ملخص
- كشفت ICRC أن هجومًا سيبرانيًا اخترق البيانات الشخصية والمعلومات السرية لأكثر من 515,000 شخص شديد الضعف، بما في ذلك الأشخاص المنفصلون عن عائلاتهم، والمفقودون وعائلاتهم، والأشخاص المحتجزون.
- عطل الحادث الأنظمة التي تدعم عمل لم شمل العائلات، مما يعني أن الاختراق أثر على كل من السرية والاستمرارية الإنسانية.
- تحديث ICRC اللاحق "ما نعرفه" أساسي لأنه يفصل بين الشفافية المسؤولة والإفصاح الفني غير الآمن: أوضحت المنظمة الأشخاص المتضررين، وخطر السلامة، وإعادة تشغيل الأنظمة، وتحسينات الأمن دون نشر البنية التحتية الحساسة.
- لا يمكن اختصار المساءلة في ما إذا تم تسريب البيانات علنًا. يمكن للبيانات الإنسانية أن تخلق ضررًا من الإكراه والانتقام والوصم والموقع والاتصال والاحتيال والثقة حتى عندما يصعب ملاحظة التعرض.
- يجب أن يُظهر سجل الإصلاح الموثوق به تقليل البيانات، والاستضافة المجزأة، والإشراف على الموردين، والتحكم في الوصول، والمراقبة، واختبار الاختراق، وإخطار الأشخاص المتضررين، والحلول البديلة للاستمرارية، وحماية دائمة للأنظمة الرقمية الإنسانية.
البيانات الإنسانية تغير حساب الاختراق
الإفصاح الأولي لـ ICRC،هجوم سيبراني متطور يستهدف بيانات الهلال الأحمر والصليب الأحمر لـ 500,000 شخص، قال إن الهجوم اخترق البيانات الشخصية والمعلومات السرية لأكثر من 515,000 شخص شديد الضعف. تضمنت المجموعات المتضررة الأشخاص المنفصلين عن عائلاتهم بسبب النزاع والهجرة والكوارث، والمفقودين وعائلاتهم، والأشخاص المحتجزين. جاءت البيانات من 60 جمعية وطنية على الأقل للصليب الأحمر والهلال الأحمر. هذه ليست فئة اختراق استهلاكية. بل هي فشل في الحماية يؤثر على الأشخاص الذين قد تنطوي ظروفهم بالفعل على الخطر أو الإكراه أو النزوح أو الاحتجاز أو انفصال الأسرة أو الصدمة.
صفحة المتابعة لـ ICRC،الهجوم السيبراني على ICRC: ما نعرفه، تقدم السجل العام الأكثر نضجًا. تشرح ما عرفته ICRC، ولماذا تم حجب بعض التفاصيل الفنية، وكيف عادت الأنظمة إلى الإنترنت، ولماذا أبرز الاختراق الحاجة إلى حماية المنظمات الإنسانية عبر الإنترنت. هذه الوثيقة مهمة لأنها تظهر توازنًا صعبًا: يحتاج الجمهور إلى تفاصيل كافية للثقة في الاستجابة، بينما يجب ألا يتلقى المهاجمون معلومات عن البنية التحتية أو الأمن تزيد من المخاطر المستقبلية.
يبدأ سؤال المساءلة بطبيعة البيانات. في العديد من الاختراقات، نموذج الضرر السائد هو سرقة الهوية والاحتيال والبريد العشوائي والاستيلاء على الحسابات والإحراج. هذه الأضرار مهمة، لكن البيانات الإنسانية يمكن أن تحمل مخاطر مختلفة. يمكن أن يخلق الموقع أو العلاقة الأسرية أو حالة الاحتجاز أو طريق الهجرة أو استفسار المفقودين أو تفاصيل الاتصال أو سجل خدمات الحماية عواقب تتعلق بالسلامة. قد لا يملك الشخص المتضرر الموارد أو الدعم القانوني أو السكن المستقر أو الاتصالات الآمنة أو الحرية لتغيير وضع الخطر الخاص به.
أثر الاختراق أيضًا على الثقة في الأنظمة الإنسانية. تطلب الحركة الدولية للصليب الأحمر والهلال الأحمر من الأشخاص في الأزمات مشاركة معلومات حساسة لأن ذلك قد يساعد في لم شمل العائلات أو تتبع الأقارب المفقودين أو الحفاظ على الكرامة أو تقديم الحماية. إذا اعتقد الأشخاص أن هذه المعلومات يمكن أن تتعرض، فقد يترددون في طلب المساعدة. يمكن أن يتحول هذا التردد إلى ضرر. لذلك، فإن أمن البيانات هو جزء من الوصول الإنساني.
يجب قراءة الحادث على أنه مشكلة مساءلة تتعلق بالسلامة، وليس فقط مشكلة أمن معلومات. ICRC وشركاؤها في الحركة سيطروا على سياق الخدمة وجمع البيانات والاحتفاظ بها وترتيبات الاستضافة وضوابط الوصول والاستجابة والإشعار. المهاجمون سيطروا على الاختراق. الأشخاص المتضررون لم يسيطروا على شيء. هذا التفاوت يخلق واجب تقليل جمع البيانات حيثما أمكن، وحماية ما يجب جمعه، ودعم المتضررين بعد التعرض.
لم شمل العائلات كان اعتمادًا على الاستمرارية
الإفصاح الأولي لـ ICRC قال إن المنظمة أُجبرت على إغلاق الأنظمة التي تدعم عمل لم شمل العائلات بعد الهجوم. هذه النقطة مهمة لأن الحادث أثر على كل من السرية والاستمرارية. الأنظمة المتأثرة لم تخزن البيانات فقط؛ بل دعمت الخدمات للأشخاص الذين يحاولون العثور على أقارب أو معرفة ما حدث لأحبائهم المفقودين. لذلك، تدخل الهجوم السيبراني في العمل الإنساني في نفس الوقت الذي كشف فيه سجلات حساسة.
سياقلم شمل العائلاتلـ ICRC يشرح سبب أهمية البرنامج. يدعم الأشخاص المنفصلين بسبب النزاع والكوارث والهجرة والأزمات الأخرى. يمكن أن تتضمن البيانات المستخدمة في هذا العمل الأسماء والعلاقات الأسرية والمواقع وتفاصيل الاتصال ومعلومات الحالة. المعلومات قيمة لأنها يمكن أن تعيد ربط العائلات. إنها حساسة لنفس السبب: إنها تصف العلاقات البشرية ونقاط الضعف.
