انقطاع هائل في خدمات تكنولوجيا المعلومات على مستوى العالم

الأسباب الحقيقية والتداعيات

كانت مخاوف الهجمات السيبرانية التي تفكر فيها أي دولة، تتعلق عادة بحدوث هجوم يتسبب في انقطاع الخدمة عن المرافق الحيوية مثل النقل والطيران والاتصالات والكهرباء والمياه، ولم يكن يتصور أحد هجوما يوقف مثل هذه الخدمات بشكل عالمي في عشرات الدول في وقت واحد، اللهم إلا في الخيال العلمي المتعلق بهجوم متصور من كائنات فضائية.

لم يكن يتصور أحد هجوما يوقف مثل هذه الخدمات بشكل عالمي في عشرات الدول في وقت واحد، اللهم إلا في الخيال العلمي المتعلق بهجوم متصور من كائنات فضائية

انقطاع خدمات تكنولوجيا المعلومات يوم ١٩ يوليو ٢٠٢٤ أعطى لمحة قصيرة – لعدة ساعات – عن هذا الكابوس المحتمل.

لقد أثار توقف الخدمات في عشرات المطارات حول العالم، وتوقف البث لبعض أكبر الشبكات التليفزيونية وتوقف الخدمات المصرفية لعشرات البنوك، وتوقف أكثر خدمات منصات مايكروسوفت وميتا وأمازون وغيرها، أثار كل هذا موجات من الذعر والقلق من وصول هذا التهاوي السريع إلى خدمات أكثر حيوية مثل امدادات الكهرباء والمياه أو شبكة الإنترنت. هذا الاضطراب الهائل والسريع، غير مسبوق ولا يشبه في اتساعه وخطورته وتأثيره ما وقع في السنوات الأخيرة من توقف لبعض المنصات الرقمية.

نتناول في هذا العرض:

• كيف حدث هذا الاضطراب الهائل
• كيف يمكن لشركة واحدة أن تتسبب في توقف خدمات حيوية في عشرات الدول
• لماذا لم تتعرض دول مثل الصين وروسيا والهند والبرازيل ومصر لهذا الانقطاع
• هل يمكن أن يكون الحدث متعمدا؟ سواء للتجربة أو للتخريب؟
• ما هي الإجراءات التي يمكن تبنيها لمنع تكرار هذا السيناريو المخيف
• ومن أين تبدأ الدول العربية لتحصين نفسها

كيف حدث هذا الاضطراب الهائل

شركة كراود سترايك (CrowdStrike) شركة رائدة في مجال تأمين المعلومات، ولها عدة أنظمة منها منصة فالكون (CrowdStrike Falcon)، وهو حل أمني قائم على الخوادم السحابية، ويوفر مجموعة من الإمكانات، بما في ذلك:

• الكشف عن نقطة النهاية والاستجابة لها (EDR)
• الجيل التالي من برامج مكافحة الفيروسات (NGAV)
• صيد التهديدات المُدارة، وتحليلها بما في ذلك نواقل الهجوم
• وذكاء مواجهة التهديدات، بما فيها الخبرة البشرية لتحديد التهديدات المتقدمة ومن ثم مطاردتها وإبطال مفعولها

كما تأثرت العديد من شبكات التليفزيون العالمية، وظهرت الشاشات الزرقاء (شاشات الموت) في أستوديوهاتها، نظرًا لأن العديد من استوديوهات البث تعتمد على أجهزة كمبيوتر عالية الأداء وحلول قوية للأمن السيبراني

هذا الحل الأمني له وكيل (agent) عبارة عن مكون برمجي خفيف الوزن يتم تثبيته على أجهزة نقطة النهاية (مثل أجهزة الكمبيوتر والخوادم) الذي يجمع البيانات ويرسلها إلى منصة فالكون لتحليلها واكتشاف التهديدات إن وجدت. قامت شركة كراود سترايك يوم ١٩/ ٧/ ٢٠٢٤ بإجراء تحديث روتيني لهذا المكون البرمجي (أي Falcon agent)، ونظرا لوجود خلل في هذا التحديث، وقع تأثير مباشر ولحظي في النهايات الطرفية المحمل عليها هذا المكون البرمجي، وكان أهم ثلاثة عملاء وقع عليهم التأثير هم:

