مخاطر الأمن الإلكتروني على الشركات

في السنوات الأخيرة، أدى التحول إلى العمل عن بُعد بسبب فيروس كورونا بالإضافة إلى التحول الرقمي للعديد من المنظمات إلى توفير فرص جديدة لمجرمي الإنترنت، ولهذا السبب من الضروري لجميع الشركات -سواء كانت كبيرة أو صغيرة- فهم أهم تهديدات الأمن الإلكتروني ومشكلات أمان المواقع الإلكترونية حتى يتمكنوا من اتخاذ خطواتٍ قوية لحماية أنفسهم. واصل القراءة لمعرفة المزيد.

أول خطر للأمن الإلكتروني للشركات: برامج الفدية

تفيد التقارير بأن 80٪ من الشركات حول العالم تعرضت لشكل من أشكال هجمات برامج الفدية في عام 2021. برامج الفدية هي تطبيقات تمنع المستخدمين من الوصول إلى أجهزة الكمبيوتر الخاصة بهم أو تقيد وصولهم إلى البيانات عن طريق تشفير المعلومات، ويجب على المستخدم إدخال رمز مفتاح خاص لاستعادة الوصول، ولن يتمكن من معرفة المفتاح إلا من المخترق في حالة دفع الفدية، بل حتى إن برامج الفدية الأكثر ضررًا تتسبب في محو جميع بيانات المستخدم حتى لو دفع الفدية.

يعتقد العديد من أصحاب الأعمال الصغيرة أو المتوسطة أنهم أسماك صغيرة في محيطٍ من حيتان الشركات التي هي أكثر جاذبية للمجرمين. وعندما يقرؤون عن الهجمات السيبرانية البارزة على المؤسسات الكبيرة يشعرون بالأمان عند مقارنة أنفسهم بهم، لكن الشركات الكبيرة تعلمت بالطريقة الصعبة لتحصين حمايتها ضد المتطفلين الإلكترونيين وتقوية دفاعاتها ضد الهجمات المستقبلية.

ونتيجةً لهذا الاحتياط من الشركات الكبيرة، قد يجد مجرمو الإنترنت أنه من الأسهل استهداف الشركات الصغيرة والمتوسطة، والتي غالبًا ما تتمتع بأقل قدر من الحماية وتفتقر إلى المعرفة اللازمة لمنع سرقة البيانات من أجهزة الكمبيوتر في شركاتهم. يجد المجرمون أمامهم كلمات المرور جاهزة للاستيلاء عليها وكذلك معلومات مثل تفاصيل الحسابات المصرفية وعناوين السكن وحتى أرقام التأمين الاجتماعي. ومسلحين بهذه المعلومات، يمكن للمجرمين الإلكترونيين استنزاف الأموال وسرقة الهويات وشن هجمات إلكترونية ضد الشركات وحتى الحكومات.

كيف يمكن للشركات حماية نفسها من برامج الفدية

إجراءات طبقات الأمان: لتقليل مخاطر برامج الفدية، اتبع نهجًا متعدد الطبقات للأمن الإلكتروني، وهذا يعني استخدام مجموعة متنوعة من أدوات الأمان مع بعضها بعضًا. على سبيل المثال: استخدم برنامج مكافحة فيروسات عالي الجودة على كل جهاز وأبقه محدثًا، وقم بتثبيت جدار حماية واستخدم عوامل تصفية البريد العشوائي ومنع فقدان البيانات السحابية. استخدام مجموعة من الأدوات يعني أنه في حالة فشل أحدها هناك أدوات أخرى تعمل بمثابة نسخة احتياطية.

انسخ بياناتك احتياطيًا: تأكد من أن عملك له نسخة احتياطية كاملة بعيدة عن نظامك ومحدثة ومنفصلة عن الشبكة الرئيسية. سيسمح هذا لك بالوصول إلى بياناتك حتى إذا تم فرض فدية على عملك. اختبر نسختك الاحتياطية بانتظام للتأكد من أنها ستعمل عندما تحتاج إليها.

