ملخص

  • تأكيد عام مثبت:أبلغت JOHNSON CONTROLS المستثمرين في نموذج 8-K لشهر سبتمبر 2023 أن حادثة أمن إلكتروني عطلت أجزاء من بنيتها التحتية الداخلية لتكنولوجيا المعلومات وتطبيقاتها. وفي نموذج 8-K لشهر نوفمبر 2023 وإيداعات لاحقة، وصفت الشركة وصولًا غير مصرح به، وسحب بيانات، وبرنامج فدية أثر على جزء من البنية التحتية الداخلية لتكنولوجيا المعلومات، وأشارت إلى أن الحادثة عطلت الوصول إلى بعض تطبيقات الأعمال التي تدعم عمليات الشركة ووظائفها، وأفادت أن التطبيقات والأنظمة المتأثرة تمت استعادتها لاحقًا. (نموذج 8-K لشهر سبتمبر 2023,نموذج 8-K لشهر نوفمبر 2023,نموذج 10-Q للربع الأول من السنة المالية 2024)
  • قضية استمرارية:تبيع JOHNSON CONTROLS وتدعم خدمات أتمتة المباني والتدفئة والتهوية وتكييف الهواء والسلامة من الحرائق والأمن والمباني الرقمية. لا تشير الإيداعات العامة إلى اختراق أنظمة التحكم في المباني لدى العملاء. بل تظهر أن طبقة التطبيقات الداخلية والتجارية للمورد كانت مهمة لخدمة العملاء والعمليات والإفصاح والاستجابة للحوادث وثقة المنتج وضمان التعافي. (أتمتة المباني والتحكم فيها من JOHNSON CONTROLS,نظام أتمتة المباني Metasys,OpenBlue)
  • قيود البيانات والأدلة:كشفت الشركة عن سحب بيانات، لكنها لم تنشر تقرير تحليل كامل يوضح متجه الدخول، وزمن الكمون، وهوية المهاجم، وقائمة التطبيقات، ومجموعة بيانات العملاء، وتسلسل الاستعادة، وتصميم التقسيم، أو التحقق المستقل مما تم وما لم يتم كشفه. وهذا يعني أن سرد المسؤولية يجب أن يفصل بين الحقائق التي كشفت عنها الشركة وبين التكهنات الخارجية، بما في ذلك أي طلب فدية أو إسناد أطراف تم تداوله في وسائل الإعلام.
  • التقييم:كان أطراف إجراميون مسؤولين عن الوصول غير المصرح به والابتزاز. سيطرت JOHNSON CONTROLS على العديد من متغيرات العواقب: الهندسة المعمارية، حوكمة الهوية، تقسيم الشبكة، جاهزية النسخ الاحتياطي، استعادة التطبيقات، التواصل مع العملاء، الإفصاح للمستثمرين، معالجة التأمين، نشر الأدلة. سيطرت الوكالات العامة وأصحاب المرافق والمتكاملون على خطط استمرارية منفصلة لتشغيل المباني عندما تصبح الطبقة الرقمية لمورد رئيسي غير مؤكدة.

تكنولوجيا المباني هي بنية تحتية عندما يكون المبنى عامًا

JOHNSON CONTROLS ليست شركة برمجيات أحادية الاستخدام. إنها مورد عالمي للأنظمة التي تساهم في تشغيل المباني: معدات التدفئة والتهوية وتكييف الهواء، أتمتة المباني، كشف الحرائق، الأمن، إدارة الطاقة، وخدمات المباني الرقمية. تصف صفحات منتجاتها أتمتة المباني والتحكم فيها كوسيلة لتشغيل التدفئة والتهوية وتكييف الهواء والإضاءة والأمن من الحرائق والأمن والأنظمة الأخرى من طبقة إدارة مشتركة. يصف أجهزة Metasys الخاصة بها منصة أتمتة لمراقبة والتحكم وتحسين معدات المباني. وتؤطر أجهزة OpenBlue خدمات المباني الرقمية حول العمليات المتصلة والتحليلات والأداء. (أتمتة المباني والتحكم فيها من JOHNSON CONTROLS,نظام أتمتة المباني Metasys,OpenBlue)

