Sizing Up Your Cyberrisks

[An article I translated for Harvard Business Review Arabia]

Sizing Up Your Cyberrisks

Over the past decade, the costs and consequences of cyberbreaches have grown alarmingly. The total financial and economic losses from the 2017 WannaCry attack, for instance, were estimated to reach $8 billion. In 2018 Marriott discovered that a breach of its Starwood subsidiary’s reservation system had potentially exposed the personal and credit-card information of 500 million guests. Hackers seem to keep getting more effective. But in our experience as consultants to clients across the globe, we’ve found another reason that companies are so susceptible to threats from hacking: They don’t know or understand their critical cyberrisks, because they’re too focused on their technological vulnerabilities.

When cybersecurity efforts address only technology, the result is company leaders who are poorly informed and organizations that are poorly protected. Discussions of cyberthreats end up being filled with specialized tech jargon, and senior executives can’t participate meaningfully in them. The responsibility for addressing risks then gets relegated entirely to cybersecurity and IT staff, whose attention falls mainly on corporate computer systems. The outcome tends to be a long, ill-prioritized list of mitigation tasks. Since no company has the resources to fix every cybersecurity problem, important threats can go unaddressed.


A more fruitful approach is to adopt the view that cybersecurity should focus more on threats’ potential impact on a business’s activities. Say you’re an executive at a chemical company. Instead of asking what cyberattacks might be possible on your computer systems, ask, How could a cyberattack disrupt your supply chain? Or expose your trade secrets? Or make you fail to meet your contractual obligations? Or cause a threat to humanity? That adjustment might seem minor, but when leaders start with crucial activities, they can better prioritize the development of cyberdefenses.


A CEO we worked with, Richard Lancaster of CLP, Asia’s third-largest electricity provider, described the shift in mindset this way: “Initially, we viewed cyberrisks primarily as an IT issue. Over time we realized that what was really vulnerable was our electric grid and generating plants. Now we recognize that cyberrisk is really business risk—and my job as CEO is to manage business risk.” With this perspective, responsibility shifts from IT to senior executives and boards, who must take an active role and ensure that cybersecurity teams focus on the right threats.

Developing Cyberthreat Narratives

Identifying and fixing cyberrisks is a social process. To accurately assess where the most important ones lie, you must consider the viewpoints and opinions of a wide range of employees. By involving a broad group, you’ll build a common understanding of the critical facts and details early on, which will enable you to reach consensus when you subsequently need to manage the risks.

To help companies organize and share the relevant information with a wide audience, we’ve developed a tool we call a cyberthreat narrative. It addresses the four parts of the story of a potential cyberattack: a key business activity and the risks to it; the systems that support that activity; the potential types of attacks and possible consequences; and the adversaries most likely to carry attacks out. Outlining details about all four will help companies recognize and prioritize their risks and prepare remedial actions.

The people in your cybersecurity group should take charge of developing cybernarratives, but they should solicit contributions from:

• Leadership. The CEO, the executive team, and other senior executives. Meetings with executive leaders are critical, but they don’t need to be time-consuming; scripting the interviews and discussions carefully will make them more efficient and easier to document.

• Operations. Personnel involved day to day in the central business activities.

• IT systems. People responsible for the administration of the computing systems supporting the activities.

• Relevant specialists. Staffers with expertise related to the type and consequences of the particular kind of threat you’re outlining, such as legal, public relations, human resources, and physical security employees. For example, if a narrative is about an attack that results in a loss of personal data, you’d want to include the legal team in your discussions because of the possibility of a regulatory violation.

Let’s look now at each element of a cyberthreat narrative, how to develop it, and who should be involved.

Critical Business Activities and Risks

To identify these, the cybersecurity team should interview the company’s leaders; examine its written statements of risk tolerance, such as those found in annual reports; and consider company objectives, such as revenue targets or growth in new markets. A revenue goal, for example, could be dependent on new-product development or expanded service offerings. Entering a new country might be essential to increasing the customer base. Critical activities can be outside the organization, relate to internal operations, or involve the company’s strategic future. For the chemical company, a critical activity could be, say, the manufacture of polyester resins, a specialty product in high demand.

How important an activity is will vary by industry and company. Customer support is a low-risk activity in some industries, such as consumer software or discount retail. But in others, like the gaming industry, customer relationships are paramount. Casinos in Macao, for example, rely on a small segment of VIP customers for more than 54% of their combined gross gaming revenue. Risks to customer relationship management also threaten the casinos’ bottom lines.


The number of critical business activities a company has, and therefore the number of cyberthreat narratives it should develop, also vary from company to company.

To size up your organization’s risks, think about how each key activity could fail in a way that damages your company. For example, in the case of the chemical maker, a disruption to its plant operations could prevent it from producing resins, which could reduce its revenue. Also examine the risk of collateral damage to your customers or other stakeholders—a release of poisonous chemicals into the environment, for example, or the loss of confidential customer information such as passwords and credit-card data.

Bear in mind that what poses a significant risk for one company may not for another. Although the disruption of resin production might be harmful to one chemical firm, it may not be for another chemical manufacturer whose resins aren’t in demand, make only a negligible contribution to profits, or can be produced at alternative plants.


Supporting Systems

Your company can’t mount an effective cyberdefense if it doesn’t know what it needs to protect. So you have to catalog your computer systems and the services and functionality they provide for each activity in question. This process should be kick-started by the operational employees involved in the activity, because they know what software they use and what the consequences will be if those programs malfunction. The employees who maintain the computer systems should also participate, since they have a broader picture of the technology supporting this software. For general-purpose computers, this typically means IT staff; for industrial control systems, it means engineers. The inventory should note the physical locations of the systems so that cyberincident-response staffers know where to go to fix things in the event of an attack.

While there are products that assist IT departments with automated inventorying of computers and software, they can’t identify which assets are most important. By cataloging them on the basis of business activity specifically, a company can prioritize computer-vulnerability remediation and enhanced protections effectively.


Cyberattack Types and Consequences

Next the team should outline all the types of attacks that could disrupt each critical activity, describing what would be required for attacks to succeed and what the potential consequences might be.

At the most basic level, cyberattacks exploit vulnerabilities in computer systems. Malware attacks, for instance, use malicious software to take advantage of programming mistakes in applications. (This was the technique hackers used in the WannaCry incident.) Your cybersecurity staff can and should identify the kinds of techniques that could target vulnerabilities in your crucial computer systems.

