شهد القطاع المالي العالمي هزة عنيفة بفعل الحادث الذي تسبب به تحديث بسيط من شركة "CrowdStrike"، في يوليو الماضي والذي أدى إلى شلل في أنظمة العديد من البنوك العالمية.
هذا الحادث نبه إلى هشاشة البنية التحتية الرقمية للقطاع المالي، وأثارت التساؤلات حول قدرة هذه المؤسسات على الصمود أمام الهجمات السيبرانية والانقطاعات المفاجئة.
كما سلطت كارثة "CrowdStrike" الضوء على أهمية قوانين مثل DORA (قانون المرونة التشغيلية الرقمية)، الذي سنه الاتحاد الأوروبي بهدف فرض معايير أمنية صارمة على البنوك وشركات الخدمات المالية، ولكن يتساءل خبراء ومهتمون، هل يستطيع القانون حماية القطاع المالي من تكرار الكارثة وهل يحمي البنوك من الانقطاعات المفاجئة؟
ذكر تقرير نشرته شبكة (سي إن بي سي) الأميركية واطلعت عليه سكاي نيوز عربية تحت عنوان "البنوك في الاتحاد الأوروبي تواجه معايير أمنية جديدة صارمة وموردو التكنولوجيا تحت المجهر"، أن شركات الخدمات المالية وموردي تكنولوجيا المعلومات الرقمية التابعين لها يتعرضون لضغوط شديدة لتحقيق الامتثال للقواعد الجديدة الصارمة من الاتحاد الأوروبي التي تتطلب منهم تعزيز مرونتهم السيبرانية، إذ بحلول بداية العام المقبل، سيتعين عليهم التأكد من امتثالهم لقانون جديد قادم من الاتحاد الأوروبي يعرف باسم DORA، أو قانون المرونة التشغيلية الرقمية".
ما هو قانون " DORA"؟
يتطلب قانون "DORA" من البنوك وشركات التأمين والاستثمار تعزيز أمن تكنولوجيا المعلومات لديها، كما يسعى القانون الأوروبي إلى ضمان مرونة قطاع الخدمات المالية في حالة حدوث اضطراب شديد للعمليات، إذ يمكن أن يشمل مثل هذه الاضطرابات هجوماً بالفدية يتسبب في إغلاق أجهزة الكمبيوتر لشركة مالية، أو هجوماً من نوع DDoS (حجب الخدمة الموزع) الذي يؤدي إلى إيقاف تشغيل موقع الويب الخاص بالشركة.
كما يسعى القانون إلى مساعدة الشركات على تجنب أحداث تعطل كبيرة، مثل الانهيار التكنولوجي التاريخي الذي حدث الشهر الماضي بسبب شركة الأمن السيبراني "CrowdStrike" عندما تسبب تحديث برنامج بسيط أصدرته الشركة في تعطل نظام تشغيل ويندوز الخاص بمايكروسوفت، حيث فشلت العديد من البنوك وشركات الدفع وشركات الاستثمار - من JPMorgan Chase و Santander إلى Visa و Charles Schwab - في تقديم الخدمة بسبب الانقطاع، واستغرقت هذه الشركات عدة ساعات لاستعادة الخدمة للمستهلكين.
وفي المستقبل، سيقع مثل هذا الحدث تحت نوع من تعطيل الخدمة الذي سيواجه تدقيقاً بموجب القواعد الأوروبية الواردة.
ودخل قانون DORA حيز التنفيذ في 16 يناير 2023، لكن الدول الأعضاء في الاتحاد الأوروبي لن تطبق القواعد حتى 17 يناير 2025. وأعطى الاتحاد الأوروبي الأولوية لهذه الإصلاحات بسبب اعتماد القطاع المالي بشكل متزايد على التكنولوجيا وشركات التكنولوجيا لتقديم الخدمات الحيوية. وهذا جعل البنوك ومقدمي الخدمات المالية الآخرين أكثر عرضة للهجمات السيبرانية والحوادث الأخرى.
ونقلت الشبكة الأميركية عن مايك سليثولم، رئيس شركة التكنولوجيا المالية Broadridge International، : "أن أحد العوامل البارزة في قانون DORA هو أنه لا يركز فقط على ما تفعله البنوك لضمان المرونة، بل يركز أيضاً على موردي التكنولوجيا للشركات، وهناك الكثير من التركيز على إدارة مخاطر الطرف الثالث. تستخدم البنوك موردي خدمات الطرف الثالث لأجزاء مهمة من البنية التحتية التكنولوجية الخاصة بها".
متطلبات" DORA " على البنوك وموردي التكنولوجيا
يُطلب من البنوك بموجب قانون DORA :
- اتخاذ إجراءات صارمة في مجالات إدارة مخاطر تكنولوجيا المعلومات.
- إدارة الحوادث وتصنيفها والإبلاغ عنها.
- اختبار المرونة التشغيلية الرقمية.
- تبادل المعلومات والاستخبارات بشأن التهديدات السيبرانية.
- اتخاذ تدابير إدارة مخاطر الطرف الثالث.
