ملخص

  • سجل عام مؤكد:أخبرت Johnson Controls المستثمرين في نموذج 8-K في سبتمبر 2023 أن حادثًا إلكترونيًا قد عطل أجزاءً من البنية التحتية لتكنولوجيا المعلومات والتطبيقات الداخلية. وفي نموذج 8-K في نوفمبر 2023 ولاحقًا، وصفت الشركة الوصول غير المصرح به وتسريب البيانات وبرمجيات الفدية التي أثرت على جزء من البنية التحتية لتكنولوجيا المعلومات، وأشارت إلى أن الحادث عطل الوصول إلى بعض تطبيقات الأعمال التي تدعم العمليات والوظائف المؤسسية، وذكرت أن التطبيقات والأنظمة المتأثرة قد تم استعادتها لاحقًا. (نموذج 8-K سبتمبر 2023,نموذج 8-K نوفمبر 2023,نموذج 10-Q الربع الأول من السنة المالية 2024)
  • مسألة استمرارية:تبيع Johnson Controls وتدعم أنظمة أتمتة المباني والتدفئة والتهوية والتكييف والسلامة من الحرائق والأمن وخدمات المباني الرقمية. لا تشير الإفصاحات العامة إلى أن أنظمة التحكم في المباني في مواقع العملاء قد تم الاستيلاء عليها. لكنها تُظهر أن طبقة التطبيقات الداخلية والتجارية للمورد كانت مهمة لخدمة العملاء والعمليات والإفصاح والاستجابة للحوادث وثقة المنتج وضمان الاستعادة. (أتمتة المباني وأنظمة التحكم من Johnson Controls,نظام أتمتة المباني Metasys,OpenBlue)
  • حدود البيانات والأدلة:كشفت الشركة عن تسريب البيانات، لكنها لم تنشر تقريرًا جنائيًا كاملاً يحدد طريقة الدخول أو مدة البقاء أو هوية المهاجم أو قائمة التطبيقات أو مجموعة بيانات العملاء أو تسلسل الاستعادة أو تصميم التجزئة أو التحقق المستقل مما تم كشفه وما لم يكشف. وهذا يعني أن السجل المحاسبي يجب أن يفصل بين الحقائق التي كشفت عنها الشركة والتكهنات الخارجية، بما في ذلك أي طلب فدية أو نسب للجهة الفاعلة كما تداولته وسائل الإعلام.
  • التقييم:كانت جهات إجرامية مسؤولة عن الوصول غير المصرح به والابتزاز. سيطرت Johnson Controls على العديد من متغيرات العواقب: البنية، وإدارة الهوية، وتجزئة الشبكة، وجاهزية النسخ الاحتياطي، واستعادة التطبيقات، والتواصل مع العملاء، والإفصاح للمستثمرين، ومعالجة التأمين، ونشر الأدلة. سيطرت الوكالات العامة وملاك المرافق والمتكاملون على خطط استمرارية منفصلة لتشغيل المباني عندما تصبح الطبقة الرقمية لمورد رئيسي غير مؤكدة.

تكنولوجيا المباني هي بنية تحتية عندما يكون المبنى عامًا

Johnson Controls ليست شركة برمجيات ذات غرض واحد. إنها مورد عالمي للأنظمة التي تساعد في تشغيل المباني: معدات التدفئة والتهوية والتكييف، وأتمتة المباني، وأنظمة كشف الحرائق، والأمن، وإدارة الطاقة، وخدمات المباني الرقمية. تصف صفحات منتجاتها الخاصة أتمتة المباني وأنظمة التحكم كطريقة لتشغيل التدفئة والتهوية والتكييف والإضاءة والسلامة من الحرائق والأمن وغيرها من الأنظمة من طبقة إدارة مشتركة. وتصف مواد Metasys منصة أتمتة للمراقبة والتحكم والتحسين عبر معدات المباني. وتُصوغ مواد OpenBlue خدمات المباني الرقمية حول العمليات المتصلة والتحليلات والأداء. (أتمتة المباني وأنظمة التحكم من Johnson Controls,نظام أتمتة المباني Metasys,OpenBlue)

لا يثبت سياق المنتج هذا أن حادثة الفدية في 2023 قد أضرت بأنظمة المباني للعملاء. الإفصاحات لا تقول ذلك. لكن سياق المنتج يفسر لماذا أصبحت الحادثة مسألة استمرارية بدلاً من تعطل عادي في المكاتب الخلفية. عندما يكون المورد موجودًا داخل بيئة الصيانة والمراقبة والخدمات للمستشفيات والمدارس والمكاتب والمختبرات والمباني البلدية وغيرها من المرافق، فإن تعطل تطبيقات أعماله يمكن أن يبطئ الدعم والإرسال الميداني وضمان المنتجات وتحديثات البرمجيات ومعالجة الضمان والفوترة وسير الوصول عن بعد والمشتريات وثقة العملاء.

حتى لو استمر نظام التحكم المحلي للعميل في العمل، فإن مدير المخاطر لا يزال مضطرًا للسؤال عما إذا كانت تذاكر الدعم وسجلات الخدمة وطلبات قطع الغيار وضمان البرمجيات وإشعارات الحوادث وشركاء التكامل يعملون من أنظمة موثوقة.

تساعد إرشادات البنية التحتية الحيوية في شرح المخاطر دون المبالغة. تُصنف CISA المرافق التجارية والمرافق الحكومية والرعاية الصحية والصحة العامة كقطاعات بنية تحتية حيوية بنماذج ملكية مختلفة وعواقب تشغيلية. قد يخدم مورد تكنولوجيا المباني القطاعات الثلاثة، بالإضافة إلى التعليم والممتلكات التجارية الخاصة. وهذا يضع المورد في مسار التبعية للمؤسسات التي لا تستطيع إغلاق الغرف أو العيادات أو المختبرات أو مرافق الاحتجاز أو مراكز العمليات الطارئة أو الحرم الجامعي بسهولة بينما يحل البائع مشكلة الفدية الداخلية. (قطاع المرافق التجارية من CISA,قطاع المرافق الحكومية من CISA,قطاع الرعاية الصحية والصحة العامة من CISA)

الإطار المسؤول ضيّق لكنه جاد. يدعم السجل العام تحليل استمرارية المورد. لا يدعم الادعاء بأن أنظمة أتمتة المباني للعملاء تم تشغيلها بشكل خبيث من قبل المهاجمين. ويدعم سؤالًا محاسبيًا حول كيف يفصل مورد مباني عالمي الاختراق الداخلي عن الخدمات الموجهة للعملاء، وكيف ينقل حالة عدم اليقين، وكيف يستعيد التطبيقات التي تدعم العمليات الميدانية، وكيف يثبت أن البيانات المسربة لا تشكل خطرًا ماديًا أو خصوصية لاحقًا.