راجع سياسة إحضار الأجهزة الشخصية: مع التحول إلى العمل عن بُعد، يستخدم الموظفون أحيانًا أجهزة الكمبيوتر المحمولة أو هواتفهم المحمولة للعمل والوصول إلى شبكة الشركة، وينطوي ذلك على مخاطر نظرًا لأن هذه الأجهزة قد لا تحتوي على برامج مكافحة فيروسات مناسبة أو برامج الأمان الأخرى مثبتة. في حال عمل الموظفين أثناء تنقلهم، يمكنهم الوصول إلى شبكات واي فاي العامة غير الآمنة. ولمواجهة ذلك، يمكنك تقييد الوصول إلى الشبكة للأجهزة الصادرة عن الشركة ومطالبة الموظفين بالوصول إلى الشبكة من خلال تطبيق VPN (شبكة خاصة افتراضية).

ثاني خطر للأمن الإلكتروني للشركات: التصيد الاحتيالي

يمثل التصيد الاحتيالي تهديدًا إلكترونيًا مهمًا آخر يواجه الشركات، ويشير هذا المصطلح إلى محاولات الحصول على معلومات حساسة مثل أسماء المستخدمين وكلمات المرور وتفاصيل بطاقات الائتمان عبر رسائل البريد الإلكتروني المزيفة المصممة لتبدو وكأنها رسائل حقيقية، أو أحيانًا عبر المواقع الإلكترونية المزيفة. الطريقة المعتادة أنه يتم تنفيذ عمليات التصيد الاحتيالي عبر البريد الإلكتروني، لكن في السنوات الأخيرة تم تنفيذ المزيد من عمليات التصيد الاحتيالي عن طريق الرسائل النصية والمكالمات الهاتفية.

يُستخدم مصطلح التصيد الاحتيالي بالحربة للإشارة إلى محاولات التصيد الاحتيالي التي تستهدف فردًا بعينه أو شركة معينة. يستخدم المجرمون الإلكترونيون تقنيات الهندسة الاجتماعية لتخصيص الرسائل لأهدافهم كي تبدو وكأنها رسائل بريد إلكتروني شرعية من جهات اتصال معروفة، ويستخدمون في هذا مصادر مختلفة للمعلومات عبر الإنترنت، مثل وسائل التواصل الاجتماعي أو مواقع الشركات لإنشاء ملف باهتمامات أهدافهم، بل قد يقوموا حتى بالاتصال بشركة على أنهم عملاء للحصول على تفاصيل حساب مصرفي أو غير ذلك.

رسائل البريد الإلكتروني المنتحلة للشخصية غالبًا ما يتم إرسالها مباشرةً إلى مدير حسابات الشركة مع طلب صرف الأموال إلى الحساب المصرفي للعميل، ويذكر البريد الإلكتروني معلومات الحساب المصرفي وتفاصيل تحويل الأموال. هنا يرسل المديرون غير المرتابين مبالغًا تتراوح بين بضعة آلاف إلى بضعة ملايين من إلى الحسابات المصرفية لمجرمي الإنترنت!

كيف يمكن للشركات حماية نفسها من التصيد الاحتيالي

ضع بصمتك الرقمية في اعتبارك: فكر في المعلومات التي يتيحها عملك للجمهور عبر الإنترنت -وهذه معرفة بمصطلح البصمة الرقمية- وكيف قد يعرِّض هذا الموظفين لهذا النوع من الجرائم. على سبيل المثال: إدراج جميع الموظفين الكبار في شركتك في قائمة مع وضع روابط إلى ملفاتهم الشخصية على LinkedIn وعناوين بريدهم الإلكتروني وأرقام هواتفهم يزيد من خطر أن يصبحوا هدفًا للتصيد الاحتيالي (يمكنك قراءة المزيد حول مخاوف الخصوصية على LinkedIn هنا).

استخدم عوامل تصفية البريد الإلكتروني: لا يضمن عامل تصفية البريد الإلكتروني في حد ذاته عدم تلقي رسائل التصيد الاحتيالي الإلكترونية، ولكنه يزيد من حمايتك. يقدم موفرو خدمات البريد الإلكتروني مجموعة من عوامل تصفية البريد العشوائي والبريد غير المهم، لذلك فإن الأمر يستحق أن تبحث بنفسك في السوق قبل اختيار الخيار المناسب لك.

