بعد عملية اختراق كبيرة، قررت شركة مايكروسوفت ربط رواتب كبار المسؤولين التنفيذيين بالتهديدات السيبرانية
وتعرضت مايكروسوفت لانتقادات مؤخرًا من كل من الحكومة الأمريكية والشركات المنافسة لفشلها في وقف الاختراق الصيني لأنظمتها في الصيف الماضي. أحد التغييرات التي تجريها شركة التكنولوجيا العملاقة ردًا على ذلك: ربط التعويضات التنفيذية بشكل أوثق بالأمن السيبراني.
وفي إبريل/نيسان، وصفت لجنة مراجعة حكومية عملية اختراق تعرضت لها شركة مايكروسوفت في الصيف الماضي، ونسبت إلى الصين، بأنها “يمكن الوقاية منها”. وأشار مجلس مراجعة السلامة السيبرانية التابع لوزارة الأمن الداخلي الأمريكية إلى “سلسلة من الأخطاء” وثقافة الشركة في مايكروسوفت “التي أدت إلى عدم إعطاء الأولوية لاستثمارات أمن المؤسسات والإدارة الصارمة للمخاطر”.
وقد استفاد المنافسون من الفجوة السيبرانية، حيث نشرت جوجل تدوينة هذا الأسبوع تسلط الضوء على النتائج التي توصلت إليها الحكومة وتشير إلى أن “تقرير CSRB يسلط الضوء أيضًا على عدد البائعين، بما في ذلك جوجل، الذين يقومون بالفعل بالشيء الصحيح من خلال الأساليب الهندسية التي تحمي من التكتيكات”. موضح في التقرير.”
تعرض CrowdStrike بشكل بارز استنتاجات الحكومة على موقعها.
تتزايد هجمات الدول القومية من الصين وروسيا، وتستهدف الشركات في مختلف قطاعات الاقتصاد، فضلاً عن حكومة الولايات المتحدة والبنية التحتية الاجتماعية. لقد كانت مايكروسوفت هدفًا كبيرًا للغاية، بما في ذلك الاختراقات التي قامت بها روسيا والصين. هناك ضغوط متزايدة من حكومة الولايات المتحدة على الشركة لتحسين بروتوكولات الأمن السيبراني الخاصة بها، مع استدعاء كبير محامي الشركة، براد سميث، للإدلاء بشهادته في الكابيتول هيل.
Microsoft في وضع التحكم في الأضرار. بعد اختراق حسابات البريد الإلكتروني التنفيذية في يناير المنسوب إلى قراصنة روس، كشفت الشركة عن الحادث وفقًا لقواعد الكشف الفيدرالية الجديدة للأمن السيبراني، على الرغم من أنه من الناحية الفنية لم يكن اختراقًا “ماديًا” يقتضي القانون مشاركته، مما أدى إلى مناقشة في شركات أخرى حول مكان رسم الخط الفاصل بين الإفصاح الجديد. إن القرار الذي اتخذته مايكروسوفت بربط التعويضات التنفيذية بالأداء الناجح في مجال الأمن السيبراني هو أمر آخر يثير المناقشات في الشركات الأخرى
أطلقت مايكروسوفت مبادرة المستقبل الآمن في نوفمبر، وفي وقت سابق من هذا الشهر، أوضحت الشركة في منشور مدونة من تشارلي بيل، نائب الرئيس التنفيذي لأمن مايكروسوفت، أنه كجزء من أهداف SFI الخاصة بها، فإنها “ستعمل على غرس المساءلة من خلال تحديد جزء من التعويضات”. من فريق القيادة العليا للشركة على التقدم الذي أحرزناه في تلبية خططنا الأمنية ومعالمنا.”
ورفض متحدث باسم مايكروسوفت تقديم تفاصيل بشأن التعويض، لكنه قال إنها باعتبارها شركة تلعب دورًا مركزيًا في النظام البيئي الرقمي في العالم، فإنها تتحمل “مسؤولية حاسمة” لجعل الأمن السيبراني أولوية قصوى. إنه جزء من “التغييرات المهمة في حوكمة الشركة”. [made] وقال المتحدث: “لمزيد من دعم ثقافة الأمن أولاً”.
غالبًا ما تقدم الشركات مزيدًا من التفاصيل، على الرغم من أنها تفاصيل محدودة في كثير من الأحيان، حول أهداف أداء التعويضات التنفيذية في وكلاء الاجتماعات السنوية، والتي عُقدت آخر مرة في حالة مايكروسوفت في ديسمبر 2023.
