Q2 2025

تعزيز عمليات التدقيق في الأمن السيبراني للقطاع العام: الاستفادة من معايير المعهد الوطني الأمريكي للمعايير والتكنولوجيا لصالح الأجهزة العليا للرقابة المالية والمحاسبة

By
المصدر: أدوبي ستوك إيمجز، مايكل ترايتوف

من إعداد: تياغو دي أوليفيرا تيودورو

المقدمة  

تؤدّي الأجهزة العليا للرقابة المالية والمحاسبة دوراً أساسياً في تقييم فعالية السياسات الحكومية. وفي عصر يتّسم بالتحولات التكنولوجية السريعة، تتعرَّض السياسات التي تحكم الأمن السيبراني وحماية البيانات لضغوط هائلة لتلبية المعايير العالية للقدرة على التكيّف والامتثال. وتهدف هذه المقالة إلى توسيع نطاق فهمنا من خلال دراسة مرئيات جديدة يمكن أن تستكمل المبادئ التوجيهية الحالية التي تقدمها الإنتوساي، والتي جرى وصفها بشكل أساسي في:

  1. دليل مجموعة العمل المعنية بتدقيق تكنولوجيا المعلومات ومبادرة الإنتوساي للتنمية بشأن تدقيق تكنولوجيا المعلومات للأجهزة العليا للرقابة المالية والمحاسبة
  2. المبدأ التوجيهي رقم 5100: التوجيه بشأن تدقيق نظم المعلومات والمسودة الأولية ذات الصلة
  3. المبدأ التوجيهي لتدقيق الأمن السيبراني وحماية البيانات من مجموعة العمل المعنية بتدقيق تكنولوجيا المعلومات

على وجه الخصوص، يحدِّد توجيه التدقيق في الأمن السيبراني وحماية البيانات العديد من أفضل الممارسات من المعهد الوطني الأمريكي للمعايير والتكنولوجيا، والتي جرى استخدامها كأساس لإظهار كيفية إضافة ميزات الأمان إلى المبادئ التوجيهية الحالية للإنتوساي. ويوفر إطار المعهد إطاراً شاملاً ودليلاً مرناً وقابلاً للتخصيص لضوابط الأمن والخصوصيّة لمساعدة المنظمات على إدارة مخاطر النظام، ومعالجة التهديدات السيبرانية، ودعم إدارة المخاطر الشاملة على مستوى المنظمة.

وستسلِّط هذه المراجعة الضوء على أهم خمس مجموعات أمن وتحكم في الخصوصية للمعهد التي حدَّدتها المبادئ التوجيهية للإنتوساي والتي يمكن ربطها بهجمات سيبرانية عالية التأثير.

مجموعات التحكم الأساسية الخمس للمعهد الوطني الأمريكي للمعايير والتكنولوجيا: الدروس المستفادة من الهجمات السيبرانية العالية التأثير

1. إدارة مخاطر سلسلة التوريد

باتت إدارة مخاطر سلسلة التوريد مصدر قلق بالغ نظراً إلى تزايد انتشار هجمات سلسلة التوريد التي تهدِّد جهات القطاعين العام والخاص. ومن الأمثلة البارزة على ذلك خرق بيانات الحكومة الفيدرالية الأمريكية في عام 2020، عندما تسلَّل الخصوم إلى تحديثات البرامج، مما أدّى إلى مساومات واسعة النطاق، بما في ذلك بين الوكالات الحكومية. وتظهر مثل هذه الحوادث أهمية الإشراف القوي وتقييم المخاطر لدى التعامل مع الموردين الخارجيين. وللتخفيف من هذه المخاطر، يتعيّن على الأجهزة العليا للرقابة المالية والمحاسبة وضع مبادئ توجيهية واضحة لتقييم نقاط ضعف الموردين والتحقق من صحة المكونات والخدمات. ويمكن أن يؤدّي تطبيق معايير مثل NIST 800-161 إلى تعزيز الأمن من خلال توفير أطر منظمة لتحديد مخاطر سلسلة التوريد وإدارتها.

2. الاستجابة للحوادث

تعدُّ إدارة الاستجابة للحوادث أساسية للحد من تأثير الخروقات الأمنية، خصوصاً في مواجهة برامج الفدية والتهديدات المتقدمة المستمرة. ومن الأمثلة البسيطة على ذلك الهجوم الذي تعرضت له كوستاريكا في إبريل / نيسان 2022، والذي أثَّر بشدّة في العديد من الوكالات الحكومية، بما في ذلك وزارة المالية، الأمر الذي أدّى إلى تعطيل تحصيل الضرائب وغير ذلك من الخدمات الأساسية. وتسلِّط مثل هذه الحوادث الضوء على ضرورة التخطيط الاستباقي للاستجابة للحوادث لضمان قدرة المنظمات على كشف الهجمات السيبرانية واحتوائها والتعافي منها. وينبغي على الأجهزة العليا للرقابة المالية والمحاسبة الترويج لاستراتيجيات شاملة لإدارة الحوادث، بما في ذلك أطر المساعدة، وخطط الاستجابة المنظّمة، والاختبار المنتظم لبروتوكولات الحوادث. ويمكن أن يؤدّي اعتماد معايير القطاع مثل NIST SP 800-61 إلى تقوية قدرات الاستجابة وتعزيز المرونة الشاملة للأمن السيبراني.