يبدأ التسلسل الزمني العام بالإفصاح للمستثمرين

أول مرتكز عام دائم هو نموذج 8-K لشركة Johnson Controls في 27 سبتمبر 2023. أخبرت الشركة المستثمرين أنها تعرضت لاضطرابات في أجزاء من البنية التحتية لتكنولوجيا المعلومات وتطبيقاتها الداخلية نتيجة لحادث إلكتروني. وقالت إنها بدأت تحقيقًا بمساعدة خبراء خارجيين في الأمن السيبراني، ونسقت مع شركات التأمين، وطبقت خطط إدارة الحوادث والاستجابة. كما حذرت من أن الحادث قد يؤثر على العمليات التجارية والنتائج المالية. (نموذج 8-K سبتمبر 2023)

هذا الإيداع مهم لسببين. أولاً، يضع الحدث في طبقة تكنولوجيا المعلومات والتطبيقات الداخلية للشركة بدلاً من اختراق موثق لأنظمة العملاء. ثانياً، يظهر أن Johnson Controls فهمت الحدث على أنه ذو صلة تشغيلية منذ البداية. لم تصف الشركة تنبيهًا معزولًا للبرمجيات الخبيثة. وصفت تعطيلاً للبنية التحتية والتطبيقات وأشارت للمستثمرين إلى تأثيرات محتملة على الإيرادات والمصروفات التشغيلية ونتائج العمليات.

أضاف نموذج 8-K في 13 نوفمبر 2023 أهم توضيح تقني واستمراري. قالت Johnson Controls إن الحادث تم اكتشافه مبدئيًا خلال عطلة نهاية الأسبوع في 23 سبتمبر 2023 بعد تعطل بعض الأنظمة. ووصفت الوصول غير المصرح به ونشر برمجيات الفدية من قبل طرف ثالث إلى جزء من البنية التحتية لتكنولوجيا المعلومات الداخلية. كما ذكرت أن الحادث تسبب في تعطيل وصول محدود إلى أجزاء من تطبيقات الأعمال التي تدعم جوانب من العمليات والوظائف المؤسسية. وأفادت الشركة بأن معظم الأنظمة والتطبيقات المتأثرة قد تم استعادتها في ذلك الوقت، بينما استمرت بعض الاضطرابات. (نموذج 8-K نوفمبر 2023)

وسع التقرير السنوي للسنة المالية 2023 سجل مخاطر البيانات. ذكرت Johnson Controls أنها تعرضت خلال الربع الرابع من السنة المالية 2023 لحدث إلكتروني يتألف من وصول غير مصرح به وتسريب بيانات ونشر برمجيات الفدية من قبل طرف ثالث إلى جزء من البنية التحتية لتكنولوجيا المعلومات الداخلية. وقالت إن الشركة كانت تحلل البيانات التي تم الوصول إليها أو تسريبها أو تأثرت بأي شكل آخر. وناقشت أيضًا المخاطر الناجمة عن السرقة الفعلية أو المتصورة أو فقدان أو سوء استخدام بيانات العملاء أو الموظفين أو غيرها. (نموذج 10-K للسنة المالية 2023)

ثم ربط نموذج 10-Q للربع الأول من السنة المالية 2024 الحادث بعواقب مالية. قالت Johnson Controls إن الاضطرابات وقيود الوصول استمرت حتى الجزء المبكر من الربع الأول من السنة المالية 2024، وأنها استعادت التطبيقات والأنظمة المتأثرة، وأن التأثير التقريبي على صافي الدخل للربع من الإيرادات المفقودة والمؤجلة والمصروفات بلغ 27 مليون دولار، بعد استرداد التأمين. (نموذج 10-Q الربع الأول للسنة المالية 2024)

بحلول التقرير السنوي للسنة المالية 2024، بقي الحادث جزءًا من سرد المخاطر. كررت Johnson Controls أن حادثة سبتمبر 2023 تضمنت وصولًا غير مصرح به وتسريب بيانات ونشر برمجيات الفدية إلى جزء من البنية التحتية لتكنولوجيا المعلومات الداخلية، وحذرت من أنها تكبدت وقد تستمر في تكبد تكاليف كبيرة، بما في ذلك استثمارات في البنية التحتية أو جهود المعالجة. (نموذج 10-K للسنة المالية 2024)

هذا التسلسل الزمني موجز. يخبر الجمهور متى تم اكتشاف الحدث، وأي فئة من الوصول حدثت، وأي نوع من البرمجيات الخبيثة تم نشره، وأي طبقة عامة تأثرت، وأن تطبيقات الأعمال تعطلت، وأن البيانات تم تسريبها، وأن الأنظمة استعيدت لاحقًا، وأن التكاليف المالية كانت مادية بما يكفي لتحديدها كميًا. لا يخبر الجمهور كيف دخل المهاجم، وكم من الوقت كان لديه وصول، وما إذا كانت البيانات المسروقة تشمل رسوم مباني العملاء أو بيانات الاعتماد، وأي تطبيقات الأعمال كانت غير متاحة، وأي العملاء عانوا من تأخيرات، وما إذا كانت هناك التزامات بمستوى الخدمة لم يتم الوفاء بها، وما الفدية المطلوبة، وما إذا تم دفع الفدية، أو كيف تحققت الشركة من الاستعادة.