استخدم تطبيق مكافحة فيروسات: وجود برنامج مكافحة فيروسات شامل وحديث مثبت على كل جهاز سيساعد في حماية عملك من هجمات التصيد الاحتيالي بالإضافة إلى مجموعة من التهديدات الإلكترونية الأخرى. وجود تطبيق مكافحة فيروسات به بقدرات مكافحة التصيد الاحتيالي سيفحص مرفقات رسائل البريد الإلكتروني للتحقق مما إذا كانت محفوفة بالمخاطر أم لا.

كن حذرًا: ابحث عن العلامات الدالة على التصيد الاحتيالي. على سبيل المثال: رسالة بريد إلكتروني من البنك الذي تتعامل معه تطلب منك تحديث التفاصيل الشخصية من غير المحتمل أن تحتوي على أخطاء إملائية ونحوية! إذا حاولت رسالة بريد إلكتروني الإلحاح عليك وإشعارك بالاستعجال (بإخبارك مثلاً أن حسابك قد تم اختراقه ويحتاج إلى تحديث على الفور) فقد تكون هذه علامة خطر. إذا كانت الرسالة تحتوي على رابط إلكتروني، حرك مؤشر الماوس فوقه للتحقق من أنه يقودك إلى الصفحة الصحيحة. من المهم كذلك التأكد من أن الرابط يحتوي على شهادة SSL ويبدأ باالترميز HTTPS. بشكلٍ عام، إذا تلقيت رسالة بريد إلكتروني من مرسل غير معروف، لا تفتح أي مرفقات واردة فيها قبل التأكد.

ثالث خطر للأمن الإلكتروني للشركات: كلمات المرور الضعيفة

من مخاطر أمن تكنولوجيا المعلومات للشركات الكبيرة الأخرى هي استخدام الموظفين لكلمات مرور ضعيفة ويمكن تخمينها بكل سهولة. استخدام كلمات مرور ضعيفة أو سهلة التخمين أو استخدام كلمة مرور واحدة لحسابات متعددة قد يؤدي إلى اختراق البيانات الحساسة أو المعلومات المالية. يمكن أن تكون الشركات الصغيرة معرضة بشكلٍ أكبر لخطر استخدام الموظفين لكلمات مرور ضعيفة بسبب قلة الوعي لديهم بمخاطر الأمان عبر الإنترنت. في المتوسط، 19٪ من العاملين في المؤسسات يستخدمون كلمات مرور يسهل تخمينها أو يستخدمون نفسك كلمة المرور لحسابات مختلفة.

يصنع المخترقون برامجًا تطبق قواميس مليئة بملايين كلمات المرور المشهورة في إطار جهودهم للوصول إلى أنظمة الأفراد والشركات، وهذه الهجمات معروفة باسم هجمات القوة العمياء ونسبة نجاحها عالية في اقتحام أجهزة الكمبيوتر. وبمجرد أن يجد المخترق مفتاح أحد التطبيقات، فإن احتمال الوصول إلى حسابات أخرى بنفس كلمة المرور يكون مرتفعًا.

كيف يمكن للشركات حماية نفسها من كلمات المرور الضعيفة

تقديم سياسة كلمات مرور قوية ويتم تطبيقها تقنيًا: تتكون كلمة المرورالقوية من 15 حرفًا على الأقل، وتضم مزيجًا من الحروف الصغيرة والكبيرة والأرقام والرموز الخاصة. يجب على المستخدمين تجنب التسلسلات الرقمية البسيطة مثل "12345" أو أسماء أزواجهم أو أطفالهم أو حيواناتهم الأليفة عند إنشاء كلمة مرور حيث يمكن للمخترق الحصول على هذه المعلومات بكل سهولة من وسائل التواصل الاجتماعي. تطلب بعض الشركات من الموظفين تغيير كلمات مرور تسجيل الدخول كل 90 يومًا على الأقل.