It’s important to note that attacks aren’t always sophisticated or technically complex. One vulnerability common to every computer system is an administrator’s almost complete control over the information and applications on it. This power is necessary for proper operation and maintenance, but any administrator can abuse it.

A cyberattack can be executed in countless ways, and it isn’t practical or useful to enumerate them all. If you identify basic types of attack, such as an external hack that installs malware or an employee who misuses computer privileges, that’s enough.

Attack requirements

Understanding what an adversary needs to pull off a cyberattack is vital to building your defenses. Your cybersecurity group and the operational staff

involved in the critical activities can identify the specific requirements, but most fall into one of these three types:

1.     Knowledge. Information the adversary needs to have—for example, how to program malicious software or how hydroelectric dams operate.

2. Tools and equipment. What devices an adversary needs—not only hacking aids like password crackers and network analyzers, but hardware such as laptops and radio transmitters.

3. Position. Where an adversary needs to be—for example, does he need to be physically next to a building or have employee or contractor status in the organization?


One Southeast Asian bank we worked with had previously suffered a cyberattack that resulted in a massive debit-card fraud. The investigation revealed the hackers had to have known the format of  Visa and Mastercard authorization codes and how to configure a credit-card terminal. The tools they needed included several of the terminals and a database of debit-card account numbers. They also had to be in the local vicinity to coordinate with merchants who were complicit with the fraud, but they didn’t necessarily have to work at the bank or physically enter the bank building.

Attack consequences

Executive leadership and senior management are well positioned to identify the fallout from disruptions to the key business activities and should guide your cybersecurity group on this task. Operations and systems staff can point out additional consequences; specialists from other departments, such as legal, finance, and compliance, can spot potential collateral damage. A simple set of “What if…?” questions will make conversations with all these players fruitful. For example, What would happen to the provision of care if a hospital’s patient records were no longer accessible because of a ransomware attack? For England’s National Health Service in the aftermath of WannaCry, the answer was the cancellation of thousands of appointments and operations.

Some consequences go beyond direct financial costs. The NotPetya cyberattack of 2017 interrupted operations at numerous large companies worldwide, causing total

estimated losses of up to $300 million at AP Moller-Maersk and $400 million at FedEx. Pharmaceutical giant Merck estimated NotPetya’s impact to its business at $870 million because of both direct costs and lost revenue. In addition, the shutdown resulted in low inventories of a Merck vaccine that prevents certain types of cancer.



Who’s out to get you? Identifying potential perpetrators, as well as their motivations and capabilities, will help you assess the likelihood of an attack and develop the controls needed to thwart it. Your adversaries could be countries, criminal organizations, competitors, disgruntled employees, terrorists, or advocacy groups. Don’t underestimate their sophistication: Advanced hacking tools are widely available to many.

Company leaders and the operations staffers involved in critical business activities are best at identifying possible adversaries, because they’re most familiar what might motivate attackers and what they could gain. A good place to start is to ask what your company has that could be of value to someone else. For example, a competitor could be interested in your R&D and trade secrets, whereas a criminal organization would be more interested in stealing customer financial records to sell on the black market.

Companies also must consider potential adversaries’ larger commercial context. Casino managers in Macao had decided not to encrypt the network connections they used to transmit their VIP client data to a centralized operations center. The need to do so had not been identified. But when we asked the casino managers to think through who might gain from an attack, they realized that the telecommunications network itself was owned by a conglomerate that included the casino’s largest competitor.


Even customers could be cyberadversaries. Executives at AMSC, a developer of software for controlling wind turbines, were stunned when Sinovel, one of its largest customers, suddenly canceled all payments on current and future contracts, which were worth some $800 million. An investigation revealed that Sinovel had managed to steal AMSC’s software and deploy it with more than a thousand new turbines. As a result of this intellectual property theft, AMSC reported a loss of more than $186 million in fiscal year 2010. The company’s total losses from the theft came to $550 million—only a fraction of which has been recovered. The scheme also cost AMSC’s shareholders $1 billion in equity and forced the organization to shed 700 jobs—over half its global workforce. The company’s operations haven’t yet returned AMSC to profitability.

Sometimes a company’s industry or the way a firm conducts business provokes an attack. Environmental groups might target companies with a bad record of polluting. Edward Snowden, a former NSA contractor, stole information from the agency to expose surveillance programs that it had publicly denied. Actions such as layoffs or plant closures can also motivate employees to retaliate by misusing their computer privileges. And there will always be random individuals with a personal agenda to pursue or a reputation to enhance.

Your company can suffer consequences from an attack even if it is not the direct target. Infrastructure, for example, is increasingly the object of cyberattacks. Consider the attacks on the power infrastructure in Ivano-Frankivsk in 2015. If, as suspected, Russia was behind the incidents, its motivations probably had nothing to do with the power companies themselves—or with their customers, who suffered as a result of interruptions to the power supply. The companies most likely were targeted simply because they’re located in the Ukraine, a country with which Russia has a hostile relationship. When evaluating who might want to disrupt your systems, you must look beyond your company to the broader commercial and political world in which it operates.

A Crisis That Might Have Been Prevented

Let’s now look in depth at one cyberattack and how the four elements of the cyberthreat narrative could have captured relevant information that would have allowed the organization involved to avoid it.

The shire of Maroochy is a tourist destination about a hundred kilometers north of Brisbane, Australia. The area is one of outstanding natural beauty and ecological significance, with long white beaches and subtropical rain forests with creeks and waterfalls.

At the turn of the millennium the shire’s water and sewage system was overseen by Maroochy Water Services, which collected, treated, and disposed of 35 million liters of wastewater daily. In late January 2000 the system that managed its wastewater pumping stations started losing control over the pumps and issuing false alarms. By the time a vendor concluded that the system’s computers were under attack, raw sewage had backed out of the stations and flowed throughout the shire, including into the PGA championship golf course of what had previously been a five-star Hyatt Regency resort. In local parks, waterways reeked and turned black, and marine life died. The stench was horrible. The attacks went on for three months, until the police apprehended the perpetrator after a car chase near one of the pumping stations.

Hindsight makes it easy to see what went wrong, but let’s reconstruct what a cyberthreat narrative for the utility might have been.

For the organization, treating wastewater was a critical business activity. Maroochy’s systems had 142 stations pumping sewage to the treatment facility. Because of elevation variations in the shire, if the pumps malfunctioned, there was a good chance wastewater would back up into the area’s pristine parklands and tourist areas.