بيان الصليب الأحمر الأمريكي،هجوم سيبراني على اللجنة الدولية للصليب الأحمر، وبيان الصليب الأحمر البريطاني،بيان الهجوم السيبراني على ICRC، يظهران أن الحادث لم يكن مجرد مشكلة مقر ICRC. الجمعيات الوطنية وشركاء الحركة كانوا جزءًا من الاستجابة والتواصل العام. هذا مهم لأن البيانات نشأت من شبكة إنسانية عالمية، وقد يكون الأشخاص المتضررون قد تفاعلوا محليًا بدلاً من جنيف.
الحلول البديلة للاستمرارية هي جزء من سجل المساءلة. إذا تم إغلاق الأنظمة الرقمية لاحتواء المخاطر، فكيف تستمر الحركة في عمل لم شمل العائلات العاجل؟ أي الحالات يمكن التعامل معها يدويًا؟ أي السجلات آمنة للاستخدام؟ أي الموظفين يمكنهم الوصول إلى العمليات البديلة؟ كيف يتم إبلاغ المتضررين بما يجب فعله؟ كيف تتجنب المنظمة جمع بيانات بديلة عبر قنوات غير آمنة؟ هذه ليست أسئلة هامشية. إنها تحدد ما إذا كانت الاستجابة تحمي كل من البيانات والخدمة.
تحدي الاستمرارية يكشف أيضًا مشكلة تكنولوجية إنسانية أوسع. يمكن للأنظمة الرقمية تحسين السرعة والتنسيق والوصول، لكنها يمكن أن تركز المخاطر أيضًا. يمكن لقاعدة بيانات عالمية تدعم العديد من الجمعيات الوطنية أن تخلق حجمًا. إذا تم اختراقها، يمكن أن تخلق ضررًا مركزًا. يجب أن يزن التصميم التكنولوجي المسؤول كليهما.
نموذج الضرر يشمل الإكراه والوصم وخطر الموقع
اللغة العامة لـ ICRC أكدت على الأشخاص الضعفاء والعواقب المحتملة الشديدة. هذا الإطار مناسب لأن الخطر لا يقتصر على الجريمة المالية. استفسار المفقودين قد يكشف عن العلاقات الأسرية. البيانات المتعلقة بالاحتجاز قد تكشف عن الحالة أو الموقع. البيانات المتعلقة بالهجرة قد تكشف عن الطرق أو جهات الاتصال أو نقاط الضعف. بيانات تتبع العائلات قد تحدد الأشخاص في بيئات النزاع. معلومات الحالة الإنسانية قد تكون حساسة حتى لو لم تحتو على أرقام بنكية أو كلمات مرور.
ذكرت Geneva Solutions أن الاختراق شمل بيانات من 60 جمعية وطنية على الأقل وأن قلق ICRC كان الحفاظ على سرية المعلومات فيهجوم سيبراني على ICRC يخترق بيانات 500,000 شخص. تقرير CyberScoop،هجوم سيبراني واسع النطاق يوقف عمل الصليب الأحمر في لم شمل العائلات، أكد على تعطيل عمل لم شمل العائلات وتعرض البيانات السرية. تقرير The Guardianالعاموضع أيضًا الأشخاص الضعفاء في مركز القصة.
الخطر لا يتطلب تأكيد التسريب العلني ليكون خطيرًا. يمكن نسخ البيانات أو الاستعلام عنها أو بيعها أو مشاركتها بشكل خاص أو استخدامها للاستهداف أو الاحتفاظ بها للإساءة المستقبلية دون الظهور في تسريب علني واضح. قد لا يعرف الأشخاص المتضررون أبدًا ما إذا كان اتصال لاحق أو تهديد أو احتيال أو محاولة إكراه ناتجة عن بيانات إنسانية مكشوفة. هذا عدم اليقين بحد ذاته عبء.
هذا عدم اليقين يغير الإشعار والدعم. في اختراق استهلاكي، قد تشمل النصيحة مراقبة الائتمان أو تغيير كلمات المرور. بالنسبة للبيانات الإنسانية، قد تكون النصيحة أكثر تحديدًا بالسياق. قد يحتاج الشخص في خطر إلى معرفة ما إذا كان يجب تغيير قنوات الاتصال، أو تنبيه أفراد الأسرة، أو استخدام قنوات الصليب الأحمر المحلية، أو تجنب الاتصالات المشبوهة. قد يختلف الدعم المناسب حسب البلد ونوع الحالة والسياق الأمني والعلاقة مع السلطات أو الجهات المسلحة.
قرار ICRC بعدم نشر البنية التحتية الفنية التفصيلية هو أيضًا جزء من تقليل الضرر. بعض الشفافية يمكن أن تمكّن المتضررين والمنظمات الشريكة. الكثير من التفاصيل الفنية يمكن أن تمكّن المهاجمين. يجب ألا يطلب معيار المساءلة إفصاحًا متهورًا. يجب أن يطلب إفصاحًا مفيدًا: الفئات المتضررة، ومنطق المخاطر، وخطوات التخفيف، واستمرارية الخدمة، وقنوات الاتصال، وفئات الحماية المستقبلية.
تقليل البيانات هو عنصر تحكم في السلامة الإنسانية
غالبًا ما يُعامل تقليل البيانات كمبدأ امتثال للخصوصية. في البيئات الإنسانية، هو عنصر تحكم في السلامة. أكثر البيانات أمانًا التي تم اختراقها هي البيانات التي لم يتم جمعها أبدًا، أو لم يتم مركزتها، أو لم يعد الاحتفاظ بها. هذا لا يعني أن المنظمات الإنسانية يجب أن تتوقف عن جمع المعلومات الحيوية. يعني أن كل حقل بيانات يجب أن يبرر مخاطره. إذا كان الحقل ضروريًا لم شمل عائلة أو حماية محتجز أو التحقق من حالة، فقد يكون من المفيد جمعه. إذا تم الاحتفاظ به بدافع العادة، فإنه يخلق تعرضًا غير ضروري.