استخدام مدير لكلمات المرور: يجب على موظفيك التفكير في استخدام مدير لكلمات المرور لإنشاء كلمات مرور طويلة ومعقدة والحفاظ عليها ويمكن نسخها إلى في صفحات تسجيل الدخول الخاصة بالتطبيقات.

تمكين المصادقة متعددة العوامل: تضمن المصادقة متعددة العوامل أن المستخدمين يحتاجون إلى أكثر من مجرد كلمة مرور للوصول إلى حسابات العمل. يتضمن هذا خطوات تحقق إضافية، مثل إرسال رمز مرور إلى جهاز محمول، وطبقة الأمان الإضافية هذه تساعد في منع المهاجمين من الوصول إلى حسابات الأعمال، حتى لو خمنوا كلمة المرور بشكل صحيح.

تغيير كلمات المرور الافتراضية: من الأخطاء الشائعة عدم تغيير كلمات المرور الافتراضية للشركات المصنعة على الهواتف الذكية وأجهزة الكمبيوتر المحمولة وأنواع أخرى من أجهزة تكنولوجيا المعلومات. عليك تغيير جميع كلمات المرور الافتراضية قبل توزيع الأجهزة على موظفيك. تحقق بانتظام من الأجهزة والبرامج لاكتشاف كلمات المرور الافتراضية التي لم يتم تغييرها.

A woman using a tablet. Securing mobile devices is an important part of web security for business

رابع خطر للأمن الإلكتروني للشركات: الهواتف المحمولة

غالبًا ما توفر الشركات لموظفيها الهواتف الذكية وأجهزة الكمبيوتر المحمولة والأجهزة اللوحية لتمكين العمل المرن عن بُعد، وبهذا صار يتم تخزين المزيد من البيانات على الأجهزة اللوحية والهواتف الذكية أكثر من أي وقت مضى. هذه الأجهزة قوية مثل أجهزة الكمبيوتر التقليدية لأنها متنقلة وبالتالي تخرج من منطقة أمان المكتب والمنزل، ولذلك فهي تحتاج إلى حماية أكثر من أجهزة الكمبيوتر المعتادة. رغم ذلك، لا يزال في معظم الشركات نجد أن نقاط النهاية المحمولة تفتقر إلى الحماية ضد تهديدات مثل التصيد الاحتيالي والبرمجيات الخبيثة واستغلال أنظمة تشغيل الأجهزة المحمولة، مما يجعلها واحدة من أكبر مخاطر الأمن الإلكتروني.

كيف يمكن للشركات حماية الهواتف المحمولة

تشغيل الحماية بكلمة مرور: استخدم رقم تعريف شخصي أو كلمة مرور معقدة لمنع المجرمين العاديين من الوصول إلى هاتفك. تتضمن معظم الأجهزة الآن بصمة الإصبع أو التعرف على الوجه لقفل جهازك، مما يقلل الاعتماد على كلمات المرور، لكن لا تكون هذه الميزات مفعلة دائمًا بشكل افتراضي، لذلك تأكد من تشغيلها بنفسك.

التأكد من إمكانية تتبع الأجهزة المفقودة أو المسروقة أو قفلها أو مسح بياناتها: في حالة فقدان الجهاز أو سرقته من أحد الموظفين، يجب أن تكون قادرًا ليس فقط على تعقبه، ولكن أيضًا حذف كل شيء عليه عن بُعد. يمكن لرموز المرور ردع اللصوص لفترة قصيرة، ولكن القدرة على مسح أي معلومات قيمة من الجهاز قبل أن تتاح لهم فرصة رؤيتها تقضي على المخاطر تمامًا. تأكد دائمًا من تمكين هذه الميزة على كل جهاز محمول يستخدمه موظفوك.

النسخ الاحتياطي للبيانات: تمامًا كما تنسخ بيانات الكمبيوتر احتياطيًا بانتظام، يجب عليك أيضًا الاحتفاظ بنسخة احتياطية من البيانات الموجودة على الأجهزة المحمولة الخاصة بشركتك. بهذا في حالة فقدان جهاز أو سرقته، ستطمئن بمعرفة أن بياناتك القيمة آمنة ويمكن استعادتها في أي وقت.

