المناطق-متابعات
ينظم المحامي جيمس نورث بانتظام تمارين محاكاة “لعبة الحرب” مع العملاء، لاختبار كيفية تعاملهم مع هجوم إلكتروني. وفي العام الماضي، انتقل من ممارسة هذه التمارين عادة مرة واحدة في الشهر إلى مرة أسبوعيا تقريبا.
يقول نورث، الذي يرأس قسم التكنولوجيا، والإعلام والاتصالات في شركة المحاماة الأسترالية كورس تشامبرز ويستجارث، “إن الأمن الإلكتروني أصبح الآن أولوية قصوى بالنسبة إلى كثير من الشركات إلى جانب المسائل البيئية، والاجتماعية والحوكمة”. ويحذر من أن “هناك كثيرا من الهجمات الخطيرة حقا أخيرا. والتأهب لذلك ليس مثاليا عبر الاقتصاد”.
كما أن الهجمات الإلكترونية تزداد تعقيدا. حيث قال تقرير سنوي صادر عن مركز الأمن السيبراني الأسترالي، وكالة حكومية، في تشرين الثاني (نوفمبر)، “إن البلد يتعرض لتهديدات متزايدة التعقيد وإنه قد تلقى أكثر من 76 ألف تقرير عن جرائم إلكترونية بين حزيران (يونيو) 2021 وتموز (يوليو) 2022، بزيادة قدرها 13 في المائة عن العام السابق”.
الهجمات الإلكترونية، كالهجوم الذي استهدف شركة الاتصالات المملوكة لسنغافورة، أوبتوس، في أيلول (سبتمبر) الماضي وكشفت البيانات الشخصية لملايين العملاء في أستراليا، دفعت الحكومة الأسترالية إلى اتخاذ إجراءات أكثر صرامة، مثل زيادة العقوبات القصوى على الانتهاكات الجسيمة.
وفي الوقت نفسه، تعمل المؤسسات العامة والخاصة على تكثيف استجاباتها وتتوجه نحو شركات المحاماة لدراسة المشهد التنظيمي سريع التطور.
تستخدم خدمة شركة كورس تشامبرز ويستجارث الإلكترونية فريقا متعدد التخصصات يضم محققين في مجال تكنولوجيا المعلومات، ومحامين ومتخصصين في الأزمات لإدارة التداعيات القانونية، والتنظيمية والاتصالات الناجمة عن الهجمات الإلكترونية.
يساعد نورث وزملاؤه العملاء لاستخدام “لعبة الحرب” في استجاباتهم للهجمات الإلكترونية المحتملة باستخدام “تمارين محاكاة النقاشات”، وهي النظر في كيفية حدوث سيناريو حقيقي.
يقول “قد يستغرق تمرين محاكاة النقاشات ساعتين أو ثلاث ساعات في وضع مصمم ليمثل أسبوعين إلى ثلاثة أسابيع في أعقاب أي هجوم”. عادة ما يتم إعطاء العملاء المشاركين مجموعة جديدة من الحقائق كل ساعة -تمثل أياما مختلفة بعد الهجوم- ويجب أن يأخذوا في الحسبان المشكلات مثلما يتعين على المديرين القيام به لأداء الواجبات التي تناط بهم وإعداد التقارير، أو إذا ما كان ينبغي دفع فدية بشكل قانوني لأي مهاجمين إلكترونيين.
يقول نورث “إن استجابة الشركات واسعة النطاق لأي هجوم إلكتروني أمر شديد الأهمية، بدلا من ترك أي رد لفريق تكنولوجيا المعلومات وحده”.
ويوضح قائلا “عندما يتم تسليم الأمر إلى فريق تكنولوجيا المعلومات، من الممكن ألا يفهموا الآثار الأوسع نطاقا. قد يمسحون خادما تم اختراقه، لذا قد يتعاملون مع فيروس لكن قد يمسحون أيضا جميع سجلات الوصول، التي توضح البيانات التي تم استخراجها وقد تحتاج إليها لتحقيق الأهداف التنظيمية”.
أصبحت المخاوف بشأن الهجمات الإلكترونية وخروقات البيانات منتشرة على نطاق واسع عبر أقاليم آسيا والمحيط الهادئ. وفي تقرير يبحث في حالة الاستجابة للحوادث على الهجمات الإلكترونية في المنطقة، نشرته كرول، مجموعة استخبارات الشركات، في تشرين الأول (أكتوبر) 2022، ظهر فقدان البيانات باعتباره مصدر القلق الرئيس لـ70 في المائة من المديرين التنفيذيين في الشركات الذين تم استجوابهم.