3. معالجة معلومات التعريف الشخصية والشفافية

باتت الخصوصية وحماية البيانات في غاية الأهمية حيث تفرض الأنظمة، مثل النظام العام لحماية البيانات، متطلبات صارمة على إدارة معلومات التعريف الشخصية وحمايتها. ويمكن أن يؤدّي العجز عن حماية البيانات الحسّاسة إلى انتهاكات خطيرة، كما حصل في عام 2020 عندما عرَّض الخصوم الاتصالات الحكومية والمعلومات السياسية الحرجة في البرلمان النرويجي للخطر. وتبرز مثل هذه الحوادث أهمية حوكمة الخصوصية القوية وتدابير الامتثال. وينبغي على الأجهزة إجراء تقييمات للأثر على الخصوصية وإنشاء أطر شاملة لحماية البيانات لتخفيف المخاطر. ويسمح دمج إطار الخصوصية للمعهد الوطني الأمريكي للمعايير والتكنولوجيا للأجهزة بتطوير نهج منظم لحوكمة الخصوصية، وضمان الامتثال والمساءلة والثقة العامة المستدامة في التعامل مع البيانات.

4. عمليات الرصد المستمر والأمن المؤتمت

تعتبر عمليات الرصد المستمر والأمن المؤتمت أساسية لتحديد نقاط الضعف والتخفيف من حدَّتها في الوقت الفعلي، لاسيّما في النظم الحرجة. ومن الأمثلة المهمة على ذلك استغلال ثغرة MOVEit Transfer في عام 2023، عندما نجح الخصوم في دمج البرامج الضارة في عمليات نقل البيانات المشروعة، الأمر الذي خلّف أثراً على العديد من المنظمات، بما في ذلك وزارة الطاقة الأمريكية. ويوضح هذا الحادث أهمية الرصد الأمني الاستباقي والمؤتمت لكشف التهديدات والاستجابة لها قبل تفاقمها. ويتعين على الأجهزة العليا للرقابة المالية والمحاسبة اعتماد أدوات مؤتمتة، ومنهجيات أمنية متكيّفة، وأطر رصد مستمر لتعزيز القدرة على التكيّف السيبرانية. ويمكن أن تساعد الاستفادة من المبادئ التوجيهية من NIST 800-137A في إنشاء عمليات أمنية قوية تستجيب بشكل ديناميكي للتهديدات ونقاط الضعف الناشئة.

5. إنترنت الأشياء وأمن التكنولوجيا التشغيلية

يؤدّي إنترنت الأشياء والتكنولوجيا التشغيلية دوراً محورياً في البنية التحتية الحيوية، ولكن تكوينهما الضعيف يجعلهما هدفين رئيسيين للتهديدات السيبرانية. ومن الأمثلة الفريدة على ذلك هجوم برنامج الفدية الذي استهدف خط أنابيب “كولونيال” في عام 2021، حينما عطّل الخصوم توزيع الوقود في مختلف أنحاء الولايات المتحدة، مما أدّى إلى نقص واسع النطاق وأثار استجابة فيدرالية لتعزيز أمن البنية التحتية الحيوية. وتعكس هذه الحادثة الحاجة إلى تأمين بيئات إنترنت الأشياء والتكنولوجيا التشغيلية لمنع حدوث اضطرابات مماثلة. ويتعين على الأجهزة العليا للرقابة المالية والمحاسبة اعتماد استراتيجيات تدقيق قائمة على المخاطر تعالج نقاط الضعف في إنترنت الأشياء والتكنولوجيا التشغيلية، بما في ذلك إثبات أصالة الأجهزة والتشفير والاتصالات الآمنة. ومن شأن استخدام التوجيه الوارد في الإجراءات القياسية 1800-25 و 1800-26 و 800-82 أن يؤدّي إلى تعزيز قدرة هذه النظم على التكيّف وأمنها.

الخلاصة

تتطرّق المجالات الأمنية الخمس هذه إلى تهديدات رئيسية، وإنّما يمكن أيضاً النظر في العديد من مجموعات الأمن والتحكم في الخصوصية للمعهد الوطني الأمريكي للمعايير والتكنولوجيا. ويمكن تطبيق منهجية مماثلة لتوسيع نطاق التحليل، مع التركيز على ضوابط أمنية محدّدة وتقديم توصيات أكثر استهدافاً. ويمكن أن يستفيد هذا النهج من المبادئ التوجيهية الحالية للإنتوساي مع تضمين مرئيات مفصّلة من معايير أخرى، على غرار المعهد.