The supporting computing systems for the pumps included a central operations-management system and the control equipment inside the pumping stations. From the central system, operators could turn individual pumping stations on or off and change the pumping rates. Pumping stations could also be managed locally using equipment that could manipulate the central system as well.

These supporting systems had two cybersecurity vulnerabilities. The first was that anyone could set up a network connection to the equipment; and the second was that once you were connected, a password wasn’t required to log on.

To be successful, a potential attacker would need an understanding of how the equipment worked, which could be gained through experience or by reading the manuals, and the radio frequency used to communicate with the equipment, which was easy to find in company documentation. The attacker would need several computers (including one that was the same variety as those used in the pumping stations), network cables, and two-way radio equipment. And to connect to the control systems of an individual pumping station, he or she would need to be within radio range but would not need to physically break into a pumping station.


The cyberadversary in this case turned out to be a former employee of the vendor that provided the pumping station control equipment. After a contentious stint at the vendor, he had applied twice for a job with Maroochy Water Services but wasn’t hired. As a result, he became disgruntled and resentful and wanted revenge on both companies. He had stolen one of the pumping-station computers, and because he knew how the control system worked, he was able to use it and radio equipment to communicate with the individual pumping stations. He then manipulated them to take over the central operations-management system and wreak havoc.

If Maroochy Water Services executives had worked with their staff to develop a narrative for wastewater treatment, they would have discovered and understood the significant risks they faced. While we can assume that they would have recognized that wastewater treatment was a critical activity, the investigation and analysis involved in creating a narrative would have given them and their IT security staff a clear idea of how cyberattacks could undermine supporting computer systems and cause the pumps and other wastewater treatment equipment to fail. And they would have had an idea of what it would take for cyberattacks to succeed and who might be behind them.

They also would have had a foundation for mitigating those risks. The Maroochy Water Services IT security staff members would have known the two vulnerabilities that needed to be addressed to prevent the wastewater crisis, and they could have explained them to executives and the board in one jargon-free sentence: “To prevent a cyberattack on our pumping stations, we need to require that people log on to station computers and restrict who can connect to their networks.”


IDENTIFYING CYBERRISKS IS an ongoing process: As your business evolves, and as the computing systems that underlie it change, it will face new vulnerabilities. To spot these, your company must have well-defined checkpoints within its change management processes at which it evaluates cyberrisk.


But identifying your company’s most important cybervulnerabilities is only the first step. Knowing what the risks are will allow you to prioritize potential attacks, identify controls that will help prevent them, and create and, if needed, execute a practical remediation plan. Good digital stewardship requires moving business risks—and business leaders—to the center of all these conversations.

[أحد المقالات التي ترجمتُها لمجلة هارفارد بزنس ريفيو العربية]

تقييم المخاطر السيبرانية التي تتعرض لها شركتك

تزايدت التكاليف الناجمة عن الاختراقات السيبرانية والآثار المترتبة عليها، على مدى العقد الماضي، بدرجة تنذر بالخطر. فعلى سبيل المثال، بلغت الخسائر المالية والاقتصادية الناجمة عن هجوم “واناكراي” (WannaCry) السيبراني، الذي حدث في عام 2017، حسب التقديرات، ما يصل إلى 8 مليارات دولار أميركي. وفي عام 2008، اكتشفت شركة “ماريوت” (Marriott) التي تدير مجموعة واسعة من الفنادق والمنتجعات، أن نظام الحجز في شركة “ستاروود” (Starwood)، وهي شركة تابعة لها، من المحتمل أن يكون قد كشف معلومات البطاقات الائتمانية لخمسمائة مليون نزيل بفنادقها. وعلى ما يبدو، فإن فاعلية المخترقين تزداد باستمرار. لكن حسب تجربتنا بصفتنا مستشارين لعملاء في شتى أنحاء العالم، فقد توصلنا إلى سبب آخر يجعل الشركات أكثر عُرضة للتهديدات من الاختراق، وهو أن هذه الشركات لا تعرف أهم المخاطر السيبرانية التي تواجهها أو لا تفهم طبيعتها، نظراً لأنها تُفرِط في التركيز على الثغرات التقنية لديها.

فعندما تتصدى الجهود المبذولة في مجال الأمن السيبراني للتقنية فقط، فإن ذلك يُسفر عن عدم توافر المعلومات الكافية لقادة الشركات وضعف الحماية بالنسبة إلى المؤسسات، وتصبح المناقشات المتعلقة بالتهديدات السيبرانية تدور في فلك المصطلحات التقنية المتخصصة، ولا يكون في وسع كبار المسؤولين التنفيذيين المشاركة المُجدية في هذه المناقشات. ومن ثمّ، تُحال مسؤولية التصدي للمخاطر برمّتها إلى موظفي الأمن السيبراني وتقنية المعلومات الذين ينصبّ اهتمامهم بصورة أساسية على الأنظمة الحاسوبية في المؤسسة. وكثيراً ما تكون النتيجة المترتبة على ذلك إنشاء قائمة طويلة، وسيئة الترتيب من حيث الأولويات، من المهام المتعلقة بالحدّ من الآثار الناجمة عن هذه المخاطر. ونظراً لأن الشركات لا تمتلك الموارد الكافية لمعالجة جميع مشكلات الأمن السيبراني، فمن الممكن أن تظل التهديدات الأمنية المهمة بلا حل.

وثمّة نهج أكثر جدوى يتمثل في تبنّي الرأي الذي مفاده أن الأمن السيبراني ينبغي أن يركز بدرجة أكبر على الآثار المحتملة للتهديدات على أنشطة الشركة. بافتراض أنك مسؤول تنفيذي في شركة منتجات كيميائية، بدلاً من أن تسأل: ما الهجمات السيبرانية التي يمكن أن تحدث على الأنظمة الحاسوبية للشركة؟ يجدر بك أن تسأل: كيف يمكن للهجمات السيبرانية تعطيل سلسلة التوريد في شركتك؟ أو كشف أسرارك التجارية؟ أو التسبب في عجزك عن الوفاء بالتزاماتك التعاقدية؟ أو تهديد البشرية؟ وفي حين قد يبدو هذا التعديل طفيفاً، فإنه عندما يبدأ القادة بالأنشطة المهمة، يكون في وسعهم تحسين ترتيب الأولويات في تطوير وسائل الدفاع عن أمنها السيبراني.

