تخيل أنك وسط تفشي لحالات تسمم غذائي تنتشر بسرعة كبيرة على الصعيد الوطني.
تقوم بالتحقق مرارًا وتكرارًا من سجلات المعالجة؛ تبدو جميع دفعات الدجاج المطهو جيدة، فما الخطأ الذي حدث وتسبب في هذه الأزمة؟
ربما يعود الأمر إلى مخترق للأنظمة غير معروف بالنسبة لك، والذي من المحتمل أن يكون موظفًا سابقًا دفعه الشعور بالسخط على الشركة إلى الوصول لعمليات التشغيل الضرورية واختراقها وتغييرها عن بُعد باستخدام جهاز غير مؤمّن لإنترنت الأشياء مما أدى إلى إنتاج دفعة من الدجاج غير مطهية بصورة جيدة تعرض صحة المستهلكين للخطر. ولكنك لا تعلم على وجه التحديد الدفعات المتأثرة حتى يتم إصدار قرار بسحبها من الأسواق على المستوى الوطني.
كما أن الميزة التي يتمتع منتجك بها تم تحييدها لأن أحد المنافسين أطلق للتو منتجًا مقلدًا باستخدام ملكية فكرية مسروقة تحصّل عليها مخترقو الأنظمة. استولى مخترق للأنظمة أيضًا على معلومات تجارية حساسة ومعلومات عن سلاسل التوريد خاصة بواحد أو أكثر من كبار العملاء لديك في مجال تجارة التجزئة وطلب فدية ضخمة. فما الإجراء الذي ستتخذه في هذه الحالة؟
هل تعتقدون أن هذا الأمر مستبعد حدوثه؟ فكر مرة أخرى.
تاريخيًا، كان القطاع المالي وقطاع تجارة التجزئة هما اللذان يستحوذان على أكبر اهتمام من جانب مرتكبي الجرائم الإلكترونية، والتي تتضمن عادةً عمليات اختراق للبيانات. وفي الآونة الأخيرة، تعرضت أنظمة الرعاية الصحّية والأنظمة الحكومية لهجمات سيبرانية، ولكن نتيجة لنجاح هذه القطاعات في تحسين دفاعاتها، انتقل مرتكبو الجرائم الإلكترونية إلى الأهداف الأقل مرونة والأسهل، وأصبح قطاع الأغذية مختلفًا عما حولة.
يتمثل جزء كبير من هذه المشكلة في اعتقاد القطاع بأنه محصن ضد التهديدات. فلماذا قد يفكر أي شخص في الهجوم على شركة للأغذية؟ نادرًا ما تستهدف المنظمات الإجرامية الوطنية والدولية سلاسل صناعة الأغذية لارتكاب جرائم الغش والتزييف والاحتيال والسرقة والتهريب على نطاق كبير؛ حتى اختراق أنظمة التخزين والتوزيع داخل الشركة لترقية المنتجات المزيفة وإدراجها في سلاسل التوريد الشرعية. الخطر حقيقي ويجب على شركات الأغذية من مختلف الأحجام اتخاذ خطوات لتعزيز مرونة المعلومات. إليكم الأسباب:
1- تكنولوجيا المعلومات والأمن السيبراني موضوعان مختلفان تمامًا. في معظم الشركات، تكون إدارة تكنولوجيا المعلومات مسؤولة أيضًا عن الأمن السيبراني. يعدالجمع بينهما من الأخطاء الجوهرية. فهذان التخصصين مختلفان تمامًا ويتطلبان نُهج تعامل وأساليب تفكير ومجموعات مهارات مختلفة
2- "نحن شركة صغيرة أو متوسطة الحجم، فلماذا كل هذا القلق؟" أظهرت التقارير أن الشركات صغيرة ومتوسطة الحجم يتم الهجوم عليها بنفس معدل الهجمات الموجهة للشركات الكبيرة، والتي تتم عادةً عن طريق البريد الإلكتروني.
3- "تم إسناد جميع مهام تكنولوجيا المعلومات والأمن السيبراني إلى جهة خارجية، وبالتالي تقع المسؤولية عن المشكلة على عاتقها". يقدم موفرو خدمات تكنولوجيا المعلومات غنائم ثمينة لمخترقي الأنظمة وبالتالي يحصلون على اهتمام خاص. وهكذا تتحول سريعًا المشكلة التي تواجههم إلى ألم تعاني منه.
4- أصبحت الجريمة الإلكترونية أسهل وأكثر سهولة في الوصول إليها. وعلى الرغم من أنها اقتصرت في الماضي على مجموعة من "الأساتذة في التعليمات البرمجية"، إلا أنها تطورت لتصبح من الأعمال التجارية القائمة بحد ذاتها. واليوم، يرى مطورو البرامج الضارة أن هذا النوع من الجرائم يدر عليهم دخلاً أكبر، وبالتأكيد أكثر أمانًا، من خلال عرض خدماتهم وبيع منتجاتهم لآخرين يتولون شن الهجمات.
5- الأنظمة القديمة. تعتمد أنظمة معالجة الغذاء المستخدمة اليوم عادةً على منصات برمجية قديمة مثل Linux أو Windows 98؛ وهي أنظمة مثبتة منذ أكثر من 20 عامًا. علاوة على ذلك، لا يمكن تحديث الشفرة القديمة أو إصلاحها.
