في العصر الرقمي اليوم، أصبح البريد الإلكتروني شريان الحياة للاتصالات للشركات من جميع الأحجام، لكنه يمثل أيضًا تحديًا أمنيًا كبيرًا، خاصة في الشركات الصغيرة. ومع استمرار تطور التهديدات الإلكتروني وزيادة تعقيدها، أصبحت حماية المعلومات الحساسة وضمان سرية مراسلات البريد الإلكتروني أكثر أهمية من أي وقت مضى.
في السنوات الأخيرة، شهدت الهجمات الإلكترونية عبر خوادم البريد الإلكتروني للشركات ارتفاعًا كبيرًا في جميع المجالات. ولا ينبغي أن يشكل هذا مفاجأة كبيرة بالنظر إلى التحول العالمي إلى العمل عن بُعد خلال السنوات القليلة الماضية. ومع ذلك، مع استمرار العمل عن بُعد، فإن ما يفاجئ معظم المتخصصين في مجال الأمن الإلكتروني هو أن العديد من المؤسسات (خاصة الشركات الصغيرة، الأكثر عرضة لهذا النوع من الهجمات) لم تطبق ممارسات الأمن الإلكتروني الأساسية للحفاظ على أمان أنظمتها ضد اختراق البريد الإلكتروني للأعمال، أو BEC، وغيرها من الأشكال التقليدية للهجمات الإلكترونية الموجهة عبر البريد الإلكتروني.
يمثل اختراق البريد الإلكتروني للأعمال نوعًا خطيرًا من الاحتيال والابتزاز الرقمي الذي يسعى إلى الاستفادة من الموجة اليومية لاتصالات البريد الإلكتروني بين الشركات. وينتحل مجرمو الإنترنت، عن طريق عملية معقدة من الهندسة الاجتماعية، شخصية موظف أو شريك عمل موثوق به ويقنعون الضحايا في الشركة نفسها بنقل معلومات حساسة أو أموال إلى حساب مخفي. وتختلف هذه الأنواع من الهجمات في خطورتها لكنها عادة ما تكون مكلفة للغاية للشركات المستهدفة. ولهذا السبب قررنا إنشاء هذا الدليل لأفضل ممارسات وإرشادات وبروتوكولات وسياسات أمان البريد الإلكتروني، المصمم خصيصًا للشركات الصغيرة (ومع ذلك، ستنطبق هذه الممارسات بالقدر ذاته على المؤسسات من أي حجم). وقد حان الوقت للتأكد من أمان رسائل البريد الإلكتروني الخاصة بشركتك الصغيرة وأن أي معلومات حساسة في مأمن من المشاهدين غير المرغوب فيهم.
أفضل الممارسات لأمان البريد الإلكتروني في الشركات الصغيرة
تتشابه أفضل ممارسات أمان البريد الإلكتروني للشركات الصغيرة مع تلك المستخدمة في المؤسسات الكبيرة؛ فهي توفر الحماية ضد الأنواع الثلاثة الرئيسية للهجمات الإلكترونية عبر البريد الإلكتروني: عمليات التصيد الاحتيالي وهجمات التصيد الاحتيالي الموجهة والفواتير الاحتيالية. ولنبدأ بتدابير أمان البريد الإلكتروني الأساسية:
1. حسابات البريد الإلكتروني للشركات مخصصة لأغراض العمل
على الرغم من أن هذا قد يبدو بسيطًا ومباشرًا إلى حد ما، إلا أنه من المفيد الإشارة إليه في حالة حدوث ذلك. ونظرًا لأن العمل جزء مهم من حياة الجميع، فقد يكون من المغري استخدام البريد الإلكتروني الخاص بالعمل للاشتراك أو تسجيل الدخول إلى خدمات معينة لا تستطيع حساباتك الشخصية الوصول إليها. ومع ذلك، فإن استخدام البريد الإلكتروني الخاص بشركتك في أنشطتك الشخصية عبر الإنترنت يمنح المحتال القدرة على التعرف عليك بسهولة أكبر، مما قد يؤدي إلى هجوم إلكتروني أكثر استهدافًا. وبالمثل، إذا كنت تستخدم الكمبيوتر الشخصي أو اتصال Wi-Fi المنزلي، وكلاهما ليس آمنًا عادةً مثل اتصال المؤسسة أو الأجهزة المخصصة المستخدمة في مكان عملك، فإنك تمنح المتسللين فرصة أفضل لسرقة بيانات الاعتماد الخاصة بعملك. ويقودنا هذا أيضًا إلى أفضل ممارساتنا التالية.
