عندما يصبح المورّد الحلقة الأضعف في البنية التحتية الحرجة
بالنسبة لمشغلي الخدمات الأساسية، لم يعد اختيار المورّد مجرد مسألة مشتريات - بل أصبح قرارًا طويل الأمد يتعلق بالمرونة السيبرانية، ويتشكل بفعل التنظيم، والاستمرارية، ومخاطر الخروج.
تعتمد البنية التحتية الحرجة على موردي التكنولوجيا بطرق غالبًا ما تكون غير مرئية حتى يحدث عطل ما. وقد أصبح يُنظر إلى هذا الاعتماد الآن على أنه مشكلة أمنية ومشكلة مرونة أكثر من كونه مجرد قرار شراء. عمليًا، لا يقتصر السؤال على ما إذا كان المورّد موثوقًا اليوم، بل يشمل أيضًا ما إذا كان بإمكان المشغل الاستمرار في العمل والتعافي والامتثال إذا أصبح ذلك المورّد غير متاح أو صعب الاستبدال للغاية.
حقائق سريعة
- يُنظر إلى الاعتماد على المورّدين بشكل متزايد على أنه قضية مخاطر سيبرانية بالنسبة لمشغلي البنية التحتية الحرجة.
- تشير أطر الاتحاد الأوروبي مثل NIS2 وCER إلى ضوابط أقوى لسلسلة التوريد والمرونة.
- يضيف اقتراح يُشار إليه باسم CSA2 طبقة أخرى من الاهتمام بالشهادات الأمنية وأمن المورّدين.
- يجري دفع فرق CISO والامتثال إلى تقييم الموثوقية والاستمرارية وقابلية الاستبدال على المدى الطويل.
- المخاطر الرئيسية لا تقتصر على الاختراق، بل تشمل أيضًا فشل المورّد، والارتهان له، وبطء التعافي.
لماذا يهم الاعتماد على المورّدين
في بيئة حرجة، قد يكون لمورّد التكنولوجيا موضع داخل أنظمة الهوية أو الاستضافة أو المراقبة أو تسليم التحديثات أو البرمجيات التشغيلية. وهذا يجعل تركّز المورّدين سطح هجوم حقيقيًا. فإذا كان من الصعب تدقيق مزود الخدمة، أو استبداله، أو الخروج منه، فإن المشغل يرث هشاشة غالبًا ما تفوتها قوائم التحقق التقليدية للأمن السيبراني.
ولهذا السبب تكتسب أطر المخاطر الأوروبية أهمية هنا. يُفهم NIS2 عادةً على أنه يدفع مؤسسات القطاعات الأساسية نحو إدارة أوسع للمخاطر، بما في ذلك أمن سلسلة التوريد والتخطيط للاستمرارية. أما CER فيضيف منظور المرونة إلى الكيانات الحرجة، مما يعزز فكرة أن الخدمات الأساسية تحتاج إلى أكثر من مجرد محيط آمن - فهي تحتاج إلى القدرة على الاستمرار في العمل خلال الاضطرابات. وما تزال الواجبات القانونية الدقيقة تعتمد على القطاع والحجم والتنفيذ الوطني، لكن الاتجاه واضح: أصبح الاعتماد بحد ذاته قضية حوكمة.
أما CSA2، على الأقل كما يُشار إليه في هذا النقاش، فيشير إلى المرحلة التالية من هذا التحول. وحتى من دون المبالغة في قراءة نطاقه الدقيق، تبقى الرسالة مألوفة لفرق الأمن: يمكن للشهادات والإرشادات التنظيمية أن تساعد في تقليل عدم اليقين، لكنها لا تلغي المخاطر التشغيلية المترتبة على الارتباط الوثيق جدًا بمورّد واحد.
ومن منظور دفاعي، يعني هذا أن على مديري أمن المعلومات التفكير بما يتجاوز استبيانات الأمن الأساسية. ينبغي أن يسأل تقييم جاد للمورّد عما إذا كان يمكن استبدال المزود، ومدى سرعة نقل البيانات، وما الذي يحدث أثناء الانقطاع، وما إذا كانت خطط النسخ الاحتياطي أو الخروج قد خضعت للاختبار من قبل. وفي بعض البيئات، لا تقل هذه الأسئلة أهمية عن التصحيح أو التحكم في الوصول.
حتى وقت كتابة هذا المقال، تدعم المعلومات المتاحة تحليلًا للمخاطر، لا حكمًا نهائيًا بشأن فشل أي مورّد بعينه أو وقوع حادثة محددة. والدرس الأوسع أبسط وأصعب في الوقت نفسه: بالنسبة للبنية التحتية الحرجة، لم تعد المرونة تُقاس فقط بما يتم الدفاع عنه، بل أيضًا بما يمكن استبداله.
الخلاصة
ليست أخطر علاقة مع مورّد دائمًا هي العلاقة التي تبدو معطلة بشكل واضح. أحيانًا تكون هي العلاقة التي تعمل بشكل جيد للغاية، وتصبح متغلغلة إلى حد يجعل مغادرتها أزمة بحد ذاتها. بالنسبة للمشغلين في القطاعات الحرجة، لم تعد مهمة الأمن السيبراني تقتصر على الثقة بالمورّدين - بل أصبحت تتعلق بالتأكد من أن الاعتماد عليهم لا يتحول أبدًا إلى قدر محتوم.
TECHCROOK
مزود طاقة غير منقطع (UPS): يمكن لمزود طاقة غير منقطع مدعوم ببطارية أن يبقي أجهزة التوجيه والخوادم والتخزين ومحطات العمل قيد التشغيل خلال الانقطاعات القصيرة وتقلبات التيار. وبالنسبة للمنظمات التي تعتمد على الاستمرارية، فهو وسيلة عملية لكسب الوقت لإجراءات الإيقاف أو التحويل الاحتياطي أو التعافي.
WIKICROOK
- NIS2: توجيه أوروبي للأمن السيبراني يدفع القطاعات الحرجة نحو إدارة أقوى للمخاطر، بما في ذلك ضوابط سلسلة التوريد والاستمرارية.
- توجيه CER: قانون مرونة أوروبي للكيانات الحرجة، يركز على التقييمات والتدابير التي تحافظ على عمل الخدمات الأساسية.
- CSA2: اقتراح تمت الإشارة إليه في المقال؛ النطاق الدقيق غير محدد في المادة المقدمة.
- أمن سلسلة التوريد: ممارسة تحديد المخاطر الناجمة عن الاعتماد على تقنيات وخدمات جهات خارجية وتقليلها.
- الارتهان للمورّد: حالة يصبح فيها تغيير المورّدين أمرًا صعبًا أو مكلفًا أو معطلًا للعمليات.




