أصدر جهاز الأمن السيبراني الأميركي في مطلع 2024 تحذيراً طارئاً غير معتاد: "أوقفوا تشغيل برنامج Connect Secure من Ivanti فوراً."
يأتي ذلك، بعد أن تمكنت جهات تجسس صينية من اختراق البرنامج والتسلل إلى شبكات نحو 20 جهة أميركية.
ورغم أن التوجيه استهدف الوكالات الفيدرالية المدنية، فإن أثره امتد بعيداً، لأن البرنامج يعد معياراً واسع الاستخدام عبر المؤسسات الحكومية والشركات الكبرى. وتشمل قائمة عملائه القوات الجوية والبحرية والجيش، ووزارة الخارجية، وإدارة الطيران الفيدرالية، والاحتياطي الفيدرالي، وناسا، إضافة إلى آلاف الشركات، وأكثر من 2000 بنك بينها ويلز فارغو، ودويتشه بنك، وفق سجلات حكومية ووثائق داخلية ومقابلات مع موظفين سابقين.
لكن المفاجأة كانت أن "CISA" نفسها – الجهة التي أصدرت التحذير – اكتشفت أن اثنين من قواعد بياناتها الحساسة تعرضتا للاختراق عبر البرنامج ذاته، رغم اتباعها الإجراءات الأمنية الموصى بها. ما يعني أن تصحيح "Ivanti" فشل في سد الثغرة.
مثلت هذه الحادثة نقطة تحول لكثير من مسؤولي الأمن القومي في الولايات المتحدة، الذين عبروا طويلاً عن قلقهم تجاه منتجات "Connect Secure". وبالتعاون مع وكالات أمنية في بريطانيا وكندا وأستراليا ونيوزيلندا، أصدرت "CISA" لاحقاً تحذيراً مشتركاً يؤكد الخطر الكبير في الاستمرار باستخدام البرنامج. وقالت لورا جالانتي، كبيرة مسؤولي الأمن السيبراني في مكتب مدير الاستخبارات الوطنية آنذاك: "لا ينبغي استخدامه... لا توجد طريقة ألطف لقول ذلك."
كيف دخلت الملكية الخاصة على خط الأزمة؟
أشار تحقيق لوكالة "بلومبرغ" إلى أن الهجمات التي استهدفت Ivanti تكشف جانباً أعمق، وهو دخول شركات الاستثمار المباشر (Private Equity) إلى قطاع الأمن السيبراني، ما أدى إلى تدهور جودة وسلامة بعض المنتجات الحيوية، خاصة الـVPN.
وتعيد هذه القضية إلى الأذهان ما حدث مع "Citrix"، التي تعرضت لاختراقات خطيرة بعد أن قلص ملاكها من شركات الاستثمار، "Elliott" و"Vista"، معظم فريق الأمن المنتج الذي كان يضم 70 موظفاً، عقب صفقة استحواذ عام 2022.
هذا النمط جعل عدداً من الوكالات الحكومية والشركات يعيدون تقييم أي برمجيات أمنية تخضع لملكية صناديق استثمار خاصة، وبدأ البعض يأخذ هيكل الملكية كعامل مخاطرة في تقييم التقنيات المستخدمة.
قال المدير المعلوماتي السابق في مركز "جودارد" التابع لناسا، روب لايهي، إن تلك الحوادث تعزز مخاوفه القديمة بشأن الشركات التي تؤول ملكيتها لصناديق الاستثمار، إذ تميل الأخيرة – وفق تجربته – إلى تفضيل زيادة الأرباح وسداد الديون على حساب الاستثمار المستمر في تطوير المنتجات.
وأضاف: "هذا يجب أن يكون جزءاً من تقييم المخاطر: من يملك الشركة؟ وهل يستثمر للمستقبل أم يسحب الأموال لتسديد الديون؟"
ديون متراكمة... واستثمارات مؤجلة
نشأت "Ivanti" عام 2017 عبر اندماج شركتين اشترتهما مجموعة "كلير ليك" عبر صفقات استحواذ ممولة بالديون. وفي 2020، استحوذت "إيفانتي" على "بلز سيكيور"، الشركة المصنعة للـVPN، بتمويل إضافي قائم على الاقتراض، مستفيدة من بيئة أسعار الفائدة الصفرية خلال الجائحة.