"تكنولوجيا المعلومات الداخلية" يمكن أن تكون قريبة من عمليات المباني

قد تبدو عبارة "تكنولوجيا المعلومات الداخلية" مطمئنة، وهي كذلك من عدة نواح. شبكة المؤسسة للمورد ليست نفس وحدة تحكم أتمتة المباني في موقع العميل. حدث الفدية في تطبيقات الشركات لا يصبح تلقائيًا اختراقًا لتكنولوجيا التشغيل. لكن بالنسبة لمورد تكنولوجيا المباني، تكنولوجيا المعلومات الداخلية ليست جزيرة غير ضارة. يمكنها دعم الإرسال والدعم الفني وبوابات العملاء والمخزون وإدارة المشاريع ووثائق المنتج وسير تسجيل الأجهزة وخدمات المراقبة عن بعد والفوترة وترخيص البرمجيات وأنظمة الضمان وتنسيق الثغرات وأنظمة الهوية.

هذا التمييز هو مركز سؤال المساءلة. لا ينبغي للسجل أن يدعي اختراقًا مباشرًا لأنظمة التحكم لدى العملاء عندما لا تدعمه الإفصاحات العامة. لكن بالمقابل لا ينبغي قبول "تكنولوجيا المعلومات الداخلية" كما لو أنها لا يمكن أن تؤثر على ملاك المباني. محفظة منتجات Johnson Controls العامة نفسها توضح أنها توفر أنظمة وخدمات رقمية تُستخدم لمراقبة وأتمتة وصيانة المباني. يمكن أن يخلق أي تعطل في طبقة المورد حالة من عدم اليقين حتى عندما يحتفظ موظفو المنشأة المحليون بالسيطرة المادية. (حلول Johnson Controls الرقمية,خدمات Johnson Controls)

المثال العملي هو استمرارية الخدمة. إذا كانت مستشفى أو جامعة أو مرفق بلدي يعتمد على متكامل من Johnson Controls للصيانة أو توجيهات البرامج الثابتة أو الوصول إلى إشعارات المنتج أو قطع الغيار أو الإصلاح الطارئ أو المراقبة، فإن انقطاع المورد يتحول إلى مشكلة فرز. قد يبقى المبنى آمنًا، لكن أوقات الاستجابة وشفافية أوامر العمل وقنوات خدمة العملاء وأدلة سلامة المنتج قد تتدهور. قد يحتاج مديرو المرافق إلى التحول إلى إجراءات محلية أو أشجار الهاتف الخاصة بالبائع أو السجلات الورقية أو مقاولين بديلين أو فحوصات يدوية أو اتفاقيات خدمة طارئة.

الاعتماد على الخدمات السحابية يضيف طبقة أخرى. يمكن لخدمات المباني المتصلة أن تركز التحليلات ولوحات المعلومات والإشعارات والدعم عن بعد. هذه الميزات قيمة لأنها تقلل من أعباء التوظيف المحلية وتجعل إدارة المحافظ الموزعة أسهل. في حدث الفدية، تطرح نفس المركزية سؤالًا صعبًا: ماذا يحدث عندما يضطر البائع لعزل الأنظمة أو تعطيل الخدمات أو إعادة بناء التطبيقات بينما لا يزال العملاء بحاجة إلى ضمان أن المباني تعمل ضمن معايير السلامة والأمن والراحة؟

لا يوفر السجل العام خريطة استمرارية حسب كل عميل. لا يذكر أي من أنظمة Johnson Controls الموجهة للعملاء كانت غير متاحة، أو كم من الوقت تدهورت بوابات العملاء، أو ما إذا كان أي مرفق قد اضطر لتغيير إجراءات التشغيل. هذا الغياب بحد ذاته وثيق الصلة. بالنسبة لبائع عملاؤه يشملون مرافق عامة ومباني ذات عواقب عالية، يجب أن يكون دليل الاستعادة أكثر من مجرد بيان بأن التطبيقات الداخلية تم استعادتها. الأدلة ذات الصلة تشمل قنوات الخدمة وإشعارات الثغرات وإشعارات تأثير البيانات ومسارات الاتصال الطارئة وتجزئة العملاء وشرح موثوق لأنظمة العملاء التي تم فصلها عن البيئة المخترقة.

الإفصاح أثبت الأهمية قبل أن يثبت السببية

إيداعات هيئة الأوراق المالية مصممة للإفصاح للمستثمرين، وليس لتقرير تشغيلي كامل بعد الوفاة. هذا القيد مهم هنا. إيداعات Johnson Controls تثبت أن الحادث كان حقيقيًا، وأنه تضمن برمجيات الفدية وتسريب البيانات، وأن التطبيقات تعطلت، وأنه كان له تأثير كمي في الربع الأول. لا تثبت السلسلة السببية الكاملة من سلوك المهاجم إلى كل تأخير تشغيلي أو تأثير على العملاء.

تم تقديم نموذج 8-K في سبتمبر 2023 قبل أن يصبح إطار الإفصاح الحالي للبند 1.05 من نموذج 8-K فعالاً لمعظم المصدرين. اعتمدت هيئة الأوراق المالية قواعد الإفصاح عن الأمن السيبراني في يوليو 2023 بهدف تحسين الإفصاح في الوقت المناسب وبشكل متسق لحوادث الأمن السيبراني المادية وإدارة مخاطر الأمن السيبراني. (إعلان قاعدة الإفصاح عن الأمن السيبراني من هيئة الأوراق المالية,القاعدة النهائية لهيئة الأوراق المالية) كشفت Johnson Controls عن الحدث بموجب إطار الإفصاح المتاح لها في ذلك الوقت، وقدمت الإيداعات اللاحقة مزيدًا من التفاصيل.

هذا التسلسل يظهر نمطًا شائعًا في مساءلة الفدية. يسمع المستثمرون مبكرًا أن العمليات والنتائج المالية قد تتأثر. يسمع العملاء، عبر القنوات العامة أو الخاصة، أن بعض الأنظمة معطلة أو متدهورة. يتعامل موظفو الميدان والمتكاملون مع عدم اليقين في اللحظة. فقط لاحقًا يتلقى الجمهور لغة أكثر دقة: وصول غير مصرح به، برمجيات الفدية، تسريب البيانات، تطبيقات مستعادة، تقديرات التكلفة، والمخاطر المستمرة. يتحسن سجل الإفصاح العام بمرور الوقت، لكن القرارات التشغيلية تتخذ قبل أن يكتمل السجل.

