ملخص: تستهدف معظم الهجمات السيبرانية الأشخاص وليس الأنظمة. في الواقع، يمكن عزو الغالبية العظمى من الهجمات إلى الإخفاقات البشرية بسبب عدم إدارة موضوع الموظفين والهجمات السيبرانية تحديداً. لذلك، عندما تفكر في الأمن السيبراني لشركتك، يجدر بك التفكير في ثقافة شركتك. وضع المؤلفون 6 استراتيجيات لمساعدة القادة على مواجهة المخاطر المتصلة بأمن المعلومات، بناءً على علم النفس البشري. أولاً، مطالبة الموظفين بإثبات التزامهم، على سبيل المثال من خلال التوقيع على التزام رسمي، تزيد من احتمالية الوفاء به. ثانياً، عندما تكون القيادة العليا قدوة حسنة، فمن المرجح أن يحذو الموظفون حذوها. ثالثاً، يُعد مبدأ التبادلية (أو إعطاء شيء لشخص مع عدم إلزامه برد الجميل) من أفضل الطرق للتشجيع على رد الجميل وتقديم شيء في المقابل. رابعاً، يرغب الأشخاص في الحصول على الأشياء النادرة، أو ما تبدو كذلك، وسيبذلون جهوداً إضافية للحصول عليها. خامساً، يتأثر الأشخاص بمن يشبهونهم أو بمن يرون أنهم جديرون بالمحبة. وأخيراً، من المرجح أن يمتثل الأشخاص للطلبات عندما يصدرها شخص يتمتع بسلطة، لذلك عندما يُظهر المدراء خبرتهم، فمن المرجح أن تصغي فِرقهم إليهم.
وفقاً لمكتب "التحقيقات الفيدرالي"، حصّل المجرمون السيبرانيون 26 مليار دولار بين أكتوبر/تشرين الأول عام 2013 ويوليو/تموز عام 2019 من خلال عمليات الاحتيال عبر البريد الإلكتروني الخاص بالشركات، ومن خلالها تم استدراج الموظفين والأفراد للكشف عن البيانات المتعلقة بإثبات الشخصية، باستخدام تقنيات الهندسة الاجتماعية الاحتيالية، وإجراء تحويلات غير مصرح بها في النهاية. وفي عام 2017، تعرضت "جامعة ماكيوان" (MacEwan University) في كندا للاحتيال في حوالي 11.8 مليون دولار عندما انتحل مجرم سيبراني شخصية أحد أعضاء هيئة التدريس بالجامعة وطلب تغيير معلومات الحساب المصرفي لأحد مزودي الخدمة. وهناك تقرير آخر شمل 31 دولة؛ أي 60% من سكان العالم وما يوازي 85% من الناتج المحلي الإجمالي العالمي، قدّر الخسائر المالية الناجمة عن عمليات الاحتيال عبر الإنترنت في عام 2019 بنحو 36 مليار يورو.
بالإضافة إلى الخسائر المالية المباشرة، تؤدي الجرائم الأمنية إلى عرقلة إنتاجية الشركات وتشويه سمعتها. على سبيل المثال، عندما تم اختراق 130 حساباً رفيع المستوى على "تويتر" في عام 2020، كان ذلك حدثاً مخزياً بالنسبة إلى الشركة؛ فقد استغل شاب يبلغ من العمر 17 عاماً ثغرة مروعة في أمن الشركة مستخدماً تكنولوجيات بدائية. وهذه الثغرة جعلت مظهر الشركة سخيفاً وتسببت في انخفاض سعر سهمها بمقدار 1.3 مليار دولار (وإن كان ذلك لفترة مؤقتة). كان يمكن أن يكون الأمر أسوأ بكثير؛ إذ يمكن أن يكون للاختراقات الأمنية عواقب قانونية ومتصلة بالمسؤولية أيضاً على أعضاء مجلس الإدارة وكبار المدراء.
لأوجه القصور في السلوك الفردي دور رئيسي في كل هذه الاختراقات. إذ يستغل المهاجمون استعداد الأشخاص للوثوق في طلبات معينة والنقر دون تفكير على الروابط أو فتح المرفقات التي تحتوي على فيروسات. يُفترض أن العنصر البشري هو الهدف النهائي للهجوم في 99% من الاختراقات. ففي دراسة استمرت لخمس سنوات، نجح الباحثون في اختراق 96% من الأنظمة الأمنية في ألف بنك باستخدام علم النفس البشري وحده.
