تعرف على أخطاء المدراء التي يمكن تجنبها عند حدوث تسريب للبيانات

لقد علّمتنا السنوات القليلة الماضية أنه لا مهرب من تعرض الشركات للاختراق وسرقة بيانات المستهلكين بسبب تكرار الأخطاء عند تسريب البيانات في الشركات. وسجلت السنة الماضية رقماً قياسياً في اختراق البيانات، كما شهدت سنة 2017 إلى الآن عدداً لا يستهان به من الهجمات الإلكترونية الكبرى. ومع ذلك يستمر كبار التنفيذيين في ارتكاب الأخطاء عند التعاطي مع الهجمات، فيضخمون ويديمون ضررها الذي يلحق بسمعتهم وعملائهم على حد سواء.

الأخطاء عند تسريب البيانات

بتحليل أكبر الاختراقات التي حدثت خلال السنوات القليلة الماضية، نجد أنه من الواضح ارتكاب التنفيذيين لمجموعة من الأخطاء الشائعة، والمفاجئ أكثر في الأمر، أنه على الرغم من أن معظم هذه الشركات يقودها تنفيذيون يتمتعون بالكفاءة فإنك تجدها تفشل في أخذ العبرة من التعاطي السيئ والمواقف الخرقاء للشركات التي تعرضت للاختراق من قبل. وإليكم هنا الهفوات التي يقع فيها التنفيذيون مراراً وتكراراً، والنصيحة الواجب عملها لتجنبها:

التلكؤ ما يؤدي إلى زيادة الأخطاء عند تسريب البيانات

كلما انتظرت الشركات أكثر قبل إبلاغ عملائها، زادت معها فرص استخدام المجرمين للبيانات المسروقة. مع أن شركة "إكويفاكس" (Equifax)، تعرضت لانتقاد شديد بسبب استغراقها ما يقرب من 6 أسابيع تقريباً للإفصاح عن الخرق، إلا أنها على الأقل لم تؤجل الإعلان عن الخبر للجمهور إلى أن أصبحت البيانات المسروقة تباع في الإنترنت الأسود. بدورها لم تعلق شركة "تارغت" (Target)، إلا بعد حوالي أسبوع من إعلان الخبر من قبل المدون المختص بالشؤون الأمنية، بريان كريبس. ومؤخراً، تبيّن أن "هيئة الأموال المالية والبورصات" انتظرت عاماً كاملاً تقريباً قبل الإفصاح عن معلومات حول اختراقها.

اقرأ أيضاً:

• مفهوم الأمن السيبراني.
• أشهر سبل الخداع لتقتنع بتعريض بيانات شركتك للخطر

يجب أن يعمل التنفيذيون اليوم تحت فرضية أنهم سوف يتعرضون لحادث في الفضاء الإلكتروني يتطلب منهم إعلام عملائهم والمستثمرين والهيئات التنظيمية. ربما يكون الرد العاطفي الآني هو الانتظار إلى أن تتوفر تفاصيل الاختراق ويتم الإعلان عنها بطريقة مدروسة، لكن من الإهمال حجب معلومات تساعد الناس في المحافظة على سلامة بياناتهم وأموالهم. والطريقة الأفضل لضمان استجابة التنفيذيين وفريق الاتصال لديهم للاختراقات بسرعة هي من خلال خطة الاستجابة السريعة للحوادث معدّة مسبقاً. على سبيل المثال: يبدو أن لمؤسسة "هوول فودز" (Whole Foods)، خطة مسبقة عندما أعلنت عن أحدث اختراق تعرضت له بعد حدوثه بخمسة أيام.

كما أن وجود قانون فيدرالي للإبلاغ عن الاختراقات يفرض أوقات استجابة سريعة، سيخدم بشكل أفضل المواطنين الواقعين حالياً تحت رحمة خليط من قوانين الولايات التي تضع حدوداً تتراوح ما بين 15 يوماً وحتى 90 يوماً، هذا إن وجدت هذه الحدود. في المقابل، هناك قانون أوروبي سيدخل حيّز التنفيذ العام القادم كجزء من تنظيم حماية البيانات العامة GDPR) General Data Protection Regulation) يمنح الشركات 72 ساعة للإبلاغ عن الاختراقات.

اقرأ أيضاً: ما أهمية تواصل كبار المدراء التنفيذيين مع أقسام تكنولوجيا المعلومات بخصوص الأمن السيبراني؟

خدمة العملاء السيئة

في عام 2016، فشلت ماريسا ماير، الرئيسة التنفيذية لشركة "ياهو"، في اتخاذ خطوة أساسية كان بإمكانها أن تحمي بسرعة العملاء الذين تعرضت حساباتهم للاختراق قبل سنتين: (إعادة تعيين جميع كلمات المرور). لو تم الأمر كان سيتكفل ذلك بمنع المجرمين من الوصول إلى هذه الحسابات، لكن قيل إن ماير امتنعت عن ذلك لأنه كان سيجبر جميع المستخدمين على تعيين كلمات سر جديدة، وهو الأمر الذي كان يقلقها لأنه ربما يُزعجهم ويجعلهم يغادرون "ياهو".

في أعقاب الاختراق الذي تعرضت له "إكويفاكس"، عرضت الشركة على الزبائن منحهم تقارير مديونية مجانية لمدة عام إذا هم تخلوا عن حقهم بمقاضاة الشركة. كما حاولت "إكويفاكس" التربّح من أخطائها بتحميل الزبائن الذين أرادوا تجميد تقاريرهم رسوماً في شكل مستوى إضافي من الحماية. ومع أن الشركة تخلت عن هذا الشرط سريعاً، ومددت التقارير الائتمانية لتكون مدى الحياة، وأزالت رسوم تجميد التقارير، لكن ذلك لم يحصل إلا بعد أن لحق الضرر بسمعتها.