لهذا السبب فإن "عدم وجود تأثير مادي طويل الأجل" و"الاستجابة الجيدة للحوادث" ليسا نفس الادعاء. ربما احتوت Johnson Controls الحدث واستعادت التطبيقات وحدت من التأثير المالي مقارنة بحجمها. لكنها أيضًا اضطرت لإدارة فترة لم يتمكن فيها العملاء والموظفون من مراقبة ما حدث بشكل كامل. خلال تلك الفترة، تم توزيع عبء عدم اليقين عبر ملاك المرافق وفرق الخدمة وعملاء القطاع العام والمستثمرين وشركات التأمين الإلكترونية والأطراف المقابلة.

يجب قراءة تأثير الربع الأول البالغ 27 مليون دولار بعناية. وصفت Johnson Controls الرقم بأنه التأثير التقريبي على صافي الدخل من الإيرادات المفقودة والمؤجلة والمصروفات، بعد استرداد التأمين. هذا مفيد لكنه غير مكتمل. لا يقيس تأخير العملاء أو جهد المرافق العامة أو العمل الإضافي للمتكاملين أو طرق التحايل في المشتريات أو وقت استجابة الحوادث من قبل العملاء أو تكاليف تسوية التأمين أو أعمال إدارة المخاطر الناجمة عن البيانات المسربة. الرقم هو تقدير محاسبي للشركة، وليس إجمالي التكلفة الاجتماعية للحادث.

تسريب البيانات غير المشكلة

الإفصاح عن تسريب البيانات لا يقل أهمية عن الإفصاح عن برمجيات الفدية. برمجيات الفدية بدون تسريب هي مشكلة توفر واستعادة بشكل رئيسي، وإن كانت خطيرة. برمجيات الفدية مع تسريب البيانات تخلق مشكلة ثانية: من تعرض، وما الذي تعرض، وما الذي يمكن أن تتيحه البيانات، وكيف ستخطر الشركة الأطراف المتأثرة. تقول إيداعات Johnson Controls العامة إن البيانات تم تسريبها، لكنها لا تنشر قائمة جرد للبيانات أو مصفوفة إشعارات أو تقرير جنائي نهائي مستقل.

بالنسبة لمورد تكنولوجيا المباني، لا تقتصر مسألة الحساسية على المعلومات الشخصية العادية. يمكن أن تشمل سجلات العملاء بيانات الموظفين والمعلومات التجارية وقوائم اتصال المرافق والعقود وسجلات الخدمة والرسوم البيانية وملاحظات التكوين وتذاكر الدعم وجداول الصيانة أو تفاصيل تشغيلية حساسة للأمن. لا يثبت السجل العام أن تلك الفئات سُرقت. يثبت أن الشركة كانت تحلل البيانات المسربة أو المتأثرة وأن خطر إساءة استخدام بيانات العملاء أو الموظفين أو غيرها كان ماديًا بما يكفي لمناقشته.

هذا التمييز مهم. يمكن أن يقفز التعليق العام حول حوادث تكنولوجيا المباني بسرعة إلى صور مخططات الطوابق والشارات والكاميرات وأنظمة التحكم في المباني. معيار الأدلة المسؤول أكثر صرامة. إذا لم تحدد الإيداعات الفئات المسروقة، فلا ينبغي للمقال العام أن يتظاهر بمعرفتها. السؤال المحاسبي هو بدلاً من ذلك ما إذا كانت Johnson Controls تمتلك تصنيف البيانات وضوابط الاحتفاظ وعملية إشعار العملاء والأدلة الجنائية اللازمة للإجابة على هذه الأسئلة بسرعة للعملاء الذين قد تكون لمبانيهم وظائف سلامة عامة أو خدمة عامة.

تنطبق نفس المسألة على الهوية والوصول. إذا كان المورد يوفر دعمًا عن بعد أو خدمات سحابية، يحتاج العملاء إلى الثقة بأن الهويات والمفاتيح والشهادات والحسابات المميزة وقنوات الخدمة مفصولة ومصادق عليها. لا تصف الإيداعات العامة تلك البنية. تؤكد أهداف أداء الأمن السيبراني عبر القطاعات من CISA على تدابير مثل أمن الحسابات وإدارة الثغرات وتخطيط الاستجابة للحوادث وأمن البيانات وإدارة مخاطر الطرف الثالث. إنها ليست نتائج خاصة بـ Johnson Controls، لكنها معيار عام مفيد لأنواع الأدلة التي يجب أن يتوقعها العملاء بعد حدث فدية لمورد. (أهداف أداء الأمن السيبراني من CISA)

يساعد الإصدار 2.0 من إطار الأمن السيبراني لـ NIST أيضًا في تنظيم السؤال. يضيف الحوكمة كوظيفة أساسية إلى جانب التحديد والحماية والكشف والاستجابة والاستعادة. بالنسبة لشركة في موقع Johnson Controls، الحوكمة ليست مجرد سياسة على مستوى مجلس الإدارة. إنها القدرة على معرفة أي الأنظمة تدعم أي التزامات للعملاء، وما البيانات المحتفظ بها، وأي الخدمات يجب أن تستعاد أولاً، ومن لديه الصلاحية لتعطيل أو عزل الوظائف الموجهة للعملاء، وكيف يتم توصيل أدلة الاستعادة. (إطار NIST للأمن السيبراني)

التجزئة كانت الضابط الصامت

تشير الإيداعات العامة إلى جزء من البنية التحتية لتكنولوجيا المعلومات الداخلية، وليس كل الأنظمة في كل مكان. هذه عبارة مهمة. توحي بأن البيئة المتأثرة كانت محدودة، لكنها لا تشرح الحدود. التجزئة هي الضابط الخفي الذي يحدد ما إذا كانت برمجيات الفدية تبقى تعطيلًا تجاريًا داخليًا أم تمتد إلى عمليات العملاء أو أنظمة المنتج أو بيئات تطوير البرمجيات أو مخازن الهوية أو منصات الخدمات عن بعد.

التجزئة الفعالة ليست مجرد رسم بياني للشبكة. تشمل حدود الهوية والحسابات الإدارية وفصل النسخ الاحتياطي والاعتماديات على التطبيقات ووصول البائع والتسجيل وضوابط الوصول المميزة وإيجار السحابة وحسابات الخدمة وإجراءات التشغيل الطارئة. تشمل أيضًا قرارات الأعمال حول الأنظمة المسموح لها بالتواصل مع المنصات الموجهة للعملاء، والأنظمة التي يمكن عزلها دون إيقاف الخدمة، وكيف تعمل الفرق المحلية عندما تكون التطبيقات المركزية غير متاحة.