إذاً، كيف يمكن لقادة الشركات الحد من هذه التبعات التي تتمحور حول العنصر البشري؟ من الناحية المنطقية، يعتمد القادة على القسم المتخصص بالأمن في شركاتهم عندما يتعلق الأمر بتأمين معلومات الشركة وقرارات الاستثمار حول الأدوات الصحيحة للقيام بذلك. لكن هذا النهج ضيق النطاق للغاية. لغرس ثقافة الوعي الأمني، يجب أن يكون جميع أعضاء المجتمع ملتزمين تجاه هذه الثقافة بإخلاص وصدق، بخلاف مجرد تقديم التدريب الأمني الذي يستمر من يوم إلى يومين والذي تُلزم به معظم الشركات موظفيها. يَسهُل بناء ثقافة الوعي الأمني هذه عندما يتمكن القادة من التأثير في أعضاء فريقهم لتبنّي عقليات وسلوكات معينة.
أظهر بحث أجراه سيالديني حول مبادئ التأثير أن هناك 6 مبادئ، إذا طُبقت، فستشجع الأشخاص على الامتثال للطلبات أو التحرك في الاتجاه المطلوب.
- يتصرف الأشخاص بما يتسق مع السلوكات التي انتهجوها في الماضي. وتؤدي الالتزامات الرسمية وغير الرسمية إلى انتهاج سلوكات مماثلة في المستقبل.
- يتأثر الأشخاص بآراء الأغلبية الاجتماعية وسلوكياتهم. وعندما يكونون غير متأكدين من كيفية التفكير أو التصرف، يعتمدون على العالم الخارجي بحثاً عن إشارات.
- يُعد مبدأ التبادلية (أو إعطاء شيء لشخص مع عدم إلزامه برد الجميل) من أفضل الطرق للتشجيع على رد الجميل وتقديم شيء في المقابل.
- يرغب الأشخاص في الحصول على الأشياء النادرة، أو ما تبدو كذلك، وسيبذلون جهوداً إضافية للحصول عليها.
- يتأثر الأشخاص بمن يشبهونهم أو هؤلاء الذين يرون أنهم جديرون بالمحبة.
- من المرجح أن يمتثل الأشخاص للطلبات عندما يصدرها شخص يتمتع بسلطة (أو حتى شخص لديه مجرد أشياء دالة على السلطة: الشارات أو السترات البيضاء أو ملابس عمل رسمية، وما إلى ذلك).
الموظفون والهجمات السيبرانية
بناءً على مبادئ سيالديني، نوصي بالاستراتيجيات الست التالية لتحصين جدار الحماية البشري ضد الأساليب الخادعة التي يستخدمها المجرمون وتعزيز ثقافة مؤسسية قوامها الوعي الأمني.
1. اطلب من الموظفين التوقيع على سياسة أمنية
إثبات الالتزام، مثل التوقيع على مدونة لقواعد السلوك، يجعل الأشخاص أكثر ميلاً إلى الوفاء بالتزامهم، ويؤدي إلى مزيد من الالتزام المعرفي والسلوكي بمدونات السلوك. وهذه السياسات هي التزامات مكتوبة تنص على أن الموظف، على سبيل المثال، سيتعامل بسرية مع جميع معلومات الشركة الحساسة (مثل بيانات العملاء والتعاقدات)، وسيعمل وفقاً لمصلحة المؤسسة خلال أداء المهمات عن بُعد أو في المقر، وسيبلغ عن الحوادث المريبة على الفور إلى جهة الاتصال الداخلية المعنية. ويجب أن يقر الموظفون أيضاً بأنهم لن يكشفوا عن أي معلومات حساسة خاصة بالشركة إلى أي أطراف خارجية.
من المفيد أيضاً أن تحدد بوضوح ضمن هذه السياسة أي نوع من المعلومات يُعد حساساً وأيها ليس كذلك. (على سبيل المثال، لا يمكنك أن تطلب من الموظف عدم الشكوى من الطعام الذي يُقدَّم في مطعم الشركة على وسائل التواصل الاجتماعي ولكن يمكنك أن تطلب منه عدم الكشف عن قوائم العملاء).
