قلة وعي الموظفين بأمن المعلومات سبب رئيس لاختراق شركاتهم

الثلاثاء 13 يونيو 2017






أحمد بايوني من الخبر

يمارس بعض المخترقين التجسس الإلكتروني والاختراقات كهواية وفرصة لإظهار الإمكانات وتحدي الذات، والبعض الآخر يمارس هذا العمل بدافع تحقيق عدة أهداف تختلف من مخترق لآخر، فمنهم من يهدف للحصول على المال من خلال سرقة المعلومات المصرفية أو الحصول على معلومات لبيعها لجهات منافسة، أو الحصول على الرموز السرية للبريد الإلكتروني ليتسنى له التجسس على الرسائل الخاصة أو سرقة البريد الإلكتروني، أو بهدف تدمير البيانات أو التغيير في محتوياتها.
وكان المخترقون في الماضي يعتمدون على نقاط الضعف الموجودة في أنظمة المعلومات، لكن مع التطور الحاصل في أنظمة أمن المعلومات بات العنصر البشري هو الحلقة الأضعف التي يمكن للمخترقين الوصول لمبتغاهم عبرها، فقد بات المخترقون ومجرمو الإنترنت يعتمدون على جهل الموظفين بوسائل تأمين المعلومات، إذ أنه يشكل المنفذ الأول أمام المخترق حيث إنه يملك بشكل عام زمام الأمور إما للسماح للمخترق بالنفاذ إلى بياناته عبر عدم المبالاة بتدابير أمن المعلومات، الأمر الذي جعل الموظفين تهديدا كبيرا على أمنها.

الخسائر الناتجة من إهمال الموظفين
وكشف تقرير شركة هيستاكس تكنولوجي أن 74 في المائة من المؤسسات المشاركة 'تشعر بأنها عرضة للتهديدات الداخلية من قبل موظفيها، مع تأكيد 56 في المائة من المتخصصين في مجال الأمن على أن التهديدات الداخلية أصبحت أكثر حدوثا خلال العام الماضي، حيث إن بعض الهجمات والخروقات ناجمة عن الموظفين الذين يحملون مشاعر سلبية تجاه شركاتهم، قد يحدث كثير منها أيضا بسبب الإهمال، سواء بسبب تجاهل التحذيرات أو عدم اتباع الإجراءات المعتمدة لتأمين أنفسهم إلكترونيا، أو بسبب الأخطاء البشرية البسيطة.
في العام الماضي 2016، اعتبر 93 في المائة أن السلوك البشري يشكل أكبر خطر على حماية البيانات، حيث إن الشركات قد تبدأ بلوم الموظفين الذين يسيئون فهم أو تفسير أو تقدير السياسات والإجراءات الأمنية طويلة الأمد، ومع تأثير تسرب البيانات الذي يتسبب في الأضرار للشركات، بما يشمل الخسائر المالية والأضرار التي قد تلحق بسمعة الشركات، ليس من المستغرب أن الشركات أصبحت منفتحة على مسألة إيجاد سبل جديدة لتخفيف والحد من سوء استخدام أجهزة الكمبيوتر.

الموظفون يوجدون الثغرة الأولى
وحددت شركة "إسيت" العاملة في مجال البرمجيات الأمنية الاستباقية وحلول الحماية الأمنية، ثلاثة أنواع من الموظفين الذين يمكن لهم أن يتسببوا في حدوث خروقات البيانات وهم الموظف البريء والموظف المهمل والموظفون الحاملون لنوايا خبيثة.
وعندما يتعلق الأمر بخروقات البيانات، يمكن للعاملين الأبرياء التسبب في أضرار جمة تماما كالقراصنة ومجرمي الإنترنت، ويتمثل أحد الدروس المستفادة في هذا السياق في الدرس الذي تعلمته السلطات في المملكة المتحدة، حيث سجلت السلطات أكثر من 160 خرقا للبيانات بين عامي 2014 و2015، وكان أغلبها ناجما عن أخطاء بشرية شملت فقدان الهواتف المحمولة وإرسال الرسائل إلى عناوين خاطئة وحتى بيع حزمة ملفات تحتوي على بيانات حساسة إلى أطراف ثالثة، ومع حالات كهذه، ليس من المستغرب أن تبدي نسبة 74 في المائة من الجهات قلقها الشديد حيال هذا النوع من خروقات البيانات غير المقصودة.
وحول الموظفين المهملين، يدرك الموظفون ماهية التحذيرات الأمنية التي تظهر على شاشاته لكن هل يقوم هؤلاء الموظفون باتخاذ إجراءات فورية؟، وأشارت شركة جوجل في دراسة لها إلى تجاهل 25 مليون رسالة تحذيرية خاصة ببرنامج تصفح الإنترنت جوجل كروم في 70.2 في المائة من الأوقات، ويعزى هذا الأمر بصورة جزئية إلى غياب المعرفة التقنية لدى المستخدمين، الأمر الذي دفع شركة التكنولوجيا العملاقة لتبسيط اللغة التي تستخدمها في رسائل التحذير الخاصة بها.
أما الموظفون الحاملون لنوايا خبيثة ضد شركاتهم فهم الخطر الأكبر، فجنبا إلى جنب مع الأخطاء البشرية، تلعب النوايا الخبيثة لدى الموظفين دورا ملموسا في حدوث خروقات البيانات الداخلية. ويتضح هذا الأمر من خلال قصة هيئة تنظيم الاتصالات في المملكة المتحدة OFCOM التي اكتشفت في عام 2016 أن أحد الموظفين السابقين كان يقوم بجمع بيانات الأطراف الثالثة سرا. ويتمثل الأمر المفاجئ في أن هذا النشاط الخبيث كان يحدث على مدى فترة استمرت لست سنوات.
والأمر ذاته حدث مع "موريسونز"، علامة متاجر السوبر ماركت العملاقة في المملكة المتحدة، التي وقعت ضحية أحد الموظفين الساخطين الذي قام بنشر بيانات شخصية لما يقارب عشرة آلاف من موظفي الشركة على شبكة الإنترنت. وعلى الرغم من وقوع هذه الحادثة في عام 2014، إلا أن الشركة لا تزال تواجه احتمال اتخاذ المزيد من الإجراءات القانونية من قبل الموظفين بسبب هذا الاختراق.