وقد وصف أحد الرؤساء التنفيذيين الذين عملنا معهم، وهو ريتشارد لانكستر، الرئيس التنفيذي لشركة “سي إل بي” (CLP)، وهي ثالث أكبر شركات الإمداد الكهربائي في قارة آسيا، التحول في العقلية إزاء المخاطر السيبرانية بقوله: “في بادئ الأمر، كنا ننظر إلى المخاطر السيبرانية بوصفها مشكلة خاصة بتقنية المعلومات بالدرجة الأولى. وبمرور الوقت، أدركنا أن شبكاتنا الكهربائية ومحطات توليد الكهرباء هي المعرّضة للخطر في الواقع. وندرك الآن أن المخاطر السيبرانية هي مخاطر تتعلق بالأعمال في حقيقة الأمر”. ومن هذا المنطلق، تنتقل مسؤولية الأمن السيبراني من قسم تقنية المعلومات إلى كبار المسؤولين التنفيذيين ومجالس الإدارات، الذين يتعين عليهم الاضطلاع بدور فاعل والتأكد من أن فِرق الأمن السيبراني تركز على التهديدات الحقيقية.

إنشاء نبذات وصفية للتهديدات السيبرانية

يُعد تحديد المخاطر السيبرانية والتصدي لها بمثابة عملية اجتماعية. ويجب عليك، لتقييم المناحي التي تكمن فيها أهم هذه المخاطر بدقة، أن تضع في الحسبان وجهات نظر طائفة واسعة من الموظفين. إذ سيحقق لك إشراك نطاق واسع من الأشخاص في هذه العملية إيجاد فهم مشترك للحقائق والتفاصيل المهمة في مرحلة مبكرة، وهو ما سيمكّنك من التوصل إلى توافق في الآراء عندما يتعين عليك لاحقاً التعامل مع المخاطر.

وقد استحدثنا، لمساعدة الشركات في تنظيم المعلومات ذات الصلة وتبادلها مع جمهور واسع، وسيلة نطلق عليها “النبذة الوصفية للتهديد السيبراني”. وهي تتناول الأجزاء الأربعة لحالة تهديد سيبراني محتمل، والمتمثلة في: نشاط من الأنشطة الرئيسة للشركة والمخاطر التي يتعرض لها، والأنظمة التي تدعم هذا النشاط، وأنواع الهجمات السيبرانية المحتملة والآثار المرجّح أن تترتب عليها، والجهات المناوئة التي يرجح أن تنفذ هذه الهجمات. سيساعد بيان التفاصيل الخاصة بجميع الأجزاء الأربعة الشركات في التعرف إلى المخاطر التي تواجهها وترتيبها حسب الأولوية وإعداد التدابير التصحيحية.

وينبغي أن يتولى الأشخاص في فريق الأمن السيبراني بالشركة مسؤولية إنشاء النبذات الوصفية السيبرانية، لكن ينبغي لهم التماس الإسهامات من الأطراف التالية:

  • قادة الشركة: الرئيس التنفيذي وفريق الإدارة التنفيذية وكبار المسؤولين التنفيذيين الآخرين. إذ إنه من الأهمية بمكان عقد اجتماعات مع القادة التنفيذيين، لكن ليس من الضروري أن تستغرق هذه الاجتماعات وقتاً طويلاً، ومن شأن الحرص على تدوين المقابلات والمناقشات جعلها أكثر كفاءة ويسهّل توثيقها.
  • العمليات: وتشمل الموظفين المشاركين بصورة يومية في الأنشطة الرئيسة للشركة.
  • أنظمة تقنية المعلومات: وتشمل الأشخاص المسؤولين عن إدارة الأنظمة الحاسوبية التي تدعم أنشطة الشركة.
  • المختصون المعنيّون: وهم الموظفون ذوو الخبرة الفنية ذات الصلة بنوع التهديد الأمني المعيّن الذي تتصدى له الشركة والآثار المترتبة عليه، مثل موظفي الشؤون القانونية والعلاقات العامة والموارد البشرية والسلامة الجسدية. على سبيل المثال، إذا كانت إحدى النبذات الوصفية تتعلق بهجوم أسفرَ عن خسائر في البيانات الشخصية، فسترغب في ضمّ الفريق القانوني إلى المناقشات التي تُجريها نظراً إلى إمكانية حدوث انتهاك للقوانين التنظيمية.


دعونا نُلقي نظرة الآن على كل عنصر من عناصر النبذة الوصفية للتهديد السيبراني، وكيفية إنشائها، والأطراف التي ينبغي إشراكها في إنشائها.


أنشطة الشركة المهمة والمخاطر التي تتعرض لها

ينبغي لفريق الأمن السيبراني، لكي يتسنى له تحديد أنشطة الشركة المهمة والمخاطر التي تتعرض لها، إجراء مقابلات مع قادة الشركة ودراسة بيانات الشركة المكتوبة عن درجة تحمّلها للمخاطر، مثل البيانات الواردة في التقارير السنوية، ومراعاة أهداف الشركة، مثل الإيرادات المستهدفة والتوسع في أسواق جديدة. إذ يمكن أن يعتمد هدف الإيرادات، على سبيل المثال، على استحداث منتجات جديدة أو توسيع نطاق عروض الخدمات المقدمة. ومن الممكن أن يكون التوسع في بلد جديد أمراً لا غنى عنه لزيادة قاعدة الزبائن. ويمكن أن تكون الأنشطة المهمة خارج المؤسسة وترتبط بعملياتها الداخلية أو تتعلق بمستقبلها الاستراتيجي. فبالنسبة إلى شركة المنتجات الكيميائية، سيكون النشاط الرئيس، مثلاً، هو تصنيع راتنجات البوليستر (polyester resins)، وهو منتج متخصص يشتد عليه الطلب.

وتختلف أهمية النشاط باختلاف القطاع أو الشركة. فخدمة الزبائن هو نشاط قليل المخاطر في بعض القطاعات، مثل البرمجيات الاستهلاكية أو متاجر البيع بالتجزئة ذات الأسعار المخفّضة. غير أن العلاقات مع الزبائن في قطاعات أخرى، مثل قطاع ألعاب القمار، ذات أهمية قصوى. إذ إن أندية القمار في ماكاو، على سبيل المثال، تعتمد على شريحة صغيرة من كبار الزبائن في تحقيق أكثر من 54% من إجمالي إيراداتها من القمار مجتمعةً. فالمخاطر التي تتعرض لها إدارة العلاقات مع الزبائن تهدد أيضاً النتائج المالية التي تحققها أندية القمار.