وثيقة سياسة الخلفية للصليب الأحمر والهلال الأحمر،حماية البيانات الإنسانية، ذات صلة لأنها تضع الاختراق ضمن محادثة أوسع للحركة حول حماية البيانات الإنسانية. يتعين على المنظمات الإنسانية جمع المعلومات الحساسة للقيام بعملها، لكنها تحتاج أيضًا إلى الحوكمة، وتحديد الغرض، والتحكم في الوصول، وانضباط الاحتفاظ، والوعي بالتهديدات الرقمية.
يجب أن يكون تقليل البيانات عمليًا، وليس بلاغيًا. يجب أن تعرف المنظمة البيانات المطلوبة لكل خدمة، وأيها يمكن إخفاء هويته، وأيها يمكن تخزينه محليًا، وأيها يجب مشاركته عالميًا، وأيها يتطلب وصولًا صارمًا قائمًا على الأدوار، وأيها يجب أن ينتهي صلاحيته، وأيها لا يجب تصديره أبدًا إلى بيئات حماية أقل. يجب أن تعرف أيضًا كيفية التعامل مع الاستثناءات الطارئة. غالبًا ما يخلق العمل في الأزمات ضغطًا لجمع المزيد من البيانات بسرعة. هذا الضغط يحتاج إلى حواجز حماية.
قرارات الموردين والاستضافة جزء من التقليل. إذا قام طرف ثالث أو ترتيب استضافة خارجي بتخزين بيانات إنسانية حساسة، فلا يزال يتعين على وحدة التحكم في البيانات فهم ما يتم تخزينه، ولماذا، وكيف يتم حمايته، ومن يمكنه الوصول إليه، وكيف تتم إدارة الثغرات الأمنية، وكيف تتم مراقبة السجلات. السجل العام حول اختراق ICRC تضمن مناقشة الاستضافة والخوادم وسياق المقاول. مبدأ المساءلة هو أن الاستعانة بمصادر خارجية للبنية التحتية لا تعني الاستعانة بمصادر خارجية للواجب الإنساني.
التقليل يدعم أيضًا الاستمرارية. مجموعة بيانات أصغر وأفضل تجزئة قد تكون أسهل في العزل والاستعادة والتواصل بشأنها. مجموعة بيانات مترامية الأطراف مع ملكية غير واضحة يصعب حمايتها وتفسيرها بعد الاختراق. في الأنظمة الإنسانية، يمكن أن يوفر الوضوح حول الغرض من البيانات الوقت عندما يحتاج الأشخاص إلى إجابات سريعة.
إعادة تشغيل الأنظمة تحتاج إلى أدلة على الأمن والثقة
تحديث ICRC "ما نعرفه" قال إن الأنظمة عادت إلى الإنترنت مع تحسينات أمنية، بما في ذلك المصادقة الثنائية، والكشف المتقدم عن التهديدات، واختبار الاختراق قبل إعادة التشغيل، والمراقبة المستمرة. هذه الفئات مهمة لأنها تظهر إصلاحًا يتجاوز الاستعادة البسيطة. نظام يعود بدون ضوابط أقوى قد يعيد الخدمة مع الحفاظ على نفس المخاطر. نظام يعود بعد الاختبار والتحسينات المراقبة لديه قصة مساءلة أقوى.
يوفر NIST SP 800-61 Revision 2،دليل التعامل مع حوادث أمن الكمبيوتر، دورة حياة عامة للحوادث: الإعداد، والكشف، والاحتواء، والاستئصال، والاسترداد، والنشاط بعد الحادث. يؤكد NIST SP 800-184،دليل استرداد أحداث الأمن السيبراني، على التحقق من الاسترداد والدروس المستفادة. هذه وثائق توجيهية عامة، وليست نتائج ICRC، لكنها توفر مفردات مفيدة لتقييم أدلة إعادة التشغيل.
يجب أن تشمل أدلة إعادة التشغيل الضوابط الفنية وضوابط الخدمة. تشمل الضوابط الفنية الأنظمة المعدلة، والهوية المشددة، والمصادقة الثنائية، والمراقبة، والكشف عن التهديدات، واختبار الاختراق، والتجزئة، وإدارة الثغرات الأمنية. تشمل ضوابط الخدمة عمليات الاتصال بالمتضررين، والتواصل مع الشركاء، والحلول البديلة الآمنة، وتدريب الموظفين، ومراجعة الاحتفاظ بالبيانات. لا يتم إصلاح المنصة الإنسانية إلا إذا تحسنت كلتا الفئتين.
لا ينبغي للجمهور أن يتوقع من ICRC الكشف عن مسارات الاستغلال الدقيقة أو السجلات التفصيلية أو بنية النظام. هذا سيخلق مخاطر إضافية. لكن يمكن للجمهور توقع فئات التغيير. قدم تحديث ICRC بعضًا من هذه الفئات. يجب أن تتبع حوادث البيانات الإنسانية المستقبلية هذا النموذج: شرح كافٍ لإظهار إصلاح جاد مع رفض نشر خريطة للمهاجم التالي.
يجب أيضًا الحفاظ على أدلة الثقة. اختبار الاختراق قبل إعادة التشغيل مفيد. وكذلك المراقبة المستمرة. لكن سؤال المساءلة يستمر بعد الدورة الإعلامية. هل يتم إعادة اختبار الضوابط؟ هل تتم مراجعة حقوق وصول الشركاء؟ هل يتم تطبيق قواعد الاحتفاظ بالبيانات؟ هل يتم تدريب الموظفين؟ هل يتم إعادة تقييم الموردين؟ هل يتم دعم المتضررين؟ لا يتم إعادة بناء الثقة بصفحة حالة واحدة. يتم إعادة بنائها بأدلة متكررة.
عدم اليقين في الإسناد لا ينبغي أن يؤخر الحماية
بعض التعليقات العامة وصفت الهجوم بأنه متطور أو شبيه بالدولة. ذكرت Devex أن ICRC رأت أن الهجوم السيبراني كان شبيهًا بالدولة فيتغطية حصرية. ICRC نفسها تجنبت اليقين العام حول المسؤول في الإفصاح الأولي. هذا الحذر مناسب. الإسناد يمكن أن يكون صعبًا وحساسًا سياسيًا وأبطأ من حماية الضحية.