كما يتعين على الشركات إجراء تقييمات لـ "مخاطر التركيز" المتعلقة بتعهيد الوظائف التشغيلية الحرجة أو المهمة إلى شركات خارجية.
وقال جو فاكارو، المدير العام لشركة ThousandEyes، وهي شركة تابعة لـ Cisco لمراقبة جودة الإنترنت: "إن مقدمي خدمات تكنولوجيا المعلومات غالباً ما يقدمون خدمات رقمية حاسمة للعملاء، يجب أن يكون هؤلاء الموردون من الطرف الثالث جزءاً من عملية الاختبار والإبلاغ، مما يعني أن شركات الخدمات المالية تحتاج إلى اعتماد حلول تساعدهم على الكشف عن هذه التبعيات المخفية أحياناً مع الموردين ورسم خرائط لها".
تقليل خطر تكرار الحوادث
في حديثه لموقع "اقتصاد سكاي نيوز عربية" أكد الخبير الاقتصادي والمالي، حسين القمزي أن قانون "DORA" بالتأكيد سيسهم بشكل كبير في تعزيز المرونة التشغيلية للقطاع المالي الأوروبي وتقليل خطر تكرار الحوادث، موضحاً أن القانون، وهو اختصار لـ "المرونة التشغيلية الرقمية" (DORA)، مصمم لتعزيز مرونة القطاع المالي ضد الحوادث السيبرانية والانقطاعات التشغيلية المفاجئة. ويحتوي على عدة آليات تسهم في منع تكرار الكوارث مثل "CrowdStrike".
وأشار إلى أن القانون يتطلب من المؤسسات المالية تحديد مخاطر وحماية أنظمة الاتصالات والمعلومات (ICT)، واكتشاف الأنشطة غير العادية، وتطوير خطط الاستجابة والتعافي من الأزمات. كما يجب على المؤسسات المالية ضمان مستوى مناسب من الفصل والاستقلالية بين وظائف إدارة مخاطر الاتصالات والمعلومات والوظائف الرقابية الداخلية.
بالإضافة إلى ذلك، يفرض قانون " DORA " على المؤسسات المالية إجراء اختبارات سنوية على أنظمة (ICT) الحرجة، واختبارات اختراق متقدمة مرة كل ثلاث سنوات على الأقل لبعض المؤسسات. ويشدد القانون كذلك على أهمية تقييم وإدارة المخاطر الناشئة من مقدمي الخدمات التكنولوجية، بما في ذلك توثيق جميع الاتفاقيات التعاقدية ووجود خطط لعدم انقطاع ولاستمرارية الخدمة واختبار النظم بانتظام.
ويوفر القانون أيضاً إطاراً للإشراف على مقدمي الخدمات التكنولوجية المُهمّين للنظام المالي، إذ سيتم تصنيف مقدمي الخدمات هؤلاء كـ "مزودي خدمات تكنولوجية حيوية" وسيخضعون لمراقبة مباشرة من قبل السلطات الرقابية الأوروبية، وبهذه الإجراءات الشاملة والمترابطة، يتوقع الخبير الاقتصادي والمالي القمزي أن يسهم القانون في تقليل المخاطر التشغيلية والسيبرانية بشكل كبير، مما يساعد على منع تكرار الحوادث.
اختبار ومراقبة الجودة قبل نشر تحديثات البرامج
من جانبه، قال علي حمودي، الخبير الاقتصادي والمالي، الرئيس التنفيذي ورئيس الاستثمار في "ATA Global Horizons" في حديثه لموقع "اقتصاد سكاي نيوز عربية": "خلّفت حادثة "CrowdStrike " الأخيرة دماراً هائلاً في مختلف أنحاء العالم، إذ تحول التحديث الروتيني إلى مشكلة عالمية أثرت على ما يقرب من 8.5 مليون جهاز كمبيوتر في كل الصناعات تقريباً بما في ذلك البنوك والبورصات والمستشفيات وشركات الطيران.
وتشير التقديرات إلى أن التكاليف المرتبطة بهذه الحادثة لشركات Fortune 500 وحدها بلغت 5.4 مليار دولار".
ولهذا السبب، يتم عادة وضع إجراءات اختبار ومراقبة الجودة القوية من قبل مطوري البرامج والبائعين، قبل نشر التحديثات، سواء لأداة إنتاج مستخدمة على نطاق واسع، أو تطبيق يعمل في الخلفية تسهل هذه العمليات اكتشاف الأخطاء ومشاكل التوافق وتصحيحها قبل طرحها - وتسبب مشاكل - في بيئات الإنتاج، بحسب تعبيره.
وفي هذه الحالة، كشفت كارثة " CrowdStrike " أن إحدى أدوات الاختبار الخاصة فيها خلل سمح للكود المعيب بالمرور عبر التحقق من الصحة. وبالتالي، كان الخلل غير المكتشف الذي أثر على نظام التشغيل الخاص بشركة Microsoft - وهو على الأرجح نظام التشغيل الأكثر شيوعاً الذي يستخدم عليه CrowdStrike – قادراً على التسلل عبر عمليات الفحص والضوابط الخاصة بالبائع.