كما أن عدد الأنشطة التجارية المهمة التي تؤديها الشركة، وبالتالي عدد النبذات الوصفية للتهديدات السيبرانية التي ينبغي لها إنشاؤها، يختلف أيضاً من شركة إلى أخرى.

ولتقييم المخاطر التي تواجهها مؤسستك، فكّر بشأن الكيفية التي يمكن بها لكل نشاط من أنشطتها أن يفشل على نحو يلحق ضرراً بالشركة. على سبيل المثال، في حالة شركة المنتجات الكيميائية، فإن تعطيل عمليات مصانعها يمكن أن يحول دون تصنيعها لراتنجات البوليستر، الذي يمكن أن يحقق لها إيراداتها. كذلك، يجدر بك دراسة الخسائر الجانبية التي تلحق بزبائنك أو أطراف المصلحة الآخرين، مثل إطلاق مواد كيميائية سامّة في البيئة، أو ضياع معلومات سرية خاصة بالزبائن مثل بيانات البطاقات الائتمانية.

وضَع في حُسبانك أن ما يشكل مخاطر بالغة على إحدى الشركات يمكن ألا يشكل المخاطر نفسها على شركة أخرى. فعلى الرغم من أن تعطيل إنتاج راتنجات البوليستر يمكن أن يُلحق الضرر بإحدى شركات المنتجات الكيميائية، يمكن ألا يُلحق ضرراً بشركة منتجات كيميائية أخرى لا يكثر الطلب على الراتنجات التي تنتجها، لأنها لا تٌسهم سوى بمقدار ضئيل في أرباح هذه الشركة، أو أنه يمكن إنتاجها في مصانع بديلة.


أنظمة الدعم

لا يمكن لشركتك التعويل على أنظمة الدعم بوصفها نظام دفاع فعالاً عن الأمن السيبراني إذا كانت لا تعلم ما يتعين عليها حمايته. لذا، يجب عليك فهرسة أنظمتك الحاسوبية والخدمات والوظائف التي تقدمها لكل نشاط قيد النظر. وينبغي أن تبدأ هذه العملية بالموظفين التشغيليين المعنيين بهذا النشاط، لأنهم يعرفون نوع البرمجيات التي يستخدمونها وطبيعة الآثار المترتبة إذا تعطلت هذه البرمجيات. كما ينبغي أيضاً أن يشارك الموظفون الذين يتولّون صيانة الأنظمة الحاسوبية نظراً لأنّ لديهم إلماماً أوسع بالتقنية التي تقدم الدعم لهذه البرمجيات. وعادة ما يعني هذا، بالنسبة إلى الحواسيب المصنعة للأغراض العامة، موظفي تقنية المعلومات، وبالنسبة إلى أنظمة التحكم الصناعية، فإنه يعني المهندسين. كما ينبغي أن تشير قائمة الحصر إلى المواقع الفعلية للأنظمة لكي يتسنى للموظفين المعنيين بالاستجابة للحوادث السيبرانية معرفة إلى أين يتوجهون لمعالجة المشكلات التي تطرأ عند حدوث هجوم.

وعلى الرغم من وجود منتجات تساعد أقسام تقنية المعلومات بإعداد قائمة حصر مؤتمتة للحواسيب والبرمجيات، إلا أنه لا يمكنها تحديد أي هذه الأصول يُعد أكثر أهمية. ويمكن للشركة، عبر فهرسة هذه الحواسيب والبرمجيات على أساس النشاط التجاري الذي تُستخدم فيه بصفة خاصة، تحديد الأولويات في معالجة الثغرات الحاسوبية وتعزيز سبل الحماية على نحو فعال.


أنواع الهجمات السيبرانية والآثار المترتبة عليها

ينبغي للفريق، في الخطوة التالية، تحديد جميع أنواع الهجمات التي من شأنها تعطيل كل نشاط مهم من أنشطة الشركة، وبيان ما تتطلبه هذه الهجمات لتنجح في اختراق الأنظمة الحاسوبية، وطبيعة الآثار المترتبة عليها.

تستغل الهجمات السيبرانية، في أبسط المستويات، الثغرات الموجودة في الأنظمة الحاسوبية. إذ تستخدم هجمات البرمجيات الضارة، على سبيل المثال، برمجيات خبيثة لاستغلال الأخطاء البرمجية في التطبيقات الحاسوبية. (وكانت هذه هي الطريقة التي استخدمها المخترقون في حالة هجوم “واناكراي”). ويمكن لموظفي الأمن السيبراني بالشركة، وينبغي لهم، تحديد أنواع التقنيات التي من الممكن أن تستهدف الثغرات الموجودة في الأنظمة الحاسوبية للشركة.

ومن الأهمية بمكان الإشارة إلى أن الهجمات السيبرانية ليست دائماً متطورة أو معقدة من الناحية التقنية. إذ إن إحدى الثغرات المنتشرة في جميع الأنظمة الحاسوبية تتمثل في التحكم الكامل تقريباً لمسؤول النظام في المعلومات والتطبيقات الموجودة عليه. فعلى الرغم من أن هذه السلطة ضرورية لمسؤول النظام كي يتسنى له تشغيله على النحو الملائم، إلا أنه من الممكن أن يسيء استخدام هذه السلطة.

ويمكن تنفيذ الهجوم السيبراني عبر طرائق كثيرة للغاية، ولا يُعَد إحصاؤها أمراً عملياً أو مفيداً. إذ يكفي أن تحدد أنواع الهجمات السيبرانية الأساسية، مثل الاختراق الخارجي الذي يقوم بتنصيب برنامج خبيث على النظام الحاسوبي، أو تحديد الموظف الذي يسيء استخدام صلاحياته على النظام الحاسوبي.