معيار المساءلة لا ينبغي أن يعتمد على الإسناد. إذا كان جهة فاعلة مرتبطة بالدولة متورطة، فإن الآثار الإنسانية والقانونية خطيرة. إذا كان جهة إجرامية أو غير حكومية متورطة، فإن آثار السلامة تظل خطيرة. المتضررون يحتاجون إلى حماية في كلتا الحالتين. الأنظمة تحتاج إلى إصلاح في كلتا الحالتين. تقليل البيانات والمراقبة مهمان في كلتا الحالتين.
صفحة السياسة الأوسع لـ ICRC حولالعمليات السيبرانية والمعلومات الضارةتشرح القلق الإنساني بشأن العمليات السيبرانية في النزاع والضرر المدني. هذا السياق السياسي ذو صلة لأن المنظمات الإنسانية تعمل في بيئات حيث يمكن أن يتقاطع التعرض الرقمي مع النزاع المسلح والنزوح والاحتجاز وعمل الحماية. الهجوم السيبراني ضد البيانات الإنسانية ليس مجرد جريمة ضد الخوادم. يمكن أن يؤثر على الأشخاص المحميين بالفعل بموجب المعايير الإنسانية.
عدم اليقين في الإسناد يؤثر أيضًا على التواصل. يجب على المنظمات تجنب المبالغة في تقدير الدافع أو هوية الفاعل قبل أن تدعمها الأدلة. لكن يمكنها وصف الخطر على المتضررين والخدمات المتأثرة والخطوات الوقائية المتخذة. عدم اليقين الدقيق أفضل من التكهنات.
بالنسبة للدول والجهات الفاعلة الأخرى، يعزز الحادث الحاجة إلى حماية المنظمات الإنسانية عبر الإنترنت. نداء ICRC العام بعد الاختراق طلب عدم استخدام المعلومات الإنسانية أو بيعها أو تسريبها أو مشاركتها. قد يبدو هذا النداء أخلاقيًا أكثر منه تقنيًا، لكن العمل الإنساني يعتمد على المعايير وكذلك على الضوابط. يجب معاملة بعض البيانات على أنها محظورة لأن استخدامها يضر بالأشخاص في الأزمات.
الإشراف على الموردين يجب أن يتناسب مع الحساسية الإنسانية
غالبًا ما تعتمد المنظمات الإنسانية على مزودي التكنولوجيا الخارجيين وخدمات الاستضافة والاستشاريين وبائعي البرامج والشركاء المحليين. هذا الاعتماد طبيعي. قضية المساءلة هي ما إذا كان الإشراف يتناسب مع حساسية البيانات والمهمة. المورد الذي يتعامل مع البيانات الإدارية العادية يمثل خطرًا واحدًا. المورد أو المنصة التي تتعامل مع بيانات المفقودين والمحتجزين تمثل خطرًا آخر.
يجب أن يشمل الإشراف على الموردين إدارة الثغرات الأمنية، والإخطار بالحوادث، وضوابط الوصول، والتسجيل، والتشفير، والنسخ الاحتياطي، والتجزئة، وقرارات موقع البيانات، وضوابط المقاولين من الباطن، والتخطيط للخروج. يجب أن يشمل أيضًا متطلبات محددة إنسانيًا: تقليل البيانات، والحذف الآمن، وتقييد الوصول التشغيلي، والإجراءات للحالات عالية المخاطر. من غير المحتمل أن تكون استبيانات الأمن العامة كافية.
تحليلات أمنية مثلكيف تم اختراق الصليب الأحمر؟من UpGuard ومناقشةاختراق بيانات الصليب الأحمرمن Twingate تناقش المسارات الفنية المحتملة والدروس. هذه تحليلات بائعة وليست نتائج ICRC رسمية، لذا يجب التعامل معها بحذر. إنها مفيدة لنقطة عامة: الثغرات الأمنية الحرجة غير المصححة، والوصول الإداري، والتجزئة غير الكافية يمكن أن تحول ضعف البنية التحتية إلى تعرض إنساني.
سؤال المورد يمتد أيضًا إلى وصول الشركاء. شبكة إنسانية عالمية قد تضم العديد من المستخدمين عبر البلدان والجمعيات والبرامج والأدوار. لا يمكن أن يكون التحكم في الوصول سياسة مركزية فقط. يحتاج إلى مراجعة تشغيلية. من يمكنه رؤية أي حالات؟ أي الأدوار تتطلب بيانات كاملة؟ أيها يمكن أن تعمل بحقول محدودة؟ كيف تتم إزالة الحسابات غير النشطة؟ كيف يتم تسجيل حالات الوصول الطارئة؟ كيف يتم دعم الجمعيات الوطنية عندما تختلف قدراتها المحلية؟
يجب أن يشمل سجل المساءلة بعد اختراق ICRC الإشراف على الموردين والوصول. لا يكفي تشديد النظام المخترق. يجب على المنظمة معرفة ما إذا كان نموذج مشاركة البيانات الأوسع يظل متناسبًا مع الاحتياج الإنساني.
دعم المتضررين صعب لكنه أساسي
دعم المتضررين بعد اختراق البيانات الإنسانية أصعب من دعم المستهلكين بعد اختراق تجزئة. بعض المتضررين قد يكونون نازحين أو محتجزين أو مفقودين أو في بيئات غير آمنة أو غير متصلين بالإنترنت أو لا يمكن الوصول إليهم إلا من خلال وسطاء محليين. قد يتعرض البعض للأذى من الاتصال المباشر إذا كانت قنوات الاتصال مراقبة. قد لا يفهم البعض الطبيعة الرقمية للخطر. قد يحتاج البعض إلى نصائح باللغات المحلية والسياقات الأمنية المحلية.
صفحة ICRC "ما نعرفه" ناقشت إعلام الأشخاص والعمل مع الجمعيات الوطنية. هذه الشراكة المحلية مهمة. قد يثق المتضررون في مكتب الصليب الأحمر أو الهلال الأحمر المحلي أكثر من موقع ويب. قد يحتاجون أيضًا إلى توجيه حساس للسياق. قد لا يكون البريد الإلكتروني العام آمنًا أو فعالًا.
تعليق Privacy108 علىاختراق بيانات الصليب الأحمروتحليل Sovereign Sky للتهديدات رقمية إنسانيةهي تعليقات ثانوية، لكنها تشير إلى نفس القضية: يجب أن يأخذ الاستجابة للاختراق الإنساني في الاعتبار كرامة المتضررين وسلامتهم وفاعليتهم. الإشعار ليس مجرد مربع قانوني. إنه جزء من الحماية.