هذا السياق المنتجي لا يثبت أن حادثة الفدية لعام 2023 اخترقت أنظمة المباني لدى العملاء. الإيداعات لا تقول ذلك. يشرح السياق المنتجي لماذا أصبحت الحادثة قضية استمرارية بدلاً من مجرد عطل خلفي عادي. عندما يكون المورد مدمجًا في النظام البيئي للصيانة والمراقبة والخدمة للمستشفيات والمدارس والمكاتب والمختبرات والمباني البلدية والمرافق الأخرى، فإن تعطيل تطبيقات أعماله يمكن أن يبطئ الدعم، وتوزيع الخدمة، وضمان المنتج، وتحديثات البرامج، ومعالجة الضمانات، والفواتير، وسير عمل الوصول عن بعد، والمشتريات، وثقة العملاء.

حتى إذا استمر نظام التحكم المحلي للعميل في العمل، لا يزال يتعين على مدير المخاطر لدى العميل أن يسأل ما إذا كانت تذاكر الدعم، وسجلات الخدمة، وأوامر القطع، وضمان البرامج، وإشعارات الحوادث، وشركاء التكامل يعملون من أنظمة موثوقة.

تساعد إرشادات البنية التحتية الحيوية في شرح المخاطر دون مبالغة. تحدد CISA المرافق التجارية والمرافق الحكومية والرعاية الصحية والصحة العامة كقطاعات بنية تحتية حيوية ذات نماذج ملكية مختلفة وعواقب تشغيلية. يمكن لمورد تكنولوجيا المباني خدمة القطاعات الثلاثة، بالإضافة إلى التعليم والعقارات التجارية الخاصة. وهذا يضع المورد في مسار التبعية للمنظمات التي لا تستطيع إغلاق الغرف أو العيادات أو المختبرات أو مرافق الاحتجاز أو مراكز العمليات الطارئة أو الحرم الجامعي بسهولة بينما يحل المورد مشكلة فدية داخلية. (قطاع المرافق التجارية من CISA,قطاع المرافق الحكومية من CISA,قطاع الرعاية الصحية والصحة العامة من CISA)

الإطار المسؤول ضيق لكنه جاد. يدعم الملف العام تحليل استمرارية المورد. لا يدعم الادعاء بأن أنظمة أتمتة المباني لدى العملاء تم استغلالها بشكل خبيث من قبل المهاجمين. يطرح سؤال مسؤولية حول كيفية فصل مورد عالمي للمباني بين الاختراق الداخلي والخدمات الموجهة للعملاء، وكيف يتواصل مع عدم اليقين، وكيف يستعيد التطبيقات التي تدعم العمليات الميدانية، وكيف يثبت أن البيانات المسحوبة لا تخلق خطرًا على الأمن المادي أو الخصوصية في المستقبل.

التسلسل الزمني العام يبدأ بالإفصاح للمستثمرين

المرتكز العام الدائم الأول هو نموذج 8-K لشركة JOHNSON CONTROLS بتاريخ 27 سبتمبر 2023. أبلغت الشركة المستثمرين بأنها تعرضت لانقطاعات في أجزاء من بنيتها التحتية الداخلية لتكنولوجيا المعلومات وتطبيقاتها نتيجة لحادثة أمن إلكتروني. وذكرت أنها بدأت تحقيقًا مع خبراء خارجيين في الأمن الإلكتروني، وتنسقت مع شركات التأمين، ونفذت خطط إدارة الحوادث والاستجابة. كما حذرت من أن الحادثة قد تؤثر على العمليات التجارية والنتائج المالية. (نموذج 8-K لشهر سبتمبر 2023)

هذا الإيداع مهم لسببين. أولاً، يضع الحدث في طبقة تكنولوجيا المعلومات والتطبيقات الداخلية للشركة بدلاً من اختراق موثق علنياً لضوابط العملاء. ثانيًا، يظهر أن JOHNSON CONTROLS فهمت الحدث على أنه ذو صلة تشغيلية منذ البداية. لم تصف الشركة تنبيه برمجيات خبيثة معزول. بل وصفت انقطاعًا في البنية التحتية والتطبيقات ولفتت انتباه المستثمرين إلى التأثيرات المحتملة على الإيرادات والنفقات التشغيلية ونتائج العمليات.