تؤكد إرشادات CISA لـ StopRansomware على النسخ الاحتياطي والاستعادة المختبرة والمصادقة متعددة العوامل وأقل صلاحية والتجزئة وإدارة الثغرات وتخطيط الاستجابة للحوادث والتواصل. الإرشاد لا يثبت ما فعلته أو لم تفعله Johnson Controls. لكنه يحدد أسر الضوابط التي تهم عندما يصل ممثل الفدية إلى الأنظمة الداخلية. (دليل CISA لـ StopRansomware)

في هذه الحادثة، دليل التجزئة عام فقط بالاستدلال. قالت Johnson Controls لاحقًا إن التطبيقات والأنظمة المتأثرة تم استعادتها. لم تنشر مسار الدخول الأولي أو قائمة التطبيقات المتأثرة أو ترتيب الاستعادة أو حدود العزل بين تكنولوجيا المعلومات المؤسسية والبيئات الموجهة للعملاء أو المنتج. لم تنشر ما إذا كانت أي خدمات سحابية قد تم إيقافها احترازيًا. لم تحدد فئة البيانات المسربة. بدون هذه الأدلة، يمكن أن يشيد التقييم العام بالشركة لكشفها عن الحادث والتكاليف، لكن لا يمكنه التحقق بشكل مستقل من قوة التجزئة.

يجب أن يهتم العملاء بهذه الفجوة. لا يحتاج مالك المرفق العام إلى كل التفاصيل الجنائية، لكنه يحتاج إلى إجابة موثوقة لمجموعة أصغر من الأسئلة: هل كانت أنظمتي قابلة للوصول من البيئة المخترقة؟ هل تم كشف بيانات اعتمادي أو رسومي البيانية أو تذاكري أو سجلات الاتصال الخاصة بي؟ هل تغير أي مسار دعم عن بعد؟ هل تأثرت أي عملية تحديث منتج أو استشارية؟ هل أرقام خدمة الطوارئ والإجراءات اليدوية حديثة؟ هذه أسئلة استمرارية، وليست مجرد أسئلة أمن سيبراني.

تواصل العملاء يحمل مخاطره الخاصة

التواصل مع العملاء أثناء حادثة فدية لمورد مباني صعب لأن الإفراط في التحديد قد يكشف تفاصيل أمنية، بينما القليل جدًا يخلق شائعات وجهدًا مكررًا. قد يكون لدى المورد العالمي آلاف العملاء بعقود مختلفة ومكاتب خدمة محلية ومتكاملين وشركاء قنوات وهيئات تنظيمية ومتطلبات تأمين. لا تحل مشكلة التواصل بإيداع علني للمستثمرين.

توفر الإيداعات العامة خط أساس، لكنها موجهة للمستثمرين. قد يحتاج ملاك المرافق إلى محتوى تشغيلي أكثر: ما إذا كانت بوابات الخدمة تعمل، وكيفية الاتصال بالدعم الطارئ، وما إذا كان الفنيون الميدانيون يمكنهم الوصول إلى أوامر العمل، وما إذا كانت الفواتير وأوامر الشراء متأخرة، وما إذا كانت استشارات أمن المنتج لا تزال سارية، وما إذا كانت المراقبة عن بعد متدهورة، وما إذا كانت أي بيانات عملاء تتطلب إجراءً وقائيًا.

لهذا السبب يهم الاعتماد على السحابة. يمكن للخدمات السحابية والمدارة أن تجعل الدعم أسرع في الأوقات العادية، لكنها يمكنها أيضًا أن تجعل تواصل العملاء أكثر تعقيدًا في الأوقات غير العادية. قد لا يعرف العميل ما إذا كان عطل لوحة المعلومات ناتجًا عن مبنى العميل أو مشكلة اتصالات أو خدمة سحابية أو إجراء عزل من المورد أو حادث لدى متكامل. عندما تكون أنظمة المورد نفسه مخترقة، تكون مهمة العميل الأولى هي فصل سلامة المبنى عن عدم يقين البائع.

تمتلك Johnson Controls موارد عامة للأمن السيبراني وأمن المنتج، بما في ذلك صفحات لأمن المنتج واستشارات الأمن. هذه الموارد مهمة لأنها تخلق قناة عامة للثغرات وإشعارات المنتج والضمان. (أمن منتج Johnson Controls,استشارات أمن Johnson Controls) اختبرت حادثة الفدية في 2023 وظيفة مرتبطة لكنها مختلفة: ما إذا كانت الشركة تستطيع استخدام قنوات موثوقة لشرح التعطيل المؤسسي وتحليل البيانات واستمرارية العملاء دون خلق ضمان زائف.

لا يوجد دليل عام على أن Johnson Controls فشلت في التواصل مع العملاء حيث كان مطلوبًا. كما لا يقدم السجل العام سجل اتصال مفصل. هذا يترك مسألة مساءلة متبقية. للموردين في أسواق المباني القريبة من السلامة، يجب ألا يقاس المعيار فقط بما إذا كانت الشركة قد قدمت إيداعًا لـ SEC، بل بما إذا كان العملاء المتأثرون قد تلقوا معلومات في الوقت المناسب وقابلة للتنفيذ ومحددة بالأدوار سمحت لهم بالحفاظ على تشغيل المباني واتخاذ قرارات الإفصاح الخاصة بهم.

استمرارية القطاع العام ليست مهمة البائع وحده

لا يمكن لعملاء Johnson Controls في القطاع العام تفويض كل الاستمرارية للبائع. أي مستشفى أو منطقة مدرسية أو وكالة بلدية أو سلطة عامة تستخدم أنظمة المباني يجب أن تحتفظ بإجراءات محلية لتشغيل المساحات الحيوية أثناء انقطاع البائع أو الحوادث الإلكترونية أو فشل الاتصالات. يشمل ذلك التجاوزات المحلية وجهات الاتصال الطارئة المختبرة والإجراءات الورقية وقطع الغيار وترتيبات الخدمة البديلة والمراقبة المستقلة حيثما كان مناسبًا، وسلطة واضحة لموظفي المرافق.

