أوراق باندورا - كيف تستجيب شركات مثل Asiaciti Trust و Trident Trust Company - أخبار و نصائح للمدونين أوراق باندورا - كيف تستجيب شركات مثل Asiaciti Trust و Trident Trust Company - أخبار و نصائح للمدونين

أوراق باندورا - كيف تستجيب شركات مثل Asiaciti Trust و Trident Trust Company

أوراق باندورا - كيف تستجيب شركات مثل Asiaciti Trust و Trident Trust Company 

كانت أوراق باندورا عبارة عن مجموعة كبيرة من سجلات الشركات الخاصة التي تم إصدارها في أكتوبر 2021 من قبل الاتحاد الدولي للصحفيين الاستقصائيين (ICIJ) ، وهي شبكة إعلامية مقرها واشنطن العاصمة تضم في عضويتها أكثر من 100 مؤسسة إعلامية وما يقرب من 300 صحفي استقصائي.

تضمن إصدار الاتحاد الدولي للصحافيين الاستقصائيين ما يقرب من 12 مليون سجل من أكثر من اثني عشر من مقدمي الخدمات المالية والقانونية في جميع أنحاء العالم. تشمل المنظمات المتأثرة شركة ترايدنت تراست المحدودة ، وآسياسيتي تراست ، وألفا كونسلتينج ليمتد ، وأليمان ، وكورديرو ، وجاليندو ولي (ألكوجال).

تلقي سجلات Pandora Papers الضوء على السلوكيات المالية للنخبة الدولية ، بما في ذلك العديد من السياسيين البارزين والعديد من رؤساء الدول. نظرًا لأن الاتحاد الدولي للصحافيين الاستقصائيين لديه أعضاء في فرنسا وإسبانيا وأيرلندا والمجر وبلجيكا وصربيا وأستراليا ، فقد ولّد الإصدار اهتمامًا دوليًا واسع النطاق مع التقارير المحلية التي ركزت على أنشطة الأفراد والكيانات في العديد من أنحاء العالم المختلفة.

أصل ونطاق أوراق باندورا

أوراق Pandora هي فقط الأحدث في سلسلة من عمليات اقتحام البيانات هذه. تضمنت التدخلات الرئيسية السابقة أوراق الجنة ، وأوراق بنما ، وملفات FinCEN ، و Swiss Leaks ، و Mauritius Leaks ، و LuxLeaks.

مثل هذه الحوادث السابقة ، جمعت أوراق Pandora معلومات من العديد من المصادر المختلفة. تميل هذه المصادر إلى اتباع أفضل ممارسات أمن المعلومات ، كما هو متوقع بالنسبة للمؤسسات التي تعمل لصالح عملائها وبما يتوافق مع القانون الوطني والإقليمي المعمول به.

لذلك يبدو من غير المحتمل أن يكون اقتحام أوراق باندورا نتيجة لحملة منسقة من قبل المطلعين الساخطين أو لصوص البيانات الهواة ، كما اقترح البعض. يبدو أن الجهود المتطورة والموجهة من قبل الجهات الفاعلة في الدولة القومية أو المنظمات الإجرامية الدولية هي الأكثر احتمالية.

قد لا تُعرف أبدًا هوية ودوافع من يقفون وراء الإفراج. لسوء الحظ ، لم تفعل هذه الحقيقة الكثير لتهدئة الاحتجاج العام حول أوراق باندورا.

فصل الحقيقة عن الخيال في أوراق باندورا

تم تأجيج هذا الاحتجاج في جزء كبير منه من خلال التقارير غير الدقيقة التي عززت المفاهيم الخاطئة حول شركات الخدمات المذكورة في البيان والعديد من عملائها من الأفراد والعائلات والشركات. وهددت بإلحاق ضرر جسيم ودائم بسمعة الأشخاص والشركات التي لم تفعل شيئًا غير قانوني.

أصدر العديد من الأطراف المتأثرة ردودًا رسمية عامة أوضحت أدوارها في النظام المالي الدولي ووضعت الإصدارات في سياقها. تم تخفيف هذه الردود من خلال التزامات السرية والائتمانية للشركات المتضررة تجاه عملائها والتحقيقات القانونية الجارية في الإفراج. لكنهم قدموا بشكل جماعي صورة أكثر توازناً ودقة للسلوكيات التي كشفت عنها أوراق باندورا من التقارير الإعلامية السائدة المثيرة وغير الدقيقة في كثير من الأحيان.

