ملخص

  • أكّدت Cognizant في أبريل 2020 أن حادثًا أمنيًا يشمل أنظمتها وتسبب في تعطيل الخدمات لبعض العملاء كان نتيجة هجوم برمجيات الفدية Maze. وقالت إنها تتواصل مع العملاء وشاركت مؤشرات الاختراق ومعلومات دفاعية تقنية.
  • مسألة المساءلة تدور حول من كان لديه السيطرة العملية على تجزئة الخدمات المدارة، واحتواء نقاط النهاية، وتواصل العملاء، وأولويات الاستعادة، والإفصاح عن التكاليف، وأدلة العملاء، والحدود بين أنظمة Cognizant وبيئات العملاء.
  • لاحقًا، صوّرت الإيداعات المالية الحادثة على أنها تعطيل تجاري تسبب في وصول غير مصرح به لبعض البيانات، وأثر على بعض خدمات العملاء، وأدى إلى تكاليف احتواء ومعالجة، وتزامن مع ضغوط العمل من المنزل أثناء الجائحة.
  • السجل العام لا يدعم الادعاء بأن كل تعرض لعميل أو إجراء للمهاجم أو تفاصيل جنائية معروفة علنًا. لكنه يدعم معاملة الحادثة كحالة استمرارية لخدمات تكنولوجيا المعلومات لأن انقطاع المزود يمكن أن يصبح حدث خطر على العميل.
  • كان على العملاء، وفرق العمليات الخارجية، والموظفين، والمستثمرين، وشركات التأمين، وفرق أمن العملاء تقييم ما إذا كان حدث برمجيات الفدية لدى المزود قد غيّر افتراضات الاستمرارية والوصول والأدلة الخاصة بهم.

سجل الأدلة وكيفية استخدامه

تعالج هذه المقالة السجل العام كأدلة متعددة الطبقات. تُستخدم تصريحات Cognizant ومواد المستثمرين وإيداعات هيئة الأوراق المالية والبورصات (SEC) لما قالته الشركة علنًا عن هجوم برمجيات الفدية Maze، وتعطيل الخدمات، والاحتواء، والمعالجة، والأثر المالي، والتواصل مع العملاء. وتُستخدم تقارير الأمن والتكنولوجيا للتسلسل الزمني العام، ومخاوف العملاء، والتفسير المعاصر، مع الحفاظ على حالة عدم اليقين. وتُستخدم التوجيهات الحكومية ومراجع تقنيات الخصوم وأطر التحكم لشرح الواجبات التي تنشأ عندما تؤثر بيئة المزود نفسه على استمرارية العميل.

#السجل العامالاستخدام في هذا التحليل
1تحديث حادثة أمن Cognizantبيان الشركة الرئيسي الذي يؤكد هجوم برمجيات الفدية Maze، وتعطيل بعض خدمات العملاء، وإشراك جهات إنفاذ القانون، ومشاركة مؤشرات الاختراق والمعلومات الدفاعية.
2نتائج الربع الأول من عام 2020 لشركة Cognizantبيان نتائج الشركة المستخدم لإطار عمل الاحتواء، وسياق استمرارية الأعمال، والنظرة المستقبلية للمخاطر.
3نتائج الربع الثاني من عام 2020 لشركة Cognizantبيان نتائج الشركة المستخدم للتعافي المتسلسل، وسياق الطلب على الخدمات، وتأثير برمجيات الفدية على الإيرادات والعمليات.
4ملحق أرباح الربع الأول 2020 لشركة Cognizantمواد المستثمرين المستخدمة لنطاق التأثير المتوقع لبرمجيات الفدية على الربع الثاني وإطار الإدارة العلني.
5نموذج 10-Q للربع الثاني 2020 لشركة Cognizant بصيغة PDFمواد الإيداع المستخدمة للتكاليف المتكبدة، والمعالجة، واستثمارات الأمن، ولغة المخاطر المالية المستمرة.
6نموذج 10-Q للربع الأول 2020 لشركة Cognizantإيداع هيئة الأوراق المالية والبورصات (SEC) المستخدم للوصول غير المصرح به، وتعطيل الخدمات، وتعليق وصول العملاء، والاحتواء، والاستعادة، ولغة مخاطر التأمين.
7نموذج 10-K لعام 2020 لشركة Cognizantالإيداع السنوي المستخدم للاحتواء اللاحق، والإزالة، والأثر المالي السنوي، وإفصاحات المخاطر الأمنية المستمرة.
8تقرير BleepingComputer عن هجوم برمجيات الفدية Maze على Cognizantتقارير أمنية مستخدمة للتسلسل الزمني الأولي العام وسياق حجم المزود.
9تقرير TechCrunch عن هجوم برمجيات الفدية Maze على Cognizantتقارير تكنولوجية مستخدمة للتأكيد العلني وإطار تعطيل العملاء.
10تقرير CIO Dive عن تعطيل الخدماتتقارير تجارية مستخدمة لسياق تعطيل الخدمات ومشاركة المؤشرات.
11تقرير CIO Dive عن الأثر المالي المتوقعتقارير تجارية مستخدمة لمناقشة الأثر المالي العلني بين 50 و70 مليون دولار على الربع الثاني.
12تقرير CRN عن الاحتواء وتكاليف التنظيفتقارير قنوات التوزيع مستخدمة لمكالمات العملاء، ومناقشة تكاليف المعالجة، وسياق طمأنة العملاء.
13تقرير SecurityWeek عن البيانات المسروقة في الهجومتقارير أمنية مستخدمة لبعد تعرض البيانات لاحقًا وسياق إشعارات العملاء، دون المبالغة في افتراض حقائق غير معروفة عن كل عميل.
14تقرير BankInfoSecurity عن تعطيل Cognizantتقارير أمنية مستخدمة للتعطيل، وسياق مجموعة Maze، والتواصل مع العملاء.
15تحديث حالة MSSP Alert عن تعافي Cognizantتقارير الخدمات المدارة مستخدمة لمراحل الاستجابة، والمؤشرات، ومكالمات العملاء، وإطار التعافي.
16دليل CISA لوقف برمجيات الفدية (StopRansomware Guide)توجيهات حكومية مستخدمة للتحضير لبرمجيات الفدية، والاستجابة، والتعافي، وواجبات التواصل.
17إرشاد CISA حول تهديدات مزودي الخدمات المدارةإرشاد حكومي مستخدم لوضع أطر الوصول بين المزود والعميل، والتجزئة، وواجبات المراقبة.
18تقنية MITRE ATT&CK: تشفير البيانات للتأثير (Data Encrypted for Impact)مرجع تقني لتشفير برمجيات الفدية وتعطيل العمليات.
19تقنية MITRE ATT&CK: منع استعادة النظام (Inhibit System Recovery)مرجع تقني للهجمات ضد قدرة التعافي.
20تقنية MITRE ATT&CK: الحسابات الصالحة (Valid Accounts)مرجع تقني لمخاطر بيانات الاعتماد والوصول الموثوق في بيئات المزودين.
21إطار NIST للأمن السيبرانيمرجع معايير لمصطلحات التحديد والحماية والكشف والاستجابة والتعافي.
22ضوابط CIS الحرجة للأمنمرجع ضوابط للجرد، والحسابات، والتسجيل، والتعافي، ومزودي الخدمات، ومراقبة الأمن.

