ملخص
- أصبحت حادثة Ubiquiti لعام 2021 اختبارًا للمساءلة لأن السرد العام انتقل من إشعار الشركة للعملاء إلى ادعاءات تشبه فضح المخالفات، ورد فعل السوق، وأخيراً سجل ملاحقة قضائية من وزارة العدل بتهمة الابتزاز الداخلي.
- تشمل المصادر العامة تحديث Ubiquiti الرسمي، وإفصاح هيئة الأوراق المالية، وبيانات اتهام وزارة العدل وإصدار الحكم، وتقارير أمنية من KrebsOnSecurity وSecurityWeek وThe Record وCyberScoop وBitdefender وThe Hacker News، وإرشادات NIST/CISA العامة.
- السؤال المركزي هو ما إذا كان بإمكان Ubiquiti الحفاظ على الأدلة وشرحها بشأن بيانات اعتماد السحابة، وتعرض بيانات العملاء، ومخاطر إدارة الأجهزة، والتلاعب بالسجلات، والوصول الداخلي، وإجراءات العملاء دون إجبار العملاء على فك رموز روايات متضاربة.
- المسؤولية منقسمة ولكنها غير متماثلة. السلوك الإجرامي الداخلي يخص المهاجم. سيطرت Ubiquiti على إشعار العميل، وتصميم الوصول السحابي، وتسجيل الامتيازات، والتواصل بشأن الحادث، والأدلة على أن شبكات العملاء لم تكن مكشوفة من خلال البنية التحتية للإدارة.
- الدرس الدائم هو أن موردي الأجهزة المُدارة عبر السحابة يحتاجون إلى أنظمة إفصاح تعمل في ظل الغموض الداخلي. يحتاج العملاء إلى إرشادات عملية بشأن المخاطر قبل أن يستقر المدعون العامون أو الأسواق على القصة.
الغموض الداخلي يغير مشكلة الإفصاح
تتميز حادثة Ubiquiti لأن القصة العامة تغير شكلها. رأى العملاء أولاً إشعارًا من الشركة حول وصول محتمل من خلال مزود سحابي تابع لجهة خارجية. في وقت لاحق، اقترحت التقارير العامة والادعاءات المجهولة رواية اختراق أكثر خطورة. ثم ربطت سجلات إنفاذ القانون الحدث بموظف سابق قام، وفقًا للمدعين، بسرقة بيانات ومحاولة ابتزاز الشركة بينما كان يتظاهر بأنه هاكر خارجي. هذا التسلسل مهم لأنه كان على العملاء اتخاذ قرارات قبل أن تستقر القصة.
كانتحديث Ubiquiti الرسمي للإشعار الصادر في يناير 2021محاولة الشركة للرد على القلق العام والتقارير. أشارت TechCrunch إلى أنبيانات العملاء ربما تم الوصول إليها، بينما حث KrebsOnSecurity المستخدمين علىتغيير كلمات المرور وتفعيل المصادقة الثنائية. تُظهر هذه المصادر المبكرة المشكلة التي تواجه العملاء: عندما يقول مورد الأجهزة المُدارة عبر السحابة إن بيانات الحساب قد تكون في خطر، يحتاج المستخدمون إلى خطوات حماية فورية حتى لو لم يكن السبب الجذري مفهومًا تمامًا بعد.
غيّر سجل وزارة العدل لاحقًا سياق الأدلة. أعلن مكتب المدعي العام الأمريكي للمنطقة الجنوبية من نيويورك أنموظفًا سابقًا اتُهم بسرقة بيانات سرية وابتزاز الشركة، وأفاد لاحقًا أن الموظف السابقحُكم عليه بالسجن لمدة ست سنوات. هذا السجل القضائي ذو صلة كبيرة، لكنه لم يكن موجودًا في شكله النهائي عندما كان على العملاء التصرف لأول مرة.
هذا يخلق درس المساءلة. الإفصاح لا يمكن أن ينتظر إغلاقًا سرديًا كاملًا. قد لا تعرف الشركة بعد ما إذا كان الحدث اقتحامًا خارجيًا، أو إساءة استخدام داخلية، أو تلوثًا بسبب فضح المخالفات، أو مزيجًا من ذلك. لا يزال العملاء بحاجة إلى إرشادات حول المخاطر. يجب أن يفصل الإشعار الصحيح بين ما هو معروف، وما يجب على العملاء فعله الآن، وما لا يزال قيد التحقيق، وما هي الأدلة التي سيتم تحديثها.