1. خدمات أمازون للإنترنت (Amazon Web Services AWS) حيث أدى التحديث الأخير إلى حدوث مشكلات في الاتصال وإعادة التشغيل للعديد من خدمات AWS، مما أثر على عدد ضخم من الشركات التي تعتمد على البنية التحتية لـ AWS
2. أثر الانقطاع على سماعات (headsets) فيسبوك وإنستجرام وماسينجر وثريد وكويست، وإن لم تقدم شركة ميتا (Meta) حتى كتابة هذا العرض تفسيرات فنية مفصلة.
3. واجهت شركة مايكروسوفت (Microsoft) اضطرابات واسعة النطاق في خدماتها، بما في ذلك Teams وOutlook وAzure و Windows 365. تم تحديد السبب الجذري على أنه مشكلة في تكوين الشبكة داخل الشبكة الواسعة (WAN) الخاصة بهم وقد تسبب هذا التحديث في حدوث مشكلات في الاتصال عبر مناطق متعددة.

كما تأثرت العديد من شبكات التليفزيون العالمية، وظهرت الشاشات الزرقاء (شاشات الموت) في أستوديوهاتها، نظرًا لأن العديد من استوديوهات البث تعتمد على أجهزة كمبيوتر عالية الأداء وحلول قوية للأمن السيبراني، فقد أثر التعطيل الناجم عن وكيل CrowdStrike Falcon على هذه الأنظمة، مما أدى إلى ظهور شاشات زرقاء مرئية أثناء البث.

بالإضافة إلى ذلك توقفت بعض خدمات شبكات القطارات في عدة دول، وكذلك بعض الخدمات المصرفية في الولايات المتحدة وأستراليا وبعض الدول الأوروبية، حيث واجه العملاء مشكلات في الوصول إلى الخدمات المصرفية عبر الإنترنت وتطبيقات الهاتف المحمول، ولم تتم استعادة الخدمات إلا في اليوم التالي.

كيف يمكن لشركة واحدة أن تتسبب في توقف خدمات حيوية في عشرات الدول

لماذا لم تتعرض دول مثل الصين وروسيا والهند والبرازيل ومصر لهذا الانقطاع

كما تقدم، فإن اعتماد كثير من المنصات الكبرى على الحماية التي تقدمها منصة فالكون من شركة كراود سترايك، فإن التحديث المُشكل الذي أجرته الشركة أدى إلى:

• اتساع نطاق النشر (Deployment Scale): إن منصة CrowdStrike Falcon يتم استخدامها على نطاق واسع من قبل العديد من المؤسسات على مستوى العالم، وبالتالي يمكن أن تؤثر مشكلة ما في التحديث البرمجي على العديد من الأنظمة في وقت واحد (بل وفي نفس اللحظة تقريبا) إذا تم نشر التحديث على نطاق واسع، وهذا بالضبط ما حدث.
• مشكلات الاتصال: تسبب التحديث في حدوث مشكلات في الاتصال وإعادة تشغيل النظام. وبالنظر إلى أن العديد من الشركات تعتمد على التشغيل المستمر والاتصال، فإن مثل هذه الاضطرابات أدت إلى انقطاع الخدمة على نطاق أوسع.
• نظرًا لأن خدمات أمازون (AWS) هي مزود رئيسي للخدمات السحابية في العديد من دول العالم، فإن الاضطرابات التي تؤثر على الخدمات المستضافة على AWS يمكن أن تتسلسل وتؤثر على مجموعة واسعة من التطبيقات والخدمات التي تعتمد على البنية التحتية لـ AWS
• حلقات إعادة التشغيل: إذا دخلت نقاط النهاية الطرفية (من أجهزة كمبيوتر وخوادم) في حلقة مستمرة من إعادة التشغيل، فستصبح التطبيقات المهمة غير متاحة.
• ازدحام الشبكة: يمكن أن تؤدي مشكلات الاتصال إلى زيادة حركة المرور والازدحام، مما يؤثر بدوره على الخدمات الأخرى التي تعتمد على نفس الشبكة، وبالتالي قد يؤدي إلى توقف الأنشطة التجارية والمستخدمين التابعين لها، ما يزيد بشكل هائل من الضغط والزحام على الشبكة.