لماذا أصبحت حادثة برمجيات الفدية لدى مزود خدمة حدث خطر على العميل

حادثة برمجيات الفدية Maze التي تعرضت لها Cognizant في 2020 مهمة لأن Cognizant لم تكن مجرد مؤسسة أخرى تحاول استعادة ملفاتها. لقد كانت مزودًا لخدمات تكنولوجيا المعلومات والخدمات المهنية لمؤسسات أخرى. هذا الدور يغيّر المخاطر العملية. يمكن للمزود أن يحتفظ بمعرفة تشغيلية، ووصول للدعم، وسير عمل مكتب الخدمة، وسجلات المشاريع، وبيانات اعتماد البنية التحتية المدارة، والاتصال بشبكات العملاء، والثقة التي يحتاجها العملاء لاستمرار العمليات الخارجية. عندما يتعرض المزود لهجوم برمجيات الفدية، لا يسأل العملاء فقط عما إذا كان المزود قادرًا على استعادة نفسه. بل يسألون عما إذا كان وصول المزود وأدواته وأدلته قد غيّرت تعرضهم هم أنفسهم.

التحديث العلني الأولي لشركة Cognizant قال إن حادثًا أمنيًا يشمل أنظمتها وتسبب في تعطيل الخدمات لبعض العملاء كان نتيجة هجوم برمجيات الفدية Maze. وقالت الشركة إنها تتواصل مع العملاء وقدمت مؤشرات اختراق ومعلومات دفاعية تقنية. هذا البيان قصير، لكنه يحتوي على إطار المساءلة بالكامل. الحادثة شملت أنظمة Cognizant. أثرت على بعض خدمات العملاء. تلقى العملاء معلومات دفاعية. أصبحت جهات إنفاذ القانون والمتخصصون الخارجيون جزءًا من الاستجابة. إذن، حادثة من جانب المزود عبرت مباشرة إلى عمل العميل.

السؤال المفيد ليس ما إذا كانت برمجيات الفدية سيئة. بل هو من كان يسيطر على الأدلة وخيارات التعافي. سيطرت Cognizant على الأنظمة المتأثرة، والتحقيق الجنائي، والاحتواء، وأولويات الاستعادة، والتواصل مع العملاء، والإفصاح المالي. وكان العملاء يسيطرون على قراراتهم الخاصة بالحفاظ على وصول Cognizant أو تعليقه، ومراجعة السجلات، وتفعيل خطط الاستمرارية، وتحديد ما إذا كان نشاط المزود يجب أن يُعامل كموثوق أم محفوف بالمخاطر. أما المستثمرون وشركات التأمين فقد اعتمدوا على إفصاحات Cognizant العلنية لتقدير التكلفة وانقطاع الأعمال والمخاطر المستمرة.

لهذا السبب تعتبر الحادثة اختبارًا للمساءلة وليس مجرد تصنيف للاختراق. غالبًا ما تختزل حوادث برمجيات الفدية في عنوان واحد: تم تشفير الأنظمة. تتطلب حوادث المزودين خريطة أوسع. أي الخدمات تعطلت؟ أي العملاء فقدوا الخدمة؟ أي العملاء علّقوا وصول المزود كإجراء احترازي؟ أي من أنظمة المزود احتوت على بيانات العملاء؟ أي بيئات العملاء بقيت متصلة؟ أي الأنظمة دعمت القدرة على العمل من المنزل أثناء الجائحة؟ أي قرارات الاستعادة حمت أكبر عدد من العملاء دون زيادة المخاطر على أي عميل بعينه؟ السجل العام يجيب على بعض هذه الأسئلة ويترك أخرى خاصة.

ما يثبته السجل العام

يثبت السجل العام عدة أمور بدرجة عالية من اليقين. أكدت Cognizant علنًا هجوم برمجيات الفدية Maze في أبريل 2020. وقالت الشركة إن بعض العملاء تعرضوا لتعطيل في الخدمات. وقالت إنها تتواصل مع العملاء وتشارك مؤشرات الاختراق والمعلومات الدفاعية. ذكر إيداعها للربع الأول لاحقًا أن الهجوم أسفر عن وصول غير مصرح به لبعض البيانات وتسبب في تعطيل كبير للأعمال. وأضافت أن بعض العملاء تعرضوا لتعطيل في الخدمات لأن Cognizant اعتمدت على أنظمة وشبكات متأثرة لأداء أعمال العملاء ولأن الأنظمة الداعمة للعمل من المنزل تأثرت. كما أضاف الإيداع أن بعض العملاء علّقوا وصول Cognizant إلى شبكاتهم كإجراء احترازي أمني.

هذه الحقائق كافية لجعل الحادثة مادية لتحليل الاستمرارية. إذا علّق عميل وصول المزود، فقد يقلل العميل من المخاطر السيبرانية لكنه يفقد تقديم الخدمة. إذا أبقى المزود الوصول مفتوحًا، فقد يحافظ العميل على العمليات لكن يجب أن يثق بأدلة احتواء المزود. هذه المقايضة ليست نظرية. وصف إيداع Cognizant صراحةً عدم القدرة على الاستمرار في تقديم الخدمات عبر شبكات العملاء حتى استعادة الوصول عندما اختار العملاء التعليق الاحترازي. تعافي المزود ورغبة العميل في المخاطرة كانا مرتبطين.

يثبت السجل العام أيضًا الأهمية المالية. ناقشت مواد المستثمرين والنتائج العلنية لشركة Cognizant الأثر المالي المتوقع والمتكبد من حادثة برمجيات الفدية. ووثقت التقارير التجارية مناقشة الأثر المالي العلني بين 50 و70 مليون دولار على الربع الثاني من تعليقات الإدارة. وأشارت مواد الإيداع اللاحقة إلى تكاليف التحقيق والاحتواء والمعالجة والرسوم القانونية والمهنية وتحسينات الأمن وحدود التأمين المحتملة. ليس الهدف تقليص الحادثة إلى بند تكلفة. الهدف أن الاستجابة استنزفت اهتمام الإدارة وثقة العملاء والنقد.

لا يثبت السجل كل حقيقة خاصة. فهو لا يقدم قائمة عامة بالعملاء المتأثرين، أو الأنظمة، أو الملفات، أو نقاط النهاية، أو الحسابات، أو جميع فئات البيانات. ولا ينشر نتائج التحقيق الجنائي الكاملة أو كل إشعار خاص بالعميل. ذكرت SecurityWeek لاحقًا أن Cognizant أبلغت العملاء بأن معلومات شخصية ومالية قد سُرقت؛ تستخدم المقالة هذه التقارير كسياق لتعرض البيانات، وليس كجرد عام كامل لتعرض كل عميل على حدة. إيداعات Cognizant هي المصدر الأقوى لموقف الشركة العلني وأثرها التجاري.

إذن، الاستنتاج العلني الأقوى دقيق. أصبحت حادثة Maze لدى Cognizant اختبارًا لمساءلة استمرارية خدمات تكنولوجيا المعلومات لأن أنظمة المزود، وتقديم خدمات العملاء، وقرارات وصول العملاء، والأدلة الجنائية، والإفصاح المالي أصبحت جميعها مرتبطة في السجل العام.

