ملخص

  • يهُمّ الهجوم الإلكتروني التدميري لشركة Sony Pictures Entertainment عام 2014 لأن البرامج الضارة لم تكتفِ بسرقة البيانات فحسب، بل عطلت محطات العمل المؤسسية، والخوادم، والبريد الإلكتروني، والاتصالات الداخلية، وسجلات الموظفين، والمراسلات التنفيذية، وتخطيط إصدار الأفلام، وعمليات الأعمال العادية.
  • سؤال المساءلة هو من كانت لديه السيطرة العملية على تعزيز نقاط النهاية، والوصول المميز، واحتواء البرامج الضارة التدميرية، وسلطة النسخ الاحتياطي وإعادة البناء، وإشعار الموظفين، وقرارات استمرارية الأعمال، وإثبات أن التعافي قلل من التعرض المتكرر.
  • أرجعت سجلات الحكومة الأمريكية لاحقًا العملية إلى أنشطة مرتبطة بكوريا الشمالية، وجعلت العقوبات والتهم الجنائية الحدث جزءًا من السجل العام للأمن القومي بالإضافة إلى كونه حادثًا مؤسسيًا.
  • أقوى درس ليس أن أي شركة يمكنها منع كل اقتحام تدميري، بل أن الشركة التي لديها بيانات حساسة للموظفين، وملكية فكرية غير منشورة، واعتماد على الشركاء، يجب أن تكون قادرة على إعادة البناء من مصادر موثوقة وشرح الأدلة التي تدعم هذه الثقة.
  • تستخدم هذه المقالة مراجع من مكتب التحقيقات الفيدرالي، ووزارة العدل، والخزانة، و CISA، وهيئة الأوراق المالية والبورصات، وتقارير Sony المؤسسية، وسجلات المحاكم، وتقارير الاستجابة للحوادث، وإشارات التعافي من الأمن السيبراني. لا تدعي الوصول إلى الصور الجنائية الخاصة لـ Sony Pictures، أو تذاكر إعادة البناء الداخلية، أو أدلة إنفاذ القانون غير الموجودة في السجل العام، أو ملفات الضرر لكل موظف على حدة.

لماذا تنتمي هذه القضية إلى ملف المخاطرة والمساءلة

تنتمي Sony Pictures إلى ملف المخاطرة والمساءلة لأن هجوم 2014 جعل التعافي السيبراني ماديًا بطريقة لا تستطيع لغة خرق البيانات العادية وصفها. وصل الموظفون إلى أجهزة كمبيوتر معطلة، ورسائل تهديدية، وبريد إلكتروني معطل، وسجلات داخلية مكشوفة، ومراسلات مسربة، وبيئة أعمال حيث كان على الشركة أن تقرر ما إذا كانت أنظمتها يمكن الوثوق بها بما يكفي لمواصلة العمل. الاقتحام التدميري لا ينتظر مذكرة قانونية لتقرر ما يعتبر ضررًا. إنه يضر بمحطة العمل، والخادم، والمجلد المشترك، والتقويم التجاري، وملف الموارد البشرية، وخطة الإصدار، وعلاقة الشريك، وشعور الموظف بأن صاحب العمل يمكنه حماية السجلات الخاصة.

التحديث العام لمكتب التحقيقات الفيدرالي حول تحقيق Sony علىhttps://www.fbi.gov/news/press-releases/update-on-sony-investigationقال إن المكتب لديه معلومات كافية لاستنتاج أن الحكومة الكورية الشمالية كانت مسؤولة عن الهجوم الإلكتروني ضد Sony Pictures Entertainment. وزارة العدل الأمريكية وصفت لاحقًا هجوم Sony في إعلان الاتهام لعام 2018 لمبرمج مدعوم من نظام كوريا الشمالية علىhttps://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-andوربطت النشاط بمؤامرة أوسع تضم برامج ضارة تدميرية، وسرقة بيانات، وابتزاز، وعمليات إلكترونية أخرى. إعلان عقوبات وزارة الخزانة علىhttps://home.treasury.gov/news/press-releases/sm473وضع هجوم Sony داخل السجل العام للنشاط الإلكتروني الخبيث لكوريا الشمالية.

تلك السجلات الحكومية مهمة، لكنها لا تستنفد مشكلة المساءلة. الإسناد يجيب على سؤال واحد: من هاجم؟ العملاء، الموظفون، الشركاء، شركات التأمين، والجهات التنظيمية احتاجوا إجابة أخرى: من داخل المؤسسة كانت لديه السيطرة العملية على الظروف التي جعلت التعافي ممكنًا أو مستحيلًا؟ الهجوم كان خارجيًا. سطح التعافي كان داخليًا. Sony Pictures سيطرت على تصميم نقاط النهاية، وإدارة الوصول المميز، والتقسيم، والنسخ الاحتياطية، واستمرارية البريد الإلكتروني، وإشعار الموظفين، وأولويات إعادة البناء، وأدلة الإصلاح. تطبيق القانون يمكنه الإسناد. كان على الشركة أن تتعافى.

يتناسب الحدث مع الموضوعات المعلنة لأتمتة برمجيات المؤسسات، واستمرارية خدمات المؤسسات الصغيرة والمتوسطة، وأتمتة الأمان لأن استوديو الأفلام هو أيضًا مكتب يعتمد على البرمجيات، ومركز شركاء، ومعالج رواتب، وسير عمل إعلامي، ومنسق توزيع. قد تكون شركة ترفيه كبيرة، لكن العديد من تبعياتها تتصرف مثل تبعيات استمرارية الأعمال الصغيرة والمتوسطة: عقود الموردين، شركات الإنتاج، المكاتب المحلية، شركاء التسويق، فرق التوزيع، الموظفون، المقاولون، الوكالات، وسلاسل توريد السينما جميعها تحتاج إلى اتصالات وسجلات موثوقة. عندما تُمسح محطات العمل والخوادم، تشعر تلك الفرق المعتمدة بالانقطاع حتى لو لم ترَ البرامج الضارة أبدًا.

