ملخص

  • Xerox هي حالة من المساءلة لأن الأدلة العامة المتعلقة بالتقارير في عام 2020 حول Maze غير متسقة: وصفت التقارير العامة مزاعم برامج الفدية ونشر بيانات مزعوم، بينما لم تقدم المعلومات المتاحة من الشركة تحليلاً مفصلاً بعد الحادث.
  • السؤال المركزي هو من الذي سيطر على التقسيم والمراقبة واستمرارية خدمات المستندات ونطاق البيانات وإخطار العملاء ودليل أن الاسترداد يتوافق مع المخاطر المذكورة أو الضمنية في التقارير العامة.
  • تتناول هذه المقالة المزاعم الواردة من مواقع التسريب والتغطية الإعلامية كأدلة مبلّغ عنها، وليس استنتاجًا طبياً شرعيًا كاملاً حول أنظمة Xerox.
  • تُستخدم مستندات Xerox العامة حول الأمان والخصوصية والمنتجات والمستثمرين كدليل على الالتزامات تجاه العملاء وإطار المخاطر، وليس كدليل على أن جميع ضوابط 2020 عملت كما هو متوقع.
  • الدرس المستدام هو أن الإفصاح عن برامج الفدية للبنية التحتية للمستندات يجب أن يفصل الحقائق المؤكدة عن التعرض التشغيلي المحتمل والمزاعم من المهاجمين والتفاصيل الطبية الشرعية غير المعروفة.

لماذا تنتمي هذه القضية إلى ملف المخاطر والمساءلة

جعلت Xerox من إثبات الإفصاح عن برامج الفدية اختبارًا للمساءلة للبنية التحتية للمستندات، لأن المحفز العام لم يكن تقريرًا مؤسسيًا مصقولًا. كان مزيجًا من التقارير الإعلامية العامة والمزاعم المنسوبة إلى عملية برامج الفدية Maze، وأدلة محدودة من جانب العملاء حول ما حدث بالضبط في Xerox. تقارير مثلhttps://www.bleepingcomputer.com/news/security/maze-ransomware-gang-claims-to-have-breached-xerox-corporation/وhttps://databreaches.net/maze-ransomware-gang-claims-to-have-breached-xerox-corporation/مفيدة كجدول زمني وأدلة على التصريحات العامة، لكنها لا تثبت وحدها طريق الاختراق أو نطاق البيانات أو تعطيل الأعمال أو تعرض العملاء أو المسؤولية القانونية. الانضباط الأول في هذا الملف هو تجنب تحويل وجود ادعاء تسريب تم الإبلاغ عنه إلى سرد كامل للاختراق.

سياق الشركة مهم. Xerox ليست مجرد علامة طابعات. لقد باعت خدمات الطباعة المُدارة وخدمات المكاتب وسير العمل في المستندات وأساطيل الأجهزة والبرامج والدعم والإمدادات وعلاقات التمويل وعقود الخدمة. يمكن أن يكون ادعاء برامج الفدية الذي يشمل مثل هذه الشركة مهمًا للعملاء الصغار والمتوسطين لأن البنية التحتية للمستندات غالبًا ما تكون قريبة من الفواتير وملفات الموارد البشرية والعقود ومستندات الشحن وبطاقات الهوية الممسوحة ضوئيًا وتذاكر الخدمة واتصالات العملاء والسجلات القانونية والعمليات الداخلية. توفر صفحات Xerox العامة مثلhttps://www.xerox.com/en-us/about/security-solutionsوhttps://security.business.xerox.com/en-us/وhttps://www.xerox.com/en-us/about/privacy-policyوhttps://www.xerox.com/en-us/information-securityسياق الثقة والأمان الذي تقدمه الشركة والذي من خلاله سيقيم العملاء سجل الحادث.

سؤال المساءلة ليس ما إذا كان ينبغي تصديق عصابة برامج الفدية. لا ينبغي معاملتها كمدقق محايد. المشكلة هي أن عصابات برامج الفدية يمكنها خلق ضغط عام عن طريق ادعاء الوصول أو نشر عينات، في حين أن الشركات قد ترد بتصريحات متفرقة أو قانونية. يترك العملاء بين روايتين غير مكتملتين: رواية مهاجم مهتم ورواية شركة قد تكون مقيدة بالتحقيق والمراجعة القانونية والتأمين والعقود وإنفاذ القانون وإدارة السمعة. يجب على الجمهور بدلاً من ذلك طرح سؤال عملي حول السيطرة: من كان لديه القدرة على منع أو اكتشاف أو تحديد أو الإفصاح أو إثبات الإصلاح؟

تبدأ الإجابة داخل الشركة، لكنها لا تنتهي هناك. سيطرة Xerox على بنيتها الشبكية وإدارة الهوية والوصول ومراقبة نقاط النهاية وخطط استمرارية خدمات المستندات وقنوات الاتصال مع العملاء وأدلة الاستجابة للحوادث. سيطرة العملاء على سير عمل المستندات وتكوينات الأجهزة وخوادم الطباعة وخيارات المصادقة والمتطلبات التعاقدية والبيانات المرسلة عبر الخدمات المُدارة من Xerox. قد يكون لدى شركاء وموردي الأمان السيطرة على جوانب من الكشف والاستجابة والنسخ الاحتياطي أو البنية التحتية المُدارة. سيطرة المنظمين والمستثمرين على بعض حوافز الإفصاح. ملف مساءلة موثوق يسمي هذه الحدود دون ادعاء أن المصادر العامة تكشف كل سجل خاص.