حدود الخدمة كانت هدف الثقة المركزي

لم يكن هدف الثقة المركزي مجرد خادم أو قاعدة بيانات. بل كان حدود الخدمة بين Cognizant وعملائها. تضمنت هذه الحدود الهويات، والوصول عن بُعد، وأنظمة المشاريع، وأدوات التسليم، واتصال العملاء، والوثائق، والاتصالات، والعلاقات البشرية التي يتم من خلالها أداء العمل الخارجي. عندما تعرضت بيئة Cognizant نفسها للهجوم، كان لا بد من إعادة التحقق من الحدود. كان العملاء بحاجة لمعرفة ما إذا كان وصول Cognizant إلى شبكاتهم لا يزال آمنًا، وما إذا كانت الخدمات التي تقدمها Cognizant يمكن أن تستمر، وما إذا كانت أدلة Cognizant كافية لدعم قراراتهم الخاصة.

هذا هو نفس المنطق الذي يجعل مزودي الخدمات المدارة أهدافًا جذابة. يمكن أن يكون المزود ذا قيمة لأنه يركز الخبرة والوصول المتكرر. يمكن أن يكون المزود محفوفًا بالمخاطر أثناء الاختراق للسبب نفسه. يحذر إرشاد CISA حول الخدمات المدارة عمومًا من مسارات الثقة بين المزود والعميل وحاجة إلى المراقبة والتجزئة والتحكم في الوصول. هذا التوجيه لا يثبت أي حقيقة خاصة عن Cognizant. إنه يفسر لماذا كان على العملاء أخذ الحادثة على محمل الجد حتى لو لم تظهر أنظمتهم أي ضرر واضح.

حدود الخدمة لها جانبان. احتاجت Cognizant إلى احتواء واستعادة أنظمتها الخاصة. واحتاج العملاء إلى تقرير ما إذا كانوا سيحافظون على الوصول أو يقيدونه أو يراقبونه أو يعلقونه. قد يكون قرار العميل بتعليق الوصول حكيمًا لكنه مكلف. لا يمكن للمزود أداء بعض الخدمات دون هذا الوصول. تجعل لغة الإيداع هذه المقايضة مرئية: عندما علّق العملاء الوصول، لم تتمكن Cognizant من الاستمرار في تقديم الخدمات عبر شبكات العملاء حتى استعادة الوصول. هذا يعني أن احتواء الأمن السيبراني واستمرارية الخدمة لم يكونا مساري عمل منفصلين. كانا نفس مشكلة العمل.

الدليل يجعل الحدود قابلة للإدارة. يمكن للمزود أن يخبر العميل عن الأنظمة التي تأثرت، والحسابات التي عُطلت، والمؤشرات التي يجب البحث عنها، والإطار الزمني المهم، والخدمات التي تواجه العميل والتي تدخل أو تخرج من النطاق. يمكن للعميل بعد ذلك مراجعة سجلاته، ومراقبة حسابات المزود، واتخاذ قرار المخاطرة بشأن الوصول، وتوثيق منطقه. بدون دليل، يجب على العميل إما أن يثق على نطاق واسع أو يقطع على نطاق واسع. كلا الخيارين يحمل تكلفة.

وبالتالي، سؤال المساءلة هو السيطرة العملية. سيطرت Cognizant على معظم أدلة جانب المزود. وسيطر العملاء على قرارات الوصول الخاصة بهم. كلما كان تبادل الأدلة أفضل، كانت صدمة الاستمرارية أصغر.

الاحتواء تحت ضغط برمجيات الفدية

احتواء برمجيات الفدية يختلف عن التنظيف العادي لأن الخصم قد يظل نشطًا، وقد تكون الأنظمة مشفرة أو معزولة، وقد تكون أنظمة التعافي مستهدفة. تصف تقنيتا MITRE "تشفير البيانات للتأثير" و"منع استعادة النظام" أهداف المهاجمين الشائعة بعبارات عامة: جعل البيانات أو الأنظمة غير متاحة وجعل الاستعادة أصعب. يركز توجيه CISA لبرمجيات الفدية بالمثل على التحضير والاحتواء والنسخ الاحتياطي والتواصل والتعافي. في حالة المزود، تحدث هذه المهام بينما يسأل العملاء عما إذا كان بإمكانهم الاستمرار في الاعتماد على المزود.

استخدمت تصريحات Cognizant العلنية لغة الاحتواء مبكرًا. قال بيان نتائج الربع الأول إن الشركة تعتقد أنها احتوت الهجوم وأن الفاعل لم يعد يعمل في بيئتها. استخدمت إيداعاتها لغة أكثر حذرًا حول التحقيق المستمر والاستعادة. لاحقًا، قالت لغة الإيداع السنوي إنه بناءً على خطوات المعالجة والمراقبة، تعتقد الشركة أنها احتوت الهجوم وأزالت بقايا نشاط المهاجم من بيئتها. التغيير في اللغة مهم. الاحتواء المبكر هو تقييم عملي. لغة الإزالة اللاحقة، المدعومة بمراقبة إضافية، هي ادعاء أقوى.

بالنسبة للعملاء، يجب أن تترجم ادعاءات الاحتواء إلى قرارات. إذا قالت Cognizant إن المهاجم لم يعد يعمل في البيئة، فما الدليل الذي يدعم استعادة وصول المزود؟ هل تم تعطيل الحسابات المتأثرة؟ هل تمت مراجعة مسارات الوصول عن بُعد؟ هل أعيد بناء نقاط النهاية؟ هل تم تدوير بيانات الاعتماد المميزة؟ هل تم التحقق من الأنظمة التي تدعم تقديم خدمات العملاء قبل إعادة توصيلها؟ هل تم فصل الأدوات التي تواجه العملاء عن الأنظمة المتأثرة؟ السجل العام لا يجيب على كل سؤال، لكنه يظهر لماذا كانت تلك الأسئلة تنتمي إلى مكالمات العملاء ومشاركة المعلومات الدفاعية.

تخلق برمجيات الفدية أيضًا ضغطًا لاستعادة الأمور بسرعة. كل ساعة من التعطل يمكن أن تقلل الإيرادات، وتخرق توقعات الخدمة، وتقطع عمليات العملاء، وتخلق ارتباكًا لدى الموظفين. لكن السرعة يمكن أن تتعارض مع التأكيد. يمكن لإعادة الاتصال المتسرعة أن تستعيد الخدمة مع الحفاظ على موطئ قدم المهاجمين أو الأنظمة المتضررة. يمكن للاستعادة البطيئة أن تحمي السلامة مع إطالة تعطيل العميل. المساءلة هي انضباط جعل هذه المقايضة واضحة. أي الخدمات تمت استعادتها أولاً؟ أي الضوابط كان يجب إثباتها قبل إعادة الاتصال؟ أي العملاء قبلوا المخاطر المتبقية؟ أي العملاء علّقوا الوصول حتى وصول أدلة إضافية؟

يقدم السجل العام مخططًا بدلاً من دليل تشغيل كامل. هذا طبيعي. درس المساءلة هو أن المزود يجب أن يكون قادرًا على إعادة بناء دليل التشغيل للعملاء والمراجعين وشركات التأمين ومجالس الإدارة بعد الحقيقة.