الأمن السيبراني كمقياس أساسي لمخاطر الشركات والمكافآت
لقد أصبح من الشائع بالنسبة للشركات ربط نسبة مئوية من مكافآت المديرين التنفيذيين السنوية بأهداف مختلفة تتجاوز تحقيق أهداف المبيعات والأرباح. في السنوات الأخيرة، أضافت العديد من شركات Fortune 500، بما في ذلك Apple، مكافآت إضافية مرتبطة بمقاييس ESG. وكانت إدارة المخاطر وأهداف السلامة لفترة طويلة جزءا من التعويضات التنفيذية، التي يعود تاريخها إلى عصر ما قبل ظهور المعايير البيئية والاجتماعية والحوكمة ــ على سبيل المثال، كانت شركات التعدين والطاقة، فضلا عن الشركات المصنعة والصناعية، تربط المكافآت بسلامة البيئة والعمال.
بدأت المحادثات حول أجور المسؤولين التنفيذيين المرتبطة بالأمن السيبراني في شركات أخرى منذ أن اتخذت مايكروسوفت خطوتها، وفقًا لما ذكره آلاب شاه، المدير الإداري في شركة بيرل ماير الاستشارية للتعويضات التنفيذية. وقال إنها ليست منتشرة كممارسة تعويضية اليوم، لكنه أضاف: “بعد إعلان مايكروسوفت، تلقيت مكالمات هاتفية تسألني: هل ينبغي لنا أن نفعل ذلك؟ هل سينجح؟” … هذه المحادثات تشبه إلى حد كبير تلك التي أجريناها قبل بضع سنوات بشأن مقاييس الحوكمة البيئية والاجتماعية والحوكمة، وتبنتها نسبة كبيرة من الشركات.”
وقال شاه إن هناك حجة مفادها أن الأمن السيبراني هو قضية أساسية يمكن مقارنتها بالتعدين أو السلامة الصناعية. ولكن هناك فرق كبير بين الأعمال التجارية في مجال الأمن السيبراني، وعلى سبيل المثال، بائع التجزئة، في تقديم هذه الحالة. وحتى في الصناعات التي تتجاوز التكنولوجيا والأمن السيبراني حيث يعد الحفاظ على أمان البيانات مشكلة أساسية، مثل الخدمات المالية والرعاية الصحية – التي كانت أهدافًا لاختراقات رفيعة المستوى – فليس من الواضح حتى الآن ربط التعويضات التنفيذية للموظفين. كبار الأشخاص، مثل المدير المالي أو المستشار العام، للأمن السيبراني، مقابل كبير مسؤولي أمن المعلومات أو كبير مسؤولي التكنولوجيا، على وجه التحديد.
ربط الدفع بالاختراقات هو “مكان جيد للبدء”
ستؤكد بعض الشركات أن الأمن السيبراني متأصل بالفعل في ثقافتها وأن مثل هذه الخطوة ستكون زائدة عن الحاجة، ولكن مع تصاعد تهديدات القرصنة وزيادة أهمية الإنفاق على الأمن السيبراني بالنسبة لشركات مثل مايكروسوفت، فإن مقياس الأجور التنفيذي الجديد هذا قد يكون متأخرا.
إن جعل تعويضات المسؤولين التنفيذيين مشروطة، إلى حد ما، بتحقيق أهداف الأمن السيبراني هو مكان جيد للبدء في غرس ثقافة أمنية في أعلى التسلسل الهرمي للشركات، والتي تعتبر أساسية لتحقيق النجاح، وفقا للخبراء.
وقال شاه: “إن الرسالة الأكثر أهمية التي يتم إرسالها داخليًا وخارجيًا هي أنها مهمة جدًا لثقافتهم، وسوف تحذو المزيد والمزيد من الشركات حذوها، بغض النظر عما إذا كانت المكاسب كبيرة أم لا”. “ما يريدون فعله هو التأكد من أن الأمر أصبح متأصلًا ثقافيًا، والطريق للقيام بذلك هو ربطه بالتعويض”.
وقال ستيوارت مادنيك، أستاذ تكنولوجيا المعلومات في معهد ماساتشوستس للتكنولوجيا: “يجب أن يكون الأمن السيبراني في ثقافة المنظمة”. لكن إعطاء الأولوية للأمن قد يكون أمرًا صعبًا داخل الشركة، كما يقول مادنيك، لأنه غالبًا ما يعني وضع الأموال في أماكن لا تنعكس بوضوح في النتيجة النهائية. وقال مادنيك: “إن ثقافة الشركات تعطي الأولوية لأشياء أخرى على حساب الأمن وإدارة المخاطر”. “كيف تعرف مدى أمانك؟ ربما لا يستهدفك أحد في ذلك الوقت. ولكن إذا قمت بزيادة المبيعات بنسبة 20%، فهذه أموال في البنك.”