وبشكل عام يمكن القول، إن الطبيعة المترابطة للبنى التحتية الحديثة لتكنولوجيا المعلومات، يجعل اضطرابا صغيرا أو محدودا، يمكن تضخمه وانتشاره ومضاعفة آثاره بشكل عضوي وسريع جدا، وهذا يفسر بإجمال، كيف أدى نشاط محدود على مكون برمجي خفيف، إلى كل هذا الاضطراب العالمي.

لماذا لم تتعرض دول مثل الصين وروسيا والهند والبرازيل ومصر لهذا الانقطاع

سؤال مهم وحيوي، وإجابته المباشرة القصيرة: أن كل هذه الدول لا تستخدم منصة كراود سترايك فالكون، التي تسبب تحديث فيها لكل هذا الاضطراب. أكثر هذه الدول لها تفضيلات لحلول الأمن السيبراني المحلية أو الإقليمية بسبب الاعتبارات الجيوسياسية، أو المتطلبات التنظيمية، أو ديناميكيات السوق المحددة، ومع ذلك فهناك تفصيل وتباين بين هذه الدول وغيرها أيضا التي نجت من هذا الانقطاع، على النحو التالي:

الصين:

للصين لوائح صارمة فيما يتعلق باستخدام حلول الأمن السيبراني الأجنبية، وبالتالي تعتمد على بدائل محلية تتوافق مع اللوائح الوطنية. وبمرور الوقت أصبح للصين صناعة متطورة للأمن السيبراني، وأصبح لديها شركات رائدة مثل Qihoo 360 وHuawei، والتي توفر حلولًا أمنية شاملة مصممة خصيصًا للسوق المحلية، بل وتقدم هذه الخدمات لدول أخرى.

روسيا:

اعتمدت نفس التوجه الصيني، وإن بدرجة أقل صرامة. روسيا تعتمد حاليا على شركات محلية حيث أصبحت تمتلك قطاعًا قويًا للأمن السيبراني، حيث تعد شركات مثل Kaspersky Lab وDr.Web  من الشركات البارزة في هذا الميدان. تشجع الحكومة الروسية أيضًا استخدام حلول التكنولوجيا المحلية للبنية التحتية الحيوية.

الهند:

لم ترد تقارير مهمة عن انقطاعات الخدمة على نطاق واسع في الهند، مما قد يشير إما إلى استخدام أقل للخدمات المتأثرة أو إلى بدائل وبنية تحتية محلية قوية.

البرازيل:

كما هو الحال في الهند، لم تبلغ البرازيل عن أي اضطرابات كبيرة، والتي قد تكون بسبب اختلاف مقدمي الخدمات أو مرونة البنية التحتية المحلية لتكنولوجيا المعلومات.

اليابان وكوريا الجنوبية:

برغم وجودها في تحالف سياسي قوي مع الغرب، إلا أنها تتمتع بإجراءات محلية قوية للأمن السيبراني وتعتمد بشكل أقل على الخدمات العالمية المتأثرة، مما أدى إلى عدد أقل من التقارير عن انقطاع الخدمة.