وأكدت شركة "CrowdStrike" منذ ذلك الحين أنها نفذت مجموعة من الفحوصات والضمانات الجديدة والإضافية لمنع نشر التحديثات التي قد تسبب مشكلات في المستقبل. ويشمل ذلك اختبار المطورين المحليين وتحديث المحتوى واختبار التراجع، بالإضافة إلى اختبار الإجهاد والاستقرار. كما نفذت الشركة استراتيجية نشر متدرجة حيث يتم نشر التحديثات تدريجيًا على مجموعات أكبر من نقاط النهاية، بدءاً بقاعدة مستخدمين صغيرة، طبقاً لما قاله الخبير الاقتصادي والمالي حمودي.
التشريع يمنع تكرار الخطأ
وأردف بقوله: "وعلى هذا النحو، نرى هذا واضحاً في شكل لوائح تركز على المرونة الرقمية والسيبرانية، مع DORA وNIS2 (كلاهما على مستوى الاتحاد الأوروبي) وقواعد المرونة التشغيلية في المملكة المتحدة، وهي ثلاثة تشريعات تدخل حيز التنفيذ في أوروبا (في يناير 2025 وأكتوبر 2024 ومارس 2025 على التوالي). وتعد لوائح الاتحاد الأوروبي على وجه الخصوص مبادرات واسعة النطاق وهي الأولى من نوعها لتوحيد جميع الجوانب المختلفة للمخاطر الرقمية والسيبرانية في لوائح أوسع نطاقاً تتعلق بالمرونة".
في سياق تلك الحادثة المحددة، هناك عدد قليل من المجالات الرئيسية التي يجب التركيز عليها ضمن هذه اللوائح والتي تهدف إلى التخفيف من المخاطر المرتبطة بها، ويرى حمودي أنه من المستحسن أن تقوم الشركات بمراجعة وتعزيز قدراتها عبر هذه المجالات، مؤكداً أنه مثل هكذا تشريعات تستهدف منع تكرار ما حصل وعادة الهيئات التشريعية وخاصة في الاقتصادات المتقدمة عندما يقع مثل هذا الخطأً فإن هكذا إجراءات بالفعل تمنع حدوثه مرة ثانية.
ماذا يحدث إذا فشلت الشركة في الامتثال؟
وبالعودة إلى تقرير الشبكة الأميركية، فقد ذكر أنه بالنسبة للمؤسسات المالية التي تنتهك القواعد الجديدة، سيكون لدى سلطات الاتحاد الأوروبي سلطة فرض غرامات تصل إلى 2 بالمئة من إيراداتها العالمية السنوية، ويمكن أيضاً تحميل المديرين الأفراد المسؤولية عن الانتهاكات، كما يمكن أن تصل العقوبات على الأفراد داخل الكيانات المالية إلى 1 مليون يورو (1.1 مليون دولار).
وبالنسبة لمقدمي خدمات تكنولوجيا المعلومات، يمكن للمنظمين فرض غرامات تصل إلى 1 بالمئة من متوسط الإيرادات العالمية اليومية في السنة المالية السابقة. كما يمكن تغريم الشركات كل يوم لمدة تصل إلى ستة أشهر حتى تحقق الامتثال.
ويمكن أن تواجه شركات تكنولوجيا المعلومات التابعة لجهات خارجية والتي تعتبرها الجهات التنظيمية في الاتحاد الأوروبي "حاسمة" غرامات تصل إلى 5 ملايين يورو - أو في حالة مدير فردي، بحد أقصى 500 ألف يورو.
هل البنوك وموردوها مستعدون؟
قال ستيفن ماكديرميد، كبير مسؤولي الأمن في منطقة أوروبا والشرق الأوسط وأفريقيا لشركة الأمن السيبراني أوكتا: "إن العديد من شركات الخدمات المالية أعطت الأولوية لاستخدام برامج المرونة التشغيلية الداخلية الحالية وإدارة مخاطر الطرف الثالث للالتزام بقانون DORA و "تحديد أي ثغرات قد تكون لديها".
وأضاف: "هذا هو الهدف من DORA، لإنشاء محاذاة للعديد من برامج الحوكمة الحالية تحت سلطة إشرافية واحدة ومواءمتها في جميع أنحاء الاتحاد الأوروبي".
وحذر فريدريك فورسلوند، نائب الرئيس والمدير العام الدولي لشركة تطهير البيانات Blancco، من أنه على الرغم من أن البنوك وبائعي التكنولوجيا أحرزوا تقدماً نحو الامتثال لقانون DORA، إلا أنه لا يزال هناك "عمل يتعين القيام به".
على مقياس من واحد إلى عشرة - حيث تمثل القيمة واحد عدم الامتثال و10 تمثل الامتثال الكامل - قال فورسلوند: "نحن عند مستوى 6 ونحن نتحرك بسرعة للوصول إلى 7، نحن نعلم أنه يجب أن نكون عند مستوى 10 بحلول يناير".