يجب أن يشمل دعم المتضررين قنوات اتصال واضحة، وعلامات تحذيرية للاتصالات المشبوهة، وشرح فئات البيانات التي قد تكون متورطة، وتوجيهات واقعية حول ما يمكن للأشخاص فعله. يجب أن يشمل أيضًا دعمًا للموظفين والمتطوعين الذين قد يضطرون لشرح الاختراق للأشخاص في محنة. يحتاج هؤلاء العاملون في الخط الأمامي إلى نصوص وطرق تصعيد وتوجيهات أمنية.
يجب على المنظمة أيضًا تجنب تحويل الكثير من العبء إلى المتضررين. لا ينبغي أن يُطلب من عائلة شخص مفقود حل مشكلة أمنية رقمية ناتجة عن اختراق الأنظمة الإنسانية. المؤسسة التي جمعت وخزنت البيانات يجب أن تتحمل عبء الإصلاح الأكبر.
القطاع الإنساني الأوسع يحتاج إلى معيار حماية مشترك
لا ينبغي معاملة حادث ICRC كفشل منظمة واحدة فقط. المنظمات الإنسانية كقطاع تواجه مخاطر رقمية متزايدة. تجمع بيانات حساسة، وتعمل في بيئات النزاع والأزمات، وتنسق عبر الحدود، وتعتمد على الثقة. لذلك، يجب أن يغذي الاختراق معيار حماية مشترك للبيانات الإنسانية.
يجب أن يشمل هذا المعيار رسم خرائط البيانات، وتحديد الغرض، وحدود الاحتفاظ، والوصول القائم على الأدوار، وضمان الموردين، والاستضافة الآمنة، وإدارة الثغرات الأمنية، والتشفير، والتسجيل، والاستجابة للحوادث، وإخطار المتضررين، والتخطيط للاستمرارية. يجب أن يشمل أيضًا مبدأ ثقافيًا: يجب معاملة البيانات الإنسانية كـ مادة حماية، وليس مجرد مادة إدارية.
يجب أن يكون المعيار عمليًا. قد تفتقر المنظمات الإنسانية الأصغر إلى موارد المؤسسات الكبيرة. يمكن أن تساعد الأدوات المشتركة والقوالب والتدريب والمنصات الآمنة ودعم المانحين. لا ينبغي للمانحين تمويل التوسع الرقمي دون تمويل الأمن والحوكمة. مشروع يجمع بيانات حساسة لكنه لا يمول الحماية يخلق مخاطر خفية.
يحتاج القطاع أيضًا إلى معايير موجهة للمهاجمين والدول. لا ينبغي استهداف المنظمات الإنسانية، ولا ينبغي استخدام بيانات الأشخاص الضعفاء كورقة ضغط. نداء ICRC بعد الاختراق كان تذكيرًا بأن الأمن التقني والمعايير الإنسانية ضروريان. الضوابط تقلل الفرصة. المعايير تقلل القبول.
المقياس النهائي هو ما إذا كان المتضررون يمكنهم طلب المساعدة بأمان. إذا أصبحت أنظمة البيانات محفوفة بالمخاطر لدرجة أن الأشخاص الضعفاء يتجنبون الخدمات الإنسانية، فإن التحول الرقمي للمساعدات قد فشل. يجب أن يكون الأمن جزءًا من الوصول.
المجهولات المتبقية وسؤال المساءلة
السجل العام لا يزال به فجوات. لا يكشف البنية التحتية الفنية الكاملة، أو سجلات الطب الشرعي الكاملة، أو هوية المهاجم بالكامل، أو كل حقل متأثر، أو كل نظام شريك، أو كل مورد، أو كل نتيجة مراقبة طويلة الأجل. هذه الفجوات ليست تلقائيًا فشلًا؛ بعض التفاصيل يجب أن تبقى سرية. السؤال هو ما إذا كانت هناك أدلة كافية للثقة في الإصلاح.
ما هو معروف كبير. كشفت ICRC عن اختراق كبير أثر على أكثر من 515,000 شخص ضعيف. شمل الاختراق بيانات من 60 جمعية وطنية على الأقل وعطل أنظمة لم شمل العائلات. وصفت ICRC علنًا الفئات المتضررة، والأضرار المحتملة، وإغلاق الأنظمة، وإعادة التشغيل، وتحسينات الأمن، والقلق المستمر بشأن التهديدات الرقمية الإنسانية. شركاء الحركة والتقارير الإخبارية ضخموا النطاق والأهمية العامة.
سؤال المساءلة هو ما إذا كانت بيئة البيانات الإنسانية أصبحت أكثر أمانًا بعد الاختراق. هل تم تقليل البيانات؟ هل تم تشديد ضوابط الوصول؟ هل تم تجزئة الأنظمة ومراقبتها؟ هل تم إعادة تقييم الموردين؟ هل تم تصحيح الثغرات الأمنية واختبارها؟ هل تم الاتصال بالمتضررين بطرق آمنة؟ هل تم استعادة خدمات لم شمل العائلات بضوابط أقوى؟ هل تم تعزيز معايير القطاع وتوقعات المانحين؟
بالنسبة لـ ICRC وشركاء الحركة، واجب الإصلاح مستمر. صفحة حادث واحدة لا يمكن أن تغلق الخطر. حماية البيانات الإنسانية تتطلب أدلة متكررة: عمليات التدريب، والتمارين، ومراجعات الوصول، وإنفاذ الاحتفاظ، وتدريب الشركاء، وضمان الموردين، والتواصل الآمن مع المتضررين. بالنسبة للدول والجهات الفاعلة الأخرى، الواجب هو احترام البيانات الإنسانية وتجنب السلوك السيبراني الذي يعرض الأشخاص الضعفاء للخطر. بالنسبة للمانحين، الواجب هو تمويل الحماية، وليس فقط جمع البيانات.
يجب تذكر اختراق ICRC لأنه جعل المخاطر مرئية. يمكن للبيانات الإنسانية أن تساعد في لم شمل العائلات وحماية الأشخاص. نفس البيانات، إذا تعرضت، يمكن أن تزيد الخوف والخطر. المساءلة تبدأ بالتمسك بالحقيقتين معًا.