التواصل مع العملاء كان جزءًا من نظام التحكم

قال التحديث الأول لشركة Cognizant إنها على تواصل مستمر مع العملاء وقدمت مؤشرات ومعلومات دفاعية تقنية. هذا ليس مجرد لغة علاقات عامة. في حادثة مزود، التواصل هو جزء من نظام التحكم. لا يمكن للعملاء البحث عن نشاط ذي صلة إذا لم يمنحهم المزود المؤشرات والنوافذ الزمنية ومسارات الوصول المتأثرة والإجراءات الموصى بها. لا يمكنهم أن يقرروا ما إذا كانوا سيعلقون الوصول إذا لم يشرح المزود ما هو معروف وغير معروف.

المؤشرات مفيدة، لكنها ليست إشعارًا كاملاً. يحتاج العميل إلى سياق: ما إذا كان المؤشر مرتبطًا بالوصول الأولي، أو الحركة الجانبية، أو التشفير، أو البنية التحتية للقيادة والتحكم، أو استخدام بيانات الاعتماد، أو نشاط ما بعد الاختراق. يحتاج إلى الفترة الزمنية. يحتاج إلى معرفة ما إذا كان المؤشر قد لوحظ في أنظمة المزود فقط أم أنه ذو صلة ببيئات العملاء. يحتاج إلى نقطة اتصال للمتابعة. قائمة خام يمكن أن تساعد فريق الأمن، لكن صانع القرار يحتاج أيضًا إلى سرد للمساءلة.

ذكرت التقارير التجارية أن Cognizant عقدت مكالمات مع العملاء وكان لديها العديد من المحادثات الفردية مع العملاء. هذا يتسق مع حجم الحدث وجديته. لا يمكن لمزود لديه عملاء عالميون الاعتماد على بيان عام واحد. سيكون لدى العملاء المختلفين خدمات ونماذج وصول والتزامات تعاقدية وواجبات تنظيمية وتحمل للمخاطر مختلف. قد يحتاج عميل في الرعاية الصحية وعميل في الخدمات المالية وعميل في التجزئة وعميل صغير في العمليات التجارية إلى حزم أدلة مختلفة.

كان على التواصل أيضًا أن يعمل أثناء التعطيل التشغيلي. يمكن لبرمجيات الفدية أن تؤثر على البريد الإلكتروني، والأدلة، وأدوات التعاون، وأنظمة التذاكر، وقنوات الدعم. وصفت التقارير حول الحادثة صعوبات في التواصل في بعض القنوات. سواء كانت كل تفاصيل هذه التقارير مرئية من الإيداعات العامة أم لا، فإن الدرس العام واضح: يجب ألا تعتمد خطة تواصل المزود أثناء الحادثة كليًا على الأنظمة التي قد تكون معطلة أثناء الحادثة. يمكن لقوائم اتصال العملاء البديلة، والقنوات الموثقة خارج النطاق، وجسور المدراء التنفيذيين، وجهات الاتصال الأمنية المرتبة مسبقًا أن تقلل من الارتباك.

معيار المساءلة ليس المعرفة الكاملة في اليوم الأول. إنه الصدق على مراحل: ما هو مؤكد، وما الذي يجري التحقيق فيه، وما الذي يجب على العملاء فعله الآن، وما الذي يجب ألا يفترضوه، ومتى سيصل التحديث التالي. انضباط التواصل هذا هو ضابط أمني.

الإفصاح المالي جعل المرونة قابلة للقياس

الإفصاح المالي للشركة العامة ليس تحليلاً تقنيًا بعد الوفاة، لكنه يمكن أن يجعل المرونة قابلة للقياس بطرق لا تفعلها السرديات الأمنية. وصفت إيداعات Cognizant تعطيل الأعمال، والأثر المتوقع على الربع الثاني، والإيرادات المفقودة، وتكاليف الاحتواء والمعالجة، والرسوم القانونية والمهنية، واستثمارات الأمن، وعدم اليقين التأميني، والدعاية السلبية، والضرر السمعة، وفقدان الثقة مع العملاء، والإجراءات التنظيمية، والتقاضي، والنزاعات مع شركات التأمين. هذه اللغة واسعة لأن الإيداعات تغطي المخاطر. وهي مفيدة أيضًا لأنها تظهر كيف يتحرك حدث برمجيات الفدية عبر أعمال الخدمات.

البعد المالي مهم للمساءلة لثلاثة أسباب. أولاً، إنه يجبر الإدارة على ربط الاستجابة التقنية بعمليات الأعمال. يمكن للمزود أن يقول إن حادثة ما تم احتواؤها، لكن تأثير الإيرادات، وتعطيل خدمات العملاء، وتكلفة المعالجة تظهر ما إذا كان الاحتواء قد ترجم إلى تعافٍ تجاري. ثانيًا، إنه يساعد العملاء والمستثمرين على فهم المدة. يمكن لعنوان رئيسي ليوم واحد أن ينتج تكاليف لربع سنة أو سنة. ثالثًا، إنه يكشف عن التكاليف غير المؤكدة: قد لا يغطي التأمين كل شيء، وقد تظهر مطالبات قانونية، وقد تستمر استثمارات الأمن لفترة طويلة بعد استئناف الخدمة.

يجب قراءة مناقشة الأثر العلني بين 50 و70 مليون دولار على الربع الثاني بحذر. وصفت الأثر المتوقع لبرمجيات الفدية على الإيرادات والهامش المقابل، وليس تكلفة إجمالية مدى الحياة لكل عواقب. أشار إيداع الربع الثاني لاحقًا إلى التكاليف المتكبدة المتعلقة بالهجوم واستمرار تكاليف إضافية كبيرة للمعالجة وتعزيز الأمن. وضع الإيداع السنوي الحادثة ضمن قوى متعددة تؤثر على نتائج 2020، بما في ذلك الجائحة والتخارجات التجارية. ينبغي للقارئ الدقيق ألا يدمج هذه الفئات بشكل عرضي.

ومع ذلك، يؤكد السجل المالي أن هذا كان عمل إدارة مادي، وليس حدث نظام بسيط. لقد أثر على تقديم الخدمات، والإيرادات، والتكاليف، وإفصاحات المخاطر. بالنسبة للعملاء، هذا مهم لأن حادثة مزود مادية ماليًا قد تؤثر على التوظيف، وأداء مستوى الخدمة، وأولويات الاستثمار، والثقة في العقد. بالنسبة لشركات التأمين، إنه مهم لأن حدود التغطية ونفقات المعالجة ومطالبات انقطاع الأعمال تصبح أرضًا متنازعًا عليها.

الإفصاح المالي لا يجيب عن أي من أنظمة العملاء تعرضت. إنه يظهر أن تعافي المزود واستمرارية العميل كانا مرتبطين اقتصاديًا.

تعرض البيانات وحدود اليقين العام

بشكل متزايد في عام 2020، تضمنت برمجيات الفدية سرقة البيانات بالإضافة إلى التشفير. وارتبطت مجموعة Maze بشكل خاص بتكتيكات الضغط التي تشمل ادعاءات ببيانات مسروقة. في حالة Cognizant، يتضمن السجل العام لغة إيداع Cognizant بأن الهجوم أدى إلى وصول غير مصرح به لبعض البيانات. ذكرت SecurityWeek لاحقًا أن Cognizant أبلغت العملاء عن سرقة معلومات شخصية ومالية. تستخدم المقالة هذه السجلات للاعتراف ببعد تعرض البيانات. وهي لا تدعي أن السجل العام يكشف عن كل مجموعة بيانات أو شخص أو عميل متأثر.

