خبيرة أمن معلومات تكشف كيف استعادت أرامكو بياناتها الضائعة

كشفت كريس كوبشكا وهي مستشار امني سابق لشركة أرامكو ما جري في اعقاب الهجمه الضخمه التي تعرضت لها شركه ارامكو وجري فيه مسح الأقراص الصلبة لعشرات الالاف من الكمبيوترات، وذلك في مؤتمر بلاك هات في لاس فيجاس الاسبوع الماضي بحسب موقع انفورميشن ويك.

نجحت ارامكو في تلافي كارثه كبري من خلال مبادره استعاده انظمتها، بحسب كريس التي قالت للحضور في المؤتمر يوم الخميس الماضي، ان مواصله العمل واسترداد الانظمه هو امر ممكن. وكانت كريس قد استدعيت من قبل ارامكو لتشكيل مركز العمليات الامنيه وكانت مهمتها تامين كل المكاتب الفرعيه للشركه في الشرق الاوسط وافريقيا واوروبا.

ووقعت الهجمه في 12 اغسطس 2012 في شهر رمضان، ولاحظ موظفو ارامكو وجود مشكله يوم 15 اغسطس مع اختفاء الملفات وتعطل الكمبيوترات، واعلنت جهه تسمي نفسها سيف العداله البتار Cutting Sword of Justiceمسؤوليتها عن الهجمات

جاء الهجوم الالكتروني ضد ارامكو من خلال فيروس -واسمه "شمعون"-ليتسبب باحدي اضخم الهجمات المدمره التي سبق شنها ضد شركه عبر الانترنت، حيث قام الفيروس بحذف كل ما تضمه تلك الكمبيوترات التي يبلغ عددها 30 الفاً دون ان تصل الي كمبيوترات العمليات بل اقتصرت علي كمبيوترات المكاتب.  وتقدر قيمه ارامكو السوقيه بحوالي 8 تريليونات دولار اي قرابه 14 ضعف قيمه شركة أبل علي اساس انتاجها لحوالي 260 مليار برميل من النفط.

دام الهجوم ساعات قليله كانت كفيله بتعطيل قرابه 35 الف كمبيوتر.

قام موظفو تقنيه المعلومات في ارامكو فورا بفصل كل الانظمه ومراكز البيانات لايقاف انتشار الفيروس الذي جري اطلاق اسم شمعون-او دستراك Distrack -عليه لاحقا.

عزل كل مكتب لارامكو عن الانترنت لتنفصل الشركه تماما عن العالم، واصبح لا يوجد اي وسيله اتصال لا بريد الكتروني ولا هاتف ولا انترنت، فيما لم تتاثر عمليات انتاج النفط ولا انظمه الحفر والضخ كونها تعمل بانظمه مؤتمته، فيما رجعت باقي العمليات للاسلوب القديم من استخدام الورق لاداره التوريدات وتتبع الشحنات والعقود والتعاملات الحكوميه. عاد موظفو ارامكو لاستخدام الاله الكاتبه والفاكس واضطر موظفو تقنيه المعلومات ايجاد متاجر تبيع اجهزه الفاكس. وترتب علي توقف انظمه تقنيه المعلومات تاثر كل انظمه الدفع، وتقاطرت شاحنات نقل الوقود علي مدي اميال انتظار للحصول علي دفعات ماليه. وكان قرابه 10% من مصادر النفط العالميه التي تؤمنها ارامكو مهدده بالتوقف.

ورغم استثمار ارامكو باموال طائله لتامين انظمه التحكم الصناعي لديها الي ان المهاجمين قاموا بتعطيل الشركه باستهداف الكمبيوترات المكتبيه وخوادم البريد وانظمه ويندوز.

تلمح كريس الي انه رغم الوقت والموارد المكرسه للتحقيق بالهجمه لا تزال امور كثيره غامضه. فقد بدا الهجوم ثنائي المحور في شهر رمضان هو انسب وقت لاستهداف الشركه علي اساس ان نصف موظفي تقنيه المعلومات والامن المعلوماتي هم في اجازه خلال شهر رمضان، وتمكن المهاجمون من اختراق ارامكو بسبب قيام موظف واحد في الشركه بالضغط علي رابط في رساله بريد الكتروني تنتحل هويه مرسل وهو جهه معروفه لمتلقي الرساله (Spear phishing) دون ان يعلم ان تلك الرساله هي هجمه الكتروني، الا ان المحققين لا يعرفون متي ارسلت تلك الرساله.

قامت ارامكو بتشكيل افضل فريق ممكن جمعه لاستعاده عمل انظمه تقنيه المعلومات، وذلك من اعضاء دوليين ومحليين، وكانت كريس كوبشكا تعيش في هولندا قبل استدعائها، ليتولي كل هؤلاء مهام بناء شبكه امنه وتاسيس مركز عمليات امن في السعوديه. وتم ترسيخ تكامل في عمل فريق امن المعلومات مع فريق تقنيه المعلومات لكي ينجح برنامج الامن واستعاده عمل انظمه تقنيه المعلومات.

وتقول كريس ان العمليه كانت مكلفه جدا كون الشركه قامت ببناء مركز عمليات امن من الصفر مع توظيف كوادر له. وتلمح الي ان اي شركه صغيره تتعرض لهجمه مماثله فانها ستفلس عند محاوله استعاده عملياتها.

وتعترف كريس ان ما كان ينقصها لو اعادت الكره هو توثيق التعاون وتحسين فهمها لثقافه الشركه، فثقافه المؤسسات تؤثر علي كيفيه اتخاذ القرار وكيفية عمل الموظفين معا، حيث يمكن تغيير البشر الا ان الوعي بثقافه المؤسسه يمهد لاحداث ذلك التغيير، وتقول: " كان علي ان اذهب وانا مدركه لمعلومات اكثر عن طبيعه الشركه والثقافه المؤسساتيه فيها.

وتقول كريس ان امكانيات ارامكو الهائله ساعدت في جهودها لاستعاده الانظمه، فمثلا، تدمير الاقراص الصلب استدعي استبدالها باخري جديده، وقامت الشركه فورا باستخدام اسطول طياراتها لنقل موظفيها مباشره الي مصانع الاقراص الصلبه في جنوب شرق اسيا لشراء كل الاقراص الصلبه الموجوده، ودفعت الشركه اسعارا اعلي للحصول علي 50 الف قرص صلب، لترفع الاسعار مؤقتا بين سبتمبر 2012 ويناير 2013، وتقول ان اي شخص حول العالم اشتري قرصا صلبا في تلك الفتره اضطر لدفع سعر اعلي بسبب ارامكو!