يُظهر السجل العام أيضًا لماذا البرامج الضارة التدميرية هي فئة مختلفة من اختبار المساءلة. حذر تنبيه CISA لعام 2014 حول البرامج الضارة التدميرية المستهدفة علىhttps://www.cisa.gov/news-events/alerts/2014/12/19/ta14-353a-targeted-destructive-malwareمن أن البرامج الضارة التدميرية يمكن أن تجعل الأنظمة غير قابلة للتشغيل، وتستبدل سجلات الإقلاع الرئيسية، وتدمر الملفات، وتسبب اضطرابًا تشغيليًا. ذلك التنبيه لم يكن تقريرًا خاصًا لـ Sony، لكنه وصف فئة التحكم التي كشف عنها الهجوم. الشركة التي تواجه برامج ضارة تدميرية تحتاج إلى أكثر من حظر محيطي. تحتاج إلى مصادر نسخ احتياطي موثوقة، وصور إعادة بناء، واحتواء للوصول المميز، واسترداد مجزأ، وخطة لتقرر ما يمكن أن يعود إلى الإنتاج.

المحفز المرئي كان الاضطراب، لكن القضية الأعمق كانت الثقة في إعادة البناء

التقارير العامة من تلك الفترة وصفت شركة أُجبرت على حلول عمل يدوية. ذكرت صحيفة نيويورك تايمز علىhttps://www.nytimes.com/2014/12/03/business/media/sony-is-again-target-of-hackers.htmlالاضطراب والبيانات الداخلية المسربة. لخصت Wired علىhttps://www.wired.com/2014/12/sony-hack-what-we-know/البرامج الضارة، والتسريبات العامة، والتهديدات، وعدم اليقين. وصفت رويترز علىhttps://www.reuters.com/article/us-sony-cybersecurity-idUSKBN0JR20T20141213الضغوط التجارية والدبلوماسية حول الحدث. هذه المصادر الثانوية لا ينبغي معاملتها كأدلة تقنية كاملة. إنها مفيدة لأنها تظهر كيف أصبح هجوم على محطات العمل بسرعة أزمة استمرارية مؤسسية وثقة عامة.

المحفز كان وصولًا تدميريًا إلى الأنظمة المؤسسية. القضية الأعمق كانت الثقة. بعد أن تمسح البرامج الضارة الأجهزة، وتكشف البيانات، وتظهر الوصول إلى السجلات الداخلية، لا يمكن للمنظمة ببساطة شراء أجهزة جديدة وإعلان انتهاء الحادث. يجب أن تعرف ما إذا كانت الصور المستخدمة لإعادة البناء نظيفة، وما إذا كانت صلاحيات المسؤول قد تم تغييرها، وما إذا كانت وحدات تحكم المجال وأنظمة الهوية موثوقة، وما إذا كانت النسخ الاحتياطية تسبق الاختراق، وما إذا كانت الأسرار المشتركة قد كشفت، وما إذا كان الحراك الجانبي محتوى، وما إذا كانت الأنظمة المستعادة ستتصل بالبنية التحتية المعادية.

لهذا السبب يؤطر المقال القضية حول إعادة بناء محطات العمل. إعادة البناء ليست مهمة كتابية. إنها ادعاء أدلة. تقول إن المنظمة يمكنها تحديد مصدر نظيف، وإعادة التثبيت أو الاستعادة بأمان، وإعادة توصيل الجهاز بشبكة تم فحصها، وإعادة إصدار بيانات الاعتماد، والسماح للمستخدم بالعمل دون إعادة إدخال المهاجم. بالنسبة لاقتحام تدميري، جودة إعادة البناء هي جودة الاستمرارية.

دليل NIST للتعافي من حوادث الأمن السيبراني، SP 800-184، علىhttps://csrc.nist.gov/pubs/sp/800/184/finalيعطي مفردات التحكم. يركز على تخطيط التعافي، وأولويات الاستعادة، والاتصالات، وتحليل السبب الجذري، والتحسين بعد الحدث. إطار NIST للأمن السيبراني علىhttps://www.nist.gov/cyberframeworkيؤطر نفس الحلقة من خلال التحديد، والحماية، والكشف، والاستجابة، والتعافي. تلك الوثائق لا تقول ما فعلته Sony Pictures داخليًا في أي يوم معين. إنها تصف المعيار الذي يجب أن يحكم به برنامج التعافي: يجب أن يكون التعافي مخططًا، ومختبرًا، ومرتبًا حسب الأولوية، ومتواصلًا، ومحسنًا، وليس مرتجلًا بالكامل أثناء الأزمة.

مشكلة الأدلة البشرية لا تقل أهمية. احتاج الموظفون إلى إشعار حول البيانات الشخصية المكشوفة ودعم عملي لمخاطر الهوية. احتاج الشركاء إلى ثقة في أن الاتصالات وخطط التوزيع يمكن أن تستأنف. احتاج المسؤولون التنفيذيون إلى قناة اتصال قانونية وآمنة. احتاجت فرق تكنولوجيا المعلومات إلى سلطة قطع الاتصال، وإعادة البناء، وإعادة إصدار الوصول. كان كائن المساءلة هو نظام الثقة بأكمله، وليس فقط الأجهزة.

جعلت بيانات الموظفين الهجوم قضية مساءلة صاحب العمل

غالبًا ما يُذكر هجوم Sony Pictures بسبب رسائل البريد الإلكتروني المسربة والجدل حول فيلم "The Interview". يمكن لتلك الذاكرة الثقافية أن تحجب قضية مساءلة صاحب العمل. كشف الحادث عن معلومات حساسة للموظفين والموظفين السابقين، بما في ذلك سجلات شخصية لم يختر المتأثرون جعلها عامة. الهجوم التدميري الذي يكشف أيضًا سجلات الموظفين يخلق التزامين متوازيين: استعادة الأعمال وحماية الأشخاص الذين وُضعت بياناتهم في خطر.

سجل الدعوى الجماعية جزء من ملف المساءلة العامة. موقع التسوية علىhttps://www.speemployeedatasecuritysettlement.comومواد المحكمة في قضية Corona ضد Sony Pictures Entertainment جعلت عواقب بيانات الموظفين مرئية قانونيًا. التسوية لم تثبت كل ادعاء متنازع عليه كحقيقة، لكنها عكست الواقع العملي بأن الموظفين والموظفين السابقين ادعوا ضررًا من كشف المعلومات الشخصية. تغطية Bloomberg Law علىhttps://news.bloomberglaw.com/privacy-and-data-security/sony-pictures-reaches-settlement-in-data-breach-suitوغيرها من التقارير القانونية وصفت مسار التسوية. لتحليل المساءلة، النقطة ليست فقط المبلغ بالدولار وحده. النقطة هي أن هجومًا مؤسسيًا تدميريًا أصبح قضية خصوصية وحماية للموظفين.