2. لا تستخدم البريد الإلكتروني الخاص بالعمل على شبكة Wi-Fi عامة
حتى إذا كنت تستخدم الجهاز الآمن الخاص بشركتك للوصول إلى حساب البريد الإلكتروني لعملك، فإن شبكة Wi-Fi العامة هي البوابة المثالية للمتسللين ومجرمي الإنترنت لاختراق جهازك وسرقة بياناتك الحساسة. وعندما لا يكون من الممكن تجنب استخدام اتصال عام، نوصي باستخدام اتصال VPN للاتصال بخوادم العمل المهمة وتحسين أمان نقطة النهاية بشكل عام. وتعمل الشبكة الافتراضية الخاصة (VPN) من خلال إنشاء نوع من قناة خاصة مشفرة بين الكمبيوتر البعيد للمستخدم والخوادم المخصصة للمؤسسة. ونتيجة لذلك، سيحمي هذا الاتصال أي بيانات ترسلها عبر شبكة غير آمنة عبر التشفير في الوقت الحقيقي. ولمعرفة المزيد عن الشبكات الافتراضية الخاصة وكيف تعمل، تفضل بإلقاء نظرة على مقالتنا بعنوان "ما هي شبكات VPN؟".
3. كلمات المرور وعبارات المرور القوية
عندما يتعلق الأمر باختراق حساب بريد إلكتروني خاص بشركة ما، فإن الخطوة الأولى هي مهاجمة الحساب عن طريق هجوم تخمين كلمة المرور ومحاولة تخمين كلمة مرورك أو عبارة مرورك. ولهذا السبب نوصي جميع الموظفين باستخدام كلمات المرور "القوية" أو عبارات المرور القوية. تعتبر كلمة المرور "قوية" عندما تكون طويلة بما فيه الكفاية (12-14 حرفًا) وتحتوي على مزيج من الأحرف الخاصة والأرقام والأحرف الكبيرة والصغيرة. وبالمثل، تتبع عبارات المرور "القوية" القواعد ذاتها تقريبًا، باستثناء أنها يجب أن يتراوح طولها بين 15 إلى 20 حرفًا وتستخدم أحرفًا من لغات أخرى (إن أمكن).
بالنسبة لكل منهما، يعد أهم شيء يجب تذكره هو أنه يجب أن تكون فريدة وتُستخدم فقط لتطبيق واحد. ويعني هذا أنك ستحتاج إلى عدد غير قليل من كلمات المرور أو عبارات المرور هذه، اعتمادًا على عدد الأنظمة التي تستخدمها في مكان عملك. وبالتالي، نوصي باستخدام مدير كلمات المرور أو مخزن كلمات المرور، الذي يوفر أيضًا مولد كلمات مرور لإنشاء كلمات مرور قوية، لتخزين جميع كلمات المرور والعبارات الفريدة. وعلى الرغم من إمكانية اختراق مخازن كلمات المرور وبرامج إدارتها، إلا أن كلمات مرورك ستظل آمنة لأنها مشفرة؛ ويكاد يكون من المستحيل فك رموز التشفير المتوافق مع معايير الصناعة، مثل تشفير AES (معيار التشفير المتقدم) بمعدل 256 بت. ولذلك، حتى لو تمكن أحد المخترقين من "الدخول" إلى المخزن نفسه، فهذا لا يعني أنه يستطيع فعل أي شيء مع بياناتك المشفرة.
4. التدريب على حيل التصيد الاحتيالي والتدريب على الوعي بالمرفقات
بمثل الاستثمار في التدريب البسيط على الأمن لإلكتروني لجميع موظفيك واحدة من أسهل الطرق لحماية شركتك. وإذا لم يكن هذا خيارًا لدى شركتك، فنحن نوصي بتعليم القوى العاملة لديك عن مخاطر عمليات التصيد الاحتيالي وهجمات مرفقات البريد الإلكتروني، المعروفة أيضًا باسم المرفقات الضارة أو تهريب HTML. وستكون النقاط الرئيسية التي يجب تغطيتها على النحو التالي:
- الوعي بعمليات التصيد الاحتيالي الشائعة، مثل مواقع الويب الاحتيالية ونوافذ تسجيل الدخول التي تجمع بيانات اعتماد تسجيل دخول المستخدم وتقليد النوافذ المنبثقة الشائعة، مثل نافذة تسجيل الدخول إلى Microsoft Outlook.
- معرفة ناقلات مرفقات البريد الإلكتروني الأكثر شيوعًا التي يمكن إخفاء البرامج الضارة فيها، مثل تنسيقات .DOCX و.HTML و.EXE. ويتضمن ذلك أيضًا شكلاً حديثًا وشائعًا من الهجمات الإلكترونية عبر البريد الإلكتروني المعروف باسم تهريب HTML.