متطلبات الهجوم السيبراني

من المهمّ فهْم ما تحتاجه الجهة المناوئة لتنفيذ هجوم سيبراني لبناء تحصيناتك الدفاعية. وفي وسع فريق الأمن السيبراني والموظفين التشغيليين المعنيين بالأنشطة المهمة تحديد المتطلبات المعينة، غير أن معظم هذه المتطلبات تندرج ضمن فئة من ثلاث فئات، هي:


  1. المعرفة. وهي المعلومات التي يتعين على الجهة المناوئة امتلاكها؛ على سبيل المثال، كيفية برمجة برنامج خبيث أو الكيفية التي تعمل بها السدود الكهرومائية.
  2. الأدوات والمعدات. وهي نوعية الأجهزة التي تحتاجها الجهة المناوئة، وهي لا تشمل مُعينات الاختراق فقط، مثل البرمجيات التي تكتشف كلمة المرور أو الأدوات التي تحلل الشبكات الحاسوبية، بل تشمل أيضاً المعدات الحاسوبية مثل أجهزة اللاب توب ومعدات الإرسال اللاسلكي.
  3. الموقع. وهو المكان الذي يتعين على الجهة المناوئة أن تكون فيه؛ على سبيل المثال، هل يجب على الشخص المخترق أن يوجَد فعلياً بالقرب من أحد المباني أو أن يمتلك صلاحيات الموظف أو المتعاقد في المؤسسة؟

 سبقَ أن تعرض أحد البنوك التي عملنا معها في منطقة جنوب شرق آسيا، إلى هجوم سيبراني أسفرَ عن احتيال واسع النطاق في بطاقات السحب. وكشفت التحقيقات عن أن المخترقين لا بدّ أنهم كانوا يعلمون رموز التصريح الخاصة ببطاقات الدفع الإلكتروني “فيزا” و”ماستر كارد”، والسبل الكفيلة بتصميم الأجهزة القارئة للبطاقات الائتمانية. وشملت الأدوات التي احتاجوا إليها العديد من الأجهزة القارئة للبطاقات الائتمانية وقاعدة بيانات تضم أرقام حسابات بطاقات السحب. كما كان لزاماً عليهم أن يكونوا موجودين في محيط المنطقة المحلية للتنسيق مع التجار الذين كانوا متواطئين مع هذا الاحتيال، لكن لم يكن يتعين بالضرورة أن يكونوا يعملون في البنك أو أن يدخلوا فعلياً إلى مبنى البنك.


الآثار المترتبة على الهجوم السيبراني

يُعد القادة التنفيذيون وكبار المديرين في وضع يتيح لهم تحديد الآثار الناجمة عن التعطيل الذي يطال الأنشطة الرئيسة للمؤسسة، وينبغي لهم إرشاد فريق الأمن السيبراني بشأن هذه المهمة. ويمكن لموظفي العمليات والأنظمة أن يلفتوا الانتباه إلى آثار إضافية مترتبة على الهجوم السيبراني، كما يمكن للموظفين المختصين من الإدارات الأخرى، مثل الشؤون القانونية والشؤون المالية وإدارة الامتثال، الكشف عن أضرار جانبية محتملة. ومن شأن مجموعة بسيطة من الأسئلة الافتراضية جعل المناقشات بين هذه الأطراف المعنية ذات جدوى. على سبيل المثال، ماذا سيحدث لخدمات تقديم الرعاية الصحية إذا لم تعُد سجلات المرضى بأحد المستشفيات متاحة بسبب هجوم سيبراني أستُخدم فيه فيروس “رانسومواري” (ransomware)؟ بالنسبة إلى هيئة الخدمات الصحية الوطنية في إنجلترا، في أعقاب هجوم “واناكراي”، كان الحل هو إلغاء آلاف المقابلات مع الأطباء والعمليات التي كان سيُجريها المرضى.

ولا تقتصر بعض الآثار الناجمة عن الهجوم السيبراني على التكاليف المالية المباشرة. فالهجوم السيبراني الذي أستُخدم فيه فيروس “نوت بيتيا” (NotPetya) في عام 2017، أوقف سير العمليات في الكثير من الشركات الكبرى في شتى أنحاء العالم، وأشارت التقديرات إلى أن إجمالي الخسائر التي تكبدتها بسببه شركة “أيه بي مولر مايرسك” (AP Moller-Maersk) يصل إلى 300 مليون دولار أميركي، بينما قُدّرت خسائر شركة “فيديكس” (FedEx) بما يصل إلى 400 مليون دولار أميركي. بينما قدّرتْ شركة “ميرك” (Merck)، عملاق صناعة المستحضرات الصيدلانية، الخسائر التي تكبدتها بسبب فيروس “نوت بيتيا” بمبلغ 870 مليون دولار أميركي، نظراً للتكاليف المباشرة التي نجمت عنه وخسارة الإيرادات التي تسبب بها. وفضلاً عن ذلك، فقد أدى توقف العمليات إلى انخفاض المخزونات من المصل الذي تنتجه شركة “ميرك”، والذي يحول دون الإصابة بأنواع محددة من مرض السرطان.

 الجهات المناوئة السيبرانية

مَن الذي يتربّص بشركتك؟ من شأن تحديد منفذي الهجوم المحتملين، فضلاً عن معرفة دوافعهم وإمكاناتهم، مساعدتك في تقييم احتمال حدوث هجوم سيبراني وتطوير الوسائل الرقابية اللازمة للحيلولة دون حدوث هذا الهجوم. إذ يمكن أن تكون الجهات المناوئة لشركتك بلدان ومنظمات إجرامية ومنافسين وموظفين ناقمين وإرهابيين أو مجموعات مناصَرة. وعليك ألا تستخفّ بمستوى تطورهم التقني؛ إذ إن وسائل الاختراق المتقدمة أضحت متاحة على نطاق واسع للكثيرين.

وأفضل مَن يمكنهم تحديد الجهات المناوئة المحتملة هم قادة الشركة وموظفو العمليات المعنيون بأنشطة الشركة المهمة، نظراً لأنهم الأكثر إلماماً بدوافع المخترقين والمكاسب التي يمكن أن يحققوها من الهجوم. وتتمثل نقطة الانطلاق المناسبة في طرح سؤال بشأن ما الذي تمتلكه الشركة ويمكن أن يمثّل شيئاً ذا قيمة بالنسبة إلى شخص آخر؟ على سبيل المثال، يمكن أن يكون أحد منافسي شركتك مهتماً بأسرار البحوث والتطوير والأسرار التجارية في شركتك، بينما قد تكون منظمة إجرامية أكثر اهتماماً بسرقة البيانات المالية لزبائنك لبيعها في السوق السوداء.

ويجب على الشركات أيضاً مراعاة السياق التجاري المحتمل ككُل للجهات المناوئة. إذ إن مديري أحد أندية القمار في ماكاو قد قرروا عدم تشفير الاتصالات الشبكية التي يستخدمونها لنقل البيانات الخاصة بكبار عملائهم إلى مركز عمليات مركزي. ولم يحدد مديرو هذا النادي الضرورة التي تستدعي عدم تشفير الاتصالات الشبكية، لكن عندما طلبنا منهم التفكير ملياً حول الجهات التي يمكن أن تكون لها مصلحة في الهجوم السيبراني على أنديتهم، أدركوا أن شبكة الاتصالات السلكية واللاسلكية نفسها كان يملكها تكتّل يضم أكبر منافسيهم.

