قال جريج فان دير غاست الخبير العالمي للأمن السيبراني – خلال عرضه التقديمي بجلسة Orange Business Talk، خلال فعاليات القمة السنوية الرابعة للأمن السيبراني CAISEC’25 والذي يعقد تحت رعاية دولة رئيس الوزراء الدكتور مصطفى مدبولي ، إنه بدأ العمل في مجال البرمجيات والاختراق وهو في عمر 16 عاماً، وقد قام بمحاولات اختراق لمؤسسات حيوية وأمنية كبرى، ثم عمل لمدة 3 سنوات في خدمة الحكومة الأمريكية ثم عمل مستشاراً عادياً يستخدم التكنولوجيات العادية.
ويعد جريج فان دير غاست هو الهاكر السابق الذي تحول إلى عميل في مكتب التحقيقات الفيدرالي بوزارة الدفاع الأمريكية، ومدير أمن المعلومات والمؤلف وأحد أبرز خبراء استراتيجيات الأمن في العالم والمستشار لدى شركة اورنج.
وأضاف أنه كان يعمل مراجعاً حيث عمل لدى شركات التأمين لإثبات أن الشركات المخترقة كانت مهملة وبالتالي لا حق لها في صرف تعويض التأمين، ثم ترك هذا العمل واتجه لقراءة الكثير من الكتب وكان يتم رفضه من الكثير من الشركات التي تقدم للعمل بها ولكنه لم يعد لمجال الاختراق رغم صعوبة الظروف.
وذكر أنه اجتمع مع بعض القيادات السيبرانية في كبرى الدول ولكنه شعر بالإحباط لرغبته في تقديم المزيد من الدعم والمساعدة للشركات، وظل يتساءل بحثاً عن الحلول لتقليل الهجمات السيبرانية على مستوى العالم، مؤكداً أنه لا أحد يولد مخترقاً ولكن هناك الكثير من الأسباب التي تصنع المخترقين.
ولفت إلى أهمية النظر إلى النتائج الخاصة بالأمن السيبراني والتغلب على كافة الانتهاكات والنظر إلى ما يمكن أخذه في الاعتبار، وقد تواصل مع شركة تأمين كبرى في أوروبا وتم النظر إلى الشركات لتقييم الشركة الأكثر أمناً ورغم النفقات الضخمة فقد كانت هناك عيوب فيما يخص الأمن السيبراني.
وأشار إلى ضرورة دراسة إدارة المخاطر، لأن الإدارة السيئة قد تشكل خطراً كبيراً على النظم مهما كانت نفقات ومستويات تقنيات التأمين، وعلى سبيل المثال فإن إدارة المخاطر في قطاع الطيران تعمل بشكل تنفيذي وتؤدي إلى انخفاض المخاطر بشكل تدريجي مستمر، بينما في مجال الأمن السيبراني مع ضعف إدارة المخاطر تزداد عمليات الاختراق بشكل تدريجي.
وتحدث عن ضرورة تقليص العيوب والمشاكل عبر تحسين جودة الإدارة ورفع مستوى كفاءة الكوادر البشرية داخل المؤسسات، وعن الفكرة من وظائف الأمن، أوضح أنها يجب أن تتفهم كافة أعمال الإدارات والحماية دون ادخال المخاطر والتأكد من سلامة البناء، لافتاً إلى أن معظم الانتهاكات كانت بسبب الإهمال البشري وليس بسبب ضعف الحماية الرقمية.
وكشف أنه قام بابتكار الخدمة الاستشارية الخاصة بدراسة كل جزء من العمل بما فيها سلاسل الامداد والهيكل التنظيمي وكل شيء وهناك اقسام للأمن السيبراني تنظر في العمل ولا تتفهم المشكلات الخاصة بهم وكيفية التخلص من هذه المشكلات وما هي حدود الاستراتيجيات الخاصة بهم.
ولفت إلى أن أفضل الكتب التي ألفها لأفضل نظم المراقبة للإنتاج كانت لدى شركة تويوتا للسيارات حيث يجب على الإدارات الأمنية أن تقيس جودة الإنتاج، وبحث مواطن الضعف في سلسلة الإنتاج للتأكد من عدم تأثير مرحلة على أي مرحلة أخرى.
وقال إنه على سبيل المثال من المفترض في الأمن السيبراني أن يكون هناك اختبار ويتم سد الفجوات والتعرف على المشاكل وإصلاحها ولكن إحدى الشركات الخاصة بالمدفوعات السريعة لم تفعل ذلك ولم تقبل أي تأخير للعمل، وعند تشكيل الإدارة الهندسية للشركة تم التخلص من بعض كبار المهندسين وتم تدريب الصغار.
وأضاف أنه تم تحسين الجودة بنسبة 85% وتم الوصول بالمخاطر إلى المستوى الصفري ولم يكن ذلك بسبب أدوات الأمن فقط والحماية ولكن تعلق الأمر بقوة الإنتاج والعمل في مناخ آمن وقد كان هناك زيادة في المعنويات داخل الشركة بأكملها حيث كانت هناك مشكلة كبيرة بسبب الكبار من مهندسي الأمن السيبراني الذين يرفضون أي تغيير أو تطوير، كما تم توفير الميزانية أيضاً مع تحسين جودة الإدارة والتحسين بشكل كبير من أداء الشركة وانخفاض الفواتير بمئات الآلاف من الدولارات شهرياً.