6- الاتصالات القوية. عن طريق ربط عمليات الإنتاج الداخلية داخليًا بأنظمة وشبكات البيانات الخارجية عبر الإنترنت، يعني الاتصال أنه من الممكن تحقيق مكاسب في الإنتاجية وكفاءة وفعالية عمليات التشغيل. ويظهر الجانب السلبي لهذا الأمر عندما تعمل الأنظمة الحديثة مع أنظمة متقادمة وبالتالي يتعرض الأمن للخطر في أغلب الأحيان. كما يعني هذا أيضًا إمكانية انتشار ثغرة أو انتهاك أمني بصورة سريعة عند نقطة معينة.
7- إذا لم ينكسر، فلا تقم بإصلاحه. من المفهوم عدم اهتمام الإدارة بالاستثمار في أنظمة أفضل وأكثر أمانًا طالما كانت هناك أنظمة قديمة تعمل بصورة جيدة وتؤدي الغرض منها، بالإضافة إلى تصور الإدارة أن المخاطر تخيلية. هذا الاقتصاد لا يقوم على أسس متينة.
8- نقص الوعي. يتدرب موظفو التشغيل على ضمان استمرار عمل الأنظمة الحالية ولكنهم ليسوا "خبراء متمكنين في الأمن السيبراني".
9- الهرولة نحو كل ما هو "ذكي". يتم استبدال الأجهزة التي يطلق عليها وصف "غبية" مثل المصايد أو الفخاخ ويحل محلها أجهزة تدعم إنترنت الأشياء. تحتوي هذه الأجهزة عادةً على أجهزة استشعار "جاهزة للاستخدام" تتضمن ثغرات أمنية متضمنة يتم تشغيلها على برمجيات ضعيفة من ناحية التصميم والدعم المقدم لها. وغالبًا ما يتم التغاضي عن هذه الأسئلة الضرورية أثناء عملية الشراء.
هناك أنواع مختلفة من الهجمات الإلكترونية التي يمكن أن تتعرض لها شركات الأغذية. ربما يتم تحييد الميزة التي يتمتع منتجك بها لأن أحد المنافسين أطلق للتو منتجًا مقلدًا باستخدام ملكية فكرية مسروقة تحصّل عليها مخترقو الأنظمة. أو ريما استولى مخترق للأنظمة أيضًا على معلومات تجارية حساسة ومعلومات عن سلاسل التوريد خاصة بواحد أو أكثر من كبار العملاء لديك في مجال تجارة التجزئة وطلب فدية ضخمة. في كلتا الحالتين، يكون تولي زمام المبادرة فيما يتعلق بإدارة المخاطر أمرًا ضروريًا.
ما الإجراءات التي يمكنك اتخاذها؟
1- ادخل CHACCP؛ تحليل المخاطر السيبرانية ونقاط التحكم الحرجة. تم جلب مفاهيم ضمان الجودة والوظائف الفنية إلى قطاع الأغذية عن طريق "تحليل المخاطر السيبرانية ونقاط التحكم الحرجة" لأكثر من 30 عامًا. يمكن اعتبار تحليل المخاطر السيبرانية ونقاط التحكم الحرجة على أنه توسيع لنطاق النهج القائم على المخاطر والذي يضع الثغرات والارتباطات السيبرانية في الاعتبار مع تطبيقه كامتداد لأنظمة إدارة سلامة الأغذية المدمجة.
2- تطبيق معايير الأمن السيبراني. لن تفكر معظم الشركات في معرفة مدى أمانهم باستخدام اختبار اختراق أو الاستعانة بتصنيفات BitSight لتحديد المخاطر السيبرانية المعرضين لها من مورديهم وتفعيل هذه المفاهيم في إجراءات اختيار الموردين ومراقبة أدائهم وتقييمهم. هناك تحسن ملموس يتمثل في التفكير في تطبيق أنظمة إدارة المعلومات ISO 27001 وتكليف الموردين الرئيسيين بذلك، لاسيما الموردين الموجودين على منصات تكنولوجيا المعلومات المتكاملة مع أنظمة مؤسستك.
3- رفع المستوى الثقافي. يجب أن يصبح جميع الموظفين "متمرسين عبر الإنترنت" من خلال التدريب المتخصص في زيادة الوعي بهذا الشأن كجزء من عملية حثهم وتشجيعهم على الإبلاغ عن أي شيء يخرج عن النمط المألوف يعتقدون أنه قد يتعلق بمخاطر سيبرانية وذلك قبل أن تخرج الأمور عن السيطرة.
والخبر الجيد هو أن الشركات التي تطبق هذه الخطوات البديهية لم تنجح في رفع المخاطر المرتبطة بأعمالهم التجارية فحسب، بل في الوقت الذي أدركوا فيه أهمية هذه الخطوات حققوا أيضًا مساهمة كبيرة في بناء نظام دفاع قوي، وتنفيذ إجراءات العناية الواجبة، والوصول حتى إلى تقديم أول محرك للتغيير وإضفاء ميزة تنافسية على أعمالهم.
المؤلف: ريتشارد ويران
مدير قطاع الأغذية ─ أوروبا والشرق الأوسط وأفريقيا
