وبحسب المقال، لم يحتج المهاجمون إلى أدوات معقدة أو أساليب استخباراتية متقدمة، بل إلى بيانات اعتماد واحدة و”باب غير مقفل”، ما أدى إلى أزمة لم تقتصر على الجانب التقني، بل امتدت إلى استمرارية الأعمال والسمعة وسلاسل الإمداد والسلامة العامة. ويشير النص إلى أن ما حدث بعد الجائحة شكّل نقطة تحول في وعي الرأي العام بحجم التهديدات السيبرانية التي تطال القطاع الخاص.
ويستعيد كاتب المقال، الذي كان يشغل آنذاك منصب المدير التنفيذي الإقليمي الأول في CISA Region 4، كيف أن الشركة لم تكن تملك في ذلك الوقت مديراً لأمن المعلومات (CISO)، لكن مديرة تقنية المعلومات اتخذت قرارين حاسمين في الساعات الأولى: أولهما إعطاء الأولوية لسلامة البشر عبر إغلاق خط الأنابيب تفادياً لأي انفجار أو تسرب أو خسائر بشرية، وثانيهما التواصل مع الجهة الحكومية التي تربطها بها علاقة ثقة، وهي وزارة الطاقة، بدلاً من الاكتفاء بالقناة الرسمية المفترضة.
ويشدد المقال على أن الثقة في زمن الأزمات أسرع من البروتوكول، لأن اللجوء إلى علاقات معروفة يختصر الوقت ويقلل هامش الخطأ. وبفضل هذا التنسيق، أمكن أيضاً تسهيل التعاون مع مكتب التحقيقات الفيدرالي FBI، ما ساعد لاحقاً في تتبع واستعادة 2.3 مليون دولار من أموال الفدية قبل أن تختفي نهائياً.
ورغم سرعة الاستجابة، يلفت المقال إلى أن تداعيات الهجوم خرجت سريعاً من إطار الشركة نفسها، إذ شهدت محطات الوقود على الساحل الشرقي الأميركي نقصاً حاداً واصطفافاً للطوابير، ليصبح الهجوم بالنسبة إلى المواطنين أزمة معيشية مباشرة لا مجرد خبر عن اختراق إلكتروني. كما أشار إلى أن مجموعة DarkSide التي نفذت العملية لم تكن مجرد عصابة تقليدية، بل كياناً يعمل بنموذج “الامتياز” ويملك حتى جهازاً دعائياً لإدارة صورته، وهو ما كان صادماً يومها، لكنه بات أقرب إلى القاعدة اليوم.
ويخلص المقال إلى 3 دروس رئيسية ما زالت صالحة بعد 5 سنوات: أن يكون CISO على اتصال مباشر بالرئيس التنفيذي، وأن تضم مجالس الإدارة عضواً واحداً على الأقل بخبرة تشغيلية في الأمن السيبراني، وأن تتوقف المجالس عن الاكتفاء بالسؤال التقليدي “هل نحن آمنون؟” لتنتقل إلى أسئلة أدق حول من قد يهاجم الشبكة ولماذا وما هي المخاطر الأكثر أولوية وسبل معالجتها. كما يشدد على أن التركيز يجب أن يكون على المرونة والقدرة على التعافي بعد الحادث، عبر الاستثمار في الأشخاص والعمليات والأدوات.