سيطرة صاحب العمل تختلف عن سيطرة العميل. لا يمكن للموظف اختيار نظام الموارد البشرية للشركة، أو خادم ملفات الرواتب، أو أرشيف البريد الإلكتروني، أو صورة محطة العمل. صاحب العمل يختار الاحتفاظ، والتجزئة، والوصول، والتسجيل، والتشفير، واتصالات الحادث. عندما تتسرب سجلات الموظفين، يصبح سؤال المساءلة ما إذا كان صاحب العمل قد قلل من حجم البيانات الحساسة المتاحة للمهاجمين، وحماها بشكل متناسب، واكتشف الوصول غير المصرح به بسرعة، ودعم المتأثرين بعد الكشف. العار العام للمسؤولين التنفيذيين قد يجذب العناوين، لكن بيانات الموظفين المكشوفة يمكن أن تتبع العمال لفترة طويلة بعد انتهاء دورة الأخبار.

سجلات تكافؤ فرص العمل، والضرائب، وكشوف الرواتب، والمزايا، والهجرة، وتوظيف الإنتاج التي قد يحتفظ بها الاستوديو ليست قابلة للتبادل مع مواد التسويق. يمكن أن تشمل أرقام الضمان الاجتماعي، والرواتب، والعقود، والمعلومات الطبية أو المتعلقة بالمزايا، وجوازات السفر، وتفاصيل الخلفية، والنزاعات الداخلية، والمعلومات العائلية. الأدلة العامة لا تتطلب ادعاء كل فئة لكل شخص. إنها تدعم نقطة أضيق ولاتزال خطيرة: الشركة التي تحتفظ ببيانات حساسة للموظفين لديها التزام بهيكلة الوصول بحيث لا يصبح اختراق الشبكة المؤسسية بسهولة كشفًا لسجلات الموظفين.

يجب أن يكون إشعار الموظفين تشغيليًا أيضًا. يحتاج المتأثرون إلى معرفة ما تم كشفه، وما هو الحماية المقدمة، وأي وكالات أو خدمات الاتصال، ومدة المراقبة، وما إذا كان صاحب العمل سيساعد إذا ظهر سوء الاستخدام لاحقًا. إشعارات الاختراق العامة قد تلبي الحد الأدنى القانوني، لكنها لا تجيب على سؤال المساءلة الكامل. يحتاج الموظفون إلى عملية دعم دائمة لأن المهاجم يختار توقيت سوء الاستخدام، وليس الشركة.

الإسناد العام لم يزل الحاجة إلى الإصلاح الداخلي

إسناد الحكومة الأمريكية إلى كوريا الشمالية هو جزء كبير من سجل Sony. تحديث مكتب التحقيقات الفيدرالي علىhttps://www.fbi.gov/news/press-releases/update-on-sony-investigationاستشهد بالتحليل الفني، وتداخل البنية التحتية، والروابط لأنشطة أخرى. شكوى وزارة العدل والوثائق ذات الصلة في 2018 وسعت السجل بادعاءات حول Park Jin Hyok والمتآمرين معه. عقوبات الخزانة والتوجيهات الحكومية الأمريكية اللاحقة حول النشاط الإلكتروني الخبيث لكوريا الشمالية، بما في ذلك مواد CISA حول Hidden Cobra علىhttps://www.cisa.gov/news-events/alerts/2017/06/13/alert-ta17-164a-hidden-cobra-north-korean-malicious-cyber-activity، ساعدت في تحويل الهجوم إلى مرجع سياسة دائم.

ذلك الإسناد كان مهمًا للردع، والعقوبات، والدبلوماسية، وإنفاذ القانون. كما خلق خطر إزاحة السرد. بمجرد تسمية مهاجم مرتبط بدولة، يمكن أن تبدو المنظمة الضحية فريدة من نوعها في عدم تكافؤها. أحيانًا هذا صحيح. لكن وجود مهاجم قادر لا يمحو الأسئلة حول الضوابط المؤسسية. البرامج الضارة التدميرية لا تزال تحتاج إلى التشغيل على نقاط النهاية أو الخوادم. بيانات الاعتماد المميزة لا تزال مهمة. التقسيم لا يزال مهمًا. النسخ الاحتياطية لا تزال مهمة. التسجيل لا يزال مهمًا. اتصالات التعافي لا تزال مهمة. العملية المرتبطة بدولة يمكن أن تكون عدوانًا خارجيًا واختبارًا للمرونة الداخلية.

إعلان وزارة العدل لعام 2018 علىhttps://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-andوصف هجوم Sony كجزء من مؤامرة تضمنت التصيد الاحتيالي، والبرامج الضارة، وسرقة البيانات، والنشاط التدميري. سجل الشكوى الجنائية علىhttps://www.justice.gov/opa/press-release/file/1092091/downloadيوفر مزيدًا من التفاصيل حول الادعاءات. تلك المصادر تساعد في شرح طريقة المهاجم، لكنها تظهر أيضًا لماذا مرونة التصيد الاحتيالي، ونظافة بيانات الاعتماد، والتقسيم الإداري، ومراقبة نقاط النهاية هي جزء من المساءلة المؤسسية. إذا كان الطريق الأولي هو الخداع أو سوء استخدام بيانات الاعتماد، فإن التزام التعافي يشمل تقليل قيمة نفس الطريق في المستقبل.

بيان عقوبات الخزانة علىhttps://home.treasury.gov/news/press-releases/sm473والتوجيهات اللاحقة حول الأمن السيبراني لكوريا الشمالية علىhttps://www.cisa.gov/news-events/cybersecurity-advisories/aa20-106aتضيف درسًا آخر. الإسناد العام يمكن أن يستمر لسنوات. التعافي المؤسسي، مع ذلك، يجب أن يحدث فورًا. يحتاج الموظفون إلى أنظمة عاملة قبل أن تختتم الدبلوماسية. يحتاج الشركاء إلى قرارات إنتاج قبل أن تُكشف لوائح الاتهام. فجوة التوقيت تلك تعني أن قادة المؤسسات لا يمكنهم الاستعانة بالاستمرارية إلى الإسناد الحكومي. يحتاجون إلى أدلة التعافي الخاصة بهم بينما تتكشف العمليات الحكومية.