هذا التمييز مهم لأن حوادث المزود يمكن أن تشوش فئات البيانات. قد يحتفظ المزود ببيانات موظفيه، وبيانات الشركة، ومواد مشاريع العملاء، وبيانات الاعتماد، وسجلات الخدمة، ومعلومات التذاكر، أو البيانات المعالجة للعملاء. كل فئة تخلق واجبات مختلفة. قد تتطلب بيانات الموظفين إشعارًا للموظفين ومعالجة تنظيمية. قد تتطلب بيانات العملاء إشعارًا تعاقديًا وإجراءات متابعة يقودها العميل. قد تكشف وثائق المشروع عن بنية أو مسارات وصول دون أن تكون بيانات شخصية. بيانات الاعتماد أو الأسرار تتطلب تدويرًا فوريًا. نادرًا ما تفصل الإيداعات العامة كل هذا.

وبالتالي، احتاج العملاء إلى أدلة مخصصة. هل شملت البيانات المتأثرة بياناتهم؟ هل شملت بيانات اعتماد Cognizant التي لمست بيئتهم؟ هل شملت وثائق المشروع أو تذاكر الدعم؟ هل شملت بيانات شخصية أو مالية لموظفيهم أو عملائهم؟ هل شملت معلومات Cognizant الدفاعية مؤشرات ذات صلة بوصول محتمل للبيانات؟ هذه ليست أسئلة أكاديمية. إنها تحدد ما إذا كان العميل يفتح حادثته الخاصة، أو يبلغ المنظمين، أو يدير المفاتيح، أو يراجع الوصول، أو يسعى إلى حلول تعاقدية.

لا ينبغي ملء حالة عدم اليقين العامة إما بالتهويل أو بالطمأنة. التهويل سيفترض أن جميع العملاء تعرضوا بنفس الطريقة. الطمأنة ستعالج نقص التفاصيل العامة كنقص في المخاطر. الموقف المسؤول هو أن Cognizant سيطرت على الكثير من أدلة جانب المزود واحتاج العملاء إلى إجابات خاصة بالعميل. حقيقة أن بعض التفاصيل بقيت خاصة أمر مفهوم في استجابة حية لبرمجيات الفدية؛ وهذا يعني أيضًا أن المساءلة الخارجية يجب أن تركز على واجبات الأدلة بدلاً من التفاصيل المختلقة.

يكون التزام المزود أقوى حيث لا يستطيع العملاء رؤية الحقائق ذات الصلة بشكل مستقل. يمكن للعميل مراجعة سجلاته الخاصة. لا يمكنه فحص نقاط نهاية Cognizant، ومشاركات الملفات، وأنظمة الهوية، وصور الطب الشرعي، وخطوات الاستعادة ما لم تشارك Cognizant الأدلة. هذا الخلل هو جوهر مسألة تعرض البيانات.

أتمتة الأمن وأولويات الاستعادة

تظهر أتمتة الأمن في هذا السجل كمساعدة ومخاطرة في آنٍ واحد. يعتمد مزودو خدمات تكنولوجيا المعلومات الكبار على أنظمة الهوية الآلية، واكتشاف نقاط النهاية، وتوزيع البرمجيات، والإدارة عن بُعد، والتذاكر، والمراقبة، وتنسيق الخدمات، وعمليات النسخ الاحتياطي، وأنظمة تقارير العملاء. أثناء الاستجابة لبرمجيات الفدية، يمكن للأتمتة عزل نقاط النهاية، وتوزيع المؤشرات، وإلغاء بيانات الاعتماد، وإعادة بناء الأنظمة، واستعادة التكوينات الجيدة المعروفة. كما يمكنها أيضًا نشر حالة سيئة، أو الفشل لأن التبعيات معطلة، أو خلق نقاط عمياء إذا عطل المهاجم المراقبة.

السجل العام لا يحدد كل أداة من أدوات Cognizant المستخدمة. ولا يحتاج لذلك لسؤال المساءلة. المسألة هي ما إذا أنتجت الأتمتة أدلة احتواء واستعادة قابلة للتحقق. هل استطاعت Cognizant تحديد نقاط النهاية المتأثرة؟ الحسابات المستخدمة؟ الأنظمة التي تم إيقاف تشغيلها كإجراء احترازي؟ الأدوات التي تواجه العملاء التي كانت آمنة للاستعادة؟ النسخ الاحتياطية النظيفة؟ المراقبة التي أظهرت أن المهاجم لم يعد نشطًا؟ الأنظمة التي تطلبت ضوابط جديدة قبل إعادة الاتصال؟

تؤثر الأتمتة أيضًا على أولوية الاستعادة. لا يمكن للمزود استعادة كل شيء دفعة واحدة بأمان. يجب عليه اختيار الخدمات والمناطق والعملاء ووظائف الدعم التي تعود أولاً. يجب أن تستند هذه الاختيارات إلى الأهمية، وتأثير العميل، وثقة الاحتواء، وترتيب التبعية، وجودة الأدلة. قد تكون الخدمة التي تدعم العديد من العملاء ذات أولوية عالية، ولكن إذا تعذر التحقق منها، فإن استعادتها مبكرًا جدًا قد تخلق مخاطر أكبر. قد تكون عملية عميل أصغر عاجلة تشغيليًا إذا كانت تدعم الرعاية الصحية، أو المدفوعات، أو اللوجستيات، أو الخدمات العامة. أولوية التعافي هي قرار مساءلة، وليس مجرد قائمة انتظار تقنية.

يحتاج العملاء إلى رؤية لهذا المنطق. لا يحتاجون إلى كل تفاصيل النظام، لكنهم بحاجة إلى معرفة ما إذا كانت خدمتهم متأخرة بسبب الاحتواء التقني، أو تعليق الوصول، أو نقص الموارد، أو الفرز التجاري. يحتاجون إلى نوافذ استعادة متوقعة وحلول بديلة مؤقتة. في النموذج الخارجي، يمكن لخيارات الأتمتة والاستعادة للمزود أن تقرر ما إذا كان العميل يستطيع الاستمرار في العمل.

لهذا السبب يناسب موضوع أتمتة الأمن الظاهر هذه الحالة. الأتمتة ليست درعًا سحريًا. إنها خاضعة للمساءلة عندما يمكنها إنتاج أدلة، والحفاظ على الحدود، ودعم التعافي المنضبط تحت الضغط.

الاعتماد على السحابة دون اختراق منصة سحابية بحتة

لم تكن حادثة Cognizant انقطاعًا للوحة تحكم سحابية عامة، لكن الاعتماد على السحابة لا يزال ينتمي إلى الإطار. يعمل مزودو خدمات تكنولوجيا المعلومات من خلال التعاون المستضاف، والهوية، والتذاكر، والوصول عن بُعد، وبوابات العملاء، ومراقبة الأمن، وأنظمة عمليات الأعمال المقدمة عبر السحابة. غالبًا ما يستهلك العملاء المزود كخدمة، حتى عندما يمتد العمل الأساسي عبر الأشخاص والتطبيقات والشبكات والعمليات الخاصة بالعميل. وبالتالي، يمكن لضربة برمجيات الفدية على بيئة المزود أن تعطل العمل بوساطة السحابة حتى لو لم يتعطل أي مزود سحابي عام.

