لطالما كانت سلسلة توريد البرمجيات نقطة ضعف، وكل ما في الأمر أن J.P. Morgan قالت ذلك هذه المرة بصوت عالٍ.

حين وجّه Patrick Opet، المدير التنفيذي لأمن المعلومات في J.P. Morgan، هذا الأسبوع رسالة مفتوحة إلى شركات القطاع في الولايات المتحدة يدعو فيها إلى إعطاء الأولوية لأمن سلسلة توريد البرمجيات، لم يكن كثيرون يستمعون إلى تحذير لم يُطلَق من قبل. لكن اللافت في الأمر أن هذا الموقف صدر عن أكبر بنك أمريكي من حيث الأصول، وأكبر بنك في العالم من حيث القيمة السوقية، مع أن المؤسسات المالية لا تُعرَف عادة بتصريحاتها الجريئة والصريحة.

وتشير رسالة Opet كذلك إلى المخاطر الخاصة بالقطاعات الأعلى تنظيمًا والأكثر حساسية، مثل القطاع المالي، حيث يمكن أن تصل كلفة الإخفاق إلى تريليونات الدولارات. وبحسب تقرير تكلفة خرق البيانات لعام 2024 الصادر عن IBM، بلغ متوسط التكلفة العالمية لحادثة اختراق واحدة في القطاع المالي 6.08 مليون دولار أمريكي، وهي ثاني أعلى تكلفة بعد متوسط تكلفة اختراق البيانات في قطاع الرعاية الصحية البالغ 9.77 مليون دولار أمريكي.

وقال Opet في منشوره على LinkedIn: "لم يعد من المقبول أن تتقدّم سهولة الاستخدام على متطلبات التحكم"، ودعا مزوّدي البرمجيات من الأطراف الثالثة، وقادة الأمن السيبراني، ومجتمع التقنية الأوسع إلى التدقيق عن كثب في "نقاط الضعف الحرجة" في سلسلة توريد البرمجيات، التي قد يؤدّي تعطل أيٍّ منها إلى "عواقب كارثية محتملة على مستوى النظام بأكمله".

قد تتجلى هذه "السهولة" في صورة نظام متكامل من البيانات والعمليات يعمل بانسيابية، تُحدَّث مكوّناته تلقائيًا من دون تأخير أو حاجة إلى تدخل يدوي، وهو هدف تسعى إليه الشركات بلا جدال. لكن كما يحذر Nataraj Nagaratnam، CTO لأمن الذكاء الاصطناعي وبنيته التحتية في IBM: "مع انتشار استخدام وكلاء الذكاء الاصطناعي واعتمادهم بشكل متزايد على التشغيل الذاتي، تزداد أهمية التأكد من أن تدابير الأمن في المؤسسات ترتقي إلى مستوى المخاطر المصاحبة لهذه الابتكارات."

تحدّث Nagaratnam إلى IBM Think من قلب فعالية RSA في سان فرانسيسكو، حيث اجتمع هناك مع ما يقرب من 40,000 متخصص في الأمن السيبراني، في واحدة من أكبر فعاليات هذا المجال خلال العام. وقد كانت رسالة Opet موضوع الساعة، وأثارت كثيرًا من الجدل، لكنها قوبلت أيضًا بإقرار واسع بأنها تمثل دعوة لتوحيد الجهود لوضع معايير مشتركة على مستوى القطاع، وتبنّي آليات واضحة لقياس مدى الالتزام بهذه المعايير.

وفي هذه المرحلة المبكرة، لا يزال الحكم النهائي غير محسوم بشأن الشكل الدقيق الذي ينبغي أن تتخذه هذه المعايير وتلك الآليات. ومع ذلك، فإن حجم المخاطر لا يمكن أن يكون أكبر مما هو عليه الآن. فعلى سبيل المثال، قدَّرت شركة الاستشارات Anderson Economic Group، ومقرها East Lansing بولاية Michigan، أن هجوم برامج الفدية على شركة CDK Global، المزوّد بحلول البرمجيات لقطاع السيارات، كبَّد وكلاء بيع السيارات مجتمعين خسائر تجاوزت مليار دولار أمريكي. وكما قال Opet: "إن السعي وراء حصة أكبر من السوق على حساب الأمن يعرّض الأنظمة البنائية الكاملة للعملاء لمستويات كبيرة من المخاطر، وينتهي بنا إلى وضع غير قابل للاستدامة على مستوى النظام الاقتصادي."