ويمكن حتى للزبائن أن يصبحوا جهات مناوئة في الفضاء السيبراني. فقد فوجئ المسؤولون التنفيذيون في شركة “أيه إم إس سي” (AMSC)، وهي شركة تصمم برمجيات للتحكم بتوربينات الرياح، عندما ألغت شركة “سينوفيل” (Sinovel)، وهي أحد كبار عملاء شركة “أيه إم إس سي”، جميع المدفوعات على العقود الحالية والمستقبلية، التي كانت قيمتها تبلغ زهاء 800 مليون دولار أميركي. وكشف التحقيق الذي أجرته شركة “أيه إم إس سي” أن شركة “سينوفيل” تمكنت من سرقة برنامج شركة “أيه إم إس سي” وشغّلته لإدارة أكثر من ألف توربين رياح جديد. وأسفرت سرقة الملكية الفكرية هذه عن تكبّد شركة “أيه إم إس سي” خسائر بلغت أكثر من 186 مليون دولار أميركي في السنة المالية 2010. ووصل إجمالي خسائر الشركة بسبب هذه السرقة إلى 550 مليون دولار أميركي، ولم تسترد الشركة منه سوى مبلغ ضئيل. كما كلفت هذه المكيدة أيضاً حاملي الأسهم في شركة “أيه إم إس سي” مليار دولار أميركي من خسائر الأسهم وأجبرت الشركة على التخلص من 700 وظيفة، وهو ما يعادل أكثر من نصف موظفيها على الصعيد العالمي. ولم تُفلح عمليات شركة أيه إم إس سي” بعد في إعادة الشركة إلى تحقيق الأرباح.

وفي بعض الأحيان، يتسبب القطاع الذي تعمل فيه الشركة أو الطريقة التي تدير بها أعمالها في وقوع هجوم سيبراني. إذ يمكن أن تستهدف الجماعات المناصِرة للبيئة الشركات التي تتسبب أنشطتها بالتلوث. فقد أقدمَ إدوارد سنودن، الذي عمل بصفته متعاقداً مع وكالة الأمن القومي الأميركية (NSA)، على سرقة معلومات من الوكالة ليكشف عن البرامج الرقابية التي أنكرتها الوكالة رسمياً. ومن شأن اتخاذ إجراءات من قبيل الفصل من العمل أو إغلاق المصانع أيضاً أن تشكل دافعاً للموظفين للانتقام بإساءة استخدام الصلاحيات التي يملكونها على الأنظمة الحاسوبية. ولا مناص من وجود حالات متفرقة لأفراد لديهم أهداف شخصية يسعون إلى تحقيقها أو صيت يودّون تعزيزه.

ويمكن أن تواجه شركتك عواقب من إحدى الهجمات السيبرانية حتى إذا لم تكن مستهدفة بها على نحو مباشر. إذ أضحت البنية التحتية، على سبيل المثال، هدفاً للهجمات السيبرانية. ومثال على ذلك الهجمات التي تعرضت لها البنية التحتية للطاقة في مدينة إيفانو فرانكيفسك بأوكرانيا في عام 2015. فإذا كانت روسيا هي المسؤولة عن هذه الوقائع، حسبما تشير الشكوك، فإن دوافعها لم تكن لها علاقة بشركات الطاقة نفسها، أو بزبائن هذه الشركات الذين عانوا – بسبب هذه الهجمات – من توقف الإمداد الكهربائي. وأغلب الظن أن هذه الشركات كانت هدفاً للهجمات السيبرانية هذه لأنها تقع في أوكرانيا التي تتّسم علاقتها مع روسيا بالعدائية. لذا، عند تقييم الجهات التي يمكن أن ترغب في زعزعة أنظمتك الحاسوبية، يجب أن يتجاوز البحث حدود شركتك إلى المحيط السياسي والتجاري ككُل، الذي تعمل فيه شركتك.

أزمة كان الممكن منع حدوثها

دعونا الآن نُلقي نظرة ثاقبة على إحدى الهجمات السيبرانية ونبيّن كيف أنه كان في وسع العناصر الأربعة المكونة للنبذة الوصفية للتهديد السيبراني الحصول على المعلومات الملائمة التي كانت ستتيح للمؤسسة المعنية تجنب هذا الهجوم.

مقاطعة ماروشي وجهة سياحية تقع على بُعد نحو مائة كيلو متر شمال مدينة بريسبان بأستراليا. وتُعد هذه المنطقة مَعلماً من معالم جمال الطبيعة وأهمية البيئة، بشواطئها الممتدة ذات الرمال البيضاء والغابات الممطرة شبه الاستوائية ذات الجداول المائية والشلالات.

في مطلع الألفية الجديدة، كانت شبكة المياه والصرْف الصحي تحت إشراف دائرة الخدمات المائية بمقاطعة ماروشي، التي كانت تجمع 35 مليون لتر من مياه الصرف الصحي وتعالجها وتتخلص منها بصورة يومية. وفي أواخر يناير/ كانون الثاني من عام 2000، بدأ النظام الذي يُدير محطات ضخّ مياه الصرف الصحي في فقدان السيطرة على المضخات وإصدار إنذارات خاطئة. وعندما استنتجت الشركة المصنّعة للنظام أن حواسيب النظام تتعرض لهجوم، كانت مياه الصرف الصحي غير المعالَجة قد ارتدّت عن محطات الضخّ وتدفقت في أنحاء المقاطعة، وشمل ذلك ملعب “بي جي أيه” (PGA) لمنافسات الغولف بمنتجع حياة ريجنسي الذي كان فيما سبق من فئة الفنادق ذات الخمس نجوم. وفي المتنزهات المحلية، فاحت رائحة مياه الصرف الصحي، وهلكت الأحياء البحرية. وكانت الرائحة الكريهة لا تُطاق. واستمرت الهجمات لمدّة ثلاثة أشهر إلى أن ألقت الشرطة القبض على الجاني بعد مطاردة بالسيارات بالقرب من إحدى محطات الضخ.

تجعل المعرفة المكتسبة بعد وقوع الأحداث من السهل رؤية الخلل الذي حدث، لكن دعونا نعيد تشكيل ما يمكن أن يكون النبذة الوصفية للتهديد السيبراني لهذا المرفق العام.