فصل ملفات القضايا هو خيار تصميمي
درس عملي واحد هو أن كل قضية إنسانية لا ينبغي أن تعيش في نفس طبقة المخاطر. استفسار تتبع لشخص في سياق آمن نسبيًا، وسجل يتعلق بالاحتجاز، وملف شخص مفقود في نزاع نشط، وقضية هجرة تنطوي على خطر الحماية، قد تدعم جميعها العمل الإنساني، لكنها لا تحمل عواقب تعرض متطابقة. يجب على النظام الناضج فصل أنواع القضايا حسب الحساسية وضرورة الاطلاع.
يمكن أن يكون هذا الفصل تقنيًا وإجرائيًا. قد يشمل الفصل التقني قواعد بيانات مجزأة، ومصادقة أقوى للحالات عالية المخاطر، وموافقة إضافية للتصدير، وتسجيل أكثر صرامة، واحتفاظ أقصر. قد يشمل الفصل الإجرائي تدريب الموظفين، وقواعد وضع علامات على القضايا، والتصعيد للفئات الحساسة، ومراجعة الوصول الدورية. النقطة الرئيسية هي أن "البيانات الإنسانية" ليست مجموعة واحدة غير متمايزة.
يساعد فصل ملفات القضايا أيضًا أثناء الاستجابة للحوادث. إذا كانت المنظمة قادرة على تحديد الأنظمة والبرامج وطبقات الحساسية المتأثرة، يمكنها التواصل بدقة أكبر ودعم المتضررين بشكل أكثر فعالية. إذا كانت جميع السجلات مختلطة، يصبح الإشعار أوسع لكن أقل فائدة. قد يسمع الجمهور رقمًا كبيرًا، بينما الأشخاص الأكثر عرضة للخطر قد لا يتلقون توجيهًا مخصصًا بسرعة.
حادث ICRC تعلق ببيانات مرتبطة بـ لم شمل العائلات وغيرها من الأعمال الحساسة. السجل العام لا يسمح للغرباء بالحكم على نموذج الحساسية الداخلي بالتفصيل. لكن الحادث يجعل سؤال التصميم لا مفر منه. كلما كانت فئة القضية أكثر حساسية، كان على المنظمة أن تكون قادرة على شرح، على الأقل داخليًا ولمشرفين موثوقين، لماذا يتم جمع البيانات، ومدة الاحتفاظ بها، ومن يمكنه الوصول إليها، وما هي الضوابط الإضافية المطبقة.
هذا ليس مجرد تفضيل لهندسة الخصوصية. إنها حماية بالتصميم. غالبًا ما تعمل المنظمات الإنسانية في بيئات لا يمكن للأشخاص فيها الاعتماد على سبل الانتصاف القانونية القوية إذا أسيء استخدام البيانات. التصميم يصبح جزءًا من دفاعهم.
أمن الموظفين والمتطوعين جزء من حماية المتضررين
يثير الاختراق أيضًا سؤال الموظفين والمتطوعين. تُستخدم أنظمة البيانات الإنسانية من قبل أشخاص عبر البلدان والأدوار ومستويات التدريب الفني. نظام مركزي قوي يمكن أن يضعف بسبب إعادة استخدام بيانات الاعتماد، أو التصيد، أو الامتيازات المفرطة، أو الحسابات المشتركة، أو الأجهزة غير المدارة، أو إنهاء الوصول غير الواضح. يجب أن يدعم برنامج حماية البيانات البشر الذين يستخدمون النظام، وليس فقط تشديد الخوادم.
المصادقة الثنائية، التي ذكرتها ICRC كجزء من أمن إعادة التشغيل، خطوة ذات معنى. تقلل من قيمة كلمات المرور المسروقة وتساعد في حماية الوصول عبر المستخدمين الموزعين. لكن المصادقة هي طبقة واحدة فقط. يحتاج الموظفون إلى تدريب عملي على الروابط المشبوهة، والتعامل الآمن مع القضايا، وأمن الأجهزة، والاتصال الآمن، والتصعيد. قد يحتاج المتطوعون والموظفون المحليون إلى أدوات أبسط ودعم أوضح لأنهم غالبًا ما يعملون تحت الضغط وبموارد غير متكافئة.
يجب أن تكون مراجعة الوصول لطيفة ولكن صارمة. تعتمد المنظمات الإنسانية على الثقة، لكن الثقة لا تتطلب وصولًا واسعًا. متطوع يساعد في نشاط محلي واحد قد لا يحتاج إلى بحث عالمي عن القضايا. موظف انتقل إلى دور جديد قد لا يحتاج إلى الوصول بعد الآن. حساب شريك تم إنشاؤه لحالة طارئة قد يحتاج إلى انتهاء صلاحية. كل إذن زائد هو مضخم للاختراق في المستقبل.
يجب على المنظمة أيضًا حماية الموظفين من التوقعات المستحيلة بعد الحادث. قد يضطر العاملون في الخط الأمامي للإجابة على أسئلة المتضررين بينما هم أنفسهم يعرفون القليل عن الحدث التقني. يحتاجون إلى تفسيرات معتمدة، وقنوات تصعيد، وتوجيهات سلامة. إذا تُرك الموظفون ليرتجلوا، فقد يبالغون في الوعود، أو يقللون من المخاطر، أو يكشفون معلومات إضافية عن طريق الخطأ.
لذلك، تشمل حماية البيانات الإنسانية دعم القوى العاملة. يجب أن يكون الأشخاص الموثوق بهم من قبل المجتمعات المتضررة مجهزين لشرح ما حدث وما تفعله المنظمة. الثقة علائقية. إصلاح تقني قوي يمكن أن يفشل إذا كان الشرح المحلي البشري مشوشًا.
يجب على المانحين ومجالس الإدارة تمويل الضوابط المملة
المرونة السيبرانية في العمل الإنساني غالبًا ما تتنافس مع تقديم البرامج العاجلة. المانحون يريدون تقديم الخدمات. المنظمات تريد مساعدة المزيد من الناس. المنصات الرقمية تعد بالكفاءة. ضوابط الأمن، والتدقيق، ومراجعات الوصول، ومشاريع الاحتفاظ، وتقييمات الموردين يمكن أن تبدو بطيئة أو إدارية. حادث ICRC يظهر لماذا هذه الضوابط "المملة" جزء من المهمة.