- حذر موظفيك لعدم النقر مطلقًا على أي رابط يبدو مريبًا أو مرسلاً من مرسل غير معروف. وتعتبر الروابط الضارة أسهل طريقة للمحتالين لتنفيذ هجوم إلكتروني بنجاح على موظفيك وشركتك، عادةً عبر نوع من مواقع الويب الاحتيالية للتصيد الاحتيالي.
5. تمكين المصادقة متعددة العوامل
تعد المصادقة متعددة العوامل واحدة من ممارسات الأمان التي أصبحت أكثر شيوعًا، بسبب فعاليتها. ويُشار إليها أحيانًا باسم MFA، أو المصادقة ثنائية العوامل، أو 2FA، حيث توفر المصادقة متعددة العوامل لحسابات البريد الإلكتروني لشركتك مستويات متعددة من عمليات التحقق من الأمان قبل منح الموظف حق الوصول إلى رسائله. وتتضمن الأمثلة كلمة مرور إضافية، أو رمزًا من رسالة نصية قصيرة آمنة، أو إجابة على سؤال أمان محدد مسبقًا.
6. لا تنس تسجيل الخروج
مرة أخرى، قد يبدو هذا هو الشيء الأكثر وضوحًا الذي يجب عليك فعله عند استخدام البريد الإلكتروني الخاص بالعمل، لكن من المهم أن تتذكر أن قدرًا كبيرًا من هجمات الأمن الإلكتروني تبدأ بموظفين ساخطين يتطلعون إلى الإضرار بأعمال صاحب العمل السابق. ويعد استغلال حساب شخص والتنكر كموظف آخر واحدة من أسهل الطرق لارتكاب الجرائم الإلكترونية والتهرب من اكتشافها. لذا، لمنع نفسك أو موظفيك من أن يصبحوا مشتبهًا بهم دون قصد، تأكد أن كل فرد في شركتك يتذكر أن يسجل الخروج بعد كل جلسة وأنه لا يشارك بيانات تسجيل الدخول الخاصة به مع بعضهم البعض أبدًا.
7. أنظمة فحص البريد الإلكتروني وحمايته
مع التعقيد المتزايد لتهديدات الهندسة الاجتماعية والهجمات الإلكترونية المتعلقة بالبريد الإلكتروني، فإن النظام المخصص لفحص البريد الإلكتروني وحمايته يعد أفضل دفاع ضد مرفقات البريد الإلكتروني الضارة المتقدمة وهجمات البرامج النصية المضمنة. ونوصي باستخدام حل تلقائي لمكافحة الفيروسات يتضمن التعلم الآلي وتحليل التعليمات البرمجية الثابتة، والذي يتولى تقييم المحتوى الفعلي للبريد الإلكتروني وليس فقط نوع الملف المرفق. وللحصول على حل متقدم للأمن الإلكتروني عبر الإنترنت، نوصي باستخدام Kaspersky Security for Microsoft Office 365. ويصلح هذا النظام الحائز على الجوائز لكل من الشركات والمستخدمين الشخصيين، وتتضمن باقتنا المتميزة المساعدة عن بعد والدعم على مدار الساعة طوال أيام الأسبوع.
بروتوكولات ومعايير أمان البريد الإلكتروني
يعد تنفيذ بروتوكولات أمان البريد الإلكتروني المناسبة واحدة من أهم الطرق التي يمكنك من خلالها حماية نظام البريد الإلكتروني لشركتك. وتُعتبر عادةً خط الدفاع الأول ضد الهجمات الإلكترونية المتعلقة بالبريد الإلكتروني، وتم تصميم بروتوكولات البريد الإلكتروني للحفاظ على أمان اتصالاتك أثناء مرورها عبر خدمات بريد الويب. وللتوضيح، تتولى خوادم البريد تسليم رسائل البريد الإلكتروني بين عملاء البريد لدى المستلمين باستخدام بروتوكولات البريد الإلكتروني. وتخبر البروتوكولات الخادم بكيفية معالجة الرسائل وتسليمها. وتتحقق بروتوكولات الأمان من هذه العملية وتصادق عليها.
يوجد عدد من البروتوكولات المختلفة التي يمكن استخدامها لتأمين البريد الإلكتروني لشركتك:
- SPF - يسمح لمالكي نطاق البريد الإلكتروني بتحديد هوية الأشخاص المصرح لهم باستخدام أسماء النطاقات عند إرسال البريد الإلكتروني والتحقق منهم.
- DMARC - يسمح بإبلاغ مالكي النطاق والرد عليهم عند فشل مصادقة الرسالة.
