يخفي الموظفون حالات اختراق تكنولوجيا المعلومات في 53% من الشركات العاملة في في دولة الإمارات العربية المتحدة – وذلك وفقاً لتقرير جديد صادر عن كاسبرسكي لاب و"B2B International" بعنوان: "أثر العامل البشري في أمن تكنولوجيا المعلومات: كيف يجعل الموظفون الشركات عرضة للاختراق الأمني من الداخل." وباعتبار أن الموظفين يتسببون في حدوث 46% من حالات الاختراق الأمني سنوياً وعلى نطاق عالمي، فقد أصبح الأمر يستدعي ضرورة تصحيح هذه الثغرات الأمنية الناشئة في الشركات من خلال التعاون فيما بين مختلف الإدارات الأخرى، وليس فقط عن طريق إدارة أمن تكنولوجيا المعلومات.
يخفي الموظفون حالات اختراق تكنولوجيا المعلومات في 53% من الشركات العاملة في في دولة الإمارات العربية المتحدة – وذلك وفقاً لتقرير جديد صادر عن كاسبرسكي لاب و"B2B International" بعنوان: "أثر العامل البشري في أمن تكنولوجيا المعلومات: كيف يجعل الموظفون الشركات عرضة للاختراق الأمني من الداخل." وباعتبار أن الموظفين يتسببون في حدوث 46% من حالات الاختراق الأمني سنوياً وعلى نطاق عالمي، فقد أصبح الأمر يستدعي ضرورة تصحيح هذه الثغرات الأمنية الناشئة في الشركات من خلال التعاون فيما بين مختلف الإدارات الأخرى، وليس فقط عن طريق إدارة أمن تكنولوجيا المعلومات.
يعد الموظفون غير المطّلعون أو اللامبالون من أكثر الأسباب التي يُحتمل أنها تقف وراء حوادث الأمن الإلكتروني – وهم يأتون في المرتبة الثانية بعد هجمات البرمجيات الخبيثة. ومع أن البرمجيات الخبيثة قد أصبحت أكثر تطورا وتعقيداً، إلا أن الحقيقة المحزنة تتمثل في أن العامل البشري المتجدد قد يشكل مخاطر أكبر من ذلك بكثير.
تعد ظاهرة اللامبالاة عند الموظفين، بصفة خاصة، إحدى أكبر الثغرات الناشئة في درع الأمن الإلكتروني للشركات عندما يتعلق الأمر بالهجمات الموجهة. وفي حين نرى بأن القراصنة الأكثر تطوراً قد يستخدمون دائما البرمجيات الخبيثة المصممة حسب الطلب والتكنولوجيا فائقة التطور للتخطيط لعمليات القرصنة والسطو، فإنهم كثيراً ما يستهلّون هجماتهم باستغلال الحلقة الأضعف والأسهل للدخول إلى شبكة الضحية وهي الكوادر البشرية أو الموظفين.
وفقاً للدراسة، احتوت 26% من الهجمات الموجهة التي استهدفت شركات في دولة الإمارات العربية المتحدة في العام الماضي على خصائص هجمات التصيد الإلكتروني/الهندسة الاجتماعية في مصدرها. على سبيل المثال، قد يقوم أحد المحاسبين اللامبالين بفتح ملف خبيث تم دسّه على شكل فاتورة واردة من أحد مقاولي الشركة العديدين. وهذا الخطأ الفادح لوحده قد يتسبب في تعطيل البنية التحتية بأكملها في المؤسسة، مما يجعل هذا المحاسب الشريك غير المقصود للمهاجمين.
يقول ديفيد جاكوبي، الباحث الأمني في كاسبرسكي لاب، "كثيرا ما يتخذ مجرمو الإنترنت من موظفي الشركة بوابة ينفذون منها إلى داخل البنية الأساسية للشركة. وقد شهدنا جميعاً مختلف أنواع الهجمات، كالتصيد عبر رسائل البريد الإلكتروني واختراق كلمات المرور الضعيفة والمكالمات الوهمية الواردة بفعل الدعم التقني وغيرها. وقد تتسبب أيضاً واحدة من بطاقات فلاش العادية ملقاة في أحد مواقف السيارات أو بالقرب من مكتب السكرتيرة في اختراق كامل الشبكة في الشركة، وقد تحدث تلك الكارثة عن طريق شخص ما في الداخل لا يدري ما يدور حوله، ولا يولي أي اهتمام بجوانب الأمن، ونراه سرعان ما يقوم بربط هذا الجهاز بالشبكة، وبالتالي التسبب في حدوث هذا الاختراق الذي يؤدي إلى أضرار فادحة."
إن الهجمات المتطورة والموجهة ضد الشركات لا تحدث يومياً – ولكن البرمجيات الخبيثة التقليدية تضرب بشكل جماعي وواسع النطاق. ولكن الدراسة، مع الأسف، تظهر بأنه حتى عندما يتعلق الأمر بالبرمجيات الخبيثة، فإن الموظفين اللامبالين وغير الواعين والمهملين، كثيراً ما يكون لهم دور في ذلك، وهو ما تسبب في نشر العدوى الخبيثة في 55% من حالات الاختراق في دولة الإمارات العربية المتحدة.
لماذا ينبغي تدخل الموارد البشرية والإدارة العليا في الحالات الأمنية
إن إقدام الموظفين على إخفاء حالات الاختراق المتورطين فيها، قد يؤدي إلى حدوث عواقب وخيمة وتفاقم الأضرار الكلية الناتجة عن ذلك. ومجرد إغفال الإبلاغ عن حادثة أمنية واحدة من الممكن أن يدل على حالة اختراق أكبر من ذلك بكثير، وتحتاج الفرق الأمنية إلى امتلاك القدرة على سرعة تحديد التهديدات التي قد تواجهها لاختيار الإجراءات التصحيحية الملائمة.