يجب على المانحين طرح أسئلة مختلفة. إذا كان المشروع يجمع بيانات حساسة، هل الأمن ممول؟ هل تقليل البيانات ممول؟ هل تدريب الموظفين المحليين ممول؟ هل صيانة النظام ممولة بعد الإطلاق الأولي؟ هل يتم تقييم الموردين؟ هل تمارين الاستجابة للحوادث ممولة؟ هل إشعار المتضررين وموارد الترجمة مخططة؟ مشروع بيانات إنسانية بدون ميزانية حماية غير مكتمل.
يجب على مجالس الإدارة والقادة الكبار أيضًا طلب الأدلة بدلاً من الطمأنة. كم عدد الأنظمة الحساسة لديها خرائط بيانات حالية؟ كم عدد مجموعات البيانات عالية المخاطر لديها قواعد احتفاظ؟ كم مرة تتم مراجعة حقوق الوصول؟ كم عدد عقود الموردين تتضمن إشعار الحوادث وحقوق التدقيق؟ كم مرة يتم إجراء تمارين الاسترداد؟ ما مدى سرعة المنظمة في تحديد فئات القضايا المتأثرة بعد الاختراق؟ هذه الأسئلة تشغيلية بما يكفي لدفع التحسين.
التمويل يؤثر أيضًا على العدالة بين المقر الرئيسي والشركاء المحليين. منظمة مركزية قد يكون لديها فريق أمن قوي، بينما الشركاء المحليون أو الجمعيات الوطنية قد يكون لديهم موارد أقل. إذا تدفقت البيانات عبر الشبكة، يجب ألا يفترض معيار الحماية قدرة متساوية في كل مكان. الأدوات المشتركة، والتدريب، والمنصات الآمنة افتراضيًا، والتمويل للتنفيذ المحلي هي جزء من حوكمة البيانات المسؤولة.
اختبار المساءلة على مستوى مجلس الإدارة هو ما إذا كانت القيادة تعامل الحماية الرقمية كجودة برنامج. خدمة لم شمل العائلات التي لا تستطيع حماية بيانات لم شمل العائلات ليست عالية الجودة، حتى لو وصلت إلى العديد من الناس. الحجم بدون حماية يمكن أن يزيد الضرر.
الصمت العام يمكن أن يحمي الأنظمة لكنه يضر الثقة
تواجه المنظمات الإنسانية مشكلة شفافية صعبة. إذا نشرت الكثير من التفاصيل الفنية، قد تساعد المهاجمين. إذا نشرت القليل جدًا، قد يفقد المتضررون والشركاء الثقة. استجابة ICRC ملحوظة لأنها قدمت تحديثات عامة مع حجب التفاصيل الفنية الحساسة. هذا هو الاتجاه الصحيح بشكل عام، لكن يجب فهمه كنموذج شفافية منظم وليس استثناءً.
الشفافية المنظمة تبدأ بالجمهور. المتضررون يحتاجون إلى معلومات عملية عن المخاطر والدعم. الجمعيات الوطنية تحتاج إلى توجيه تشغيلي. المانحون ومجالس الإدارة يحتاجون إلى أدلة الحوكمة. أقران الأمن قد يحتاجون إلى مؤشرات أو دروس عبر قنوات موثوقة. الجمهور العام يحتاج إلى سياق كافٍ لفهم الخطورة. هذه الجماهير لا تحتاج جميعها نفس التفاصيل.
الشفافية المنظمة تتغير أيضًا بمرور الوقت. التصريحات المبكرة يمكن أن تعترف بعدم اليقين والخطوات الفورية. التحديثات اللاحقة يمكن أن تضيف الفئات المتضررة، وحالة استعادة النظام، وتحسينات الأمن، ودروس القطاع. في وقت لاحق، يمكن لتقارير الحوكمة السنوية إظهار كيفية تنفيذ التوصيات. إشعار اختراق لمرة واحدة لا يكفي لحالة تشمل أشخاصًا ضعفاء على نطاق عالمي.
تتضرر الثقة عندما تتحدث المنظمات فقط عندما يكون ذلك مطلوبًا قانونيًا أو فقط بلغة غامضة. يتم تعزيزها عندما تشرح ما تعرفه، وما لا تعرفه، وما تفعله، ولماذا لا يمكن مشاركة بعض التفاصيل. تنسيق ICRC "ما نعرفه" مفيد لأنه يسمي عدم اليقين كجزء من السجل. يجب على المنظمات الإنسانية الأخرى اعتماد انضباط مماثل قبل أن تحتاج إليه.
يجب على الجمهور أيضًا أن يفهم أن السرية والمساءلة يمكن أن يتعايشا. يمكن لمنظمة أن تقول إنها حسنت المراقبة، والمصادقة، واختبار الاختراق، ومراجعة الوصول، والإشراف على الموردين، وتقليل البيانات دون نشر تفاصيل الاستغلال. يمكنها الإبلاغ عن إغلاق التوصيات دون الكشف عن معلومات الهدف الحساسة. مشكلة الشفافية صعبة، لكنها قابلة للإدارة.
الحياد الإنساني يعتمد على حياد البيانات
تفويض ICRC ورسالتها، الموصوفة فيصفحة التفويض والرسالة، يعتمدان على الحياد والاستقلال والثقة. يمكن للأنظمة الرقمية دعم هذه الرسالة، لكنها يمكن أن تخلق أيضًا أسئلة حول من يمكنه رؤية البيانات الإنسانية وما إذا كانت البيانات يمكن أن تستخدم من قبل أطراف النزاع أو المجرمين أو الجهات المعادية. وبالتالي، فإن حياد البيانات هو امتداد عملي للحياد الإنساني.
حياد البيانات يعني أن البيانات الإنسانية لا ينبغي أن تصبح أداة للمراقبة أو الإكراه أو الاستهداف أو الدعاية أو الاستغلال التجاري. ضوابط الأمن تساعد في فرض هذا المبدأ. كذلك الاتفاقيات القانونية، وسياسات الوصول، والتقليل، والتشفير، ومعايير الموظفين. بعد الاختراق، يجب على المنظمة إظهار أنها لا تزال تستحق الثقة كحارس بيانات محايد.