وجد التقرير أن الشركات في المنطقة “تشعر بتأثير الهجمات الإلكترونية، لكن كثيرا منها لا تزال بحاجة إلى وضع خطط استجابة مناسبة أو وصول منتظم إلى الخبرة الإلكترونية المناسبة”.
تعمل فيتنام على وضع تشريع جديد لحماية البيانات، بينما، في تايلاند، تم تمرير قانون حماية البيانات الشخصية في 2019 ودخل حيز التنفيذ العام الماضي، مع توقع البعض في البلد أن تتخذ الجهات التنظيمية موقفا صارما بشكل متزايد بشأن عدم الامتثال.
يتطلب التشريع التايلاندي الجديد أن يكون لدى أي خدمة تراقب سلوك السكان ممثل محلي لخصوصية البيانات في البلد. وقد أتاح ذلك فرصة لشركة المحاماة تيليكي آند جيبينز في جنوب شرق آسيا، التي أنشأت خدمة حلول رقمية في تايلاند لتكون بمنزلة الممثل المحلي لعملائها الحاليين، بما في ذلك شركة ميتا بلاتفورمز، مالكة شركة فيسبوك.
تقول نوب تشيترانوكروه، شريكة مقيمة في تايلاند ومديرة قسم الشركات والقسم التجاري في شركة تيليكي آند جيبينز، “إن الخدمة صممت لمساعدة العملاء الحاليين مثل شركة ميتا عبر إنقاذهم من الاضطرار إلى تعيين ممثل خاص بهم في تايلاند، نحاول مساعدة العملاء الحاليين الذين نعرف أنهم ملتزمون ونصبح الممثل المحلي الخاص بهم”.
تعتقد أن الجهات التنظيمية تتخذ موقفا أكثر صرامة مع تراجع التشريعات. وتقول “العام الماضي، عندما تم تطبيق القانون، كان نهج الجهات التنظيمية أكثر تعليميا. هذا العام، أتوقع أن تبدأ الهيئة التنظيمية في فرض غرامات. لقد بدأت في فرضها بمزيد من الصرامة”.
تم اعتماد اللائحة التنظيمية العامة لحماية البيانات، وهي تشريعات حماية البيانات في أوروبا، كمعيار عالمي من قبل كثير من الشركات. تقول تشيترانوكرو “إن العملاء الذين لديهم عمليات عالمية تبنت بالفعل اللائحة التنظيمية العامة لحماية البيانات وجدوا أنه من الأسهل الامتثال للوائح التنظيمية الجديدة، هناك كثير من الأشياء التي كان سيتعين عليهم القيام بها إذا لم يمتثلوا لها (اللائحة التنظيمية)”.
في الهند، يجري تقديم مشروع قانون جديد لحماية البيانات الشخصية الرقمية، بعد ستة أعوام من صدور حكم حاسم من قبل المحكمة العليا في الهند في 2017، الذي أكد أن الخصوصية حق أساسي، في حكم بشأن نظام الهوية الرقمية الحكومية. ويأتي مشروع القانون الأخير في أعقاب مسودات سابقة تم انتقادها لمنح الوكالات الحكومية مجالا أكبر للوصول إلى البيانات الشخصية دون موافقة المستخدمين.
بعد إقرار التشريع، من المحتمل أن يكون لدى هيئات القطاعين العام والخاص فترة انتقالية تمتد من عام إلى عامين للامتثال للقواعد الجديدة.
تمت دعوة شركة المحاماة خيتان آند كو لحضور الاستشارة الأولى التي عقدتها وزارة الإلكترونيات وتكنولوجيا المعلومات الهندية لإبداء الرأي بشأن مشروع القانون.
يقول سوبراتيم تشاكرابورتي، شريك في شركة خيتان آند كو، “إن الشركات المطلعة على اللائحة التنظيمية العامة لحماية البيانات من المرجح أن تكون مستعدة بشكل أفضل للتشريع الجديد”، ويضيف “يتفاعل كثير من الشركات مع أوروبا وهي أكثر وعيا بحماية البيانات. لكن بعض الشركات قد تجلس جانبا وتراقب كيف سيحدث الأمر”.
مع ذلك، بينما تقوم الجهات التنظيمية والحكومات في جميع أنحاء منطقة آسيا والمحيط الهادئ بتحسين إجراءاتها، كذلك يفعل المهاجمون الإلكترونيون.
يقول نورث من شركة كورس تشامبرز ويستجارث “تحتاج الشركات إلى بذل مزيد من الجهد حتى لو كانت متطورة، لا يتطلب الأمر سوى شخص واحد في المؤسسة لارتكاب خطأ والنقر على رابط في رسالة بريد إلكتروني مرتبط ببرامج ضارة”.