كان يفترض على "ياهو" أن تجعل أقصى أولوياتها فعل كل ما يلزم لحماية العملاء على الفور. وكان يجب على "إكويفاكس" تقديم مراقبة غير مشروطة للمحافظة على أمان العملاء. ويجب على كبار المسؤولين في الشركات الحرص على أن ما يصدر عنهم من مبادرات حسن نية تتماشى مع فداحة الاختراق الحاصل، حتى لو كان تطبيقها مكلفاً.

اقرأ أيضاً: حظر الكمبيوتر المحمول على الطائرة جعل بيانات شركة عرضة للتجسس

غياب الشفافية

تُعتبر الشفافية بعد وقوع حادث الاختراق أمراً باستطاعة التنفيذيين التحكم فيه، لكن ما يحدث في أغلب الأوقات أنهم يتجنبون الحقيقة، والشفافية التي هي حجر الزاوية في إعادة بناء الثقة بالعلامة المميزة.

على الرغم من الهفوات العديدة التي ارتكبتها "إكويفاكس" في استجابتها للاختراق، فقد كانت حريصة على إعلام الجمهور بالمعلومات حول الحادث. وبالإضافة إلى إطلاق منشور صحفي وفيديو ضمن موقعهم في 7 سبتمبر/أيلول، أطلقت "إكويفاكس" موقعاً خاصة للأخبار المتعلقة بالخرق تم تحديثه 5 مرات في الأسبوع التالي. لكن مع ذلك حدث مرات عديدة أن أعاد الحساب الرسمي للشركة في "تويتر" توجيه الزبائن إلى موقع احتيالي. كما عانى الموقع الرسمي من عدة مشاكل تقنية، وعندما بدأ العمل، كان الموقع يطلب من الناس تأكيد هويتهم باستخدام آخر ستة أرقام من أرقام الضمان الاجتماعي الخاصة بهم، وهي بالضبط نفس المعلومات الشخصية التي تمت قرصنتها في المقام الأول.

وفي سياق متصل، نرى تعامل شركة "سوني" مع اختراق شبكة "بلاي ستيشن" كان أسوأ. فقد أغلقت "سوني" الشبكة بعد اكتشاف اختراقها، لكنها لم تقل شيئاً عن تعرضها للاختراق إلا بعد يومين. ورشحت تفاصيل عن الحادث عشوائياً خلال الأسابيع التالية، فكانت النصائح الموجهة إلى العملاء مشوشة.

بهذا الإرباك والمعلومات الخاطئة عن الاختراق، منع التنفيذيون العملاء من اتخاذ ما يلزم لحماية أنفسهم. كما أن غياب الشفافية يؤدي بالعملاء إلى الاعتقاد بأن التنفيذيين يتكتمون على المعلومات حتى لو لم يكن ذلك صحيحاً.

حتى إذا قلت: "في هذه المرحلة لا نعرف ما حصل تماماً"، فذلك جيد. صراحتك وصدقك وتقديمك لمستجدات واضحة على أساس منتظم سيُكسبك ثقة العملاء الذين يريدونك فقط أن تكون صريحاً.

الفشل في تقبّل المسؤولية

ليس الخرق الكبير خطأ فردياً أو فشلاً تقنياً، إنه فشل مؤسساتي يتحمل مسؤوليته التنفيذي الأعلى مرتبة. ولعلّ من غير المفاجئ هنا أن كبار التنفيذيين لا يرون الأمر بهذه الطريقة. فقد وجدت دراسة من شركة "ستروز فريدبرج" (Stroz Friedberg)، لإدارة المخاطر، أن 45% فقط من كبار القادة يعتقدون بمسؤوليتهم عن حماية شركاتهم ضد الهجمات الإلكترونية.

استغرق التنفيذيون في شركة "سوني" 11 يوماً بعد حصول الاختراق للاعتذار عنه و26 يوماً آخر لقيام رئيس مجلس إدارة "سوني" هاورد سترينغر بالاعتذار علناً. أما الرئيس التنفيذي لشركة "إيكويفاكس" ريتشارد سميث الذي أظهر تواضعاً وتحملاً للمسؤولية في البداية بعد الخرق الذي تعرضت له الشركة، فقال في تسجيل فيديو: "أنا أعتذر بشدة عن هذا الحادث وأعتذر لكل عميل تأثر به ولجميع شركائنا". لكنه بعد أن أُجبر على الاستقالة، ألقى باللوم على أحد الموظفين لفشله في اتخاذ احتياطات أمنية أساسية، وذلك في شهادته أمام لجنة مجلس "النواب" الأميركي.

اقرأ أيضاً: الرؤساء التنفيذيون للشؤون المالية لا يقلقون بالقدر الكافي من الخطر السيبراني

وفي نهاية الحديث عن الأخطاء عند تسريب البيانات في الشركات، إلى أن يبدأ المزيد من التنفيذيين في تحمل المسؤولية عن الحوادث الإلكترونية، والتعلم مما يرتكبه الآخرون من أخطاء، ستستمر الاختراقات في الوقوع وتستمر القيادة الضعيفة في مواجهة هذه الهجمات.

اقرأ أيضاً: هل يؤدي التدريب الزائد إلى تقليل مخاطر الأمن السيبراني؟