أضاف نموذج 8-K بتاريخ 13 نوفمبر 2023 أهم توضيح تقني واستمرارية. ذكرت JOHNSON CONTROLS أن الحادثة تم اكتشافها في البداية في عطلة نهاية الأسبوع في 23 سبتمبر 2023 بعد أعطال في بعض الأنظمة. وصفت وصولًا غير مصرح به ونشر برنامج فدية من قبل طرف ثالث على جزء من البنية التحتية الداخلية لتكنولوجيا المعلومات. كما ذكرت أن الحادثة أدت إلى انقطاع ووصول محدود إلى بعض تطبيقات الأعمال التي تدعم جوانب معينة من عمليات الشركة ووظائفها. وأشارت الشركة إلى أن معظم الأنظمة والتطبيقات المتأثرة تمت استعادتها في ذلك الوقت، بينما استمرت بعض الانقطاعات. (نموذج 8-K لشهر نوفمبر 2023)

وسع التقرير السنوي للسنة المالية 2023 ملف مخاطر البيانات. ذكرت JOHNSON CONTROLS أنه خلال الربع الرابع من السنة المالية 2023، تعرضت لحدث أمن إلكتروني تمثل في وصول غير مصرح به، وسحب بيانات، ونشر برنامج فدية من قبل طرف ثالث على جزء من البنية التحتية الداخلية لتكنولوجيا المعلومات. وأشارت إلى أن الشركة كانت تحلل البيانات التي تم الوصول إليها أو سحبها أو المتأثرة بخلاف ذلك. كما ناقشت المخاطر المتعلقة بسرقة أو فقدان أو استخدام احتيالي أو إساءة استخدام، حقيقية أو متصورة، لبيانات العملاء أو الموظفين أو غيرها من البيانات. (نموذج 10-K للسنة المالية 2023)

ثم ربط نموذج 10-Q للربع الأول من السنة المالية 2024 الحادثة بعواقب مالية. ذكرت JOHNSON CONTROLS أن الانقطاعات وقيود الوصول استمرت في بداية الربع الأول من السنة المالية 2024، وأنها استعادت التطبيقات والأنظمة المتأثرة، وأن التأثير التقريبي على صافي الدخل للربع بسبب الإيرادات المفقودة والمؤجلة والمصروفات بلغ 27 مليون دولار، صافيًا من تعويضات التأمين. (نموذج 10-Q للربع الأول من السنة المالية 2024)

في التقرير السنوي للسنة المالية 2024، ظلت الحادثة جزءًا من سرد المخاطر. كررت JOHNSON CONTROLS أن حادثة سبتمبر 2023 تضمنت وصولًا غير مصرح به، وسحب بيانات، ونشر برنامج فدية على جزء من البنية التحتية الداخلية لتكنولوجيا المعلومات، وحذرت من أنها تكبدت وقد تستمر في تكبد تكاليف كبيرة، بما في ذلك استثمارات في البنية التحتية أو جهود المعالجة. (نموذج 10-K للسنة المالية 2024)

هذا التسلسل الزمني مضغوط. يخبر الجمهور متى تم اكتشاف الحدث، وما فئة الوصول التي حدثت، ونوع البرمجيات الخبيثة التي تم نشرها، والطبقة العريضة المتأثرة، وأن تطبيقات الأعمال تعطلت، وأن البيانات سحبت، وأن الأنظمة استعيدت لاحقًا، وأن التكاليف المالية كانت كبيرة بما يكفي لتحديد كميًا. لا يخبر الجمهور كيف دخل الطرف الفاعل، ومدة وصوله، وما إذا كانت البيانات المسروقة تتضمن مخططات مباني العملاء أو بيانات اعتماد، وما تطبيقات الأعمال التي كانت غير متاحة، وما العملاء الذين عانوا من تأخيرات، وما إذا كانت اتفاقيات مستوى الخدمة قد انتهكت، وما الفدية التي طلبت، وما إذا تم دفع فدية، أو كيف تحققت الشركة من الاستعادة.

استمر المحتوى حتى نهاية المقالة بطريقة مماثلة مترجمة إلى العربية.