات المعاصر (المعروف أيضًا باسم CISO – كبير مسؤولي أمان المعلومات) على مجرد مكافحة المخترقين. لكنها أيضًا رحلة بحث لا تنتهي تُعرف باسم “الامتثال”. وتستمر الجهات التنظيمية في تشديد القيود، وتظهر المعايير بكثافة كالفطر، وتزداد التحديات تعقيدًا؛ لكن مهلاً… هناك ما هو أكثر: لا يتحمل مديرو أمان المعلومات المسؤولية عن نطاقهم فحسب، بل عما يحدث خارجه أيضًا: عن سلسلة التوريد الخاصة بهم بأكملها، وجميع المتعاقدين معهم، والمجموعة الكاملة من البرامج التي تعتمد عليها عملياتهم التجارية. ورغم أن هذا المنطق سليم، إلا أنه للأسف منطق صارم: في حالة العثور على ثغرة لدى المورد الخاص بك وأصابت المشكلات شركتك، فأنت من سيُحاسب في نهاية المطاف. وينطبق هذا المنطق على برامج الأمان أيضًا.

في الماضي، نادرًا ما كانت الشركات تلتفت إلى المكونات الفعلية للحلول والمنتجات الأمنية التي تستخدمها. أما اليوم، فقد أصبح لدى الشركات – لا سيما الكبرى منها – رغبة عارمة في معرفة كل التفاصيل: ما الذي تحتويه هذه الأنظمة حقًا؟ ومن الذي كتب تعليماتها البرمجية؟ وهل سيتسبب النظام في تعطيل مهمة حيوية أو حتى يؤدي ببيئة العمل بأكملها للانهيار؟ (شهدنا سوابق كهذه، مثل حادثة تحديث Crowdstrike 2024). أضف إلى ذلك التساؤل عن مكان وكيفية معالجة البيانات. وهي بلا شك الأسئلة الصحيحة التي يجب طرحها.

تكمن المشكلة في حقيقة أن جميع العملاء تقريبًا يثقون  في دقة إجابات مورديهم عند طرح مثل هذه الأسئلة – وغالبًا ما يكون ذلك لعدم وجود خيار آخر لديهم. ويتمثل النهج الأكثر نضجًا في الواقع الإلكتروني اليوم في التحقق.

يُطلق على هذا المفهوم في لغة الشركات “الثقة في سلاسل التوريد”، ومحاولة فك هذا اللغز بمفردك قد تسبب لك صداعًا حقيقيًا. لذا، فأنت بحاجة إلى مساعدة الموردين. ويبدي المورد المسؤول يبدي استعدادًا للكشف عما يدور “خلف الكواليس” في حلوله التقنية، ويسمح للشركاء والعملاء بمراجعة التعليمات البرمجية المصدرية، ويسعى عمومًا لكسب الثقة عبر خطوات عملية ملموسة لا بمجرد عروض تقديمية براقة.

إذًا، مَن الذي بدأ بالفعل في تطبيق هذا النهج، ومَن الذي لا يزال عالقًا في الماضي؟ تأتي الإجابة من دراسة حديثة ومتعمقة أجراها زملاؤنا في أوروبا. وقد نُفذت هذه الدراسة بالتعاون بين مختبر الاختبارات المرموق AV-Comparatives، وغرفة تجارة تيرول (WKO)، ومدرسة MCI لريادة الأعمال، ومكتب المحاماة Studio Legale Tremolada.

الاستنتاج الرئيسي للدراسة هو أن عصر “الصناديق السوداء” في الأمن الإلكتروني قد انتهى. وإلى غير رجعة. لقد ولى هذا الزمن. وسيكون المستقبل من نصيب أولئك الذين لا يخفون تعليماتهم البرمجية المصدرية أو تقارير الثغرات الأمنية الخاصة بهم، والذين يمنحون العملاء أقصى قدر من الحرية في إعداد وتهيئة منتجاتهم. ويوضح التقرير بجلاء من هم الموردون الذين لا يكتفون بالوعود، بل يقدمون نتائج ملموسة. حزّر من هم!…

هذا تخمين في محله. نعم، إنه نحن.

نمنح عملاءنا ميزات لا تزال، للأسف، بمثابة “فصيلة نادرة ومهددة بالانقراض” في هذا القطاع؛ وهي: مراكز الشفافية، ومراجعة التعليمات البرمجية المصدرية لمنتجاتنا، وقائمة مفصلة بمكونات البرمجيات (SBOM)، والقدرة على فحص سجل التحديثات والتحكم في عمليات إطلاقها. وبالطبع، نوفر كل ما أصبح بالفعل معيارًا ثابتًا في الصناعة. ويمكنك الاطلاع على جميع التفاصيل في تقرير “الشفافية والمساءلة في الأمن الإلكتروني” (TRACS) الكامل، أو في ملخصنا. وفيما يلي، سأستعرض معكم بعضًا من أكثر النقاط إثارة للاهتمام.