على سبيل المثال، تطلب شركة "سيسكو" (CISCO) من موظفيها التوقيع سنوياً على ميثاق شرف مهني يذكّرهم بكيفية حماية الملكية الفكرية للشركة، بالإضافة إلى أصولها من المعلومات السرية. إذ تطلب الشركة من موظفيها عدم مشاركة المعلومات السرية أو المتعلقة بحقوق الملكية مع الأشخاص الذين ليس لديهم حاجة تجارية مشروعة لها، والالتزام بالإبلاغ عن أي انتهاكات رصدوها لهذا الشرط. يمكن أن تحول ثقافة اللوم دون إبلاغ الموظفين عن الأنشطة المريبة، ولكن التأكد من فهمهم للسبب المنطقي وراء ذلك ومطالبتهم بالتوقيع على سياسة تشير إلى مسؤوليتهم تجاه الإبلاغ عن تلك الأنشطة قد يساعد في التغلب على هذه المشكلة.
من المهم أن يكون التوقيع على التزام كهذا طوعياً، لأنه إذا كان إجبارياً، فسيكون الدافع الداخلي للالتزام أضعف فيما بعد. لكن عملية التوقيع تعزز ضغوط الاتساق الشخصية (الداخلية) وفيما بين الأشخاص (الخارجية)، ما يزيد من احتمالية التزام الموظفين بمعايير الشركة. لذا، من الأفضل أن يوقّع الموظفون على هذا الالتزام بحضور زملاء العمل؛ فبمجرد أن يصبح الالتزام علنياً، يشعر الموظفون أنهم ملزمون بالتصرف بما يتسق مع الالتزام، حتى لا يفقدون احترامهم أمام زملائهم الموقرين.
2. كن مثالاً يُحتذى به
عند المرور بحالة من عدم التيقن، ينظر الأشخاص حولهم بحثاً عن إشارات حول كيفية التفكير والتصرف. فمن ناحية، يمكن صياغة هذا السلوك على أنه خضوع، ولكن من ناحية أخرى، يمكن اعتباره وسيلة لمساعدة الأشخاص على التوصل إلى فهم مشترك للسلوك الصحيح أو المعياري. فاللجوء إلى الآخرين بحثاً عن إشارات يساعد على تقليل حالة عدم التيقن، خاصة عندما يكون هؤلاء الآخرون في مراكز اجتماعية موقرة.
لذلك، ينبغي لكبار القادة أن يكونوا قدوة حسنة، وأن يعززوا السلوكات القائمة على أفضل الممارسات.
على سبيل المثال، ينبغي لهم التأكيد على أهمية السلوكات المتعلقة بالأمن مثل وضع كلمة سر لجهاز الكمبيوتر الشخصي، وعدم فتح أبواب الشركة للأشخاص دون التحقق من هويتهم، وعدم الكشف عن مستندات الشركة، سواء كانت مادية أو رقمية، في الأماكن العامة. نوصي بأن يقدم القادة أيضاً أمثلة متباينة لحوادث اختراقات أمنية، سواء كانت تبين إهمالهم شخصياً أو التي تم الإبلاغ فيها عن سلوك غير مسؤول. سيساعد القيام بذلك على تقليل الشعور بالحصانة "لا يمكن أن يحدث ذلك معي" فيما بين الموظفين.
3. شجّع على التعامل وفق مبدأ التبادلية
هناك قاعدة اجتماعية منتشرة تنص على أنه إذا أعطانا شخص ما شيئاً ما، فإننا نشعر أن من واجبنا رد الجميل. وهذا الدافع عادة ما يكون صادقاً حتى لو لم يتم طلب الهدية الأصلية أو حتى إذا كان المطلوب في المقابل أكثر قيمة بكثير مما تم تقديمه في الأصل. فمبدأ التبادلية مهم لأن رد الجميل غالباً ما يتم لا شعورياً.
يجب أن يكون كبار القادة على دراية بأسلوب التأثير القوي هذا واستخدامه لتعزيز ثقافة الوعي الأمني في المؤسسة. واتخاذ إجراءات لتأمين بيانات الموظفين أو هويتهم، مثل تزويدهم بمحركات أقراص آمنة ومشفرة أو بإطار رقمي قابل للتخصيص (وهو جهاز إلكتروني صغير) لعرض رسائل تذكيرية أمنية، يُعد من الخطوات الأولى المفيدة لتشجيع مبدأ التبادلية.
4. استفد من نظرة الأشخاص إلى الندرة
يجد الأشخاص الأشياء والفرص أكثر جاذبية إذا كانت نادرة أو يصعب الحصول عليها. يمكن لكبار القادة الاستفادة من هذا الميل النفسي عند تعزيز عمليات الاعتماد الأمنية النادرة والنموذجية الخاصة بالمؤسسة، كعمليات أمن المعلومات المعتمدة (مثل "أيزو 27001" (ISO 27001))، التي يمكن أن تتعرض للخطر بسبب أي اختراق أمني.