غير أن هناك بعض الموظفين الذين يفضلون تعريض الشركة للمخاطر بدلاً من الإبلاغ عن أي مشكلة تعترضهم، إما لأنهم يخشون العقاب أو يشعرون بالحرج لكونهم المسؤولين عن ارتكاب الخطأ. وقد طبقت بعض الشركات قواعد صارمة وفرضت المزيد من المسؤولية الإضافية على الموظفين، بدلا من تشجيعهم على أن يكونوا أكثر حذراً وتيقظاً. وهذا يوصل إلى حقيقة مفادها أن حماية أمن الإنترنت لا ينحصر فقط في التكنولوجيا وحدها ولكن أيضاً في نهج عمل الشركة وما تقدمه لموظفيها من برامج تدريبية. وهنا يأتي دور الموارد البشرية والإدارة العليا.
وعلق سلافا بوريلن، مدير برنامج التوعية الأمنية في كاسبرسكي لاب، بالقول، "إن التوعية بشأن مشكلة إخفاء حالات الاختراق لا ينبغي أن تقتصر على الموظفين فقط، بل يجب أن تشمل أيضاً مسؤولي الإدارة العليا وإدارات الموارد البشرية. وفي حال إقدام الموظفين على إخفاء أي من تلك الحالات، فلا بد أن يكون هناك سبب يدفعهم لذلك. في بعض الحالات، تطبق الشركات سياسات صارمة ولكنها غامضة بعض الشيء وتلقي ضغوطاً هائلة على الموظفين وتوجه إليهم تحذيرات لعدم تكرار ذلك مجدداً وإلا، فإنهم سيتحملون المسؤولية تجاه أي أخطاء يتم ارتكابها. ومن شأن هذه السياسات تكريس المخاوف في نفوس الموظفين بحيث لا تترك أمامهم سوى خيار واحد فقط لتجنب العقاب مهما كلف الأمر. وفي حال كانت ثقافة الأمن الإلكتروني في الشركات إيجابية وتستند على أساس تربوي وتعليمي، بدلاً من تلك القائمة على القيود المفروضة من أعلى إلى أسفل الهرم الإداري، فإن النتائج ستكون إيجابية بالتأكيد."
ويعيد بوريلن أيضاً إلى الأذهان نموذج الأمن الصناعي القائم على إعداد التقارير ونهج "التعلم عن طريق الخطأ". على سبيل المثال، وفي تعليق حديث، طلب إيلون ماسك، الرئيس التنفيذي لشركة "تيسلا"، بأن يتم إبلاغه مباشرة بكل حالة تؤثر على سلامة أي موظف، وذلك حتى يتسنى له لعب دور جوهري في حركة التغيير.
العامل البشري: بيئة الشركة وأجواء العمل
تدرك الشركات حول العالم بالفعل بأن موظفيهم يتسببون في جعل شركاتهم عرضة للاختراق الأمني: أقرت 57% من الشركات المستطلعة في دولة الإمارات العربية المتحدة بأن الموظفين يشكلون أكبر نقطة ضعف في أمن تكنولوجيا المعلومات لديها. ومن هنا، فإن الحاجة إلى تطبيق إجراءات قائمة على الموظفين قد أصبحت أكثر وضوحاً: تسعى 39% من الشركات في دولة الإمارات العربية المتحدة إلى تحسين الأمن من خلال تقديم التدريب للموظفين، مما يجعلها الطريقة الثانية الاكثر انتشاراً في مجال الدفاع الإلكتروني. وهي تأتي في المرتبة الثانية فقط، من حيث تطبيق البرامج الأكثر تطوراً، وذلك وفقاً لآراء 39% من الشركات الإماراتية.
وبالتالي، فإن الطريقة الأفضل لحماية الشركات من التهديدات الإلكترونية ذات الصلة بالعامل البشري تكون في الجمع بين الأدوات الصحيحة والممارسات الملائمة. وهذا يتطلب إشراك جهود الموارد البشرية والإدارة العليا لتحفيز وتشجيع الموظفين على التيقظ وطلب المساعدة في حالة حدوث اختراق. وهكذا فإن التدريب الهادف إلى زيادة الوعي الأمني في أوساط الموظفين وتوفير الإرشادات التوجيهية الواضحة بدلا من توزيع كتيبات متعددة الصفحات، فضلاً عن تنمية وصقل المهارات المهنية الراسخة لدى الموظفين وتكريس أجواء العمل المحفزة والتفاعلية، هي الخطوات الأولى التي ينبغي على الشركات اتخاذها.
وفيما يتعلق بتكنولوجيات الأمن، فإن معظم التهديدات المصممة لاستهداف الموظفين غير المدركين للمخاطر الأمنية أو اللامبالين، بما فيها هجمات التصيد الإلكتروني، من الممكن معالجتها والوقاية منها عن طريق حلول أمن نقاط النهاية التي تمتلك القدرة على تلبية هذه الاحتياجات، خصوصاً بالنسبة للشركات الصغيرة والمتوسطة سواء من حيث خصائصها المثبتة أو إمكانية تعريفها مسبقاً لتحديد نوع الحماية أو إعدادات الحماية الأمنية المتقدمة المتوفرة فيها، وذلك للحد من المخاطر.
لقراءة التقرير كاملاً وعنوانه: "أثر العامل البشري في أمن تكنولوجيا المعلومات: كيف يجعل الموظفون الشركات عرضة للاختراق الأمني من الداخل."، يرجى زيارة مدونتنا الإلكترونية.