استمرارية الأعمال تضمنت توزيع الأفلام وثقة الشركاء

الجدل حول فيلم "The Interview" جعل استمرارية أعمال Sony Pictures مرئية للجمهور. الهجوم والتهديدات المحيطة بالفيلم أثرت على قرارات الإصدار، والمشاركة في دور العرض، والتوزيع الرقمي، والنقاش العام. بيان وزارة الأمن الداخلي المبلغ عنه من DHS علىhttps://www.dhs.gov/news/2014/12/18/statement-secretary-jeh-c-johnson-security-movie-theatersأكد أنه لم تكن هناك معلومات استخباراتية موثوقة عن مؤامرة نشطة ضد دور العرض في ذلك الوقت. الإصدار الرقمي والمسرحي المحدود لاحقًا لـ Sony أظهر أن استمرارية الأعمال لم تكن مسألة تكنولوجيا معلومات فقط. كانت مشكلة تنسيق بين الاستوديو، ودور العرض، والمنصات الرقمية، وإنفاذ القانون، وشركات التأمين، والموظفين، والجماهير.

هذا مهم لأن قرارات التعافي السيبراني يمكن أن تصبح قرارات سياسة الأعمال. إذا كان البريد الإلكتروني معطلاً، من يمكنه تفويض تغييرات التوزيع؟ إذا كانت الأنظمة الداخلية غير موثوقة، كيف تُراجع العقود؟ إذا ذكرت رسائل التهديد أماكن مادية، كيف تنسق الشركة مع الحكومة والشركاء دون تضخيم الذعر؟ إذا تم تسريب مواد غير منشورة، كيف تحمي الشركة الملكية الفكرية مع مواصلة العمليات؟ الهجوم الإلكتروني التدميري يمكن أن يفرض قرارات تنفيذية قبل اليقين الجنائي.

التقارير المالية لشركة Sony Corporation أعطت المستثمرين نظرة على مستوى المؤسسة. مواد Sony السنوية والمستثمرين، بما في ذلك التقارير المتاحة عبرhttps://www.sony.com/en/SonyInfo/IR/library/ar/وإيداعات هيئة الأوراق المالية والبورصات المتاحة عبرhttps://www.sec.gov/edgar/browse/?CIK=313838، وضعت الحادث في سياق مخاطر الأعمال الأوسع. تلك السجلات ليست يوميات مفصلة للاستجابة للحوادث. إنها مهمة لأن الشركات العامة يجب أن تترجم الاضطراب السيبراني إلى إفصاح عن المخاطر، وتكلفة، وسياق تشغيلي للمستثمرين.

توجيهات الإفصاح عن الأمن السيبراني لهيئة الأوراق المالية والبورصات، المنعكسة الآن في صفحة قواعد الأمن السيبراني للهيئة علىhttps://www.sec.gov/intelligence team/speeches-statements/cybersecurity-risk-management-strategy-governance-and-incident-disclosure، توفر إطارًا آخر للمساءلة. الهجوم التدميري يمكن أن يكون جوهريًا لأنه يؤثر على العمليات، والتعرض القانوني، وتكلفة المعالجة، والسمعة، والحوكمة. حادث Sony سبق قواعد الإفصاح الأمريكية اللاحقة، لكن نفس أسئلة الحوكمة تنطبق: ما الذي عرفه القادة، وكيف أشرفوا على التعافي، وما الأدلة التي دعمت البيانات العامة حول تأثير الأعمال؟

ثقة الشريك تختلف أيضًا عن سمعة العلامة التجارية العادية. موزعو الأفلام، وشركاء الإنتاج، وممثلو المواهب، والوكالات، والموردون، وموردو التكنولوجيا يجب أن يشاركوا معلومات سرية مع الاستوديو. إذا اعتقد هؤلاء الشركاء أن الاتصالات الداخلية، أو العقود، أو خطط الإصدار قد تكون مكشوفة، فقد يغيرون كيفية تعاونهم. إصلاح المساءلة يتضمن بالتالي تغييرات في العمليات التجارية، وليس فقط آلات معاد بناؤها.

النسخ الاحتياطية وصور إعادة البناء هي الضوابط الاستمرارية

البرامج الضارة التدميرية تحول الانتباه من السرية إلى قابلية التعافي. الشركة يمكن أن تقضي سنوات في تحسين التحكم في الوصول وتفشل إذا لم تستطع إعادة البناء من مصادر موثوقة. صور محطات العمل، ونسخ الخوادم الاحتياطية، ونسخ مخازن الهوية الاحتياطية، وحزم نشر التطبيقات، ومفاتيح التشفير، ومفاتيح التوقيع، ورسومات الشبكة، وقوائم الاتصال في حالات الطوارئ، وجهات اتصال الموردين تصبح أصولًا للبقاء. إذا كانت تلك الأصول قابلة للوصول من قبل نفس المهاجم، فإن النسخ الاحتياطي موجود فقط في المظهر.

تنبيه CISA حول البرامج الضارة التدميرية المستهدفة علىhttps://www.cisa.gov/news-events/alerts/2014/12/19/ta14-353a-targeted-destructive-malwareأوصى بممارسات أفضل مثل الحفاظ على النسخ الاحتياطية، والتحقق من سلامة النسخ الاحتياطية، واستخدام أقل امتياز، وتقسيم الشبكات، وممارسة خطط الاستجابة للحوادث. قيمة التنبيه هي أنه يصف الضوابط التي يجب أن تكون صحيحة قبل الهجوم. بعد تشغيل أدوات المسح، قد يكون قد فات الأوان لاكتشاف أن النسخ الاحتياطية كانت متصلة بالإنترنت، أو غير مختبرة، أو مشفرة من قبل مهاجم، أو تعتمد على نفس بيانات اعتماد المجال التي تم اختراقها.

NIST SP 800-34 حول التخطيط للطوارئ علىhttps://csrc.nist.gov/pubs/sp/800/34/r1/finalو SP 800-184 علىhttps://csrc.nist.gov/pubs/sp/800/184/finalيساعدان في فصل حيازة النسخ الاحتياطي عن القدرة على التعافي. الأول يسأل ما إذا كانت المنظمة قد خططت لمعالجة بديلة، واستعادة النظام، وإجراءات الاستمرارية. الثاني يركز على التعافي من الحوادث السيبرانية، حيث قد تكون البيئة المستعادة مشبوهة. بالنسبة لـ Sony Pictures، سؤال الأدلة سيكون ما إذا كانت محطات العمل والخوادم المعاد بناؤها جاءت من صور نظيفة، وما إذا كانت مجموعات النسخ الاحتياطي معزولة، وما إذا تم تغيير بيانات الاعتماد قبل إعادة الاتصال، وما إذا تمت مراقبة الخدمات المستعادة للتكرار.