هذا المبدأ مهم خارج ICRC. المنظمات الإنسانية تستخدم بشكل متزايد أدوات الهوية الرقمية، والقياسات الحيوية، وأنظمة تحويل النقد، وتطبيقات الهاتف المحمول، والموقع الجغرافي، ومنصات المراسلة، وأنظمة إدارة الحالات المشتركة. كل أداة يمكن أن تحسن الخدمة. كل منها يمكن أن تخلق أيضًا آثار بيانات. القطاع يحتاج إلى لغة مشتركة لمتى يكون الجمع الرقمي مبررًا، ومتى يكون مفرطًا، وكيف يمكن للناس تلقي المساعدة دون التخلي عن معلومات غير ضرورية.
يتطلب حياد البيانات أيضًا مقاومة الضغط من الجهات الفاعلة القوية. الحكومات والجماعات المسلحة والمانحون أو الشركاء قد يرغبون في الوصول إلى البيانات الإنسانية لأسباب خارج الغرض الإنساني الأصلي. يجب أن يحدد نموذج حوكمة البيانات القوي الرفض والتصعيد والمراجعة القانونية. الاختراق هو شكل واحد من الوصول غير المصرح به؛ الوصول القسري أو المنحرف عن المهمة يمكن أن يكون شكلًا آخر.
اختراق ICRC جعل الوصول غير المصرح به مرئيًا. الدرس الأوسع للمساءلة هو أن البيانات الإنسانية يجب أن تظل محمية من جميع أشكال سوء الاستخدام، التقني والمؤسسي.
المقاييس يجب أن تقيس الحماية، وليس فقط الامتثال
بعد الاختراق، غالبًا ما تبلغ المنظمات عن معالم الامتثال: تم تحديث السياسات، تم تقديم التدريب، تم تنفيذ الضوابط. هذه مفيدة لكنها غير كاملة. حماية البيانات الإنسانية تحتاج إلى مقاييس تقيس ما إذا كان المتضررون والبرامج الحساسة أصبحوا أكثر أمانًا بالفعل. يجب أن تربط المقاييس الضوابط بمخاطر المهمة.
المقاييس المفيدة قد تشمل النسبة المئوية لمجموعات البيانات عالية المخاطر مع خرائط بيانات حالية، والنسبة المئوية للحسابات التي تمت مراجعتها خلال الربع الأخير، وعدد الحالات عالية المخاطر تحت ضوابط الوصول المعززة، وعمر السجلات المحفوظة، وعدد استثناءات أمن الموردين، والوقت لاكتشاف الوصول المشبوه، والوقت لعزل الأنظمة المتأثرة، والوقت لتقديم توجيه المتضررين باللغات ذات الصلة. لا تحتاج أي من هذه المقاييس إلى الكشف عن تفاصيل القضايا علنًا.
يجب على المنظمة أيضًا قياس الحذف والتقليل. ما مقدار البيانات التي تمت إزالتها بأمان لأنها لم تعد مطلوبة؟ كم عدد الحقول التي تم إزالتها من النماذج؟ كم عدد فئات القضايا التي تم نقلها إلى احتفاظ أكثر صرامة؟ كم عدد الصادرات التي تم تعطيلها أو تقييدها؟ في العمل الإنساني، يمكن أن يكون تقليل البيانات وقائيًا بقدر إضافة أداة أمنية.
يجب أن تشمل المقاييس التمارين. هل تدربت المنظمة على اختراق نظام لم شمل العائلات؟ هل تدربت على إخطار الجمعيات الوطنية؟ هل تدربت على التواصل الآمن مع المتضررين؟ هل اختبرت الاستمرارية اليدوية للحالات العاجلة؟ هل تدربت على تصعيد الموردين؟ التمارين تكشف الفجوات التي لا تفعلها لوحات المعلومات.
أخيرًا، يجب حوكمة المقاييس. إذا رأت القيادة فقط إكمال الامتثال، قد تعتقد أن الخطر قد انتهى. إذا رأت القيادة مجموعات بيانات عالية المخاطر غير محلولة، ووصولًا قديمًا، وتصحيحًا متأخرًا، أو استمرارية غير مختبرة، يمكنها تمويل التحكم التالي. المساءلة تحتاج إلى المقاييس غير المريحة، وليس فقط المطمئنة.
حدود أدلة إضافية
بالنسبة لـ ICRC التي جعلت حماية البيانات الإنسانية مشكلة مساءلة تتعلق بالسلامة، فإن حد الأدلة الإضافي هو فصل الحقائق المؤكدة والاستدلال القائم على الأدلة والمعلومات غير المعروفة. هذا الفصل مهم لأن حدثًا يتعلق باختراق البيانات الإنسانية لـ ICRC يمكن وصفه كمشكلة تقنية أو مشكلة تعاقدية أو مشكلة اتصالات اعتمادًا على من يتحدث. لذلك، يعود تحليل المساءلة إلى التحكم العملي: من يمكنه تغيير التكوين، وتحديد التعرض، وتسريع الكشف، وتفويض الإخطار، أو إثبات أن الإصلاح قد وصل إلى المستخدمين المتضررين.
تضيف هذه العدسة اختبارًا دقيقًا للسبب الجذري والحدث المحفز. يشرح الحدث المحفز لماذا أصبح الحدث مرئيًا في لحظة معينة؛ السبب الجذري يتطلب أدلة حول خيارات التصميم والتحكم والحوكمة والتحقق التي كانت موجودة قبل تلك اللحظة. يجب تقييم الظروف المساهمة مثل الاعتماد والتفويض ونوافذ التغيير والعقود والسجلات والحوافز دون معاملة بيان الشركة كحقيقة كاملة أو تحويل احتمال إلى نتيجة ثابتة.
ينطبق نفس الانضباط على فشل الكشف وفشل الاستجابة وفشل الاسترداد. يجب أن يظهر السجل العام متى تم رؤية الإشارة، ومن لديه سلطة التصرف، وما قيل للعملاء أو المنظمين، وما هي الأدلة الإضافية التي من شأنها أن تجعل الاستنتاج أقوى أو أضعف. بينما تظل هذه العناصر جزئية، فإن الاستنتاج المسؤول ليس اتهامًا إضافيًا؛ بل هو خريطة أكثر دقة للمسؤولية وعدم اليقين وضوابط الهوية والوصول التي يجب أن يتحقق منها تدقيق لاحق.