المحافظة على تحديث الأجهزة والتطبيقات: تأكد من أنك لديك أحدث إصدارات البرامج والتطبيقات لضمان استفادتك من أحدث تصحيحات الأمان.

إنشاء سياسة أمان للهواتف المحمولة: قبل أن يبدأ أي موظف العمل من جهاز محمول، ضع سياسة استخدام مقبولة تتماشى مع اللوائح القانونية. التوجيه بشأن ما يجب فعله في حالة فقد الجهاز أو سرقته يعني أن الموظفين يعرفون كيفية التصرف مع أمل أن يفعلوا ذلك على الفور. اطلب من موظفيك قراءة نسخة من السياسة والتوقيع عليها قبل البدء في استخدام جهاز محمول للعمل لإظهار أنهم على دراية بالمخاطر وكيفية البقاء آمنين.

تشفير البيانات دائمًا: تمكين التشفير على الهواتف المحمولة للشركات أمر ضروري. يعمل تشفير الهواتف المحمولة عن طريق تحويل البيانات الموجودة على هاتفك إلى نموذج غير قابل للقراءة. وعلى غرار حماية كلمة المرور للهواتف، يحتاج المستخدمون إلى إدخال رمز تعريف شخصي الخاص بالتشفير أو كلمة المرور لفك تشفير البيانات. عادةً ما تأتي الهواتف الذكية الحديثة بمستوى حماية وتشفير بكلمة مرور، لكن بعضها أكثر أمانًا من البعض الآخر. على سبيل المثال: باستخدام جهاز بنظام الأندرويد، عند إنشاء رمز المرور الخاص بك سيُطلب منك تشغيل التشفير كخيار. قم بتمكين التشفير على جميع الأجهزة المحمولة، وادعم ذلك ببرنامج تشفير البيانات عند الحاجة.

خامس خطر للأمن الإلكتروني للشركات: الأخطاء البشرية

وفقًا لدراسة أجرتها شركة IBM عام 2021، يمثل الخطأ البشري 95٪ من انتهاكات الأمن الإلكتروني. بعبارة أخرى، فإن الأفعال غير المقصودة -أو عدم اتخاذ الإجراءات اللازمة- تسمح بحدوث الانتهاكات. غالبًا ما يعني هذا أخطاءً بسيطة مثل فتح مرفقات البريد الإلكتروني المشبوهة أو زيارة المواقع الإلكترونية المخادعة أو استخدام كلمات مرور ضعيفة أو كلمة مرور واحدة لحسابات متعددة (وبالتالي هناك تداخل كبير مع المخاطر الأخرى الموضحة في هذه المقالة نظرًا لأن الخطأ البشري غالبًا ما يكون القاسم المشترك بينها). يترصد مجرمو الإنترنت للضعف البشري ويهجمون عليه.

كيف يمكن للشركات حماية نفسها من الخطأ البشري

توفير التدريب: تقع معظم الأخطاء البشرية نتيجة عدم معرفة الموظفين بالمخاطر، ويمكن تقليل الخطأ البشري عبر توفير التدريب الفعال للتوعية بالأمن الإلكتروني، ويشمل ذلك تثقيف الموظفين حول مخاطر الهندسة الاجتماعية. يجب أن يكون الهدف هو زيادة الوعي بتهديدات الأمن الإلكتروني للشركات حتى تتمكن من إرساء مستوى جيد من آداب تكنولوجيا المعلومات. سيساعدك في هذا تدريب الموظفين أو إرسال رسائل بريد إلكتروني بانتظام أو تقديم دورات تعريفية في العمل.

تقليل حمل كلمات المرور: في حين أن سياسة كلمة المرور القوية ضرورية، أفضل طريقة لتقليل الخطأ البشري هنا هي تقليل عدد كلمات المرور في المقام الأول. يمكن تحقيق ذلك باستخدام تطبيقات إدارة كلمات المرور مع تشغيل المصادقة متعددة العوامل لزيادة الأمان، ومن خلال الانتقال إلى الأجهزة ذات المصادقة الحيوية مثل بصمة الإصبع.