المعيار المهم للمساءلة ليس "تعافت الشركة في النهاية". إنه "يمكن للشركة أن تشرح كيف قررت أن التعافي كان آمنًا". إعادة البناء المتسرعة يمكن أن تعيد إدخال حسابات مخترقة. الصورة الموثوقة جزئيًا يمكن أن تحمل استمرار المهاجم. الشبكة المعاد توصيلها قبل تغييرات التقسيم يمكن أن تستعيد الحركة الجانبية. تغيير كلمة المرور الذي يفوت حسابات الخدمة يمكن أن يترك مسارًا مخفيًا. التعافي الذي يركز على المسؤولين التنفيذيين أولاً قد يترك الموظفين العاديين دون دعم. كل خيار له سبب تجاري، لكن كل خيار له أيضًا عواقب مخاطرة.

أتمتة الأمان تنتمي هنا لأن التعافي على نطاق واسع لا يمكن أن يعتمد فقط على البطولات اليدوية. كشف نقاط النهاية، وإدارة التكوين، وجرد الأصول، وإدارة الوصول المميز، وتدوير الشهادات والأسرار الآلي، والتحقق من صحة النسخ الاحتياطية، والتسجيل المركزي هي الأدوات التي تسمح للشركة بمعرفة ما تملك وفي أي حالة هي. الأتمتة لا تزيل الحكم. إنها تخلق قاعدة الأدلة للحكم.

حدود الأدلة هي جزء من التحليل المسؤول

السجل العام كبير، لكنه غير كامل. يتضمن إسناد مكتب التحقيقات الفيدرالي، وادعاءات وزارة العدل، وعقوبات الخزانة، وتوجيهات CISA، وتقارير هيئة الأوراق المالية والبورصات و Sony المؤسسية، وسجلات التقاضي المدني، وتغطية صحفية واسعة. لا يتضمن صور Sony Pictures الجنائية الكاملة، أو الاتصالات القانونية المميزة، أو قوائم مهام إعادة البناء الداخلية، أو سجلات الإخطار لكل موظف، أو كل عقد مورد، أو بنية النسخ الاحتياطي الكاملة. أي تحليل جاد يجب أن يحترم تلك الحدود.

تلك الحدود لا تجعل سؤال المساءلة غير عادل. إنها تجعله دقيقًا. الأدلة العامة يمكن أن تدعم الاستنتاج بأن Sony Pictures واجهت هجومًا إلكترونيًا تدميريًا، وكشفت بيانات داخلية، واضطرت إلى إعادة بناء الأنظمة، وواجهت دعوى قضائية بشأن بيانات الموظفين، وأصبحت جزءًا من سجل إسناد الأمن القومي. الأدلة العامة لا يمكن أن تدعم ادعاء أن كل ضابط داخلي فشل بطريقة محددة ما لم يذكر المصدر ذلك. الاستنتاج المسؤول يتعلق بفئات التحكم التي وضعها الحادث تحت الاختبار.

التعليقات العامة لـ Mandiant حول الهجمات التدميرية وسلوك المهاجم، بما في ذلك الموارد علىhttps://www.mandiant.com/resources/blogوتقارير الاستجابة للحوادث الأوسع من شركات مثل CrowdStrike علىhttps://www.crowdstrike.com/en-us/cybersecurity-101/malware/wiper-malware/، يمكن أن توفر سياقًا تقنيًا، لكن لا ينبغي قراءتها بشكل مفرط كمراجعة خاصة لـ Sony. برامج المسح الضارة هي فئة معروفة من التهديد التشغيلي. هجوم Sony أصبح مثالًا عامًا لأن تأثيرات الأعمال والدبلوماسية والموظفين ووسائل الإعلام ظهرت جميعها في وقت واحد.

نفس التحذير ينطبق على الصحافة. Wired، وReuters، ونيويورك تايمز، وغيرها من المنافذ وثقت السرد العام، لكنها لم تكن تشغل بيئة التعافي لـ Sony. قيمتها هي إظهار كيف تم تجربة الحادث والإبلاغ عنه. يجب أن يستخدمها تحليل المساءلة للتأثير العام والتسلسل الزمني، مع الاعتماد على السجلات الحكومية والقضائية للإسناد والعواقب القانونية حيثما أمكن.

ما الأدلة التي كانت ستغلق القضية

الأدلة التي كانت ستغلق القضية تشمل سجل إعادة بناء نظيف لفئات محطات العمل والخوادم المتضررة، وجرد إعادة تعيين الوصول المميز، وسجل مراجعة الحسابات للحسابات الإدارية وحسابات الخدمة، وتقييم عزل النسخ الاحتياطية، وتحليل وقت التعافي ونقطة التعافي، وخطة تحسين بعد الحادث مرتبطة بأسماء المالكين والمواعيد النهائية. ستشمل أدلة إشعار الموظفين، ومدة الدعم، وخدمات حماية الهوية، وسجلات كيفية التعامل مع الضرر المكتشف لاحقًا. ستشمل خطط اتصال الشركاء للإنتاج السري، وقرارات التوزيع، ووصول الموردين. ستشمل إشراف مجلس الإدارة على المعالجة وطريقة للتحقق من أن التعرض المتكرر قد قل.

بعض تلك الأدلة ربما كانت موجودة بشكل خاص. لا يمكن للقراء العامين افتراض أنها كانت موجودة أو لم تكن. نقطة المساءلة هي أن الهجمات التدميرية تتطلب هذه الأدلة لأن نموذج الضرر أوسع من سرقة البيانات. أداة المسح يمكن أن تدمر الأنظمة. التسريب يمكن أن يضر الأشخاص. التهديدات يمكن أن تعيد تشكيل قرارات الأعمال. عدم اليقين في إعادة البناء يمكن أن يبطئ التعافي. الإسناد يمكن أن يستغرق أشهرًا أو سنوات. يجب على الشركة أن تعمل عبر كل هذه الطبقات.