أشارت إيداعات Cognizant إلى الاعتماد على الأنظمة والشبكات المتأثرة لأداء العمل للعملاء وعلى الأنظمة الداعمة للعمل من المنزل. في أبريل 2020، لم يكن سياق العمل من المنزل عرضيًا. كانت جائحة كوفيد-19 قد غيرت بالفعل افتراضات التسليم عبر الخدمات العالمية. كان على تعافي المزود أن يحدث بينما كان الموظفون والعملاء يتكيفون مع العمليات عن بُعد. هذا جعل الهوية وإدارة الأجهزة والتعاون والدعم عن بُعد أكثر مركزية.

يغير الاعتماد على السحابة أيضًا توقعات الأدلة. قد يرى العميل حساب مزود في مستأجره أو شبكته، لكنه قد لا يرى حالة نقطة نهاية المزود، أو سجلات الهوية، أو تذاكر الدعم، أو تنبيهات المراقبة. قد يدير المزود العمل الذي يواجه العميل من خلال أدوات SaaS التي تختلف سجلاتها وقواعد الاحتفاظ بها وضوابط الوصول عن الأنظمة التقليدية داخل المباني. إذا تأثرت هذه الأدوات، يحتاج العملاء إلى أوصاف واضحة لما تعطل، وما تم اختراقه، وما تمت استعادته.

هذا لا يعني أن كل نظام سحابي للعملاء تأثر. السجل العام لا يدعم هذا الادعاء. إنه يعني أن اعتماد المزود لم يعد مقتصرًا على مركز بيانات أو شبكة مكتب. إنه ينتقل عبر الهوية، والتعاون، والخدمات المدارة، والأدوات القائمة على السحابة. وبالتالي، يمكن لحدث برمجيات الفدية لمزود أن يجبر العملاء على مراجعة الوصول إلى السحابة، وحسابات الخدمة، وأدوات الدعم عن بُعد، واستمرارية العمليات الخارجية.

بالنسبة للعملاء الصغار والمتوسطين، يمكن أن يكون الاعتماد حادًا. قد يستعينون بمصادر خارجية للبنية التحتية، أو الدعم، أو العمليات التجارية، أو صيانة التطبيقات لأنهم يفتقرون إلى التوظيف الداخلي العميق. عندما يتعطل المزود، يجب عليهم فجأة أداء أعمال مخاطر البائعين والاستجابة للحوادث بموارد محدودة. هذا هو بعد استمرارية خدمات المؤسسات الصغيرة والمتوسطة في حالة Cognizant.

قرار العميل بتعليق الوصول

أحد التفاصيل الأكثر كشفًا في إيداع Cognizant هو أن بعض العملاء علّقوا وصول Cognizant إلى شبكاتهم كإجراء احترازي أمني. هذه الحقيقة الوحيدة تظهر كيف تخلق حوادث المزود مشكلة استمرارية ذات جانبين. قد يكون العميل محقًا في تعليق الوصول لأنه لا يمكنه التأكد بعد من أن المزود آمن. قد يكون المزود بعد ذلك غير قادر على تقديم الخدمات التي تتطلب الوصول إلى شبكة العميل. الإجراء الذي يحمي العميل يمكن أيضًا أن يقطع العميل.

القرار الصحيح يعتمد على الأدلة وأهمية الخدمة. إذا اشتبه في أن حساب مزود مخترق، قد يكون التعليق ضروريًا. إذا استطاع المزود إظهار أن مسار الوصول المعني لم يتأثر وأن المراقبة قائمة، قد يكون الوصول المستمر مع ضوابط إضافية معقولاً. إذا كانت الخدمة حيوية للمهمة، قد يختار العميل نموذج وصول مقيد بدلاً من التعليق الكامل. إذا كانت الخدمة غير حيوية، قد ينتظر العميل أدلة أقوى. لا توجد إجابة واحدة لكل عميل.

سيكون فشل المساءلة هو ترك العملاء مع خيار ثنائي فقط: ثق بكل شيء أو اقطع كل شيء. يجب أن يدعم وصول المزود الناضج ضوابط متدرجة. يجب أن يكون العميل قادرًا على تقييد العمليات المميزة، أو طلب موافقة على الجلسات، أو قصر الوصول على أنظمة محددة، أو زيادة التسجيل، أو تدوير بيانات الاعتماد، أو تعطيل الحسابات المشتركة، أو التحول إلى الدعم للقراءة فقط. يجب أن يكون المزود قادرًا على العمل بموجب هذه القيود حيثما أمكن. يجب أن تتوقع العقود والبنية هذه الحالة قبل وقوع حادثة.

سجل Cognizant العام لا يظهر كل قرار عميل. إنه يظهر أن بعض العملاء مارسوا السيطرة الاحترازية. هذا مهم لأنه يتعارض مع فكرة أن استجابة المزود هي شأن المزود فقط. العملاء هم مالكو مخاطر نشطون. يمكنهم ويجب عليهم أن يقرروا ما إذا كان وصول المورد لا يزال مقبولاً. لكنهم يحتاجون إلى أدلة المزود لاتخاذ القرار بكفاءة.

تفاصيل التعليق تؤثر أيضًا على التفسير المالي. قد تأتي الإيرادات المفقودة أو تعطيل الخدمات من ضرر تقني مباشر، أو من إغلاقات احترازية من المزود، أو من تعليق العميل للوصول. هذه آليات مختلفة. تفصل مراجعة المساءلة الجيدة بينها لأن كل منها يتطلب ضابطًا مستقبليًا مختلفًا.

استمرارية الأعمال ليست مثل استعادة النسخ الاحتياطي

غالبًا ما تركز استعادة برمجيات الفدية على النسخ الاحتياطية، لكن استمرارية الأعمال أوسع. يمكن للمزود استعادة الملفات ويظل يفشل في استعادة ثقة العملاء، والتوظيف، والتواصل، وأداء مستوى الخدمة، والوصول الآمن، وتبادل الأدلة. حدثت حادثة Cognizant أثناء اضطراب الجائحة، مما جعل الاستمرارية أكثر تعقيدًا. كان الموظفون ينتقلون إلى العمل عن بُعد، وكان العملاء يواجهون ضغوطًا تشغيلية خاصة بهم، وكان الطلب على الخدمات الرقمية يتغير. لم يحدث حدث برمجيات الفدية في مختبر نظيف.

تشمل استمرارية الأعمال لمزود خدمات تكنولوجيا المعلومات القدرة على التسليم، والوصول عن بُعد، وتصعيد الدعم، والتواصل مع العميل، وإدارة الفواتير والعقود، وتعاون الموظفين، وتوافر نقاط النهاية الآمنة، والقدرة على إثبات أي الأنظمة آمنة. كما تشمل تحديد الأولويات بين العملاء والخدمات. قد يكون المزود قادرًا على استعادة العمليات عالية المستوى بينما تبقى بعض الخدمات الخاصة بالعملاء متدهورة. البيان العام بأن العمليات تتحسن لا يعني بالضرورة أن كل عملية عميل قد تعافت.