دول الشرق الأوسط:

لم تبلغ مصر والمملكة العربية السعودية والإمارات العربية المتحدة عن أي اضطرابات كبيرة، وقد يعود هذا إلى أن اعتمادها على الخدمات المتأثرة أقل، أو أن لديها تدابير أمنية محلية بديلة للأمن السيبراني خففت من التأثير.

هل يمكن أن يكون الحدث متعمَدا؟ سواء للتجربة أو للتخريب؟

بشكل عام لا يمكن استبعاد فعل المؤامرة بشكل جازم حاسم مع مثل هذه الحوادث الغامضة وذات التأثير الهائل، وإن كانت هناك شواهد كثيرة قوية تؤيد الرواية الرسمية المعلنة. المؤامرة هنا تعني أحد احتمالين:

1. إما أن يكون الحادث بسبب هجوم سيبراني مدبر
2. وإما أن يكون الحدث متعمدا، لتجربة الآثار العالمية الممكنة بسبب تدخل برمجي محلي بسيط كالذي وقع.

الاحتمال الأول سيكون المتهم الرئيس فيه الصين أو روسيا بطبيعة الحال، وفي عالم متعدد الأقطاب غالبا لن يخفى هذا الاتهام. صحيح أن الدول كثيرا ما تخفي مثل هذه المعلومات الحساسة لأسباب تتعلق بالسمعة والمكانة السياسية، إلا أن التداعيات الضخمة واسعة النطاق للحادث، كانت لتجبر الولايات المتحدة وحلفاءها عن الإعلان عن هذا واتخاذها لإجراءات عقابية.

الاحتمال الثاني وارد، خاصة وأن التداعيات المعقدة والمتسلسلة داخل الشبكة العالمية، من الصعب جدا تقديرها أو توقعها بدقة، وبالتالي فإن تجربة عملية ستكون لها قيمة عملياتية كبيرة تستحق تحمل تبعاتها وأضرارها المؤقتة. هذا الاحتمال – حال ثبوته – سيعكر العلاقات بين الولايات المتحدة وحلفائها الذين تضرروا بنفس الدرجة.

من ناحية أخرى فإن شواهد صحة الرواية الرسمية كثيرة وقوية، منها:

1. الطبيعة المعقدة لأنظمة تكنولوجيا المعلومات، يجعلها مع العديد من المكونات المترابطة، معرضة للفشل لوجود مشكلة في أحد المكونات المهمة، مثل وكيل الأمان على كراود سترايك فالكون، والمستخدم على نطاق واسع، ويؤثر على العديد من الأنظمة التابعة. يمكن أن يؤدي هذا التعقيد إلى اضطرابات واسعة النطاق حتى بدون نية خبيثة.
2. لتحديد ما إذا كان الهجوم متعمدًا، يبحث المحققون عادةً عن مؤشرات محددة للاختراق (IoCs)، مثل حركة مرور الشبكة غير العادية، أو محاولات الوصول غير المصرح بها، أو توقيعات البرامج الضارة. وفي حالة الانقطاع الأخير، لم يظهر أي دليل قاطع يشير إلى وجود هجوم إلكتروني منسق.
3. في بيان رسمي، أعلنت الوكالة الأمريكية للأمن السيبراني وأمن البنية التحتية (CISA) بعد انقطاع الخدمة، أنه لا يوجد دليل على وجود نشاط إلكتروني ضار يتعلق بالحادث. وأشاروا إلى أنه على الرغم من أنه لا يمكن استبعاد الهجوم السيبراني بشكل كامل، إلا أن الأنماط التي تمت ملاحظتها لم تتماش مع سلوك الهجوم النموذجي.
4. لاحظ خبراء الأمن السيبراني[1] أن انقطاع الخدمة قد يكون نتيجة خطأ في التكوين أو خطأ داخلي وليس هجومًا. ويدعم هذا الرأي أنماط وطبيعة الاضطرابات التي لوحظت عبر مختلف الخدمات.
5. كانت هناك – في السياق التاريخي – حالات سابقة حدث فيها انقطاع واسع النطاق (وإن لم يكن بنفس الدرجة) بسبب أخطاء داخلية أو تكوينات خاطئة بدلاً من الهجمات المتعمدة. على سبيل المثال، نُسبت حادثة مماثلة وقعت في عام 2021 تتعلق بفيسبوك إلى أمر صدر أثناء الصيانة الروتينية والذي أدى عن غير قصد إلى تعطيل شبكتهم الأساسية.
6. تشتمل البنية التحتية العالمية للإنترنت على مكونات مهمة مثل الكابلات البحرية ومراكز البيانات والخدمات السحابية. يمكن أن تؤدي المشكلات المتعلقة بأي من هذه المكونات، مثل الخدمات السحابية، والتي تم ذكرها أثناء الانقطاع الأخير، إلى مشكلات اتصال واسعة النطاق.