أفضل أدلة التعافي ستفصل أيضًا بين الاحتواء الفوري والحوكمة الدائمة. الاحتواء الفوري يسأل ما إذا كان المهاجم لا يزال نشطًا، وما إذا كانت الأنظمة معزولة، وما إذا كان الموظفون يمكنهم العمل، وما إذا كان إنفاذ القانون مشاركًا. الحوكمة الدائمة تسأل ما إذا كان تصميم الوصول قد تغير، وما إذا كانت النسخ الاحتياطية أكثر أمانًا، وما إذا كانت ضوابط نقاط النهاية قد تحسنت، وما إذا كانت قنوات الاتصال مرنة، وما إذا كانت عمليات الدعم القانوني والموارد البشرية جاهزة، وما إذا كان القادة قد تدربوا على اتخاذ القرارات في ظل عدم اليقين. كلاهما مهم. فقط الثاني يقلل من التعرض المتكرر.

ملكية التحكم تهم أكثر من التعافي البطولي

قضية Sony Pictures غالبًا ما تُروى كقصة درامية لشركة تحت الهجوم. تلك القصة دقيقة بمعنى ما، لكنها يمكن أن تخفي قضية المساءلة الأكثر هدوءًا: أي مالكي التحكم كانت لديهم السلطة قبل الأزمة؟ الأحداث التدميرية تكشف ما إذا كانت مسؤولية الأمان موزعة كنظام يعمل أو متناثرة عبر فرق لا يمكنها فرض الأولويات حتى بعد حدوث الضرر. فرق نقاط النهاية قد تملك صور محطات العمل. فرق البنية التحتية قد تملك الخوادم. فرق الهوية قد تملك خدمات الدليل. الفرق القانونية قد تملك الإشعار. الموارد البشرية قد تملك سجلات الموظفين. المسؤولون التنفيذيون قد يملكون قرارات الإصدار. الأمان قد يملك الكشف والاستجابة.

إذا كانت تلك الخطوط غير واضحة قبل الهجوم، فإن الأيام الأولى للتعافي تصبح بحثًا عن السلطة بقدر ما هي استجابة تقنية.

ملكية التحكم تقرر أيضًا ما إذا كانت المخاطر المعروفة تتلقى ميزانية. سيناريو البرامج الضارة التدميرية ليس غريبًا من حيث التحكم. إنه يسأل أسئلة عادية لكنها مكلفة.

هل النسخ الاحتياطية معزولة عن اختراق المجال؟ هل يتم صيانة واختبار صور محطات العمل؟ هل حسابات الإدارة منفصلة عن حسابات المستخدمين العادية؟ هل يتم تدوير كلمات مرور حسابات الخدمة واكتشافها من قبل الأشخاص المناسبين؟ هل يتم الاحتفاظ بالسجلات خارج البيئة المتضررة؟ هل تتوفر الاتصالات الطارئة عندما يكون البريد الإلكتروني معطلاً؟ هل مخازن بيانات الموظفين مشفرة ومجزأة عن مشاركات الملفات العامة؟ هل يُطلب من مالكي الأعمال تصنيف السجلات الحساسة للإنتاج والموظفين؟ كل سؤال له تكلفة قبل الحادث وتكلفة أعلى بكثير بعد الحادث.

المؤسسة المسؤولة لا يمكنها الاعتماد على فكرة أن المستجيبين للحوادث سيرتجلون حول كل تحكم مفقود. سيرتجلون، لأن الاستجابة للحوادث تتطلب دائمًا حكمًا، لكن الحكم ليس بديلاً عن ركيزة تعافي مُعدة. فريق إعادة البناء مع جرد الأصول الحالي يمكنه تحديد أولويات الأنظمة المتضررة. فريق إعادة البناء بدون جرد يجب أن يسأل الموظفين عما هو مفقود. فريق الأمان مع سجلات مركزية يمكنه اختبار ما إذا تم استخدام بيانات الاعتماد بعد الاختراق. فريق بدون سجلات يجب أن يتواصل مع عدم اليقين. فريق الموارد البشرية مع تقليل البيانات يمكنه تحديد تعرض الموظفين.

فريق احتفظ بسنوات من السجلات الحساسة في مخازن قابلة للوصول على نطاق واسع يجب أن يخطر المزيد من الأشخاص ويدعم المزيد من المخاطر طويلة الذيل.

هذا هو المكان الذي تصبح فيه أتمتة برمجيات المؤسسات قضية حوكمة. إدارة التكوين يجب أن تجعل حالة محطة العمل مقروءة. إدارة نقاط النهاية يجب أن تظهر أي الأنظمة تم مسحها، أو إعادة بنائها، أو عزلها، أو نظيفة. أتمتة الهوية يجب أن تسمح بإبطال بيانات الاعتماد في حالات الطوارئ دون كسر كل عملية عمل بشكل أعمى. أنظمة النسخ الاحتياطي يجب أن تبلغ عن نتائج اختبار الاستعادة، وليس فقط نجاح مهمة النسخ الاحتياطي. أنظمة التذاكر والتغيير يجب أن تحافظ على القرارات المتخذة تحت الضغط. الأتمتة ليست جذابة لأنها حديثة. إنها ضرورية لأن الهجمات التدميرية تخلق أجزاء متحركة كثيرة جدًا بحيث لا يظل التتبع اليدوي موثوقًا.

نموذج مالك التحكم مهم أيضًا لإشراف مجلس الإدارة. لا يحتاج مجلس الإدارة إلى معرفة كل مؤشر برامج ضارة، لكن يجب أن يعرف ما إذا كانت الشركة قد اختبرت التعافي من الأحداث التدميرية، وما إذا كان تعرض بيانات الموظفين قد تم تعيينه، وما إذا كانت النسخ الاحتياطية معزولة، وما إذا كانت أنظمة الهوية يمكن إعادة بنائها، وما إذا كانت الاتصالات العامة يمكن أن تستمر إذا فشلت القنوات العادية. بعد هجوم تدميري، لا ينبغي أن تقتصر أسئلة مجلس الإدارة على التعرض القانوني والعلاقات العامة. يجب أن تسأل ما الأدلة التي تظهر أن إعادة البناء التالية ستكون أسرع، وأنظف، وأقل اعتمادًا على الحظ.