تنتمي القضية أيضًا إلى هنا لأن غياب تقرير عام كامل هو بحد ذاته جزء من مشكلة الأدلة. توفر مستندات CISA حول برامج الفدية علىhttps://www.cisa.gov/stopransomwareوhttps://www.cisa.gov/news-events/news/ransomware-guideونصائح مكتب التحقيقات الفيدرالي حول برامج الفدية علىhttps://www.fbi.gov/how-we-can-help-you/scams-and-safety/common-scams-and-crimes/ransomwareونصائح الاستجابة للحوادث مثلhttps://www.cisa.gov/resources-tools/resources/incident-response-plan-irp-basicsما يجب أن تكون المنظمات قادرة على إعادة بنائه: الجدول الزمني والنطاق والاحتواء والاسترداد وفئات البيانات المتأثرة وإجراءات المستخدم. إذا كان السجل العام لا يوفر هذه الحقائق، فإن الاستنتاج الصحيح ليس اختراعها. الاستنتاج الصحيح هو أن العملاء وفرق المخاطر يفتقرون إلى سجل قرار عام كامل.

الجدول الزمني العام يبدأ بالتقارير الإخبارية، وليس رواية شركة كاملة

الجدول الزمني العام المؤكد ضيق. في عام 2020، ربطت التقارير الصحفية العامة Xerox بمزاعم برامج الفدية Maze ونشر بيانات مزعوم. كان Maze معروفًا على نطاق واسع في ذلك الوقت كعملية برامج فدية تجمع بين ضغط التشفير أو التعطيل مع ضغط تسريب البيانات العامة. يتم وصف هذا النمط العام من برامج الفدية في مصادر الرقابة العامة مثل تقنية تأثير تشفير البيانات من MITRE ATT&CK علىhttps://attack.mitre.org/techniques/T1486/ومراجع التقنيات المتعلقة بالاستخراج مثلhttps://attack.mitre.org/techniques/T1567/ونصائح CISA حول برامج الفدية. هذه المصادر لا تثبت ما حدث في Xerox. إنها تشرح لماذا يخلق ادعاء على موقع تسريب سؤال مساءلة مختلفًا عن أي حدث تشفير.

الجدول الزمني المفقود مهم بنفس القدر. لا توفر المستندات المتاحة للعموم تسلسلاً مفصلاً كتبته Xerox يظهر الاختراق الأول والكشف الأول والاحتواء الأولي والبيئات المتأثرة وتدهور الخدمات التجارية وفئات البيانات التي تم فحصها وقرارات إخطار العملاء وقرارات إخطار الموظفين وإشراك إنفاذ القانون واسترداد النسخ الاحتياطية ومعايير الإغلاق. تعتبر صفحة هيئة الأوراق المالية والبورصات علىhttps://www.sec.gov/edgar/browse/?CIK=108772ونموذج 10-K لـ Xerox لعام 2020 علىhttps://www.sec.gov/Archives/edgar/data/108772/000010877221000007/xrx-20201231.htmمفيدة لسياق الشركة والإفصاح عن المخاطر، لكن عامل الخطر في نموذج 10-K ليس تقرير حادث طب شرعي. إنه يُعلم المستثمرين أن الخطر السيبراني موجود وقد يكون جوهريًا. لا يجيب عادةً على سؤال العميل حول ما حدث في حدث محدد.

هذا التمييز مهم لأن وقت برامج الفدية ليس وقتًا واحدًا. هناك وقت الاختراق ووقت الإقامة ووقت الكشف ووقت الاحتواء ووقت التفاوض أو الضغط العام ووقت استعادة الخدمة ووقت الإخطار ووقت سوء استخدام البيانات على المدى الطويل. يمكن للشركة استعادة عملياتها قبل أن تحدد بالكامل مدى الاستخراج. قد تعلم أن نظامًا قد تم الوصول إليه قبل أن تعرف إذا تم التأثير على بيانات العميل. قد تستنتج أن خدمة لم تتأثر بينما لا تزال تفحص بيئة أخرى. قد تقول أنه لا يوجد دليل على فئة من الضرر دون إثبات الغياب. سجل إفصاح جيد يفصل هذه الخطوات.

بالنسبة لعملاء Xerox، السؤال العملي في عام 2020 لم يكن فقط ما إذا كان اسم الشركة يظهر على موقع تسريب برامج الفدية. بل كان ما إذا كانت سير عمل المستندات وخدمات الطباعة المُدارة وبوابات الدعم وقياس الأجهزة وعقود العملاء وتذاكر الخدمة وسجلات الموظفين أو مستندات الموردين ضمن النطاق المتأثر. إذا اختلفت الإجابة حسب الوحدة التجارية أو الجغرافيا أو الخدمة أو عقد العميل، يجب أن يحدد السجل العام أن هذا النطاق كان مقسمًا. إذا لم تستطع الشركة معرفة ذلك بعد، يجب أن يحافظ السجل العام على عدم اليقين هذا ويشرح متى سيعرف العملاء المزيد.

معيار المساءلة يبدأ بالجدول الزمني: ما الذي تم الإبلاغ عنه؟ ما الذي تم تأكيده؟ ما الذي تم ادعاؤه؟ ما الذي بقي غير معروف؟ التقارير العامة هي دليل على وجود مشكلة الإفصاح عن برامج الفدية. إنها ليست دليلاً على كل ادعاء بيانات. غياب تقرير عام مفصل يترك فراغًا يجب على فرق المخاطر معالجته بأمانة بدلاً من ملئه بالافتراضات.

... (يستمر المحتوى المترجم بالكامل)