تجعل الإيداعات هذا مرئيًا من خلال الإيرادات والتكاليف ووصول العملاء ولغة تعطيل الخدمات. عطل الهجوم قدرة Cognizant على تقديم الخدمات لبعض العملاء وخلق تكاليف للتحقيق والاحتواء والمعالجة وتحسينات الأمن. ناقشت النتائج اللاحقة التعافي وظروف الأعمال المستمرة. هذا هو الشكل الحقيقي لبرمجيات الفدية في شركة خدمات: الاستعادة هي عملية تجارية ذات متطلبات تقنية مسبقة.

يجب على العملاء قياس استمرارية المزود بنتائج الخدمة، وليس فقط حالة المزود. هل يستطيع المزود أداء العمل المتعاقد عليه؟ هل يستطيع القيام بذلك بأمان؟ هل يستطيع التواصل عبر قنوات موثوقة؟ هل يستطيع إثبات أن وصول المزود نظيف؟ هل يستطيع تلبية مستويات الخدمة أو تقديم حلول بديلة مؤقتة؟ هل يستطيع إخبار العميل بالمخاطر المتبقية؟ هذه الأسئلة أكثر فائدة من سؤال ما إذا كانت شبكة المزود تعمل ببساطة.

يجب على المزودين بالمثل اختبار الاستمرارية في ظل ظروف خصومة. قد يفترض تمرين التعافي من الكوارث العادي أن الأنظمة تفشل لكن الهويات تبقى جديرة بالثقة. يجب أن يفترض تمرين برمجيات الفدية أن الهويات ونقاط النهاية والنسخ الاحتياطية والمراقبة قد تكون مشبوهة. كما يجب أن يفترض أن العملاء قد يعلقون الوصول حتى يتلقوا أدلة. هذا اختبار أصعب وأفضل.

التأمين والتقاضي وتكاليف الثقة

وصفت إيداعات Cognizant عواقب محتملة تشمل الدعاية السلبية، والضرر السمعة، وفقدان الثقة مع العملاء، والإنفاذ التنظيمي، والتقاضي، والتسويات، والنزاعات مع شركات التأمين. هذه ليست لغة نمطية في سياق حادثة برمجيات فدية كبيرة. إنها تصف السوق الثانوية للمساءلة التي تتبع التعافي. بعد استعادة الأنظمة، لا تزال الأطراف تتجادل حول توزيع التكلفة، وواجبات العقد، وكفاية الأدلة، وتوقيت الإشعار، وما إذا كانت الخسائر مغطاة.

التأمين مهم لأن تكاليف برمجيات الفدية لا تقع في دلو واحد بدقة. يمكن أن يكون هناك نفقات الطب الشرعي، والرسوم القانونية، وتكاليف الإخطار، والقضايا المتعلقة بالفدية، واستعادة النظام، وانقطاع الأعمال، ومطالبات العملاء، والتكاليف التنظيمية، وتحسينات الأمن. قد تعتمد التغطية على لغة البوليصة، والاستثناءات، والتوقيت، والتعاون، وما إذا كانت الخسائر مصنفة كمباشرة أو عرضية. يمكن لمزود يخدم العديد من العملاء أن يواجه مطالبات معقدة لأن تعطيل العميل قد يكون في اتجاه مجرى اختراق المزود.

مخاطر التقاضي مهمة لأسباب مماثلة. قد يسأل العملاء عما إذا كان المزود قد أوفى بالتزامات العقد، وما إذا كانت ضوابط الأمن معقولة، وما إذا كان الإشعار في الوقت المناسب، وما إذا كانت أرصدة مستوى الخدمة تنطبق، أو ما إذا كان سلوك المزود تسبب في خسائر للعميل. لم تسلم إيداعات Cognizant بكل مطالبة من هذا القبيل؛ الإيداعات تحدد المخاطر. نقطة المساءلة هي أن أدلة التعافي يجب أن تُبنى مع وضع التدقيق المستقبلي في الاعتبار. يجب توثيق القرارات والجداول الزمنية والإشعارات والموافقات على الاستعادة لأنها قد تحدد لاحقًا المسؤولية والثقة.

يصعب تسعير الثقة المفقودة لكنها محورية في الحالة. قد يستمر العميل في العقد بعد حدث برمجيات الفدية إذا تواصل المزود جيدًا وأثبت السيطرة. قد يغادر عميل آخر حتى لو كان الضرر التقني المباشر محدودًا، لأن أدلة المزود لم ترضِ لجنة المخاطر لدى العميل. الثقة ليست عاطفية هنا. إنها ثقة العميل في أن الوصول الخارجي يظل قابلاً للحكم.

وبالتالي، يعزز السجل المالي العام السجل التشغيلي. لا يكتمل التعافي من برمجيات الفدية عندما تشتغل الأنظمة. إنه يكتمل فقط عندما تستقر الخدمات والأدلة وثقة العملاء وتوزيع التكلفة.

ما كان ليُظهره دليل أقوى للعملاء

لن يتطلب سجل عام أقوى كشف أسماء عملاء حساسة أو تفاصيل جنائية. إنه سيُظهر شكل أدلة العملاء على مستوى التجريد المناسب. على سبيل المثال: فئات الأنظمة المتأثرة، وما إذا كانت أنظمة تقديم الخدمات التي تواجه العملاء مشمولة، وكم عدد العملاء الذين تعرضوا لتعطيل الخدمات، وكم عدد الذين علّقوا الوصول، وما فئات البيانات التي تم الوصول إليها، وما المؤشرات التي تمت مشاركتها، وما النوافذ الزمنية التي طُلب من العملاء مراجعتها، وأي معالم استعادة كان يجب أن تحدث قبل استعادة وصول العميل.

بالنسبة للعملاء الأفراد، يجب أن تكون حزمة الأدلة أكثر تحديدًا. يجب أن تحدد حسابات Cognizant ذات الصلة، والخدمات، ونقاط النهاية، والتذاكر، والأدوات، ونوافذ الوصول. يجب أن تقول ما إذا كانت بيانات العميل أو بيئته ضمن النطاق، وما السجلات التي راجعتها Cognizant، وأي المؤشرات تنطبق، وما إذا تم تدوير بيانات الاعتماد، وما إذا تم الحفاظ على جلسات المزود، وما الإجراءات التي يجب على العميل اتخاذها. يجب أن تقول أيضًا ما يبقى غير معروف. يمكن للعميل إدارة عدم اليقين إذا تم تصنيفه.

يجب أن يكون المزود أيضًا قادرًا على تقديم أدلة على التجزئة. إذا تأثر فريق تسليم أو نظام واحد، ما الذي منع هذا التأثير من الانتشار إلى عملاء غير مرتبطين؟ هل كانت الحسابات فريدة لكل عميل؟ هل تم تسجيل الجلسات عن بُعد؟ هل تم فصل بيئات العملاء بضوابط الهوية والشبكة؟ هل تم تحصين الأدوات المشتركة قبل إعادة الاتصال؟ هل تم اختبار النسخ الاحتياطية للتأكد من سلامتها؟ هل تمت مراجعة الحسابات المميزة عبر النطاق بأكمله؟ هذه الأسئلة قياسية لمساءلة المزود.