الإجراءات التي يمكن تبنيها لمنع تكرار هذا السيناريو المخيف

1. من الطبيعي أن يكون اختبار التحديثات البرمجية بدقة قبل النشر على نطاق واسع، إجراء لازما، وشرطا مسبقا، لكل هذه المكونات البرمجية التي لها إمكانية التأثير على أطراف وخدمات واسعة الانتشار.
2. تحسين خطط التعافي من مثل هذه الكوارث، ومن ثم اختبار وتحديث هذه الخطط بشكل مستمر للتأكد من أنها تعكس العمليات التجارية الحالية والمشهد التكنولوجي القائم.
3. اعتماد المراقبة الاستباقية، أي: المراقبة في الوقت الفعلي، وذلك لاكتشاف الحالات الشاذة والاستجابة لها في الوقت الفعلي، وقبل أن تتفاقم إلى انقطاعات كبيرة.
4. المزيد من المزاوجة بين الحوسبة السحابية والحوسبة الطرفية، وذلك لتوزيع أعباء العمل عبر مناطق وموفرين متعددين. هذا النهج يمكن أن يعزز القدرة على الصمود ضد انقطاع التيار الكهربائي المحلي، أو حدوث انقطاع في الخدمات السحابية كما في هذا الحادث.

من أين تبدأ الدول العربية لتحصين نفسها

• من البديهيات السياسية أن قوى الأمن والاستخبارات في أي دولة، لا يمكن أن يقودها أجانب من غير أهل البلد، فكيف يسوغ أن تكون كل معلومات أي دولة بيد جهات خارج هذه الدولة. إن تكنولوجيا المعلومات جعلت كل البيانات والمعلومات الدقيقة والحساسة لأي دولة، في متناول أعدائها إذا سيطروا على الأمن السيبراني لتلك الدولة. لذلك فإن مثل هذه الحوادث تثبت صحة سياسة الصين وروسيا في إجراءاتها الصارمة تجاه الأمن السيبراني وجعله حصرا على المنتجات المحلية، وهذا هو القرار السياسي السيادي الذي ينبغي لبلادنا العربية اتخاذه والبدء في تنفيذه بأسرع ما يمكن.
• يأتي بعد ذلك ضرورة إعداد الكوادر والكفاءات البشرية الضرورية لهذا المجال الحيوي المهم. هذا الإعداد والتأهيل لا يحتاج لموارد ضخمة، لأنه يعتمد على العامل البشري لدرجة كبيرة. يمكن تأهيل طبقة قادرة على العمل في الأمن السيبراني بكافة شعبه خلال سنوات قليلة، إذا قادته مؤسسات قومية حكومية متخصصة.
• دعم شركات القطاع الخاص المحلية العاملة في هذا المجال، وتوفير الاستثناءات الإدارية والضريبية لتشجيعها، والعمل على إنجاز منظومة التشريعات القضائية التي تنظم عملها، وتصب في مسار السياسة القومية التي تتبناها الدولة في هذا المجال.

[1] https://9to5mac.com/2024/03/06/global-meta-outage-what-happened/