يُظهر بحث مادنيك أن الثغرات الموجودة في ثقافة الشركات غالبًا ما تكون السبب وراء عمليات الاختراق رفيعة المستوى، وليس فقط مثال Microsoft. ويقول إن الوقاية تتعلق بالبصيرة بقدر ما تتعلق بالإدراك المتأخر. وفي مقال نشر مؤخرًا، استشهد بدراسات معهد ماساتشوستس للتكنولوجيا حول الخروقات الأمنية لـ Equifax وCapital One في السنوات الأخيرة كأمثلة بارزة أخرى. وقال: “في حين أن بعض المخاطر تعتبر مفاجآت حقيقية من غير المرجح أن يتم التعرف عليها مقدما، فإن الكثير منها يشبه جهاز إنذار ضد السرقة المعروف أنه معيب”.
ولم تستجب Equifax وCapital One لطلبات التعليق.
وصف مادنيك عقلية الشركة بأنها في أغلب الأحيان “صنع قرار منهجي وشبه واعي”. وهذا يعني أن قرارات الإدارة يتم اتخاذها دون تحليل المخاطر السيبرانية التي يطرحها القرار. إن ربط التعويضات التنفيذية بالأهداف الأمنية لا يعني بالضرورة أن هذا النهج يتبخر من ثقافة الشركات، لكنه قال إن له صدى رمزيًا، ومن هذا السجل الرمزي، قد يتبعه العملي بالفعل.
“مصدر إزعاج ومركز ربح”
بالنسبة لشركة مايكروسوفت، فإن المخاطر أعلى مما هي عليه بالنسبة لمعظم المؤسسات. إن منصاتها وأنظمتها منتشرة في كل مكان – في قطاع الأعمال والحكومة – لدرجة أنه من المستحيل العيش بدونها. قال ريان كالمبر، نائب الرئيس التنفيذي لاستراتيجية الأمن السيبراني في شركة Proofpoint للأمن السيبراني: “لا يوجد بديل لمايكروسوفت، من وجهة نظر الإنتاجية. عليك القيام بأشياء مجنونة لمحاولة العمل بدونها”.
وقال إن ما يزيد من تعقيد عدم إمكانية تجنب مايكروسوفت هو الطبيعة الطبقية لمنصاتها، حيث يتم دعم التكرارات اللاحقة في كثير من الأحيان من خلال التطبيقات القديمة التي تعود إلى التسعينيات، قبل أن تشبه التهديدات الأمنية ما هو موجود الآن عن بعد.
دعت حكومة الولايات المتحدة أكبر وأقدم شركات التكنولوجيا إلى تحديث الأنظمة التي تعتمد عليها الشركات والمستهلكون. في العام الماضي، قال مدير وكالة الأمن السيبراني وأمن البنية التحتية، جين إيسترلي، في مقابلة مع قناة سي إن بي سي، إن الأمن السيبراني هو سلامة المستهلك، وقارنه بلوائح السيارات. وقالت: “إن شركات التكنولوجيا التي ظلت لعقود من الزمن تصنع منتجات وبرامج غير آمنة بشكل أساسي، بحاجة إلى البدء في إنشاء منتجات آمنة حسب التصميم وآمنة افتراضيًا مع ميزات الأمان المضمنة”.
قال كاليمبر إن المنصات القديمة أسهل بكثير في التوصيل والبناء عليها بدلاً من نشر نظام جديد بالكامل، لكنه “كابوس أمني”. “يعد جهاز MS365 للجميع من وزارة الخارجية إلى Joe’s Crab Shack نموذج عمل جيد، إنها لا تتناسب بشكل جيد مع التدابير الأمنية التقليدية.”