بالنسبة للمستثمرين وشركات التأمين، فإن الأدلة الأقوى ستربط معالم الاستجابة بالتكلفة. أي النفقات تم تكبدها للاحتواء الطارئ؟ أيها كان للمعالجة وتعزيز الأمن؟ أي خسائر الإيرادات جاءت من تعطيل الخدمة المباشر، أو تعليق وصول العميل، أو ظروف السوق الأوسع؟ أعطت إيداعات Cognizant فئات عامة ذات معنى، لكن القراء الخارجيين لا يزالون غير قادرين على توزيع كل دولار أو تأثير عميل.

غياب التفاصيل العامة الكاملة ليس غير عادي. لكنه يجب أن يشكل الاستنتاج. تدعم الحالة نتيجة مساءلة عالية اليقين حول واجبات أدلة جانب المزود ومخاطر استمرارية العميل. وهي لا تدعم الادعاءات بأن كل عميل تأثر بنفس الطريقة أو أن كل سؤال جنائي خاص له إجابة عامة.

أسئلة الحوكمة للعملاء والمزودين

يجب على العملاء طرح أسئلة خاصة بالمزود قبل حدث برمجيات الفدية التالي. ما هو وصول المزود؟ هل حسابات المزود فريدة، وبأقل امتياز، ومراقبة؟ هل يمكن للعميل تعليق الوصول دون فقدان كل خدمة؟ هل هناك أنماط وصول طارئة مقيدة؟ هل يحدد العقد محفزات الإشعار، ومشاركة المؤشرات، والتعاون الجنائي، وحلول الخدمة البديلة، وتصعيد المديرين التنفيذيين، والاحتفاظ بالأدلة؟ هل يعرف العميل أي العمليات التجارية تعتمد على المزود وكم من الوقت يمكنه تحمل الانقطاع؟

يجب على المزودين طرح الأسئلة المعكوسة. هل يمكنهم رسم كل مسار وصول يواجه العميل بسرعة؟ هل يمكنهم تعطيل الحسابات المتأثرة دون تعطيل كل التسليم؟ هل يمكنهم التواصل مع العملاء إذا تعطلت أنظمة التعاون؟ هل يمكنهم إنتاج أدلة خاصة بالعميل من السجلات؟ هل يمكنهم إثبات احتواء نقطة النهاية وتدوير بيانات الاعتماد؟ هل يمكنهم استعادة الخدمات بترتيب آمن؟ هل يمكنهم شرح المخاطر المتبقية دون إفراط في الوعود؟ هل يمكنهم التمييز بين تعرض البيانات وتعطيل الخدمة وتعليق الوصول الاحترازي؟

يجب ألا تعالج مجالس الإدارة هذا كمسألة تخص فريق الأمن فقط. يحتاج مجلس إدارة المزود إلى فهم كيف يمكن لبرمجيات الفدية أن تؤثر على الإيرادات والهوامش وثقة العملاء والتأمين والتقاضي والموقع الاستراتيجي. يحتاج مجلس إدارة العميل إلى فهم كيف يمكن لاختراق المورد أن يقطع العمليات الحرجة حتى عندما لا يتم تشفير أنظمة العميل الخاصة مباشرة. يحتاج كلا المجلسين إلى مقاييس استمرارية تشمل وصول المورد وتبادل الأدلة.

يجب أن تكون أتمتة الأمن جزءًا من الحوكمة، ولكن فقط إذا كانت خاضعة للتدقيق. لوحة التحكم التي تقول إن نقاط النهاية نظيفة أقل فائدة من سلسلة أدلة تظهر نقاط النهاية التي تم عزلها وإعادة بنائها وفحصها واستعادتها. أداة الإدارة عن بُعد أقل فائدة إذا لم يستطع العملاء رؤية جلسات المزود أو التحكم فيها. نظام النسخ الاحتياطي أقل فائدة إذا كان المهاجم يستطيع الوصول إليه أو إذا كان ترتيب الاستعادة غير واضح. تكسب الأتمتة الثقة من خلال مخرجات قابلة للتحقق.

أخيرًا، يجب أن تعترف الحوكمة بالتعقيد الإقليمي وعبر الحدود. تتبع منطقة النظرة العامة لهذه المقالة كيان الدليل، لكن أعمال Cognizant وعملائها كانت عالمية. غالبًا ما تعبر خدمات تكنولوجيا المعلومات الخارجية الولايات القضائية وأنظمة حماية البيانات وقطاعات العملاء. هذا يجعل العقود الواضحة وواجبات الإشعار والأدلة الخاصة بالعميل أكثر ضرورة.

نتيجة المساءلة

جعلت حادثة Maze لدى Cognizant من التعافي من برمجيات الفدية اختبارًا لمساءلة خدمات تكنولوجيا المعلومات لأن الهجوم لم يبق مشكلة مزود فقط. يظهر السجل العام تعطيل الخدمات لبعض العملاء، وتواصل العملاء، والمؤشرات والمعلومات الدفاعية، والوصول غير المصرح به لبعض البيانات، وتعليق وصول العملاء في بعض الحالات، وأعمال الاستعادة، وتكاليف المعالجة، والإفصاح المالي العام. هذه الحقائق كافية لإظهار حدث استمرارية بين المزود والعميل.

تتبع خريطة المساءلة السيطرة العملية. سيطرت Cognizant على أنظمة المزود، والاحتواء، والمعالجة، والأدلة الجنائية، والتواصل مع العملاء، والإفصاح العام. وسيطر العملاء على قرارات الوصول الخاصة بهم، والمراقبة، وخطط الاستمرارية، والاستجابة للمؤشرات. وقام المستثمرون وشركات التأمين بتقييم التكلفة والمخاطر المتبقية من خلال الإيداعات والاتصالات. لم يكن لدى أي طرف كل الحقائق من خارج بيئة الآخرين.

الدرس الأكثر فائدة ليس أنه ينبغي على العملاء تجنب المزودين أو أن بإمكان المزودين القضاء على مخاطر برمجيات الفدية. بل هو أن وصول المزود يجب أن يُصمم لثقة متدهورة. يجب أن يكون العميل قادرًا على تقييد ومراقبة واستعادة وصول المزود دون فقدان رؤية العمليات الحرجة. يجب أن يكون المزود قادرًا على إنتاج أدلة تسمح للعملاء باتخاذ تلك القرارات دون ذعر. يجب أن يكون كلا الجانبين قد مارس التبادل قبل الحادثة.

توفر مواد Cognizant العامة إفصاحًا ذا معنى عن وجود الحادثة، وتأثير الخدمة، ووضع الاحتواء، والتكاليف، والمخاطر المستمرة. تضيف التقارير سياقًا حول تواصل العملاء، والأثر المالي المتوقع، ومخاوف تعرض البيانات. لا يزال السجل يترك التفاصيل الخاصة خاصة. هذا مقبول فقط إذا تلقى العملاء أدلة خاصة بالعميل حيث احتاجوا إليها. لا يمكن للمساءلة العامة التحقق من كل إشعار خاص، لكنها يمكن أن تحدد المعيار: حدث برمجيات الفدية لمزود لا ينتهي حتى يتمكن العملاء من إثبات ما تغير، وما لم يتغير، وأي الضوابط تدعم الآن الثقة المستعادة.