عدم خلط الأوراق

قام تقرير TRACS بمراجعة 14 موردًا بارزًا ومنتجاتهم في فئتي EPP/EDR – بدءًا من Bitdefender وCrowdStrike وصولاً إلى منتجنا EDR Optimum وشركة WithSecure. وكان الهدف هو تحديد الموردين الذين لا يكتفون بعبارة “ثقوا بنا”، بل يتيحون لكم فعليًا التحقق من صحة ادعاءاتهم. وشملت الدراسة 60 معيارًا: من الامتثال للائحة العامة لحماية البيانات (GDPR) – بما أنها دراسة أوروبية في النهاية – وتدقيقات معيار ISO 27001، وصولاً إلى القدرة على معالجة جميع بيانات القياس عن بُعد محليًا وإمكانية الوصول إلى التعليمات البرمجية المصدرية للمنتج. ومع ذلك، قرر القائمون على الدراسة عدم منح نقاط لكل فئة أو وضع تصنيف عام موحد.

لماذا؟ لأن لكل جهة نماذج تهديدات ومخاطر تختلف عن غيرها. وما قد يعد ميزة لجهة ما قد يكون خللاً أو كارثة لآخر. ولنأخذ مثالاً: التثبيت التلقائي السريع للتحديثات. وبالنسبة لشركة صغيرة أو شركة بيع بالتجزئة تضم آلاف الفروع المستقلة، يعد هذا نعمة؛ فليس لديهم عدد كافٍ من موظفي تكنولوجيا المعلومات لإدارة كل ذلك يدويًا. لكن بالنسبة لمصنع يتحكم فيه الكمبيوتر بخط الإنتاج، فإن هذا الأمر غير مقبول تمامًا. ويمكن أن يؤدي تحديث معيب إلى توقف خط الإنتاج، وهو ما قد يكون أثره قاتلاً على العمل (أو على الأقل أسوأ من الهجوم الإلكتروني الأخير المعروف باسم Jaguar Land Rover)؛ وهنا يجب اختبار كل تحديث أولاً. وينطبق الأمر نفسه على بيانات القياس عن بُعد. وقد ترسل وكالة علاقات عامة بياناتها من أجهزة الكمبيوتر الخاصة بها إلى سحابة المورد للمساهمة في اكتشاف التهديدات والحصول على حماية فورية. وهذا رائع. أما الشركة التي تعالج السجلات الطبية للمرضى أو تصميمات فنية شديدة السرية على الأجهزة الكمبيوتر الخاصة بها؟ فيجب عليها إعادة النظر في إعدادات القياس عن بُعد.

من الناحية المثالية، ينبغي على كل شركة وضع “أوزان” لكل معيار، وأن تحسب “درجة التوافق” الخاصة بها مع موردي حلول EDR / EPP. لكن هناك حقيقة واحدة واضحة: الفائز دائمًا هو من يمنح العملاء حرية الاختيار.

لنأخذ كمثال على ذلك تحليل سمعة الملفات المشبوهة. ويمكن أن يعمل هذا التحليل بطريقتين: إما عبر السحابة العامة للمورد، أو من خلال سحابة خاصة دقيقة داخل مؤسسة واحدة. بالإضافة إلى ذلك، هناك خيار لإيقاف هذا التحليل تمامًا والعمل في وضع عدم الاتصال بالكامل. ويمنح عدد قليل من الموردين العملاء هذه الخيارات الثلاثة معًا. على سبيل المثال، لا يتوفر تحليل السمعة “المحلي” إلا لدى ثمانية موردين فقط في الاختبار. وغني عن القول إننا واحد منهم.

رفع سقف المعايير

يتكرر المشهد ذاته تقريبًا في كل فئة من فئات الاختبار، تمامًا كما هو الحال مع خدمة تقييم سمعة الملفات. ومن خلال القراءة المتأنية لجميع صفحات التقرير التي تبلغ 45 صفحة، نجد أننا إما نتصدر منافسينا أو نأتي ضمن قائمة القادة. ويمكننا القول بكل فخر إننا في ثلث فئات المقارنة تقريبًا، نقدم قدرات تفوق بشكل ملحوظ ما يقدمه معظم أقراننا. وتفضلوا بالاطلاع على التفاصيل بأنفسكم:

زيارة مركز الشفافية ومراجعة التعليمات البرمجية المصدرية؟ التحقق من أن ثنائيات المنتج مبنية من هذه التعليمات البرمجية المصدرية؟ يتيح ثلاثة موردين فقط في الاختبار هذه الإجراءات. ويقصرها أحدهم على العملاء الحكوميين فقط. أما مراكز الشفافية التابعة لنا، فهي الأكثر عددًا والأوسع انتشارًا جغرافيًا، وتمنح العملاء مروحة واسعة من الخيارات.