وأخيراً، من خلال تعزيز ضوابط الأمن السيبراني، في إمكان الأجهزة العليا للرقابة المالية والمحاسبة العمل على التدقيق في الضوابط الأمنية وتعزيزها بشكل أفضل، وتالياً تحسين قدرة نظم معلومات القطاع العام على التكيّف.

المراجع:
1.
Cybersecurity and Infrastructure Security Agency. ED 21-01: Mitigate SolarWinds Orion Code Compromise. آخر تعديل في 15 أبريل / نيسان 2021، تمت الزيارة في 17 نوفمبر / تشرين الثاني 2024. https://www.cisa.gov/news-events/directives/ed-21-01-mitigate-solarwinds-orion-code-compromise.
2.
المنظمة الدولية للأجهزة العليا للرقابة المالية العامة والمحاسبة (الإنتوساي)، المبدأ التوجيهي لتدقيق الأمن السيبراني وحماية البيانات، 2022.
3.
المنظمة الدولية للأجهزة العليا للرقابة المالية العامة والمحاسبة (الإنتوساي)، المبدأ التوجيهي رقم 5100: توجيه بشان تدقيق نظم المعلومات، يونيو / حزيران 2019.
4.
المنظمة الدولية للأجهزة العليا للرقابة المالية العامة والمحاسبة (الإنتوساي)، دليل مجموعة العمل المعنية بتدقيق تكنولوجيا المعلومات ومبادرة الإنتوساي للتنمية بشأن تدقيق تكنولوجيا المعلومات للأجهزة العليا للرقابة المالية والمحاسبة، فبراير / شباط 2014.
5.
National Institute of Standards and Technology (NIST). Security and Privacy Controls for Information Systems and Organizations. Special Publication 800-53, Revision 5. Gaithersburg, MD: U.S. Department of Commerce, September 2020. https://doi.org/10.6028/NIST.SP.800-53r5.
6.
المنظمة الدولية للأجهزة العليا للرقابة المالية العامة والمحاسبة (الإنتوساي). مسودة النسخة المنقحة للمبدأ التوجيهي للإنتوساي رقم 5101: توجيه بشأن تدقيق أمن المعلومات
7.
Stortinget. Cyberattack on the Storting.
8.
آخر تعديل في 3 سبتمبر/ أيلول 2020. تمت الزيارة في 17 نوفمبر / تشرين الثاني 2024. https://www.stortinget.no/en/In-English/About-the-Storting/News-archive/Front-page-news/2019-2020/cyberattack-on-the-storting/" \t "_new.
9.
U.S. Department of Energy. Colonial Pipeline Cyber Incident. آخر تعديل في 13 مايو / أيار 2021. تمت الزيارة في 17 نوفمبر / تشرين الثاني 2024. https://www.energy.gov/ceser/colonial-pipeline-cyber-incident.
10.
U.S. Department of State. Reward Offers for Information to Bring Conti Ransomware Variant Co-Conspirators to Justice.
11.
آخر تعديل في 6 مايو / أيار 2021. تمت الزيارة في 17 نوفمبر / تشرين الثاني 2024. https://www.state.gov/reward-offers-for-information-to-bring-conti-ransomware-variant-co-conspirators-to-justice/.

Popular Tags

emerging risks
الأمن الإلكتروني
الرقمنة
العلوم والتكنولوجيا
النهج القائم على المخاطر

Related Articles
إصدار تقارير تدقيق للتواصل العام الفعال

غالبًا ما تكون عمليات تدقيق الأداء طويلة ومعقدة ، والجمهور جمهور متنوع يريد معرفة ما إذا كان المسؤولون يستفيدون جيدًا من الموارد العامة في مجموعة واسعة من المجالات الحرجة. تجعل هذه العوامل إنتاج تقارير قابلة للقراءة مهمة صعبة. ومع ذلك ، من خلال وضع المنتج النهائي في الاعتبار واتباع الإرشادات ، يمكن للأجهزة العليا للرقابة …

Fayyaz
Pakistan
أرابوساي
EUROSAI تشارك في مؤتمر الأمم المتحدة لتغير المناخ

في 4 نوفمبر 2021 ، عقدت المنظمة الأوروبية للمؤسسات العليا لمراجعة الحسابات (EUROSAI) وديوان المراجعين الأوروبيين (ECA) حلقة نقاش بعنوان “ترجمة طموح المناخ إلى التسليم” ، كجزء من مؤتمر الأمم المتحدة المعني بتغير المناخ COP26 في غلاسكو. حوالي 200 ممثل …

EUROSAI
اليوروساي
يراقب الجهاز الأعلى للرقابة المالية والمحاسبة في بيرو عملية التطعيم ضد فيروس كوفيد -19

قام مكتب المراقب العام في بيرو ، المؤسسة العليا لمراجعة الحسابات (SAI) ، بنشر أكثر من 500 مدقق في جميع أنحاء البلاد للمساعدة في ضمان أن تكون عملية التطعيم ضد COVID-19 في الوقت المناسب ، وآمنة وفعالة. فرق خاصة من المراجعين …

Peru
OLACEFS
Back To Top
Previous Article
Next Article