من خلال القيام بذلك والتواصل بشكل صريح مع قوة العمل بخصوص كل من جاذبية المؤسسة كمكان رائع للعمل بسبب ثقافتها الأمنية، وما سيكون على المحك إذا تعرض أمنها للخطر (أي ما يمكن أن يخسره الموظف)، سيعزز كبار القادة التزام الموظفين تجاه ثقافة الأمن. علاوة على ذلك، ينبغي لكبار القادة بناء نظام تصنيف يفصل بين المعلومات العادية والحساسة. وبذلك سيميز الموظفون نوع المعلومات التي يجب حمايتها، ما سيجعلهم منتبهين فيما يتعلق بحماية المعلومات الثمينة للشركة بكفاءة، بدلاً من المهمة الوهمية المتمثلة في حماية جميع المعلومات بغض النظر عن مدى أهميتها.
5. كن مثل مَن تقودهم
يؤكد المتخصصون في مجال الأمن على أهمية تبنّي عقلية متعاطفة لتحقيق الامتثال في المواقف التي تنطوي على تعاملات مع الآخرين. إذ يصبح الأشخاص أكثر تأثراً بمن يتعرفون عليهم ويحبونهم، وبذلك يمكن للقادة بناء الثقة مع قوة العمل عندما يتصرفون بتواضع وتعاطف. ومن المرجح أن يتعامل الموظفون بتعاطف وود مع القادة الذين يظهرون ضعفهم كمقابل لتصرفهم معهم بهذه الطريقة. يمكن لهذا التبادل أن يعزز على نحو غير مباشر الامتثال لتوجيهات كبار القادة فيما يتعلق بالسلوك الأمني المثالي. فمشاركة معاناتهم أو رواية قصص حول أخطائهم المتعلقة بالثقافة الأمنية وكيف تعلموا من هذه الأخطاء، يمكن أن تجعل التعامل معهم والتعرف عليهم أكثر سهولة، ما يزيد من فرص أن يحذو الآخرون حذوهم.
6. استفد من قيمة السلطة
عادة ما تُلزم المؤسسات موظفيها بأخذ تدريب سنوي على الأمن الرقمي. وهذا ينطوي على خطر حقيقي يتمثل في أن يأخذ الموظفون التدريب، ولكن لا يربطون المحتوى بسلوكهم اليومي. عندما يقوم كبار القادة، الذين ينظر إليهم الموظفون على أنهم السلطة التنظيمية العليا، بتدريب قوتهم العاملة شخصياً على الامتثال لمتطلبات أمن المعلومات بالشركة، فمن المرجح أن يحصلوا على النتيجة المرجوة. لكن يجب الانتباه إلى نقطة مهمة: يجب أن يُنظر إلى القادة على أنهم مصدر موثوق، بالإضافة إلى أنهم مدراء. فهذا هو الفرق بين أن تكون "في مركز سلطة" وتأمر قوة العمل بفعل ما يجب فعله، وأن يُنظر إليك على أنك "سلطة" على اطلاع بالموضوع. فالجمع بين كلاهما هو المزيج الأكثر فعالية.
يحتاج كبار القادة إلى إثبات خبرتهم بالمسائل المتعلقة بأمن المعلومات وفهمهم الجيد لها لينفّذ الموظفون تعليماتهم وأوامرهم بفعالية. ويمكنهم تحقيق ذلك من خلال الحفاظ على علاقة قوية مع فريق أمن المعلومات وإبقاء أنفسهم وإبقاء قوة العمل على اطلاع دائم بأحدث التطورات الأمنية. يُعد الاشتراك في الرسائل الإخبارية، مثل تلك التي يرسلها معهد "سانس" (SANS)، نقطة انطلاق جيدة. قد تبدو هذه التوصية متناقضة مع التوصية المذكورة أعلاه (كن مثل مَن تقودهم). لكن يمكن للقادة ممارسة سلطتهم مع إظهار التواضع والتعاطف في الوقت نفسه.
وفي نهاية الحديث عن موضوع الموظفين والهجمات السيبرانية تحديداً، يستخدم المحتالون والمهندسون الاجتماعيون بانتظام أساليب التأثير لخداع الموظفين، ما يهدد قيمة مؤسستك وسمعتها. تُعد التوصيات الست المذكورة أعلاه طريقة سهلة وفعالة من حيث التكلفة يمكن للقادة استخدامها لمواجهة هذه المخاطر المتصلة بأمن المعلومات من خلال مبادئ مثبتة تستند إلى علم النفس البشري.