- SMTPS وSTARTTLS – يشفرا عمليات تبادل البريد الإلكتروني بين العملاء والخوادم.
- DKIM - يتيح ربط المستخدم بتوقيع رقمي للمصادقة.
- S/MIME – يحدد كيفية تشفير وتوثيق البيانات المنسقة في معيار امتداد البريد الإلكتروني متعددة الأغراض (MIME).
- OpenPGP – يعتمد على إطار عمل Pretty Good Privacy وهو معيار تشفير وتوثيق لرسائل البريد الإلكتروني.
- الشهادات الرقمية – وسيلة للتحقق من تفاصيل المرسل عبر ملكية المفتاح العام.
- SSL/TLS - لا يُستخدم بشكل مباشر في أمان البريد الإلكتروني، لكنهم يشفر حركة مرور الشبكة بين الخوادم (بما في ذلك رسائل بريد الويب) لأنه يستخدم لبروتوكول HTTPS.
ويستخدم العديد من موفري خدمات البريد الإلكتروني المشهورين بروتوكولات SPF وDKIM وDMARC (الذي يتم تكوينه عبر سجلات DNS) لحماية خصوصية مستخدميهم. ونوصي بتنفيذ هذه العناصر الثلاثة على الأقل لنظام البريد الإلكتروني لشركتك.
سياسات أمان البريد الإلكتروني وإرشاداته والامتثال لها
تحدد سياسات أمان البريد الإلكتروني وإرشاداته والامتثال لها القواعد واللوائح المتعلقة باستخدام حسابات البريد الإلكتروني الخاصة بالعمل في مكان العمل. ويجب أن تكون كل نقطة من النقاط المذكورة أعلاه جزءًا رئيسيًا من سياسات أمان البريد الإلكتروني لمؤسستك. بالإضافة إلى ذلك، يجب أن تتضمن هذه الإرشادات أيضًا قواعد بشأن ما يلي:
- وصول المستخدم واستخدام الجهاز.
- معالجة البيانات وتخزينها.
- القواعد المتعلقة بإعادة توجيه البريد الإلكتروني وحذفه والاحتفاظ به.
- اتساع نطاق السياسات، بما في ذلك استخدام الشبكة والنظام.
- السلوك الأخلاقي والسلوك المناسب.
- تشفير كلمة المرور وأدوات الأمان الأخرى المستخدمة في عملاء البريد الإلكتروني.
- مواد تدريبية عن الأمن الإلكتروني تتعلق ببرامج البريد الإلكتروني الضارة وكيفية اكتشاف الاحتيال في المرفقات أو الروابط أو الرسائل.
- مراقبة البريد الإلكتروني وممارسات تسجيل الموظفين التي تتخذها شركتك.
- أين وكيف يتم الإبلاغ عن البرامج الضارة أو التهديد أو المحتوى غير القانوني الذي يتم تلقيه عبر البريد الإلكتروني.
باختصار، يجب أن يكون لدى كل مؤسسة، بدءًا من الشركات الصغيرة وحتى الشركات الكبيرة، نموذج امتثال أمان (SCN) يضع بوضوح الموضوع المذكور أعلاه ويحدده. وستكون هذه الإرشادات بمثابة إطار قانوني (قابل للتنفيذ بواسطة الحكومة الوطنية) يمكنه ضمان خصوصية وأمان جميع المحتويات الواردة في رسائل البريد الإلكتروني الخاصة بالشركة. وهذا مهم بشكل خاص بالنظر إلى أن العملاء والشركاء أصبحوا أكثر حذرًا تجاه الشركات التي ترتكب انتهاكات الاتصالات الرقمية.
في المشهد الرقمي اليوم، أصبح البريد الإلكتروني عنصرًا لا غنى عنه للشركات، الصغيرة والكبيرة على حد سواء، ومع ذلك فهو أيضًا هدف رئيسي للجرائم الإلكترونية. ونظرًا لأن العمل عن بُعد أصبح أكثر شيوعًا، فإن مخاطر الهجمات الإلكترونية المتعلقة بالبريد الإلكتروني آخذة في الارتفاع. وفر الحماية لشركتك الصغيرة بسهولة باستخدام تطبيق Kaspersky’s Small Business Security الذي تم تصميمه خصيصًا لتلبية احتياجات شركاتك الصغيرة.
مقالات ذات صلة:
- ما هي برامج إدارة كلمات المرور وهل هي آمنة؟
- كيفية تشفير البريد الإلكتروني في Outlook وGmail وiOS وYahoo
- كيفية إيقاف رسائل البريد الإلكتروني العشوائية: نصائح وتوصيات؟
المنتجات المقترحة: