قالت صحيفة "بوليتيكيو" الأميركية، إن من أسباب الهجمات الإلكترونية التي طاولت مؤخراً وزارات أميركية عدة، هو اعتماد الولايات المتحدة على برامج حماية لا يجري اختبارها بشكل جيدة، ما أدى إلى إنشاء "نقطة عمياء"، استغلها القراصنة الروس في هجماتهم.
وأشارت الصحيفة إلى أن الحكومة الأميركية، تجري عمليات اختبار سريعة لبرامج الحماية التي تشتريها من شركات خاصة، من إدارة قواعد البيانات إلى تشغيل تطبيقات الدردشة الداخلية، مؤكدة أن ذلك أدى إلى إنشاء "نقطة عمياء"، استغلها القراصة الروس في اختراق وزارة الخزانة ووزارة الأمن الداخلي ووكالات أخرى.
وأضافت أن القراصنة انتظروا تنزيل الوكالات تحديثات روتينية على برامج إدارة الشبكات المستخدمة على نطاق واسع، والتي أنشأتها شركة في تكساس تسمى "سولارويندز"، ومن خلال هذه التحدثيات يتسلل القراصنة إلى هذه الوكالات من دون لفت الأنظار إليهم.
برامج تعتمدها الحكومة
وتعتمد الحكومة الأميركية على شركات خاصة لتزويد وكالاتها بهذه البرامج، وتعتمد بعض المؤسسات على فرق أمنية متخصصة، مثل "أمازون" التي توفر خدمات دعم "كلود"، وشركة "ساب إس إي" للبرمجيات، التي تساعد في معالجة كميات كبيرة من البيانات.
ونقلت "بوليتيكو" عن السيناتور الديمقراطي رون وايدن قوله: "تحتاج الحكومة إلى تحديد الحد الأدنى من متطلبات الأمان للبرامج والخدمات، ورفض شراء أي شيء لا يفي بهذه المعايير".
وأضاف: "إنه لمن الهزيمة الذاتية للوكالات الفيدرالية، أن تُنفق المليارات على الأمن، ثم تمنح العقود الحكومية، للشركات التي لديها منتجات غير آمنة".
وتعتبر شركة "سولارويندز"، التي تضم أكثر من 300 ألف من عملاء الوكالات الفيدرالية الرئيسية، وشركات الاتصالات السلكية واللاسلكية الكبرى، أحد أكثر الأمثلة على الخلل الوظيفي الذي جعل هذا الاختراق ممكناً.
وقال محققون فيدراليون، إن برنامج "أوريون" الخاص بـ"سولارويندز"، لم يكن الطريقة الوحيدة التي استهدف بها القراصنة أهدافهم، محذرين من "تكتيكات وتقنيات وإجراءات وصول إضافية، لم يجرِ اكتشافها بعد".
بناء برامج أفضل
وعلق وزير الخارجية الأميركي مايك بومبيو على هذا الهجوم الإلكتروني، قائلاً إنه "يعكس مستوى من التطور التقني، قد يكون من المستحيل منعه تماماً".
وقال النائب جيم لانجفين، المؤسس المشارك لتجمع الأمن السيبراني بالكونغرس، إن "الهجمات على البائعين في سلسلة توريد البرمجيات، تمثل مشكلة مهمة، ويجب إعطاؤها الأولوية".
وتابع: "حادثة سولارويندز، تؤكد أن أمن سلسلة التوريد، موضوع يجب أن يكون في الصدارة"، لافتاً إلى "ضرورة تحفيز الكونغرس للشركات، من أجل جعل برامجها أكثر أماناً، الأمر الذي قد يتطلب تغييرات باهظة الثمن".
مطالب بالتنظيم
من جهته، قال إميل مونيت، الرئيس السابق لبرنامج إدارة مخاطر سلسلة التوريد لدى وكالة الأمن السيبراني، إنه "بالتأكيد هناك حاجة إلى مزيد من الرقابة على هذه الأنواع من الشركات". وأضاف أنه "على الحكومة أن تطلب من المقاولين، التصديق على أن برمجياتهم خالية حتى من الأخطاء ذات التأثير المتوسط، إذ عادةً ما يؤكد البائعون فقط أن برامجهم خالية من الثغرات الخطرة بشكل خاص".
وتنشر الشركات الخاصة بانتظام برمجيات بها أخطاء غير مكتشفة، لأن المطورين يفتقرون إلى الوقت أو المهارة أو الحافز لفحصها بالكامل، بحسب الصحيفة.
وشجع مونيت الحكومة على "مضاعفة الاستثمارات في مجالات، مثل أمن البرمجيات".
دعوات إلى العمل
وأوضح النائب الديمقراطي تيد ليو، أن البعض في الكونغرس "على استعداد للتحرك"، مشيراً إلى أنه "يعمل على تشريع، لضمان أن البائعين الذين يتعاملون مع حكومة الولايات المتحدة، يحتفظون بسياسة الكشف عن نقاط الضعف". لكن خبراء تقنيين قالوا إن اللوائح الجديدة "قد لا تحل المشكلة".
وأشار بعض الخبراء، إلى أنه "على الوكالات أن تولي مزيداً من الاهتمام للبرامج التي يشترونها، ويجب اختبارها بشكل روتيني بحثاً عن العيوب".
وقال جيمس لويس، الخبير السيبراني في مركز الدراسات الاستراتيجية والدولية، يجب"طرح فكرة أمر تنفيذي يوجه الوكالات إلى مراقبة استخدام هذه الأنواع من المنصات، وإدارتها بشكل أفضل".
وتابع: "يتطلب الأمر شيئاً مشابهاً لما تفعله أبل في متجر التطبيقات"، مشيراً إلى أن عملاق التكنولوجيا "يراجع كل تطبيق، ويوافق فقط على تلك التي تُثبت أنها آمنة".
وأشارت الصحيفة إلى أن الحكومة الأميركية، تجري عمليات اختبار سريعة لبرامج الحماية التي تشتريها من شركات خاصة، من إدارة قواعد البيانات إلى تشغيل تطبيقات الدردشة الداخلية، مؤكدة أن ذلك أدى إلى إنشاء "نقطة عمياء"، استغلها القراصة الروس في اختراق وزارة الخزانة ووزارة الأمن الداخلي ووكالات أخرى.
وأضافت أن القراصنة انتظروا تنزيل الوكالات تحديثات روتينية على برامج إدارة الشبكات المستخدمة على نطاق واسع، والتي أنشأتها شركة في تكساس تسمى "سولارويندز"، ومن خلال هذه التحدثيات يتسلل القراصنة إلى هذه الوكالات من دون لفت الأنظار إليهم.
برامج تعتمدها الحكومة
وتعتمد الحكومة الأميركية على شركات خاصة لتزويد وكالاتها بهذه البرامج، وتعتمد بعض المؤسسات على فرق أمنية متخصصة، مثل "أمازون" التي توفر خدمات دعم "كلود"، وشركة "ساب إس إي" للبرمجيات، التي تساعد في معالجة كميات كبيرة من البيانات.
ونقلت "بوليتيكو" عن السيناتور الديمقراطي رون وايدن قوله: "تحتاج الحكومة إلى تحديد الحد الأدنى من متطلبات الأمان للبرامج والخدمات، ورفض شراء أي شيء لا يفي بهذه المعايير".
وأضاف: "إنه لمن الهزيمة الذاتية للوكالات الفيدرالية، أن تُنفق المليارات على الأمن، ثم تمنح العقود الحكومية، للشركات التي لديها منتجات غير آمنة".
وتعتبر شركة "سولارويندز"، التي تضم أكثر من 300 ألف من عملاء الوكالات الفيدرالية الرئيسية، وشركات الاتصالات السلكية واللاسلكية الكبرى، أحد أكثر الأمثلة على الخلل الوظيفي الذي جعل هذا الاختراق ممكناً.
وقال محققون فيدراليون، إن برنامج "أوريون" الخاص بـ"سولارويندز"، لم يكن الطريقة الوحيدة التي استهدف بها القراصنة أهدافهم، محذرين من "تكتيكات وتقنيات وإجراءات وصول إضافية، لم يجرِ اكتشافها بعد".
بناء برامج أفضل
وعلق وزير الخارجية الأميركي مايك بومبيو على هذا الهجوم الإلكتروني، قائلاً إنه "يعكس مستوى من التطور التقني، قد يكون من المستحيل منعه تماماً".
وقال النائب جيم لانجفين، المؤسس المشارك لتجمع الأمن السيبراني بالكونغرس، إن "الهجمات على البائعين في سلسلة توريد البرمجيات، تمثل مشكلة مهمة، ويجب إعطاؤها الأولوية".
وتابع: "حادثة سولارويندز، تؤكد أن أمن سلسلة التوريد، موضوع يجب أن يكون في الصدارة"، لافتاً إلى "ضرورة تحفيز الكونغرس للشركات، من أجل جعل برامجها أكثر أماناً، الأمر الذي قد يتطلب تغييرات باهظة الثمن".
مطالب بالتنظيم
من جهته، قال إميل مونيت، الرئيس السابق لبرنامج إدارة مخاطر سلسلة التوريد لدى وكالة الأمن السيبراني، إنه "بالتأكيد هناك حاجة إلى مزيد من الرقابة على هذه الأنواع من الشركات". وأضاف أنه "على الحكومة أن تطلب من المقاولين، التصديق على أن برمجياتهم خالية حتى من الأخطاء ذات التأثير المتوسط، إذ عادةً ما يؤكد البائعون فقط أن برامجهم خالية من الثغرات الخطرة بشكل خاص".
وتنشر الشركات الخاصة بانتظام برمجيات بها أخطاء غير مكتشفة، لأن المطورين يفتقرون إلى الوقت أو المهارة أو الحافز لفحصها بالكامل، بحسب الصحيفة.
وشجع مونيت الحكومة على "مضاعفة الاستثمارات في مجالات، مثل أمن البرمجيات".
دعوات إلى العمل
وأوضح النائب الديمقراطي تيد ليو، أن البعض في الكونغرس "على استعداد للتحرك"، مشيراً إلى أنه "يعمل على تشريع، لضمان أن البائعين الذين يتعاملون مع حكومة الولايات المتحدة، يحتفظون بسياسة الكشف عن نقاط الضعف". لكن خبراء تقنيين قالوا إن اللوائح الجديدة "قد لا تحل المشكلة".
وأشار بعض الخبراء، إلى أنه "على الوكالات أن تولي مزيداً من الاهتمام للبرامج التي يشترونها، ويجب اختبارها بشكل روتيني بحثاً عن العيوب".
وقال جيمس لويس، الخبير السيبراني في مركز الدراسات الاستراتيجية والدولية، يجب"طرح فكرة أمر تنفيذي يوجه الوكالات إلى مراقبة استخدام هذه الأنواع من المنصات، وإدارتها بشكل أفضل".
وتابع: "يتطلب الأمر شيئاً مشابهاً لما تفعله أبل في متجر التطبيقات"، مشيراً إلى أن عملاق التكنولوجيا "يراجع كل تطبيق، ويوافق فقط على تلك التي تُثبت أنها آمنة".