لكن هذا لا يعفي المورد. استمرارية البائع والعميل مرتبطة. إذا كان المرفق العام يعتمد على الخدمة السحابية للمورد أو الدعم عن بعد أو عقد المراقبة أو القطع الاحتكارية، يتحكم المورد في معلومات لا يستطيع العميل توليدها بمفرده. يمكن للعميل الحفاظ على خطة طوارئ محلية، لكنه لا يستطيع تحديد بشكل مستقل ما إذا كانت البيانات المسربة للمورد تشمل تذاكر خدمته أو ما إذا كانت هوية وصول البائع عن بعد قد تم كشفها. يجب على المورد تقديم الأدلة أو الإشعار.

سياق الرعاية الصحية والصحة العامة حساس بشكل خاص. تعتمد المرافق على الظروف البيئية والتحكم في الوصول وأنظمة السلامة من الحرائق والحياة وأوامر عمل الصيانة والتبريد والمختبرات ومناطق رعاية المرضى. قد لا يهدد انقطاع البائع المرضى على الفور، لكنه يمكن أن يضيف عبء عمل على فرق المرافق التي تدير بالفعل أولويات سريرية. ينطبق نفس المنطق على المدارس والمكاتب الحكومية ومرافق الطوارئ: عمليات المباني هي بنية تحتية خلفية حتى تفشل أو تصبح غير مؤكدة.

هنا تنقسم المساءلة. سيطرت جهات إجرامية على الاقتحام والابتزاز. سيطرت Johnson Controls على البنية المؤسسية وحوكمة البيانات والاستعادة وضمان العملاء. سيطر عملاء القطاع العام على شروط المشتريات وخطط الاستمرارية والعمليات المحلية. أثرت الهيئات التنظيمية وشركات التأمين على الإفصاح والمطالبات وتوقعات المخاطر. لم يسيطر أي ممثل بمفرده على كامل العواقب، لكن عدة ممثلين سيطروا بما يكفي لئلا يتم اختزال الحدث إلى "عصابة فدية فعلت ذلك".

التأمين والمحاسبة جزء من سجل الحوكمة

تذكر إيداعات Johnson Controls التنسيق مع شركات التأمين وتقول لاحقًا إن تأثير الربع الأول البالغ 27 مليون دولار كان بعد استرداد التأمين. هذه ليست تفصيلة جانبية. يمكن للتأمين الإلكتروني أن يشكل الاستجابة للحوادث من خلال تمويل العمل الجنائي والاستشارات القانونية وتكاليف الاستعادة ونفقات الإشعار ومطالبات انقطاع الأعمال. كما يمكن أن يشكل الأدلة التي يتم جمعها وكيفية تصنيف التكاليف.

استرداد التأمين مفيد للمساهمين، لكنه لا يجيب على سؤال المساءلة التشغيلية. يمكن أن تكون التكلفة مؤمنة وتظل تمثل فشلًا في الضوابط أو انقطاعًا في الأعمال أو عبئًا على العميل أو فجوة استعادة يمكن منعها. بالمقابل، فاتورة استجابة كبيرة لا تثبت بذاتها ضعف الأمن. قد تعكس عملًا جنائيًا حكيمًا وإعادة بناء للبنية التحتية وإشعار العملاء وتحصينًا بعد الحادث. لا تسمح الإيداعات العامة بحكم نظيف في أي اتجاه.

العدسة المحاسبية الأكثر فائدة هي ما يمكن أن يظهره السجل المحاسبي وما لا يمكن أن يظهره. يؤكد تأثير الـ 27 مليون دولار العواقب المالية. يوحي بأن الحادث أثر على توقيت الإيرادات ونفقات الاستجابة بما يكفي ليكون مهمًا في تقرير ربع سنوي. لا يُظهر التكلفة الإجمالية قبل التأمين أو التوزيع بين البائعين الجنائيين والتكاليف القانونية واستثمارات البنية التحتية والطلبيات المفقودة والإيرادات المؤجلة وأرصدة العملاء والعمل الإضافي للموظفين أو المراقبة المستقبلية. كما لا يُظهر ما إذا كانت أي تكاليف للعملاء أو القطاع العام قد تم نقلها خارج حسابات Johnson Controls.

استمرار مناقشة التقرير السنوي للسنة المالية 2024 للتكاليف الكبيرة المحتملة والمعالجة والمطالبات القانونية أو إجراءات الإنفاذ يظهر أن الحدث بقي مسألة حوكمة بعد الاستعادة التقنية. هذا طبيعي لبرمجيات الفدية مع تسريب البيانات. الحدث لا ينتهي عندما تعود التطبيقات. ينتهي فقط بعد أن تستطيع الشركة حساب البيانات والإشعار حيثما كان مطلوبًا وتسوية المطالبات وتحصل الأنظمة وتظهر أن الاستعادة لم تترك كشفًا خفيًا.

التقرير المفصل المفقود هو الفجوة الرئيسية في الأدلة

الأدلة العامة جيدة بشكل غير عادي من ناحية: إيداعات Johnson Controls أوضح من العديد من إفصاحات الفدية للشركات العامة لأنها تذكر في النهاية الوصول غير المصرح به وتسريب البيانات وبرمجيات الفدية والبنية التحتية لتكنولوجيا المعلومات الداخلية المتأثرة وتعطيل تطبيقات الأعمال والاستعادة والتأثير الكمي. هذا ذو معنى. يعطي المستثمرين والعملاء أكثر من مجرد تسمية "حادث أمني" غامضة.

الأدلة لا تزال غير مكتملة. لا يحدد السجل العام المهاجم، على الرغم من أن وسائل الإعلام وتقارير استخبارات التهديدات ناقشت ممثلين محتملين للفدية ومطالب. لا يقدم سجل قضائي أو نسب من سلطات إنفاذ القانون أو إفصاح عن دفع الفدية أو تقرير جنائي مستقل أو قائمة بفئات البيانات. لا يشرح ما إذا كانت الشركة دفعت أو رفضت المطلب. لا يقدم إحصائيات إشعار العملاء. لا يظهر ما إذا كانت الأنظمة المتأثرة تشمل بوابات العملاء أو إرسال الخدمة أو المراقبة عن بعد أو عمليات أمن المنتج أو أنظمة التطوير أو البنية التحتية للهوية.

