كاسبرسكي: الموظفون يخفون حوادث الاختراق في 53% من الشركات في الإمارات
يُخفي الموظفون حالات اختراق تقنية المعلومات في 53% من الشركات العاملة في في دولة الإمارات العربية المتحدة، وذلك وفقًا لتقرير جديد صادر عن كاسبرسكي لاب وB2B International بعنوان: “أثر العامل البشري في أمن تقنية المعلومات: كيف يجعل الموظفون الشركات عرضة للاختراق الأمني من الداخل“.
وباعتبار أن الموظفين يتسببون في حدوث 46% من حالات الاختراق الأمني سنويًا وعلى نطاق عالمي، ترى كاسبرسكي لاب أن الأمر أصبح يستدعي ضرورة تصحيح هذه الثغرات الأمنية الناشئة في الشركات من خلال التعاون فيما بين مختلف الإدارات الأخرى، وليس فقط عن طريق إدارة أمن تقنية المعلومات.
وبحسب التقرير، يعد الموظفون غير المطّلعين أو اللامبالون من أكثر الأسباب التي يُحتمل أنها تقف وراء حوادث الأمن الإلكتروني، وهم يأتون في المرتبة الثانية بعد هجمات البرمجيات الخبيثة. “ومع أن البرمجيات الخبيثة قد أصبحت أكثر تطورًا وتعقيدًا، إلا أن الحقيقة المحزنة تتمثل في أن العامل البشري المتجدد قد يشكل مخاطر أكبر من ذلك بكثير”.
وأشار تقرير كاسبرسكي لاب إلى أن ظاهرة اللامبالاة عند الموظفين، بصفة خاصة، تعد إحدى أكبر الثغرات الناشئة في درع الأمن الإلكتروني للشركات عندما يتعلق الأمر بالهجمات الموجهة. ومع احتمال أن يستخدم القراصنة الأكثر تطورًا دائمًا البرمجيات الخبيثة المصممة حسب الطلب والتقنية فائقة التطور للتخطيط لعمليات القرصنة والسطو، فإنهم كثيرًا ما يستهلّون هجماتهم باستغلال الحلقة الأضعف والأسهل للدخول إلى شبكة الضحية وهي الكوادر البشرية أو الموظفين.
ووفقًا للدراسة، احتوت 26% من الهجمات الموجهة التي استهدفت شركات في دولة الإمارات العربية المتحدة في العام الماضي على خصائص هجمات التصيد الإلكتروني/الهندسة الاجتماعية في مصدرها. على سبيل المثال، قد يقوم أحد المحاسبين اللامبالين بفتح ملف خبيث تم دسّه على شكل فاتورة واردة من أحد مقاولي الشركة العديدين. وهذا الخطأ الفادح لوحده قد يتسبب في تعطيل البنية التحتية بأكملها في المؤسسة، مما يجعل هذا المحاسب الشريك غير المقصود للمهاجمين.
ويقول ديفيد جاكوبي، الباحث الأمني في كاسبرسكي لاب: “كثيرًا ما يتخذ مجرمو الإنترنت من موظفي الشركة بوابة ينفذون منها إلى داخل البنية الأساسية للشركة. وقد شهدنا جميعًا مختلف أنواع الهجمات، كالتصيد عبر رسائل البريد الإلكتروني واختراق كلمات المرور الضعيفة والمكالمات الوهمية الواردة بفعل الدعم التقني وغيرها”.
وأضاف جاكوبي: “وقد تتسبب أيضًا واحدة من بطاقات فلاش العادية ملقاة في أحد مواقف السيارات أو بالقرب من مكتب السكرتيرة في اختراق كامل الشبكة في الشركة، وقد تحدث تلك الكارثة عن طريق شخص ما في الداخل لا يدري ما يدور حوله، ولا يولي أي اهتمام بجوانب الأمن، ونراه سرعان ما يقوم بربط هذا الجهاز بالشبكة، وبالتالي التسبب في حدوث هذا الاختراق الذي يؤدي إلى أضرار فادحة”.
وأشارت كاسبرسكي لاب إلى أن الهجمات المتطورة والموجهة ضد الشركات لا تحدث يوميًا، ولكن البرمجيات الخبيثة التقليدية تضرب بشكل جماعي وواسع النطاق. وقالت لكن الدراسة، مع الأسف، تظهر بأنه حتى عندما يتعلق الأمر بالبرمجيات الخبيثة، فإن الموظفين اللامبالين وغير الواعين والمهملين، كثيرًا ما يكون لهم دور في ذلك، وهو ما تسبب في نشر العدوى الخبيثة في 55% من حالات الاختراق في دولة الإمارات العربية المتحدة.
وترى كاسبرسكي لاب أن إقدام الموظفين على إخفاء حالات الاختراق المتورطين فيها، قد يؤدي إلى حدوث عواقب وخيمة وتفاقم الأضرار الكلية الناتجة عن ذلك. ومجرد إغفال الإبلاغ عن حادثة أمنية واحدة من الممكن أن يدل على حالة اختراق أكبر من ذلك بكثير، وتحتاج الفرق الأمنية إلى امتلاك القدرة على سرعة تحديد التهديدات التي قد تواجهها لاختيار الإجراءات التصحيحية الملائمة.
