أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) توجيهاً تشغيلياً ملزماً يستهدف الوكالات المدنية في السلطة التنفيذية الفيدرالية (FCEB)،يقضي بحصر واستبدال الأجهزة الطرفية (Edge Devices) التي توقفت الشركات المصنعة عن دعمها فنياً. ويهدف هذا الإجراء إلىتقليص ما يعرف بالدين التقني، وسد الثغرات التي يستغلها المهاجمون في اختراق الشبكات الحكومية الحساسة.
ويشمل القرار فئات محددة من المعدات التي تعمل كبوابات للشبكات وتتصل بشكل مباشر بالإنترنت العام، وفي مقدمتها الجدران النارية (Firewalls)، والموجهات (Routers)، وبوابات الشبكات الخاصة الافتراضية (VPN Gateways)، بالإضافة إلى الأدوات الشبكية الطرفية الأخرى.
مسارات التنفيذ والمدد الزمنية
حدد التوجيه الجديد إطاراً زمنياً واضحاً للوكالات لضمان الامتثال، يتلخص في النقاط التالية:
- عمليات الحصر الشامل: تمنح الوكالات مهلة 3 أشهر لإعداد جرد دقيق لكافة الأجهزة الطرفية، وتحديد المعدات التي تجاوزت تواريخ انتهاء الدعم لدى الموردين.
- الإزالة والاستبدال: يتوجب على الجهات الحكومية إخراج البرامج والأجهزة التي لم تعد تتلقى تحديثات أمنية من الخدمة، واستبدالها ببدائل تقنية مدعومة تضمن استمرارية الإصلاحات البرمجية.
- الجدول الزمني النهائي: تشير التقارير الفنية إلى أن المهلة القصوى لإتمام عمليات الإزالة واسعة النطاق تتراوح بين 18 و24 شهراً، مع اشتراط بدء خطوات التنفيذ الفعلية خلال العام الأول.
- القائمة المرجعية: تعتزم CISA نشر قائمة مرجعية تُحدّث بانتظام، تتضمن الأجهزة التي اقتربت من نهاية عمرها الافتراضي، لمساعدة الفرق التقنية على التخطيط المسبق لعمليات الاستبدال.
مخاطر هذه الأجهزة
تصنف وكالة CISA هذه الأجهزة ضمن الفئات عالية المخاطر لثلاثة أسباب رئيسية؛ أولها اتصالها المباشر بشبكة الإنترنت، وثانيها تمتعها بامتيازات وصول عالية تتيح للمخترق النفاذ إلى عمق الشبكة، وأخيراً تحول ثغراتها إلى نقاط ضعف دائمة بمجرد توقف المورد عن إصدار التحديثات، ما يجعل أي عيب مكتشف حديثاً عصياً على العلاج الجذري.
ويرى خبراء أمنيون أن هذه الخطوة تأتي لمعالجة ظاهرة تقنية شائعة، حيث تعمل الأجهزة الطرفية لسنوات طويلة دون رقابة كافية، لتتحول بمرور الوقت إلى أهداف سهلة ومنخفضة التكلفة للمهاجمين، في مقابل عوائد استخباراتية أو تخريبية مرتفعة.
الدلالات المهنية للقرار
بالرغم من أن القرار يقتصر تنظيمياً على الوكالات الفيدرالية الأميركية، إلا أن التوجيه يحمل رسائل هامة لمؤسسات القطاع الخاص والهيئات الدولية حول ضرورة تبني نهج مماثل. وتبرز في هذا السياق ثلاث ركائز أساسية لإدارة المخاطر السيبرانية:
- حوكمة العمر الافتراضي: وضع سياسة تشغيلية تخرج أي جهاز من الخدمة فور انتهاء دعمه الفني، وربط ميزانيات المشتريات بدورات حياة المنتجات.
- الجرد المستمر: الانتقال من الجرد السنوي التقليدي إلى أنظمة المراقبة اللحظية للأصول التقنية، مع تفعيل مؤشرات الإنذار المبكر للأجهزة المتقادمة.
- التعامل مع التقادم كتهديد أمني: اعتبار بقاء الأنظمة القديمة دَيناً تقنياً يرفع مستوى المخاطر السيبرانية، وليس مجرد بند مالي يمكن تأجيله.
