دبي، 30 مايو
2017:عندما يتعلق الأمر بالجريمة الرقمية، من السهل تصور أن
أبرز التهديدات وأكبرها تكون خارجية المصدر، إلا أن الشركات باتت تدرك إمكانية أن
يشكل الموظفون الموثوقون والمدربون تهديداً كبيراً على أمنها.
وفي الواقع، كشف
تقرير صدر مؤخراً عن شركة ’هيستاكس تكنولوجي‘ أن 74% من المؤسسات المشاركة ’تشعر
بأنها عرضة للتهديدات الداخلية‘، مع تأكيد 56% من المتخصصين في مجال الأمن على أن
’التهديدات الداخلية أصبحت أكثر حدوثاً‘ خلال العام الماضي.
وفي حين تكون بعض
الهجمات والخروقات ناجمة عن الموظفين الذين يحملون مشاعر سلبية تجاه شركاتهم، قد
يحدث الكثير منها أيضاً بسبب الإهمال، سواء بسبب تجاهل التحذيرات أو عدم اتباع
الإجراءات المعتمدة، أو بسبب الأخطاء البشرية البسيطة. وحددت ’إسيت‘، الشركة
الرائدة على مستوى العالم في مجال البرمجيات الأمنية الاستباقية وحلول الحماية
الأمنية، ثلاثة أنواع من الموظفين الذين يمكن لهم أن يتسببوا بحدوث خروقات
البيانات.
1. التصرفات البريئة
عندما يتعلق
الأمر بخروقات البيانات، يمكن للعاملين الأبرياء التسبب بأضرار جمة تماماً
كالقراصنة ومجرمي الإنترنت؛ ويتمثل أحد الدروس المستفادة في هذا السياق بالدرس
الذي تعلمته السلطات في مناطق نورفولك وسوفولك وكامبريدجشاير بالمملكة المتحدة،
حيث سجلت سلطات تلك المناطق أكثر من 160 خرقاً للبيانات بين عامي 2014 و2015، وكان
أغلبها ناجماً عن أخطاء بشرية (بما يشمل فقدان الهواتف المحمولة وإرسال الرسائل
إلى عناوين خاطئة وحتى بيع حزمة ملفات تحتوي على بيانات حساسة إلى أطراف ثالثة).
ويتمثل أحد
الأمثلة الأخرى على هذه المسألة باختراق بيانات الشركة الفيدرالية لتأمين الودائع
(FDIC) عام 2016،
حيث قام أحد الموظفين السابقين ’دون قصد أو نواياً خبيثة‘ بتحميل بيانات حساسة على
جهاز تخزين شخصي.
ومع حالات كهذه،
ليس من المستغرب أن تبدي نسبة 74% من الجهات المشاركة بدراسة ’هيستاكس‘ قلقها
الشديد حيال هذا النوع من خروقات البيانات غير المقصودة.
2. الاستهتار والإهمال
3. النوايا الخبيثة
لسوء الحظ،
وجنباً إلى جنب مع الأخطاء البشرية، تلعب النوايا الخبيثة لدى الموظفين دوراً
ملموساً في حدوث خروقات البيانات الداخلية. ويتضح هذا الأمر من خلال قصة هيئة
تنظيم الاتصالات بالمملكة المتحدة (OFCOM) التي اكتشفت في عام 2016 أن أحد الموظفين السابقين كان يقوم بجمع
بيانات الأطراف الثالثة سراً. ويتمثل الأمر المفاجئ بأن هذا النشاط الخبيث كان
يحدث على مدى فترة استمرت لست سنوات.
وبدورها، وقعت
’موريسونز‘، علامة متاجر السوبرماركت العملاقة في المملكة المتحدة، ضحية أحد
الموظفين الساخطين الذي قام بنشر بيانات شخصية لما يقارب 10 آلاف من موظفي الشركة
على شبكة الإنترنت. وبالرغم من وقوع هذه الحادثة في عام 2014، إلا أن الشركة لا
تزال تواجه احتمال اتخاذ المزيد من الإجراءات القانونية من قبل الموظفين بسبب هذا
الخرق.
ما الذي يمكن
فعله؟
بحسب دراسة استقصائية أجريت عام 2016، اعتبر 93% من المشاركين بالدراسة أن
السلوك البشري يشكل أكبر خطر على حماية البيانات. وتعتقدشركة ’نويكس‘،
التي طلبت إجراء الدراسة، أن الشركات قد تبدأ بلوم الموظفين الذين ’يسيئون فهم أو
تفسير أو تقدير السياسات والإجراءات الأمنية طويلة الأمد‘.
ومع تأثير تسرب
البيانات الذي يتسبب بالأضرار للشركات، بما يشمل الخسائر المالية والأضرار التي قد
تلحق بسمعة الشركات، ليس من المستغرب أن الشركات أصبحت منفتحةً على مسألة إيجاد
سبل جديدة لتخفيف والحد من سوء استخدام أجهزة الكومبيوتر.
رفع معدل الوعي
عند الموظفين
لعل الخطوة
الأكثر منطقية بالنسبة لأصحاب العمل تتمثل في ضمان إدراك جميع الموظفين للتأثير
المحتمل الذي قد ينجم عن أفعالهم، وكيفية تجنب فقدان البيانات غير المقصود. ومن
المهم أيضاً ضمان مشاركة جميع الموظفين في البرامج التدريبية المناسبة، بدلاً من
تفاعلهم بصورة مباشرة مع تكنولوجيا المعلومات.
الحفاظ على أمن
المعلومات
وفقاً للسيد
ستيفن كوب من شركة ’إسيت‘، "هناك مليون سبب مختلف لتشفير البيانات". وفي
حين تعتبر هذه المسألة غير معتمدة من قبل الجميع، لكن يمكن لتشفير البيانات أن
يكون جزءاً مهماً من عملية منع فقدان البيانات.
مراقبة البيانات
والسلوكيات
تتيح مراقبة
استخدام أجهزة الكومبيوتر وسلوكيات الأفراد للشركات البقاء على علم ودراية
بالأنشطة غير العادية أو الخطيرة وتحديدها. وينبغي أن تتم مراقبة العمل من خلال
أسلوب ’أحضر جهازك الخاص‘ (BOYD) المتواجدة في العديد من الشركات وعدم إهمال الجانب الأمني فيها.
النظر للمستقبلباعتبار أن الخطر
الذي يشكله الموظفون – سواء كانوا أبرياءً أم لا – يمكن أن يكون كارثياً بالنسبة
للشركات، ليس من المستغرب توجه بعض أرباب العمل لاتخاذ نهج أكثر صرامة إزاء
التهديدات الأمنية الداخلية خلال السنوات المقبلة.