مع الاعتراف بأن الدفاع ضد القوى السيبرانية المتطورة والحازمة أمر صعب للغاية ، فقد اتخذت المنظمات المتضررة أيضًا خطوات إضافية ، داخليًا وخارجيًا ، لمزيد من الحماية ضد التدخلات المستقبلية. توفر هذه الخطوات خارطة طريق من نوع ما للأفراد والمؤسسات الأخرى التي تشعر بالقلق بشأن نقاط الضعف الرقمية الخاصة بهم.

ردود الجمهور من الشركات المتضررة من أوراق باندورا

لم تجذب ردود الفعل العامة على حادثة أوراق باندورا قدرًا كبيرًا من الاهتمام العام مثل الإصدار نفسه ، ولكن هذه الردود مع ذلك تستحق المشاركة.

وفقًا للرد الذي تم جمعه من قبل The Guardian ، قالت Asiaciti Trust ، وهي شركة دولية للائتمان وخدمات الشركات:

"يخضع عملنا لقانون ولوائح صارمة من قبل السلطات المختصة في كل ولاية قضائية نعمل فيها. نحن ملتزمون بأعلى معايير العمل ، بما في ذلك ضمان امتثال عملياتنا بالكامل لجميع القوانين واللوائح. نحافظ على برنامج امتثال قوي وقد اجتاز كل مكتب من مكاتبنا عمليات تدقيق خارجية لممارسات مكافحة غسل الأموال وتمويل الإرهاب في السنوات الأخيرة ، مما يعكس تركيزنا المكثف على هذا المجال ".

 

قالت شركة ألكوجال القانونية الدولية لصحيفة الغارديان:

"تلتزم Alcogal بجميع القوانين في الولايات القضائية التي تعمل فيها ، وكانت سياسة Alcogal دائمًا هي التعاون الكامل مع السلطات المختصة. لديها إدارة امتثال قوية وسياسات العناية الواجبة تتبع المعايير التي حددتها القوانين في الولايات القضائية التي تعمل فيها ، بالإضافة إلى التوصيات التي قدمتها المنظمات الدولية مثل فرقة العمل للإجراءات المالية ".

وأعلنت شركة ترايدنت تراست ، وهي مزود خدمات ائتماني مستقل في جزر فيرجن البريطانية ، أنها "ستلتزم باللوائح المعنية في جميع البلدان التي تعمل فيها الشركة و ... تتعاون مع السلطات" ، وفقًا لتقرير موقع CodeList.

تحدثت هذه الشركات المتضررة للدفاع عن مصالحها التجارية المشروعة وسمعة عملائها - بالإضافة إلى سمعتهم. أنها توفر نموذج استجابة لأي منظمة تتأثر بالتدخلات المستقبلية على نطاق واسع للبيانات ، إلى الحد الذي تسمح لهم الاعتبارات القانونية والسرية بالاستجابة.

العمل مع المحققين الخاصين وإنفاذ القانون لفهم أصول الحادث

احتفظت العديد من المنظمات المتأثرة بفرق الطب الشرعي الرقمي الخاصة للتحقيق في الاقتحام الذي أدى إلى إصدار أوراق Pandora. نظرًا لأنه من غير المحتمل أن يكون الحدث من عمل المطلعين ، فإن تحديد من أو ما الذي حصل على المعلومات - وكيف فعلوا ذلك - يعد خطوة مبكرة مهمة في منع مثل هذه الحوادث في المستقبل.

هذه أفضل ممارسة لأي منظمة تتأثر (أو يشتبه في تأثرها) بعمليات اقتحام البيانات من هذا النوع. يفتقر معظم المتسللين الرقميين إلى مهارة التعتيم التام على أنشطتهم. إنهم يتركون أدلة على وجودهم على الأنظمة المتأثرة التي تسمح لخبراء الطب الشرعي بتجميع تحركاتهم وربما تعلم شيئًا عن دوافعهم.

تتضمن عمليات اقتحام البيانات عمومًا انتهاكات للقانون الوطني أو دون الوطني المعمول به أيضًا. في حين أن المنظمات المتأثرة قد تتردد في التعاون مع سلطات إنفاذ القانون بدافع القلق على خصوصية عملائها ، فإن القيام بذلك قد يساعد في تقدم التحقيق أو الكشف عن هويات المسؤولين - حتى لو كانوا خارج نطاق نظام العدالة الجنائية.

ضمان الامتثال التشغيلي

تقع على عاتق الشركات التي تمارس الأعمال التجارية على المستوى الدولي وتتعامل مع معلومات العميل الحساسة التزامًا رسميًا بحماية تلك المعلومات والامتثال للقوانين المعمول بها. كما توضح ردود الشركات على أحدث اقتحام للبيانات ، فإن المنظمات الملتزمة بالقانون تأخذ هذه المسؤولية على محمل الجد وتخصص موارد كبيرة لدعمها.