الغموض الداخلي يغير الثقة أيضًا. إذا كان الشخص الذي لديه وصول هو موظف موثوق به حاليًا أو سابقًا، فسيسأل العملاء عما إذا كانت ضوابط الوصول العادية، وفصل المهام، وسلامة السجلات، والتحقيقات الداخلية كافية. لا يمكن للشركة الإجابة على ذلك فقط بالإشارة إلى التهامات الجنائية. تحتاج إلى إظهار أن نظام الرقابة الخاص بها قد أعيد تصميمه أو التحقق منه.
الأجهزة المُدارة عبر السحابة تجعل العملاء يطرحون سؤالًا حول الجهاز
تتضمن قاعدة عملاء Ubiquiti مسؤولي الشبكات، والشركات الصغيرة، والمختبرات المنزلية، والموزعين، ومقدمي الخدمات المُدارة، والمؤسسات التي تعتمد على الإدارة المتصلة بالسحابة لمعدات الشبكات. عندما يتم التورط في حساب سحابي أو بيئة بائع، يسأل العملاء بشكل طبيعي ما إذا كان الخطر قد بقي في بيانات الحساب الوصفية ومستودعات المصادر أو ما إذا كان قد لمس إدارة الأجهزة وشبكات العملاء.
هذا التمييز مركزي. اختراق قاعدة بيانات حسابات البائع أمر سيئ. اختراق مسار إدارة سحابي للأجهزة المنشورة سيكون فئة مختلفة من المخاطر. السجل العام لا يبرر افتراض أن أجهزة العملاء تم اختراقها على نطاق واسع. إنه يبرر السؤال عن كيفية إثبات الشركة للحدود. ما هي السجلات التي أظهرت الوصول إلى إدارة الأجهزة؟ ما هي بيانات الاعتماد التي يمكن أن تصل إلى البنية التحتية السحابية؟ ما هي المستودعات أو الأنظمة التي تم نسخها؟ ما هي أسرار العملاء، إن وجدت، التي كانت قابلة للوصول؟ ما هي إجراءات العملاء التي كانت حكيمة حتى بدون دليل على اختراق الجهاز؟
أعطىإيداع هيئة الأوراق الماليةلشركة Ubiquiti حول تلك الفترة سياقًا رسميًا لإفصاح الشركة. غطت SecurityWeek كيف انخفضت أسهم Ubiquiti بعد تقرير بأن الشركةقللت من خطورة الاختراق. أبلغ The Record عن اتهام الموظف السابق والوصول المزعوم إلىموارد AWS وGitHub. تُظهر هذه المصادر لماذا احتاج العملاء إلى وضوح على مستوى المستثمرين وعلى مستوى مشغلي الأجهزة.
الشبكات المُدارة عبر السحابة تغير نموذج الثقة المعتاد للجهاز. قد يكون جهاز التوجيه أو نقطة الوصول أو الكاميرا أو وحدة التحكم موجودًا في مقر العميل، لكن الإدارة والتحديثات والقياس عن بعد والوصول عن بعد والهوية والدعم قد تتصل بأنظمة البائع. هذه البنية يمكن أن تحسن سهولة الاستخدام والأمان عندما تكون محكومة بشكل جيد. كما تعني أن مشكلة بيانات اعتماد أو جهة داخلية من جانب البائع يمكن أن تثير أسئلة العملاء حول البنية التحتية التي يمتلكونها ماديًا لكنهم لا يتحكمون فيها بشكل كامل.
لذلك يجب أن يتضمن الإشعار المسؤول بيانًا بحدود إدارة الأجهزة. هل أثر الحدث على بيانات الحساب السحابي فقط؟ هل تضمن كود المصدر؟ هل تضمن أنظمة الدعم؟ هل تضمن بيانات اعتماد جهاز العميل؟ هل أثر على توقيع التحديثات؟ هل أثر على رموز الوصول عن بعد؟ هل تطلب تحديثات البرامج الثابتة للجهاز، أو إعادة تعيين كلمات المرور، أو تحديثات وحدة التحكم، أو فقط خطوات كلمة المرور/المصادقة الثنائية للحساب؟ يمكن للعملاء التصرف فقط إذا كان الحدود واضحة.
لمزيد من التحليل، تشمل الأقسام التالية سلامة السجلات، تأثير الابتزاز على التقارير، الأمن حسب التصميم، وغيرها. للنص الكامل، انظر المقال الأصلي.