الأشخاص المكشوفون كانوا جزءًا من التعافي، وليس قضية جانبية

يجب معاملة حماية الموظفين والمقاولين كتيار عمل تعافي، وليس فكرة لاحقة قانونية. في حادث مؤسسي تدميري، يمكن لاستعادة تكنولوجيا المعلومات أن تستهلك انتباه الإدارة لأن الأعمال لا يمكن أن تعمل بدون أنظمة. لكن الأشخاص المكشوفين هم أيضًا جزء من سطح استمرارية الأعمال. إذا كان الموظفون قلقين بشأن سرقة الهوية، أو المعلومات الشخصية المسربة، أو المراسلات الخاصة، أو الضرر السمعة، فإن الشركة ليست متعافية تمامًا حتى عندما تعمل أجهزة الكمبيوتر المحمولة.

أظهر حادث Sony Pictures كيف يمكن للتسريبات العامة أن تحول بيانات مكان العمل الخاصة إلى مشهد. ذلك المشهد العام يمكن أن يشوه المساءلة. قد يركز الغرباء على رسائل البريد الإلكتروني المحرجة، أو نزاعات المشاهير، أو الجدل السياسي، بينما يعاني الموظفون المتأثرون من مشكلة أكثر أساسية: صاحب عملهم احتفظ بمعلومات عنهم، المهاجمون حصلوا على بعضها، والتداول العام جعل الضرر صعب الاحتواء. واجب صاحب العمل لا يقتصر على تقليل الاهتمام الصحفي. يشمل إشعارًا واضحًا، ودعمًا يمكن الوصول إليه، وحماية الهوية حيثما كان ذلك مناسبًا، وتواصلاً داخليًا يتجنب اللوم، واستعدادًا لمساعدة الأشخاص في التعامل مع العواقب التي تظهر لاحقًا.

يجب أن يغطي دعم الموظفين أيضًا الموظفين السابقين والمقاولين. الهجمات التدميرية لا تحترم حدود الرواتب الحالية. إذا بقيت سجلات الموظفين المؤرشفة متاحة، قد يشمل السكان المكشوفون أشخاصًا لم يعد لديهم بيانات اعتماد الشركة، ولا يتلقون رسائل داخلية، وقد لا يثقون في تواصل صاحب العمل السابق. الاستجابة الناضجة يجب أن تجدهم، وتشرح التعرض، وتوفر الدعم دون افتراض الوصول الحالي إلى مكان العمل. هذا اختبار عملي لسياسة الاحتفاظ بالبيانات. أسهل سجل لإخطاره هو الموظف النشط في الدليل الحالي. السؤال الأصعب والأكثر أهمية هو لماذا بقي سجل حساس لموظف سابق قابلاً للوصول في البيئة المخترقة وكيف سيتم حمايته أو حذفه في المستقبل.

يجب على الشركة أيضًا حماية العمال الذين يساعدون في التعافي. الاستجابة للحوادث بعد البرامج الضارة التدميرية تتطلب غالبًا ساعات طويلة، وضغطًا عاليًا، ومعلومات غير مؤكدة. المهندسون، وموظفو مكتب المساعدة، وموظفو الموارد البشرية، والمحامون، وموظفو الاتصالات، ومديرو الأعمال قد يتخذون قرارات حاسمة بمعلومات غير كاملة. المساءلة لا تعني التظاهر بأن التعافي يمكن أن يكون هادئًا ومثاليًا. إنها تعني تصميم إجراءات بحيث لا يُجبر الأشخاص تحت الضغط على اختراع كل وسيلة حماية في الوقت الفعلي. حقوق القرار الواضحة، وقنوات التصعيد، وأدوات الاتصال النظيفة، والافتراضات الموثقة تقلل من الضرر التقني والبشري.

تلك النظرة المتمحورة حول الأشخاص تغير كيفية قياس النجاح. إعادة البناء الناجحة ليست مجرد وحدة تحكم مجال مستعادة ومجموعة من أجهزة الكمبيوتر المحمولة المُعاد تصويرها. إنها أيضًا قوة عاملة تعرف ما حدث، وما هو الدعم الموجود، وما هي الأنظمة الآمنة للاستخدام، وما هي البيانات التي قد تكون مكشوفة، وكيف يتم اتخاذ القرارات. يجب أن تشمل أدلة التعافي تلك القطع الأثرية الموجهة للبشر. إذا لم تستطع الشركة شرح الحادث لموظفيها بدقة وتواضع، فمن غير المرجح أن تشرحه جيدًا للشركاء والجمهور.

الاقتحامات التدميرية تضغط وقت الحوكمة

الحوكمة المؤسسية العادية تفترض تسلسلًا: تقييم المخاطر، اقتراح الضوابط، تخصيص الميزانية، التنفيذ، الاختبار، المراجعة. الاقتحام التدميري يضغط ذلك التسلسل إلى أيام. يجب على القادة أن يقرروا أي الأنظمة تعود أولاً، وماذا يقولون للموظفين، وما إذا كانوا سيؤخرون الإصدارات، وما إذا كانوا سيشغلون إنفاذ القانون علنًا، وكيف يحافظون على الأدلة، وكيف يتواصلون مع الشركاء، وكيف يديرون التهديدات التي قد تكون تقنية جزئيًا ومادية جزئيًا. سرعة تلك القرارات لا تخفض معيار المساءلة. إنها تزيد قيمة التحضير المسبق.

قضية Sony Pictures تظهر لماذا يجب أن تشمل خطط استمرارية الأعمال سيناريوهات سيبرانية فوضوية، وعامة، وعدائية. تدريب الحريق يفترض أن المبنى غير متاح. تمرين حدث إلكتروني تدميري يجب أن يفترض أن البريد الإلكتروني غير متاح، بعض النسخ الاحتياطية مشبوهة، بيانات الاعتماد مخترقة، الرسائل الداخلية قد تتسرب، التهديدات العامة قد تظهر، وفرق القانونية، والموارد البشرية، والأمان، والإنتاج، والتوزيع، والتنفيذية جميعها بحاجة إلى التصرف في وقت واحد.

