كشفت حادثة اختراق منشأة مياه أمريكية مؤخرًا عن خلل أمني خطير، حين تمكن قراصنة إيرانيون من السيطرة على محطة ضغط واحدة تخدم نحو 7000 شخص، باستخدام كلمة المرور الافتراضية “1111” التي تركها المصنع دون تغيير. ورغم أن حجم الهجوم كان محدودًا، إلا أن سهولة تنفيذه دفعت وكالة الأمن السيبراني الأمريكية (CISA) إلى إصدار تحذير صارم يدعو المصنعين إلى إلغاء كلمات المرور الافتراضية بالكامل، مشيرة إلى “سنوات من الأدلة” على أنها من أكثر الثغرات استغلالًا.
وفي ظل تباطؤ بعض المصنعين في تبني ممارسات أمنية أفضل، تقع المسؤولية حاليًا على عاتق فرق تكنولوجيا المعلومات، سواء في البنية التحتية الحرجة أو في الشبكات المؤسسية. فترك كلمات المرور الافتراضية دون تغيير يشبه تقديم دعوة مفتوحة للمهاجمين. إليك ما يجب معرفته عن هذه الكلمات، ولماذا لا تزال موجودة، وما آثارها، وكيف يمكن التغلب عليها بممارسات “الأمن المدمج في التصميم”.
خطورة كلمات المرور الافتراضية
كلمات المرور الافتراضية مثل “admin/admin” أو “1234” لا تزال تُستخدم على نطاق واسع رغم خطورتها المعروفة، ويرجع ذلك إلى عدة أسباب، أبرزها:
-
تسهيل إعداد الأجهزة والبرمجيات في البداية
-
تبسيط عملية تهيئة الأجهزة على نطاق واسع
-
دعم الأنظمة القديمة التي تفتقر لخيار تغيير كلمة المرور
-
غياب ثقافة “الأمن المدمج” لدى كثير من المصنعين
وتترتب على استمرار هذه الممارسات عواقب أمنية جسيمة، من بينها:
-
تجنيد الأجهزة في شبكات البوتنت: يستخدم المهاجمون كلمات المرور الافتراضية للسيطرة على الأجهزة وضمّها إلى شبكات هجوم كبرى.
-
نقطة دخول لبرمجيات الفدية: تُستخدم للوصول الأولي إلى الشبكات ونشر برمجيات الابتزاز.
-
اختراق سلاسل التوريد: يمكن لجهاز واحد بكلمة مرور ضعيفة أن يفتح الطريق أمام مهاجمين للوصول إلى شبكات شركاء آخرين.
-
تجاوز كامل لمنظومة الحماية: حتى أكثر الأنظمة الأمنية تقدمًا تصبح بلا فائدة إذا ظلت كلمات المرور الافتراضية فعّالة.
هجمات واقعية وعواقب مدمّرة
من أبرز الأمثلة على استغلال كلمات المرور الافتراضية كانت عملية إنشاء شبكة “ميراي” (Mirai) الشهيرة، حيث استخدم المهاجمون قائمة تضم 61 تركيبة من اسم المستخدم وكلمة المرور لاختراق أكثر من 600,000 جهاز متصل بالإنترنت. وقد أدى هذا إلى إطلاق هجمات حجب خدمة (DDoS) وصلت سرعتها إلى تيرابت في الثانية، تسببت في تعطيل خدمات كبرى مثل تويتر ونتفليكس وتكبيد خسائر بملايين الدولارات.
كما تمثل سلاسل التوريد هدفًا جذابًا لمثل هذه الهجمات، إذ يعمد القراصنة إلى اختراق أجهزة المصنعين الأصلية (OEM) التي لا تزال تستخدم كلمات المرور الافتراضية، ومن ثم تثبيت أبواب خلفية تتيح لهم التحرك داخل الشبكات والوصول إلى البيانات والبنية التحتية الحساسة، ما يجعل كل وسائل الحماية الأخرى بلا جدوى. وقد بادرت المملكة المتحدة مؤخرًا إلى حظر بيع الأجهزة التي تأتي بكلمات مرور افتراضية ثابتة.
الثمن الباهظ للإهمال
الاكتفاء بكلمات المرور الافتراضية يعرّض المؤسسات لخسائر متعددة الأوجه:
-
الضرر بالسمعة: اختراق واحد قد يُفقد ثقة العملاء، ويؤدي إلى استدعاء منتجات، وحملات علاقات عامة مكلفة، ودعاوى قضائية تستمر لسنوات.
-
العقوبات القانونية: تشريعات جديدة مثل “قانون المرونة السيبرانية” في الاتحاد الأوروبي وقوانين أمن إنترنت الأشياء في بعض الولايات الأمريكية تفرض غرامات على استخدام كلمات المرور الافتراضية.
-
الأعباء التشغيلية: الوقاية دائمًا أقل تكلفة من الاستجابة للحوادث وتحليلها واستعادة الأنظمة بعدها.
-
هشاشة الأنظمة البيئية: جهاز واحد غير آمن قادر على إحداث انهيارات متسلسلة في المصانع الذكية، أو التأثير على رعاية المرضى، أو تعطيل شبكة شركاء كاملة.
ممارسات أمنية يجب أن يتبناها المصنعون
للتخلص من عبء تحميل المستخدمين مسؤولية تأمين المنتجات، يجب على المصنعين اعتماد منهجية “الأمن المدمج في التصميم” وتشمل:
-
كلمات مرور فريدة لكل وحدة: يتم توليد كلمات مرور عشوائية في المصنع وتُطبع على ملصق الجهاز.
-
واجهة تغيير كلمات المرور: تتيح للمستخدم تغيير بيانات الدخول تلقائيًا عند التشغيل الأول.
-
إعداد آمن بدون ثقة مسبقة: يتطلب مصادقة خارجية مثل مسح رمز QR مرتبط بحساب المستخدم قبل إتاحة الوصول.
-
التحقق من سلامة البرمجيات الثابتة: توقيع وحدات تسجيل الدخول لضمان عدم التلاعب بها.
-
تدريب المطورين والفحص الدوري: تطبيق دورات تطوير آمن وفحص الأجهزة بحثًا عن كلمات مرور افتراضية قبل طرحها في السوق.
خطوات وقائية فورية للمؤسسات
حتى يلتزم المصنعون بهذه المعايير، على فرق الأمن المؤسسي التحرك فورًا لحماية بيئاتها. ويبدأ ذلك بوضع سياسات صارمة لكلمات المرور تشمل حصر الأجهزة وتغيير بيانات الدخول عند كل عملية نشر.
ولتحقيق مستوى أعلى من الأمان، يُنصح باستخدام أدوات مثل Specops Password Policy، التي تُبسّط إدارة كلمات مرور Active Directory وتسمح بحظر أكثر من 4 مليارات كلمة مرور مخترقة ومعروفة، ما يضمن التوافق مع السياسات ويقلص مساحة الهجوم المحتملة.