كان الرهان على "بلز" ناجحاً في البداية، إذ تضاعفت مبيعاتها خلال 2020 بفضل الطلب على العمل عن بعد. لكن الاستحواذات ترافقها عادة خطوة أخرى، تتمثل في تحميل الشركة مزيداً من الديون لتمويل صفقات إضافية بهدف توسيع الإيرادات بسرعة.
غير أن هذا النموذج انهار مع ارتفاع الفائدة في 2022. فتكاليف الديون على الشركات المملوكة ل"كلير ليك" قفزت بشكل كبير، ومعها بدأت موجة واسعة من خفض النفقات.
وبحسب وثائق داخلية وشهادات 15 موظفاً سابقاً، مارست ملكية الاستثمار المباشر ضغوطاً غير مسبوقة لخفض التكاليف، ما أدى إلى تسريح مهندسين من فريق "بلز" كانوا يمثلون خط الدفاع الأول عن برنامج "Connect Secure"، في وقت كانت الهجمات السيبرانية تتصاعد.
أصبحت "إيفانتي" مثقلة بديون تتجاوز 2.8 مليار دولار، ومع تقلص الميزانيات، تقلصت فرق التطوير والدعم، تاركة أكثر من 20 ألف مؤسسة عرضة لهجمات استغلت عشرات الثغرات غير المكتشفة.
ورغم ذلك، تنفي "إيفانتي" أن تكون إجراءات خفض التكاليف أضرت بجودة منتجات Connect Secure، مؤكدة أنها ضخت استثمارات كبيرة وطرحت إصداراً متطوراً في سبتمبر الماضي. كما أكدت أن طبيعة الVPN نفسها تجعلها دائماً هدفاً مفضلاً للهجمات بغض النظر عن الملكية؛ خاصة أو عامة.
فجوات تقنية... وتوقيت كارثي
تشير شهادات الموظفين إلى أن "إيفانتي" ورثت من "بلز" قاعدة برمجية قديمة تحتوي العديد من الثغرات غير المعالجة، كانت تحتاج إلى استثمارات كبيرة لتطويرها. لكن تلك الاحتياجات اصطدمت بواقع مالي متوتر بعد ارتفاع أسعار الفائدة وتراجع تقييمات الشركات.
وبين 2021 و2024، استغلت مجموعات قرصنة صينية ثلاث حملات كبرى لاختراق البرنامج عبر ثغرات متعددة، ما أدى في النهاية إلى فقدان الحكومة الأميركية الثقة في قدرة Ivanti على حماية برمجياتها.
قال نائب مدير السياسات في المكتب السيبراني بالبيت الأبيض سابقاً، نيكولاس ليسيرسون: "عندما ترى الاختراق الأول، تقول: خطأ. لكن حين يتكرر للمرة الثانية والثالثة والرابعة فالمشكلة تصبح بنيوية."
لماذا تجذب شركات الأمن السيبراني اهتمام رأس المال الخاص؟
يشهد القطاع طفرة. فوفق بيانات "غارتنر"، تجاوزت إيرادات الأمن السيبراني عالمياً 213 مليار دولار في 2025، مع نمو يفوق 10% سنوياً. وهو ما جذب عشرات الصناديق التي ضخت نحو 208 مليارات دولار في استحواذات بين 2020 و2025، أي 3 أضعاف السنوات السابقة.
لكن عدداً من الإخفاقات الأمنية الكبرى خلال الأعوام الأخيرة ارتبط بشركات مملوكة لجهات استثمارية، كما أظهر تقرير Mandiant لعام 2023 الذي كشف أن معظم المنتجات التي اخترقها القراصنة الصينيون كانت مملوكة لصناديق استثمار، بما فيها "Citrix" و"Ivanti".