بالطبع ، تتضاعف متطلبات الامتثال للشركات التي تعمل في ولايات قضائية متعددة حول العالم. لكل دولة مجموعة من اللوائح الخاصة بها ، وبينما تتبع العديد من هذه اللوائح أنماطًا يمكن التنبؤ بها ، تختلف التفاصيل. إذا اجتذبت انتباه المنظمين ، فحتى الأخطاء الصادقة يمكن أن تكون مكلفة.

ضمان الامتثال التشغيلي مكلف كذلك. لكن الشركات ذات السمعة الطيبة تدرك أنه استثمار غير قابل للتفاوض. إنهم يعملون على تنفيذ بنى الامتثال ، وعادة ما يرأسهم موظفو الامتثال المشرفون على فرق الامتثال التي تركز على مناطق عمل أو مناطق جغرافية محددة. هذه البنى لها مجالان واسعان من مجالات التركيز:

 

    القوانين واللوائح الوطنية ودون الوطنية التي تختلف حسب المنطقة وغالبًا ما تكون خاصة بالصناعة

    القوانين واللوائح الدولية التي تنطبق عبر الحدود وعادة ما تتعلق بوظائف الأعمال الأوسع ، مثل أمن المعلومات وأمن المدفوعات

 

يُفهم الامتثال التشغيلي بشكل أقل من كونه عملية تجارية ، مثل إدارة كشوف المرتبات ، وأكثر من ذلك باعتباره طبقة أخرى من الحماية التي تضطر الشركات الدقيقة لاستخدامها ، مثل التأمين ضد المخاطر.

تحسين بروتوكولات الأمن السيبراني

حتى إذا لم يكن ذلك إلزاميًا بموجب القانون الوطني أو الدولي المعمول به ، فإن جميع المؤسسات لديها مصلحة تجارية واضحة في اعتماد بروتوكولات قوية للأمن السيبراني وقابلة للتطوير.

الشركات المتضررة من حوادث البيانات واسعة النطاق هذه لديها بشكل عام بروتوكولات قوية للأمن السيبراني ، مما يؤكد على تطور القوى المسؤولة عنها. لكن لم تقم جميع المنظمات بالاستثمارات اللازمة في هذا المجال. يجب على أولئك المهتمين بنقاط ضعفهم أن يسرعوا في القيام بذلك.

تستفيد ممارسات الأمن السيبراني القوية عادةً من الأطر الرسمية التي تحتفظ بها السلطات المعترف بها في مجال الأمن الرقمي. بالنسبة للشركات والشركات المالية العاملة في صناعات أخرى عالية التنظيم ، يتم التعرف على أطر الأمن السيبراني التي نشرها المعهد الوطني للمعايير والتكنولوجيا (NIST) ومجلس فحص المؤسسات المالية الفيدرالية (FFIEC) على أنها الأفضل في فئتها.

تم تصميم هذه الأطر لضمان الامتثال لقوانين ولوائح تكنولوجيا المعلومات الوطنية والإقليمية المعمول بها. لذلك فهي جزء لا يتجزأ من التزامات الامتثال الأوسع الموضحة أعلاه. وبينما لا يمكن لإطار عمل قوي للأمن السيبراني ردع كل خصم معقد وحازم ، فإنه يقلل من مخاطر التدخل الانتهازي من قبل أعداء أقل مهارة.

تعزيز بروتوكولات أمن المعلومات الداخلية

على الرغم من أهميته ، إلا أن إطار العمل القوي للأمن السيبراني ليس كافيًا. لتقليل نقاط الضعف بشكل أكبر ، تحتاج المؤسسات إلى تنفيذ بروتوكولات أمان المعلومات الداخلية المخصصة لاحتياجات العمل المحددة الخاصة بها وتتوافق مع عملياتها ومهام سير العمل الفريدة الخاصة بها.

قد تشمل هذه البروتوكولات:

 

    تثقيف الموظفين حول طبيعة التهديدات الداخلية ، بما في ذلك الإشارات التي تشير إلى أن أحد الزملاء قد يصل بشكل غير صحيح إلى المعلومات الحساسة وينقلها

    تعزيز ممارسات أمان البريد الإلكتروني السليمة ، مثل سياسة صارمة ضد تقديم كلمات المرور وأرقام الحسابات والبيانات الحساسة الأخرى عبر البريد الإلكتروني

    منع أعضاء الفريق من تنزيل مرفقات البريد الإلكتروني من مرسلين خارجيين أو تمكين وحدات الماكرو على الملفات التي تم تنزيلها