وقال إن المبادئ المعمارية المضمنة في بعض هذه الأنظمة القديمة تم تصميمها “عندما كانت برامج الفدية شيئًا غير موجود ببساطة – باستثناء الأقراص المرنة”. وأضاف أن هذا أدى إلى تراكم مبالغ هائلة على الشركة مما يسمى “الديون الفنية” – عقود منها – والتي يمكن إساءة استخدامها من قبل الدولة والسماح لوكالات المخابرات الأجنبية “بسرقة أي شيء تريده”. أ
وقال كالمبر إن مايكروسوفت عالقة بين دافعين متنافسين، حيث أن الأمن “مزيج من الإزعاج ومركز الربح”. إنه مركز ربح لأن Microsoft هي أكبر مورد للأمن السيبراني في العالم، حيث وصلت إيراداتها السنوية إلى 20 مليار دولار في العام الماضي. وقال إن هذا يجعل خطوة التعويض “بادرة جيدة”، لكنه أضاف: “بدون تفاصيل وراءها، من الصعب جدًا تقييمها”.
لا توجد تفاصيل حول كيفية تأثير Microsoft Pay
إن عدم وجود تفاصيل حول صيغة التعويض يجعل من المستحيل تقييم الحافز بشكل صحيح. العديد من الشركات التي اعتمدت مقاييس المعايير البيئية والاجتماعية والحوكمة لم تفعل ذلك إلا في جزء المكافآت من رواتب المسؤولين التنفيذيين، وليس في خطة الحوافز طويلة الأجل، وهو أمر أكثر أهمية بكثير. قال شاه: “هذا يعني وضع أموالك في مكانها الصحيح”.
قد تشتمل المكافأة، في المتوسط، على 20% من رواتب المسؤولين التنفيذيين، وضمن مجموعة المكافآت على وجه التحديد، تساهم المقاييس المالية غير الأساسية مثل المعايير البيئية والاجتماعية والحوكمة (ESG) بنسبة 20% فقط من إجمالي دفعات المكافأة المحتملة. “عندما يكون لديك 20% من الإجمالي [bonus] وقال شاه: “التعويض وتقسيمه إلى بضعة مقاييس مختلفة، ما مدى ربط شيء مثل الإنترنت به؟”.
خطط الحوافز طويلة الأجل المرتبطة بمنح الأسهم، وخاصة في مجال التكنولوجيا، هي المكان الذي يتم فيه جني الأموال الحقيقية، وهنا تكون هذه الأنواع من المقاييس المالية غير الأساسية منخفضة الانتشار. سيكون هذا هو المكان المثالي ضمن خطة التعويضات لتحديد الأجور مقابل الأمن السيبراني طويل المدى وأهداف الشركة، ولكن من الصعب على الشركات تصور أهداف تتراوح مدتها بين عامين وثلاثة أعوام تتعلق بالأمن السيبراني وخصوصية المستهلك وانتهاكات البيانات التي يمكن أن تكون تقاس مثل المبيعات والأرباح. وقال شاه “سيكون ذلك تحديا”. “هل هو عدد الحوادث؟ التحذير الذي لدي هو نفسه كما هو الحال مع المعايير البيئية والاجتماعية والحوكمة: أنت تريد التأكد ليس فقط من وجود الصلة، ولكنك تريد أيضًا التأكد من وجود أهداف قابلة للقياس الكمي. في عجلة من أمرنا للتبني، إذا إنه ذاتي، ومن ثم فهو أقل أهمية بالنسبة للمساهمين.”
تتمتع مجالس الإدارة بالفعل بسلطة تقديرية لمساءلة المديرين التنفيذيين كل عام وتقرر إجراء تعديلات تنازلية على المكافآت، بناءً على الأداء، بما في ذلك خروقات البيانات. حتى الآن، كان هذا النوع من الحوافز/العقوبات يقتصر في الغالب على كبار مسؤولي أمن المعلومات، وفقًا لمايك دونان، المدير الإداري في SPMB، وهي شركة بحث تنفيذية متخصصة في التكنولوجيا. من وجهة نظره، إنها مقارنة غير مثالية أن ننظر إلى تاريخ المكافآت المرتبطة بمقاييس مثل سلامة العمال، نظرًا لأن العديد من عمليات الاختراق تحدث بسبب نقاط ضعف تابعة لجهات خارجية، والتي غالبًا ما تكون خارجة عن السيطرة المباشرة للشركة. لكن دونان قال إنه يمكن أن يرى هذا النوع من الحوافز التنفيذية يتم اعتماده على نطاق أوسع، “لأنه من الجيد أن نقول إن الأمن يمثل أولوية قصوى عبر المجموعة التنفيذية بأكملها، وقد يؤدي إلى تحسينات”. لكنه يعتقد أن هناك طريقة أفضل لدعم دفاع الشركات: “توفير المكافآت واستثمار تلك الدولارات في البرامج الأمنية”.