فما الذي يمكننا الخروج به مباشرة من كل ذلك؟ يرى خبراء IBM أن رسالة Opet والنقاش الدائر حولها تتضمن ثلاث دعوات لاتخاذ إجراء (call to action):

1. الأمن المدمج في التصميم (Secure by design): لا ينبغي أن يُترَك الأمن كفكرة لاحقة تضاف في نهاية رحلة التطوير. ويكتب Opet: "على المزوّدين أن يعيدوا ترتيب أولوياتهم بصورة عاجلة، فيضعوا الأمن في مرتبة مساوية – إن لم تكن أعلى – لإطلاق المنتجات الجديدة." وقد استبق Mark Hughes، Global Managing Partner لخدمات الأمن السيبراني في IBM، هذا التوجّه في تقرير حديث عن الأمن السيبراني بقوله: "تحتاج الشركات إلى الانتقال من عقلية الوقاية العشوائية وردّ الفعل إلى التركيز على إجراءات استباقية؛ مثل تحديث إدارة أنظمة المصادقة، وسد الثغرات في تطبيق المصادقة متعددة العوامل، وتنفيذ عمليات رصد وصيد للتهديدات في الوقت الفعلي، لكشف التهديدات الخفية قبل أن تؤدي إلى كشف بيانات حساسة." في منشور على LinkedIn ردًا على رسالة Opet، يحث Hughes الشركات على سدّ الفجوات في التقنية وإدارة البيانات "قبل أن تتحوّل إلى نقاط دخول للمخاطر".
2. الضوابط الموحَّدة: يشير Dinesh Nagarajan، Partner في IBM Consulting في مجالات Data & AI وQuantum Safe وApplication Security Services، إلى أن على مزوّدي حلول SaaS وغيرهم من مزوّدي الخدمات من الأطراف الثالثة اعتماد ضوابط موحَّدة وتبنّيها. ويضيف أن وضع آلية موحَّدة لتقييم مزوّدي البرمجيات لا يكفي وحده، بل من الضروري أيضًا مراقبة "مدى امتثالهم للمتطلبات والضوابط المطلوبة". وقد أسهمت IBM في تطوير ضوابط سحابية على مستوى القطاع، كما تعاونت مع جهات صناعية مثل Cloud Security Alliance لوضع ضوابط خاصة بخدمات الحوسبة السحابية في المؤسسات المالية على وجه التحديد. وانطلاقًا من هذا العمل، وسّعت IBM هذا النهج ليشمل استخدام الذكاء الاصطناعي التوليدي من قِبل المؤسسات المالية، وذلك في إطار وثيقة مشتركة أعدّتها بالتعاون مع عشرة بنوك من عدّة قارات.
3. الحوكمة عبر سلسلة التوريد: يوضح Nagaratnam أن مزوّدي خدمات SaaS والمؤسسات عمومًا بحاجة إلى اعتماد نهج شامل لحوكمة أمنهم وإدارته بصورة استباقية، مع مراقبة مستوى الامتثال بشكل مستمر. ومن بين السبل لتحقيق ذلك أن تطوّر المؤسسات أدلة تشغيلية خاصة بها للأمن السيبراني (incident response playbooks) تُستخدم لتحديد مواضع التعرّض للمخاطر، وتقييم تلك المخاطر، والحدّ من آثار الحوادث. كما ينبغي أن تُحدِّد هذه الأدلة بوضوح المسؤوليات عن الإجراءات المختلفة، مثل تحديد أي طرف يكون مسؤولًا – وربما مُلزَمًا قانونيًا – عن تأمين حلول الذكاء الاصطناعي التوليدي التي يقدّمها طرف ثالث. إن الاعتماد على مكوّنات من أطراف ثالثة يتطلّب إشرافًا ورقابة صارمين، مع فهم واضح لنموذج المسؤولية المشتركة بحيث يتحمّل المورّدون مسؤولية تأمين مجموعة البرمجيات كاملة، وليس الجزء الخاص بهم فحسب.

كما تظهر تقريبًا كل أسبوع أدوات جديدة على مستوى القطاع لمساعدة الشركات على تعزيز الحوكمة ودعم جهود الامتثال التنظيمي. أمس فقط، على سبيل المثال، تعاونت منصة حوكمة الذكاء الاصطناعي Credo AI مع IBM لإطلاق أداة watsonx.governance Compliance Accelerator، التي تساعد مالكي حالات استخدام الذكاء الاصطناعي ومسؤولي الامتثال على الالتزام بمختلف اللوائح التنظيمية بسرعة أكبر وبأسلوب أكثر أتمتة.

يُشير Nagarajan من IBM إلى أن تحميل قادة الأعمال أنفسهم المسؤولية عن التقنية التي يستخدمونها من شأنه أن يقطع شوطًا كبيرًا في تحسين مستوى الأمن. ويقول: "عندما تُخضِع قادة الأعمال للمساءلة عن التقنية التي يستخدمونها، وكيف تُدار، ولأي غرض تُستخدم، وكيف يتم تأمينها، فإن ذلك ينعكس تلقائيًا في تعزيز مستوى الأمن."