هل تريد تنزيل تحديثات قاعدة البيانات وإعادة التحقق منها؟ تتيح ستة شركات فقط – بما فيهم نحن – هذا الخيار.

هل تريد تكوين الإطلاق متعدد المراحل للتحديثات؟ هذا الأمر ليس نادرًا تمامًا، لكنه ليس واسع الانتشار أيضًا، فهناك سبعة موردين فقط بخلافنا يدعمون هذه الميزة.

هل تريد الاطلاع على نتائج تدقيق أمني خارجي للشركة؟ نحن وستة موردين آخرين فقط على استعداد لمشاركة هذه النتائج مع العملاء.

هل تريد تقسيم سلسلة التوريد إلى حلقات منفصلة باستخدام قائمة مكونات البرامج (SBOM)؟ هذا أمر نادر أيضًا: يمكنك طلب قائمة مكونات البرامج (SBOM) من ثلاثة موردين فقط. أحدهم هو تلك الشركة ذات اللون الأخضر التي تصادف أنها تحمل اسمي.

بالطبع، هناك فئات أظهر فيها الجميع أداءً جيدًا: اجتازت جميع الشركات تدقيق معيار ISO/IEC 27001 بنجاح، وتلتزم بمتطلبات اللائحة العامة لحماية البيانات (GDPR)، وتتبع ممارسات التطوير الآمن، وتقبل تقارير الثغرات الأمنية.

أخيرًا، هناك مسألة المؤشرات الفنية. ترسل جميع المنتجات التي تعمل عبر الإنترنت بيانات فنية معينة عن أجهزة الكمبيوتر المحمية، ومعلومات عن الملفات المصابة. وبالنسبة للكثير من الشركات، لا يمثل هذا مشكلة، بل ويسعدهم أن ذلك يعزز من فاعلية الحماية. لكن بالنسبة للشركات التي تركز بجدية على تقليل تدفق البيانات، قاست مؤسسة AV-Comparatives ذلك أيضًا – وقد تبين أننا نجمع أقل قدر من بيانات القياس عن بُعد مقارنة بالموردين الآخرين.

الاستنتاجات العملية

بفضل الخبراء النمساويين، أصبحت المهمة الملقاة على عاتق مديري أمان المعلومات وفرقهم أسهل بكثير عند فحص مورديهم لخدمات الأمان. ولا يقتصر الأمر على الموردين الأربعة عشر الذين شملهم الاختبار فحسب. ويمكن تطبيق الإطار المنهجي نفسه على موردي الحلول الأمنية الآخرين وعلى البرامج بشكل عام. لكن هناك استنتاجات إستراتيجية أيضًا…

تجعل الشفافية إدارة المخاطر أسهل. وإذا كنت مسؤولاً عن الحفاظ على استمرارية الأعمال، فلن ترغب في تخمين ما إذا كانت أداة الحماية الخاصة بك ستصبح نقطة ضعفك أم لا. وأنت بحاجة إلى القدرة على التنبؤ والمساءلة. وتؤكد دراسة WKO وAV-Comparatives أن نموذجنا يقلل من هذه المخاطر ويجعلها قابلة للإدارة.

الأدلة بدلاً من الشعارات. في هذا المجال، لا يكفي أن تكتب على موقعك الإلكتروني “نحن آمنون”، بل أنت بحاجة إلى آليات تدقيق. ويجب أن يكون العميل قادرًا على الحضور والتحقق من الأمور بنفسه. ونحن نوفر ذلك، بينما لا يزال الآخرون يحاولون اللحاق بالركب.

الشفافية والنضج يسيران جنبًا إلى جنب. وعادةً ما يمتلك الموردون الذين يتبعون نهج بالشفافية مع عملائهم أيضًا عمليات أكثر نضجًا في تطوير المنتجات والاستجابة للحوادث ومعالجة الثغرات الأمنية. ولذا، تكون منتجاتهم وخدماتهم أكثر موثوقية.

أثبت نهجنا تجاه الشفافية (GTI) فعاليته. وعندما أعلنا عن مبادرتنا قبل عدة سنوات وافتتحنا مراكز الشفافية حول العالم، سمعنا انتقادات شتى – مثل أنها إهدار للمال ولا يحتاجها أحد. أما الآن، فيؤكد خبراء أوروبيون مستقلون أن هذا هو الأسلوب الذي ينبغي أن يعمل به الموردون في عام 2025 وما بعده.

لقد كان من دواعي سروري حقًا قراءة هذا التقرير. ليس فقط لأنه ينصفنا، بل لأن الصناعة بدأت أخيرًا في التوجه نحو المسار الصحيح – مسار الشفافية والمساءلة.

لقد بدأنا هذا التوجه، ونحن نقوده الآن، وسنواصل ريادتنا فيه. لذا، أعزائي القراء والمستخدمين، لا تنسوا أبدًا: الثقة شيء، والقدرة على التحقق الكامل شيء آخر تمامًا.