غير أن هناك بعض الموظفين الذين يفضلون تعريض الشركة للمخاطر بدلًا من الإبلاغ عن أي مشكلة تعترضهم، إما لأنهم يخشون العقاب أو يشعرون بالحرج لكونهم المسؤولين عن ارتكاب الخطأ. وقد طبقت بعض الشركات قواعد صارمة وفرضت المزيد من المسؤولية الإضافية على الموظفين، بدلا من تشجيعهم على أن يكونوا أكثر حذرًا وتيقظًا. وهذا يوصل إلى حقيقة مفادها أن حماية أمن الإنترنت لا ينحصر فقط في التقنية وحدها ولكن أيضًا في نهج عمل الشركة وما تقدمه لموظفيها من برامج تدريبية. وهنا يأتي دور الموارد البشرية والإدارة العليا.
وعلق سلافا بوريلن، مدير برنامج التوعية الأمنية في كاسبرسكي لاب، بالقول: “إن التوعية بشأن مشكلة إخفاء حالات الاختراق لا ينبغي أن تقتصر على الموظفين فقط، بل يجب أن تشمل أيضًا مسؤولي الإدارة العليا وإدارات الموارد البشرية. وفي حال إقدام الموظفين على إخفاء أي من تلك الحالات، فلا بد أن يكون هناك سبب يدفعهم لذلك”.
وأضاف: “في بعض الحالات، تطبق الشركات سياسات صارمة ولكنها غامضة بعض الشيء وتلقي ضغوطًا هائلة على الموظفين وتوجه إليهم تحذيرات لعدم تكرار ذلك مجددًا وإلا، فإنهم سيتحملون المسؤولية تجاه أي أخطاء يتم ارتكابها. ومن شأن هذه السياسات تكريس المخاوف في نفوس الموظفين بحيث لا تترك أمامهم سوى خيار واحد فقط لتجنب العقاب مهما كلف الأمر. وفي حال كانت ثقافة الأمن الإلكتروني في الشركات إيجابية وتستند على أساس تربوي وتعليمي، بدلًا من تلك القائمة على القيود المفروضة من أعلى إلى أسفل الهرم الإداري، فإن النتائج ستكون إيجابية بالتأكيد”.
ويعيد بوريلن أيضًا إلى الأذهان نموذج الأمن الصناعي القائم على إعداد التقارير ونهج “التعلم عن طريق الخطأ”. على سبيل المثال، وفي تعليق حديث، طلب إيلون ماسك، الرئيس التنفيذي لشركة “تيسلا”، بأن يتم إبلاغه مباشرة بكل حالة تؤثر على سلامة أي موظف، وذلك حتى يتسنى له لعب دور جوهري في حركة التغيير.
وأشارت كاسبرسكي لاب إلى أن الشركات حول العالم تدرك بالفعل أن موظفيها يتسببون في جعل شركاتهم عرضة للاختراق الأمني، إذ أقرت 57% من الشركات المستطلعة في دولة الإمارات العربية المتحدة بأن الموظفين يشكلون أكبر نقطة ضعف في أمن تقنية المعلومات لديها. ومن هنا، فإن الحاجة إلى تطبيق إجراءات قائمة على الموظفين قد أصبحت أكثر وضوحًا: تسعى 39% من الشركات في دولة الإمارات العربية المتحدة إلى تحسين الأمن من خلال تقديم التدريب للموظفين، مما يجعلها الطريقة الثانية الاكثر انتشارًا في مجال الدفاع الإلكتروني. وهي تأتي في المرتبة الثانية فقط، من حيث تطبيق البرامج الأكثر تطورًا، وذلك وفقًا لآراء 39% من الشركات الإماراتية.
وبالتالي، فإن الطريقة الأفضل لحماية الشركات من التهديدات الإلكترونية ذات الصلة بالعامل البشري تكون في الجمع بين الأدوات الصحيحة والممارسات الملائمة. وهذا يتطلب إشراك جهود الموارد البشرية والإدارة العليا لتحفيز وتشجيع الموظفين على التيقظ وطلب المساعدة في حالة حدوث اختراق. وهكذا فإن التدريب الهادف إلى زيادة الوعي الأمني في أوساط الموظفين وتوفير الإرشادات التوجيهية الواضحة بدلا من توزيع كتيبات متعددة الصفحات، فضلًا عن تنمية وصقل المهارات المهنية الراسخة لدى الموظفين وتكريس أجواء العمل المحفزة والتفاعلية، هي الخطوات الأولى التي ينبغي على الشركات اتخاذها.
وفيما يتعلق بتقنيةت الأمن، فإن معظم التهديدات المصممة لاستهداف الموظفين غير المدركين للمخاطر الأمنية أو اللامبالين، بما فيها هجمات التصيد الإلكتروني، من الممكن معالجتها والوقاية منها عن طريق حلول أمن نقاط النهاية التي تمتلك القدرة على تلبية هذه الاحتياجات، خصوصًا بالنسبة للشركات الصغيرة والمتوسطة سواء من حيث خصائصها المثبتة أو إمكانية تعريفها مسبقًا لتحديد نوع الحماية أو إعدادات الحماية الأمنية المتقدمة المتوفرة فيها، وذلك للحد من المخاطر.