يمكن للشركات الصغيرة بالأخص أن تكون عرضة لمخاطر الأمان الإلكتروني

يمكن أن تكون الشركات الصغيرة والمتوسطة الحجم معرضة بشكل خاص لتهديدات الأمن الإلكتروني، وترجع أسباب ذلك إلى ما يلي:

غالبًا لا تعتقد أنها ستكون مستهدفة، وبالتالي لا تكون مستعدة.
يمكن أن يكون لديها أنظمة قديمة أو تفتقر إلى بروتوكولات الأمان والتدريب مما يسهل اختراقها.
من غير المرجح أن يكون لديها فرق كبيرة ومخصصة لتكنولوجيا المعلومات يمكنها البقاء على اطلاع بأحدث مخاطر أمن تكنولوجيا المعلومات ومشكلات أمان المواقع الإلكترونية.

تقييم المخاطر الإلكترونية على شكرتك

لتقييم أهم تهديدات الأمن الإلكتروني لعملك، ابدأ بإجراء تقييم لأنظمة الأمان الحالية لديك. اكتب قائمة جرد بالأصول، بما في ذلك جميع البرامج والأجهزة. اكتب قائمة بأماكن تخزين البيانات ومن لديه حق الوصول إليها. احتفظ بهذه المعلومات آمنة ومحمية وحدد من يمكنه رؤيتها. أجر تقييمًا لأنظمة الأمان الحالية لديك لاكتشاف نقاط الضعف التي قد تكون فيها. سيساعد تقييم مخاطر الشركة في الحفاظ على أمان عملك.

وبالإضافة إلى النصائح الموضحة في هذه المقالة، هناك ممارسات أخرى للأمن الإلكتروني يجب اتباعها:

امتلاك خطة لمواجهة الهجوم إلكتروني: كن مستعدًا في حالة الطوارئ. أنت ترغب في أن تكون قادرًا على حماية عملك وموظفيك وعملائك بشكل أفضل إذا تعرضت للهجوم، لهذا ضع خطة مسبقة توضح ما ستفعله في حالة حدوث الأسوأ.
ابق على اطلاع بأحدث التهديدات الإلكترونية للشركات: ستساعدك معرفة أحدث تهديدات الأمن الإلكتروني أثناء تطورها على البقاء سابقًا بخطوة وتحديد أفضل السبل لحماية نفسك.

وأخيرًا، أمان نقطة النهاية جانبًا مهمًا في إدارة تهديدات الأمن الإلكتروني للشركات. تشير نقطة النهاية إلى أي جهاز متصل بشبكتك، بما في ذلك أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المكتبية والهواتف الذكية والطابعات والخوادم وما إلى ذلك. أمان نقاط النهاية هو عملية حماية نقاط النهاية المستخدمة لأغراض العمل من تهديدات الأمن الإلكتروني. برامج أمان نقاط النهاية المستندة إلى السحابة مثالية للشركات الصغيرة والمتوسطة لأنها تتطلب موارد داخلية أقل للإدارة والتزامات أقل مقدمًا، لكنها في الوقت نفسه توفر مراقبة مستمرة وقدرة على مراقبة نقاط النهاية لديك من أي مكان.

اقرأ المزيد عن حلول Kaspersky’s endpoint security من هنا.

حصل Kaspersky Endpoint Security على ثلاث جوائز AV-TEST لأفضل أداء وحماية وإمكانية استخدام لمنتج أمان نقطة النهاية للشركة في عام 2021. أظهر برنامج Kaspersky Endpoint Security في جميع الاختبارات أداءً متميزًا وحماية وسهولة استخدام للشركات.

المقالات والروابط ذات الصلة:

منتجات ذات صلة:

Top cyber security threats for businesses – and how to protect yourself

Kaspersky

الأمن الإلكتروني في مؤسسات الأعمال صار الآن أكثر أهمية من أي وقت مضى. تعرف على الأمن الإلكتروني للأعمال ومخاطر أمن تكنولوجيا المعلومات وكيفية حماية عملك.