بالنسبة إلى دائرة الخدمات المائية بمقاطعة ماروشي، فإن معالجة مياه الصرف الصحي تُعد نشاطاً مهماً من أنشطتها. وكانت أنظمة مقاطعة ماروشي تحتوي على 142 محطة تضخ مياه الصرف الصحي إلى محطة المعالجة. وبسبب التفاوت في الارتفاع في هذه المقاطعة، فثمة احتمال قوي، إذا تعطلت المضخات، أن ترتد مياه الصرف الصحي إلى المتنزهات والأماكن السياحية النظيفة بالمنطقة.

وقد كانت أنظمة الدعم الحاسوبية للمضخات تشتمل على نظام مركزي لإدارة العمليات ومعدات المراقبة داخل محطات الضخ. وكان في وسع مشغلي محطات الضخ، من داخل هذا النظام المركزي، تشغيل المحطات، كل على حدة، أو إيقافها وتغيير معدلات الضخ. كما كان بالإمكان إدارة هذه المحطات على المستوى المحلي باستخدام معدات يمكنها استخدام النظام المركزي أيضاً.

كانت أنظمة الدعم هذه تنطوي على ثغرتين في أمنها السيبراني. تمثلت الثغرة الأولى في أنه كان يمكن لأي شخص إنشاء اتصال شبكي بالمعدات، فيما تمثلت الثغرة الثانية في أنه حالما ينشئ الشخص هذا الاتصال، فلا يلزمه كلمة مرور لتسجيل الدخول إلى المعدات.

ولكي يتسنى للمخترق المحتمل النجاح في هجومه، يتطلب الأمر منه فهم كيفية عمل المعدات، الذي يمكن اكتسابه عن طريق الخبرة العملية أو عبر قراءة كتيبات التعليمات، والترددات اللا سلكية المستخدمة في الاتصال بالمعدات، التي كان من السهل العثور عليها في مستندات الشركة. وسيحتاج المخترق إلى عدد من الحواسيب (يشمل ذلك حاسوباً من النوع نفسه المستخدم في محطات الضخ)، وإلى أسلاك شبكية ومعدات الإرسال والاستقبال اللاسلكية. وسيتعين على المخترق، كي يتسنى له الاتصال بأنظمة المراقبة لكل محطة ضخ على حدة، أن يكون موجوداً ضمن نطاق الإرسال لكن الأمر لا يتطلب منه التسلل إلى محطة الضخ فعلياً.

اتّضح أن الجهة المناوئة في هذا الهجوم السيبراني كان موظفاً سابقاً في الشركة المصنّعة لمعدات مراقبة محطات الضخ. وبعد أن قضى فترة شائكة في هذه الشركة، تقدم مرتين بطلب للحصول على وظيفة في دائرة الخدمات المائية في مقاطعة ماروشي لكنه لم يحصل عليها. وعلى إثر ذلك، أصبح ناقماً وحانقاً وأراد الانتقام من كلتا الشركتين. فسرق أحد حواسيب محطات الضخ، ونظراً لأنه صار مُلمّاً بكيفية عمل نظام المراقبة في هذه المحطات، فقد كان بمقدوره استخدام هذا النظام والمعدات اللاسلكية للاتصال بكل محطة ضخ على حدة. ومن ثم استخدمها للسيطرة على النظام المركزي لإدارة العمليات وأحدثَ الدمار الذي جرى.

ولو أن المسؤولين التنفيذيين بدائرة الخدمات المائية بمقاطعة ماروشي عملوا مع موظفيهم لإنشاء نبذات وصفية لمعالجة مياه الصرف الصحي، لاكتشفوا المخاطر الجسيمة التي واجهوها وتفهّموا طبيعتها. وفي حين يمكننا افتراض أنهم كانوا سيدركون أن معالجة مياه الصرف الصحي كانت نشاطاً مهماً، فإن التحقيق والتحليل اللذيْن ينطوي عليهما إنشاء نبذة وصفية كانا سيمنحان هؤلاء المسؤولين التنفيذيين وكذلك موظفي أمن تقنية المعلومات بشركتهم فكرة واضحة حول الكيفية التي يمكن أن تقوّض بها الهجمات السيبرانية أنظمة الدعم الحاسوبية وتتسبب في تعطل المضخات ومعدات معالجة مياه الصرف الصحي الأخرى. وكانوا سيعرفون ما سيتطلبه الأمر لتنجح الهجمات السيبرانية في الاختراق ويعرفون الجهات التي تقف وراءها.

كما كانوا سيمتلكون أساساً للحدّ من هذه المخاطر. إذ كان موظفو أمن تقنية المعلومات بدائرة الخدمات المائية بمقاطعة ماروشي سيعرفون هاتين الثغرتين اللتين يتعين معالجتهما للحيلولة دون حدوث أزمة مياه الصرف الصحي، كما كانوا سيوضحونهما للمسؤولين التنفيذيين ولمجلس الإدارة في جملة واحدة خالية من التعقيدات الاصطلاحية: “يتعين علينا، للحيلولة دون حدوث هجوم سيبراني على محطات الضخ، اشتراط تسجيل الأشخاص دخولهم إلى حواسيب المحطات وتحديد مَن يُسمح لهم بالاتصال بشبكاتها”.

يُعد تحديد المخاطر السيبرانية عملية مستمرة؛ فمع تطور نشاطك التجاري، ومع تغيّر الأنظمة الحاسوبية التي يرتكز عليها، سيواجه نشاطك التجاري ثغرات جديدة. ويجب على شركتك، لكي يتسنى لها اكتشاف هذه الثغرات، أن يكون لديها نقاط مراقبة مُحكمة مضمّنة في عملياتها لإدارة التغيير، يجري فيها تقييم المخاطر السيبرانية.

غير أن تحديد الثغرات السيبرانية الأهم في شركتك لا يمثل سوى الخطوة الأولى في هذا الصدد. إذ تتيح لك معرفة طبيعة هذه المخاطر إعطاء الأولوية للهجمات المحتملة وتحديد الوسائل الرقابية التي من شأنها الحيلولة دون حدوث هذه الهجمات ووضع خطة معالجة، وتنفيذها إذا تطلب الأمر ذلك. وتتطلب الإدارة الرقمية الرشيدة جعل المخاطر التي تتعرض لها الشركات، وقادة الشركات، محور هذه المناقشات.