قد تكون هذه الإغفالات ضرورية قانونيًا أو تشغيليًا. غالبًا ما تتجنب الشركات نشر التفاصيل التي يمكن أن تساعد المهاجمين أو تضر بالتحقيقات. ومع ذلك، يؤثر الغياب على المساءلة. بدون تقرير مفصل أو حزمة ضمان عملاء مكافئة، لا يستطيع المراقبون الخارجيون تقييم ما إذا كان الحادث حدثًا مؤسسيًا محتوى بإحكام أم فشلًا أوسع لمنصة الأعمال أم فشلًا في حوكمة البيانات أم مزيجًا من ذلك.

لهذا السبب يجب أن تبقى الادعاءات محددة. من العدل القول إن Johnson Controls تعرضت لحادث فدية مع تسريب بيانات وتعطيل لتطبيقات الأعمال. من العدل القول إن دورها في تكنولوجيا المباني جعل الحادثة مسألة استمرارية للمورد بالنسبة لملاك المرافق وعملاء القطاع العام. ليس من العدل، بناءً على الأدلة العامة وحدها، القول إن المهاجمين سيطروا على مباني العملاء، أو أن فئة معينة من العملاء قد تعرضت، أو أن ثغرة تقنية معينة تسببت في الاقتحام، أو أن Johnson Controls انتهكت واجبًا قانونيًا.

المتكاملون حملوا جزءًا من عبء الضمان

نادرًا ما يتم توصيل تكنولوجيا المباني من مركز شركة واحد يتحدث مباشرة إلى كل مشغل مبنى. يتم تركيبها وصيانتها وتوسيعها عادة من خلال فروع محلية ومتكاملين ومقاولين وفرق مشاريع وأقسام مرافق العملاء. هذا يجعل مساءلة الحادث أكثر توزيعًا مما يوحي به رسم تخطيطي بسيط للبائع والعميل. إذا تدهورت التطبيقات المركزية، قد تظل الفرق المحلية قادرة على خدمة المباني. لكنها قد تضطر للقيام بذلك مع وصول غير مكتمل لأوامر العمل وتأخر في رؤية قطع الغيار وتقليص مسارات التصعيد وملاحظات يدوية وهواتف بديلة أو عدم يقين بشأن أي سجلات العملاء حديثة.

هذه الطبقة المحلية مهمة لأن العديد من المرافق تختبر استمرارية البائع من خلال الأشخاص الذين يصلون إلى الموقع. لا تفرق منطقة مدرسية بالضرورة بين تكنولوجيا المعلومات المؤسسية لـ Johnson Controls ومكتب خدمة محلي ومقاول من الباطن ومتكامل أتمتة مباني عندما يحتاج إنذار مبرد أو مسألة تحكم في الوصول إلى اهتمام. يسأل العميل ما إذا كان يمكن حل المشكلة، وما إذا كان الفني لديه التاريخ الصحيح، وما إذا كانت قناة الخدمة موثوقة، وما إذا كان أي قيد متعلق بالحادث يغير الإجراءات العادية.

في حدث الفدية، يصبح المتكاملون أيضًا مترجمي الأدلة. قد يتلقون تعليمات مركزية حول ما يجب قوله، وأي الأنظمة يجب استخدامها، وأي الاتصالات عن بعد يجب تجنبها، وأي إجراءات الطوارئ يجب اتباعها، أو أي أسئلة العملاء يجب تصعيدها. إذا كانت هذه التعليمات متأخرة أو غامضة، يمكن للموظفين المحليين إنشاء رسائل غير متسقة عن غير قصد. قد يُقال لعميل إن أنظمة المكاتب الخلفية فقط هي التي تأثرت. وقد يُقال لآخر أن يوقف الوصول عن بعد. وقد لا يتلقى آخر أي تفاصيل تشغيلية على الإطلاق. حتى لو كانت جميع التصريحات حَسَنة النية، يصبح عدم الاتساق جزءًا من الضرر لأن العملاء يجب أن يقرروا أي المعلومات يثقون بها.

هذا ليس ادعاءً بأن شبكة متكاملي Johnson Controls فشلت. السجل العام لا يظهر ذلك. إنه ادعاء حول أين تقع أعمال الاستمرارية. يجب على المورد الذي لديه عملاء مرافق عامة أن يعامل تواصل الخدمة الميدانية والمتكاملين كجزء من الاستجابة للحوادث، وليس كمهمة علاقات عامة لاحقة. هذا يعني إعداد أشجار رسائل ومسارات دعم طارئ وإجراءات أوامر عمل غير متصلة وتحقق من هوية الفنيين وقواعد تصعيد خاصة بالعميل وطريقة للتوفيق بين العمل اليدوي بعد عودة التطبيقات.

تنطبق النقطة نفسها على ضمان أمن المنتج. يمكن لصفحة أمن منتج مركزية أن تنشر استشارات ومسارات اتصال، لكن العملاء المحليين قد يسألون الفرق الميدانية عما إذا كانت الاستشارة تتعلق بمبناهم أو إصدار متحكمهم أو تكوين وصولهم عن بعد أو عقد خدمتهم المدارة. خلال حدث فدية مؤسسي، تحتاج تلك الفرق الميدانية إلى خط موثوق بين معلومات ثغرات المنتج ومعلومات الحادث المؤسسي. وإلا فقد يخلط العملاء بين إفصاح فدية مؤسسي واختراق منتج، أو لا يتفاعلون بشكل كاف لأنهم يفترضون أنه لم يتورط أي منتج.

أقوى دليل على الاستعادة سيشمل إذًا جاهزية الشريك والمتكامل، وليس فقط الاستعادة المركزية. سيظهر أن فرق الخدمة المحلية عرفت أي الأنظمة موثوقة وكيف تتحقق من هوية الفني وكيف توثق الخدمة اليدوية وكيف تجيب على أسئلة كشف البيانات وكيف تنتقل من الوضع المتدهور إلى العمليات الطبيعية. هذه هي الطبقة العملية حيث تبقى حادثة فدية تكنولوجيا المباني إما قابلة للإدارة أو تصبح مشكلة استمرارية تحركها الشائعات.