    المراقبة المستمرة للتهديدات الخارجية واستخدام برامج مكافحة البرامج الضارة المحدثة بانتظام لحظرها

    تطبيق تصحيحات البرامج على مستوى النظام بمجرد توفرها

    حماية أجهزة المستخدم النهائي بجدران الحماية وبرامج مكافحة البرامج الضارة وشبكات VPN وطبقات حماية أخرى حسب الاقتضاء

    تأسيس سياسات جهاز المستخدم النهائي التي تسمح بمسح البيانات عن بُعد في حالة فقد الجهاز أو سرقته

    توعية الموظفين بأخطار ربط الوسائط الخارجية المجهولة بأجهزة الشركة

 

موازنة الإفصاح العام ضد الالتزامات القانونية بعد حوادث البيانات

لا تريد أي منظمة التفكير فيما قد يحدث لها في حالة حدوث تدخل غير مصرح به أو إصدار بيانات. لكن من المهم القيام بهذا العمل قبل أن يكون ضروريًا - وإلا فسيتم تنفيذه بسرعة تحت ضغط كبير.

أحد جوانب خطة اتصالات الأزمات التي يجب أن تمتلكها كل منظمة هو سياسة الإفصاح العام. اعتمادًا على طبيعة الحادث والمنظمة ، قد يكون هذا هو الإطار الذي توجه الخطة بأكملها حوله. يجب أن يجيب على سؤال رئيسي: ما هي المعلومات التي يمكننا الكشف عنها - لصالح أصحاب المصلحة لدينا ولإرضاء المصلحة العامة المشروعة - دون انتهاك التزاماتنا القانونية والسرية تجاه عملائنا أو تعريض عملية التحقيق للخطر؟

تختار العديد من المنظمات أن تخطئ في جانب عدم الإفشاء ، على الأقل في أعقاب الحدث مباشرة. هذا أمر معقول وحتى من الحكمة وسط التحقيقات الجارية الخاصة وإنفاذ القانون وحيث توجد السرية المشروعة أو الالتزامات الائتمانية. ولكن من المهم بالنسبة للشركات التي تختار البقاء صامتة لتوضيح على الأقل سبب قيامها بذلك - أي لإبلاغ الجمهور بأنها ترغب في تقديم المزيد من المعلومات للجمهور ولكن لا يمكنها ذلك.

الدعوة إلى إصلاح ضريبي دولي معقول وتغييرات أخرى في السياسة العامة

قد يكون صحيحًا أن الكثير من الاحتجاج العام على السلوكيات التي كشفت عنها الإصدارات الأخيرة للبيانات واسعة النطاق مضللة ، أثارتها التغطية الإعلامية المثيرة. ومن الواضح أن العديد من الأفراد والشركات الواردة أسماؤهم في هذه الإصدارات لم يرتكبوا أي خطأ وفقًا لنص القانون - فهم ملتزمون تمامًا بالقوانين واللوائح المعمول بها أينما كانوا يمارسون أعمالهم.

ومع ذلك ، تكشف هذه الحوادث أيضًا عن فرص الإصلاح المنطقي للنظام المالي الدولي لزيادة العدالة في جميع المجالات. قد ترغب المنظمات التي ترغب في الخروج أمام أي رد فعل عام عنيف في الدعوة إلى مثل هذه الإصلاحات ، ربما باستخدام المقترحات الأخيرة لحكومة الولايات المتحدة لقواعد ضريبية جديدة عبر الحدود كنموذج. على أي حال ، مع تزايد الزخم لمثل هذه التغييرات ، قد تجد الشركات التي يُنظر إليها على أنها دعاة مبكرين نفسها تتمتع بميزة تنافسية لأولئك الذين شوهدوا يكافحون هذا التحول.

الدفاع عن سمعة العملاء الذين لم يفعلوا شيئًا غير قانوني

أخيرًا ، يجب على المنظمات المتضررة من عمليات التطفل والإصدارات غير المصرح بها للبيانات أن تلتزم بالتزاماتها كمدافعين عن العملاء. وهذا يعني بشكل صارم وعلني - بالقدر الذي يسمح به القانون وينصح به المحامي - الدفاع عن سمعة العملاء الأبرياء الذين شوهتهم التقارير غير الدقيقة أو المثيرة حول أنشطتهم المالية المشروعة.

إطار عمل "Just in Case"

تشكل عناصر العمل هذه مجتمعةً إطارًا شاملاً للإعداد والاستجابة لحوادث البيانات. هذا هو نوع الإطار الذي لا ترغب أي منظمة في نشره - لكنه يثبت أنه ضروري للغاية إذا تطلبت الظروف ذلك.

Next Post Previous Post
No Comment
Add Comment
comment url