يجب أن يشمل ذلك التمرين الأسئلة غير المريحة: من يمكنه تفويض خطة إصدار بديلة، ومن يمكنه التحدث إلى الموظفين، ومن يوافق على إعادة توصيل النظام، ومن يتحقق من الصور النظيفة، ومن يتصل بإنفاذ القانون، ومن يحمي تفاصيل التحقيق المميزة، ومن يتتبع القرارات للمراجعة لاحقًا؟

التخطيط للاستمرارية يجب أن يأخذ في الاعتبار أيضًا العلاقات التجارية التي ليست تحت القيادة المباشرة للشركة. يمكن للاستوديو إعادة بناء محطات العمل الخاصة به، لكنه لا يمكنه استعادة الثقة بشكل أحادي بين دور العرض، والمنصات الرقمية، والمواهب، والوكالات، والموردين، وشركات التأمين، والجماهير. هؤلاء الشركاء يحتاجون إلى معلومات دقيقة وفي الوقت المناسب. التفاصيل الزائدة يمكن أن تخلق مخاطر أمنية. التفاصيل القليلة جدًا يمكن أن تخلق عدم ثقة. الموقف المسؤول هو التواصل بما هو معروف، وما هو غير مؤكد، وما هو الإجراء المطلوب، وما هي الأدلة التي ستتبع.

لهذا السبب يهم سجل التعافي بعد عودة الأنظمة بفترة طويلة. الشركاء المستقبليون، وشركات التأمين، والجهات التنظيمية، والموظفون، والمسؤولون التنفيذيون سيسألون ما إذا كانت المنظمة قد تعلمت. لن يرضوا بحقيقة أن الاستوديو نجا. البقاء هو الحد الأدنى. دليل التعلم هو بيئة تحكم متغيرة، وتعافي مختبر، واحتفاظ أكثر وضوحًا بالبيانات، وحوكمة هوية أقوى، ورؤية أفضل لنقاط النهاية، وتمارين قرار تعكس الضغط الفعلي لحدث تدميري.

يجب أن يحافظ سجل التعافي أيضًا على القرارات المرفوضة. أثناء حادث تدميري، قد يقرر القادة عدم إعادة توصيل نظام، وعدم استخدام نسخة احتياطية، وعدم إرسال رسالة، وعدم إصدار فيلم من خلال قناة واحدة، أو عدم الكشف عن تفاصيل تقنية. تلك القرارات السلبية سهلة الفقدان لأنها لا تخلق منتجات عمل مرئية. ومع ذلك فهي ضرورية للمساءلة. تظهر ما هي المخاطر التي تم النظر فيها، وما هي الأدلة المتاحة، ولماذا تم اختيار مسار على آخر. المراجعة المستقبلية لا يمكنها الحكم على الاستجابة بشكل عادل إذا رأت فقط الإجراء النهائي ولا شيء من عدم اليقين الذي أحاط به.

تلك الانضباطية تحمي المنظمة وكذلك الأشخاص المتأثرين. أثر القرار الموثق يمكن أن يظهر أن القادة وازنوا بين السلامة، والحفاظ على الأدلة، ودعم الموظفين، والتزامات الشركاء، واستمرارية الأعمال تحت ضغط حقيقي. يمكن أن يظهر أيضًا أين فشلت الافتراضات. الهجمات التدميرية نادرة بما فيه الكفاية بحيث لن يكون لدى معظم الشركات تجربة معيشة عميقة قبل الحدث الرئيسي الأول. يحتاجون إلى سجل حدث واحد لتحسين التمرين التالي، والعقد التالي، وبنية النسخ الاحتياطي التالية، وكتيب إشعار الموظفين التالي.

يجب أن يشمل أثر القرار قرارات التبعية، وليس فقط إجراءات الأمان. قد يعتمد الاستوديو على مستشارين خارجيين، وشركات الطب الشرعي، والخدمات السحابية، وموردي الرواتب، وموردي الإنتاج، وشركاء التوزيع، وشركات التأمين، ومستشاري العلاقات العامة أثناء حادث تدميري. كل تبعية يمكن أن تسرع التعافي أو تخلق فجوة أدلة أخرى. إذا كان المورد يحتفظ بسجلات الموظفين، أو يساعد في إعادة بناء الأنظمة، أو يستضيف أدوات التعاون، أو ينقل اتصالات الشركاء، تحتاج المنظمة إلى معرفة أي السجلات تحركت، وأي الامتيازات مُنحت، وكيف تم إلغاء تلك الامتيازات، وما هي السجلات التي تثبت أن إجراء المورد كان محدودًا. مساءلة التعافي تمتد بالتالي إلى المشتريات الطارئة والإشراف على الموردين.

أسوأ وقت لاكتشاف حقوق الأدلة التعاقدية المفقودة هو بعد أن تكون الأنظمة قد تضررت بالفعل.

حكم المساءلة

هجوم Sony Pictures الإلكتروني التدميري لعام 2014 هو قضية مساءلة لأن الهجوم أجبر شركة على إثبات أنها تستطيع استعادة الثقة، وليس فقط استبدال الآلات. ربما كان المهاجم خارجيًا ومرتبطًا بدولة، لكن أدلة التعافي كانت مملوكة للمؤسسة. Sony Pictures كانت لديها السيطرة العملية على تعزيز نقاط النهاية، والوصول المميز، وعزل النسخ الاحتياطية، وإعادة بناء محطات العمل والخوادم، وإشعار الموظفين، وقرارات استمرارية الأعمال، واتصال الشركاء، وإثبات أن البيئة المعاد بناؤها كانت أكثر مرونة من تلك التي تضررت.

الدرس الأوسع غير مريح لكنه مفيد. الهجمات التدميرية تطوي المسافة بين الأمن السيبراني، والموارد البشرية، والعملية القانونية، والإفصاح للمستثمرين، وقرارات الأعمال المادية، والاتصالات العامة. الشركة التي تحتفظ بسجلات حساسة للموظفين وملكية فكرية قيمة لا يمكنها معالجة إعادة بناء نقاط النهاية كسباكة خلفية. إعادة البناء هي قطع أثرية للمساءلة. إنها تظهر ما إذا كانت المنظمة تعرف ما تملك، وأي المصادر تثق، وأي بيانات اعتماد أبطلت، وأي الأشخاص يجب حمايتهم، وما الأدلة التي تدعم العودة إلى العمليات العادية.

سجل الإسناد العام مهم. يخبر العالم شيئًا عن من هاجم. سجل التعافي مهم بنفس القدر. يخبر الموظفين، والشركاء، والعملاء، والمستثمرين ما إذا كانت المنظمة تعلمت كيفية تحمل الاقتحام التدميري التالي. هذا هو اختبار المساءلة الذي جعلته Sony Pictures مرئيًا.