كيف ستبدو أدلة الاستعادة الجيدة

سيكون لسجل الاستعادة المفيد لهذا النوع من الحوادث عدة طبقات. أولاً، سيحدد البيئة المتأثرة بفئات واضحة دون الكشف عن تفاصيل قابلة للاستغلال: تطبيقات المؤسسة، خدمات الهوية، أنظمة دعم العملاء، أنظمة تطوير المنتج، الخدمات السحابية، أدوات الدعم عن بعد، إرسال الخدمة، الأنظمة المالية، ومستودعات البيانات. ثانيًا، سيشرح أي الخدمات الموجهة للعملاء كانت غير متاحة أو متدهورة وكم من الوقت. ثالثًا، سيذكر ما إذا كانت بيانات اعتماد العملاء أو معلومات المرافق أو سجلات الخدمة أو البيانات الحساسة الأخرى للعملاء قد تعرضت، مع قنوات إشعار للأطراف المتأثرة.

رابعًا، سيصف ضمان الاستعادة: ما إذا كانت الأنظمة قد أعيد بناؤها أو استعيدت من النسخ الاحتياطي أو صودق عليها من قبل أطراف ثالثة أو روقبت للبقاء ورُوجعت لإساءة استخدام الحسابات المميزة. خامسًا، سيشرح إجراءات استمرارية العملاء، بما في ذلك مسارات الدعم الطارئ والخطة البديلة للخدمة الميدانية واستمرارية استشارات أمن المنتج والإرشادات للمرافق التي تعتمد على خدمات البائع السحابية. سادسًا، سيفصل التأثير المالي على مستوى الشركة عن العواقب التشغيلية على العملاء أو القطاع العام.

هذه ليست مطالب غير واقعية لكل حادث. إنها متناسبة مع دور مورد يمكن أن تدعم منتجاته وخدماته المساحات المادية. قد يدين بائع البرمجيات كخدمة بشفافية حالة المنصة. يدين مورد تكنولوجيا المباني بذلك وشيء أكثر: ضمان أن الطبقة الرقمية التي تدعم المباني قد تم فصلها عن أي طبقة مؤسسية مخترقة وأن العملاء يعرفون ما يجب فعله بينما يبقى عدم اليقين.

هذا المعيار للأدلة يتماشى مع الإرشادات العامة بدلاً من الحكمة المتأخرة المختلقة. تؤكد إرشادات CISA للفدية وأهداف الأداء على تخطيط الاستجابة والنسخ الاحتياطي وضوابط الوصول والتجزئة واتصالات الحوادث والاستعادة. يؤكد إطار NIST على وظائف الحوكمة والاستعادة. تؤكد قواعد الإفصاح لـ SEC على معلومات الحوادث المادية في الوقت المناسب للمستثمرين. لا يتطلب أي من هذه المصادر من الشركة أن تنشر كتيبها الكامل، لكنها معًا تحدد توقعًا عامًا بأن الحوادث الإلكترونية الخطيرة يجب أن تُشرح بمصطلحات تشغيلية، لا أن توصف فقط كأحداث إجرامية. (دليل CISA لـ StopRansomware,أهداف أداء الأمن السيبراني من CISA,إطار NIST للأمن السيبراني,القاعدة النهائية لـ SEC)

المساءلة تتبع السيطرة

لا ينبغي معاملة حادثة Johnson Controls كمسرحية أخلاقية عن شرير واحد أو لائحة اتهام بسيطة لشركة واحدة. الحقائق العامة تشير إلى وصول إجرامي غير مصرح به وبرمجيات الفدية. هذه هي المسؤولية الأولى. لكن تحليل المساءلة يسأل سؤالًا مختلفًا: من كان لديه السيطرة العملية على المخاطر التي جعلت الحادث ذا عواقب؟

سيطرت Johnson Controls على تجزئة المؤسسة وحوكمة الهوية والاحتفاظ بالبيانات وتصميم النسخ الاحتياطي واستعادة تطبيقات الأعمال واستمرارية دعم العملاء وحوكمة الإفصاح وتنسيق التأمين واستثمار المعالجة. سيطر مجلس إدارتها والمديرون التنفيذيون على كيفية إدارة مخاطر الأمن السيبراني ومدى سرعة تحويل عدم اليقين إلى معلومات قابلة للتنفيذ. سيطرت فرقها التقنية والبائعون على التحقيق والاحتواء والاستعادة. سيطرت منظمات منتجها وعملائها على كيفية تلقي ملاك المباني والمتكاملين والفرق الميدانية للإرشاد.

سيطر العملاء على المشتريات والخطة البديلة المحلية ومتطلبات العقود وخطط التشغيل الطارئة. سيطرت الوكالات العامة والكيانات المنظمة على توقعات استمراريتها وإجراءات التصعيد. سيطرت شركات التأمين على أجزاء من التعويض والطلب على الأدلة. سيطرت الهيئات التنظيمية على توقعات الإفصاح والإنفاذ. يمكن لكل من هذه الجهات أن تشير إلى دور جهة أخرى، لكن لا يمكن لأي منها أن يقول بشكل معقول إن الحدث لم يكن ذا صلة بضوابطها الخاصة.

أهم درس ليس أن كل نظام مباني يجب أن يفصل عن كل خدمة بائع. تكنولوجيا المباني المتصلة توفر قيمة حقيقية. الدرس هو أن تكنولوجيا المباني المتصلة تحول صمود البائع إلى جزء من صمود المرفق. إذا عطل حدث فدية داخلي لمورد تطبيقات الأعمال وسرب البيانات، يحتاج مالك المبنى إلى إجابات تتعلق بالعمليات، وليس فقط بأهمية المساهمين.

أعطت إيداعات Johnson Controls للسوق حقائق ذات معنى. لم تعط الجمهور سجل استمرارية كامل. هذه الفجوة هي النتيجة المركزية للمقال. في تكنولوجيا المباني، الاستعادة ليست مجرد استعادة التطبيقات الداخلية. الاستعادة هي إثبات للعملاء أن المباني وقنوات الخدمة والهويات والبيانات وضمان المنتج بقيت جديرة بالثقة بينما يعيد المورد بناء الأنظمة من حولها.