رغم أن أكبر عمليات انتهاك سرية البيانات التي تعرضتْ فيها ملايين السجلات إلى الخطر تتصدر عناوين الأخبار، إلا أن هناك خطر خبيث أعظم تعمى عنه الأبصار عموماً، ألا وهو الشخص المطلع على بواطن الأمور. و"المطلع على بواطن الأمور مصادفةً" هو موظف حسن النية يتعرض للخداع من جانب الخصوم أو المنافسين، فيكشف عن كلمات المرور أو يثبِّت بلا قصد شفرة خبيثة داخل الشبكات المؤسسية. وبدلاً من ذلك، يسرق المطلع على بواطن الأمور الخبيث البيانات بغية تحقيق مكاسب شخصية أو مالية وبنية الإضرار بجهة التوظيف. فكيف سيؤدي هذا الشخص إلى تعريض بيانات الشركة للخطر بشكل مستمر؟ وما مدى تفشي مشكلة تهديد المطلع على بواطن الأمور؟
وفقاً لدراسة أجرتها شركة "أكسنتشر" Accenture ومركز أبحاث آتش إف إس ريسرتش "HFS Research"، "صرح 2 من بين 3 مشاركين في الدراسة بأنهما تعرضا لسرقة البيانات أو للفساد من داخل مؤسساتهما". وثمة دراسة أجراها "معهد بونيمون" (Ponemon Institute) كشفت عن أن 62% من المستخدمين النهائيين قالوا إنه أتيحت لهم إمكانية الوصول إلى بيانات شركات ربما لم يكن ينبغي أن يطلعوا عليها.
الحيل التي تؤدي إلى تعريض بيانات الشركة للخطر
وهذا يعني أن غالبية الموظفين لديهم صلاحية الوصول إلى بيانات يمكن أن يفصحوا عنها بلا قصد، إذا خدعهم خصم بارع. ومع ذلك، ثمة بعض الطرق السهلة نسبياً لحماية المؤسسة من الحيل التي عادةً ما يلجأ إليها الدخلاء لتعريض المطلع على بواطن الأمور للخطر:
الحيلة الأولى - الاحتيال بواسطة رسائل بريد إلكتروني مُقنعة ما يؤدي إلى تعريض بيانات الشركة للخطر
بينما تنتقل رسالة البريد الإلكتروني من عميل عبر خادم إلى المتلقي، ثمة نقاط ضعف محتملة في الشبكة تصادفها على طول الطريق. والواقع أنه عندما تتلقى رسالة بريد إلكتروني، فإن عنوان المصدر المدرج لا يرتبط ارتباطاً وثيقاً بهوية الشخص الذي أرسل الرسالة في واقع الأمر. وهذه المعلومة يمكن تزييفها ببساطة، وخادم بريدك لا يُنفذ أي إجراءات للتحقق من مصدر رسالة البريد الإلكتروني. ورغم أن رسالة البريد الإلكتروني قد تبدو واردة من مصدر موثوق، فإن خصوم اليوم مهندسون اجتماعيون بارعون بوسعهم خداع أي شخص بسهولة.
اقرأ أيضاً:
- مفهوم الأمن السيبراني.
- ما أهمية تواصل كبار المدراء التنفيذيين مع أقسام تكنولوجيا المعلومات بخصوص الأمن السيبراني؟
ورغم أن كثيراً من المؤسسات تستخدم برامج لترشيح البريد الإلكتروني غير المرغوب فيه، فإننا نعلم جميعاً أنه لا ينبغي أن نفتح رسائل بريد إلكتروني من جنرالات نيجيريين غامضين، ماذا لو بدا أن ثمة رسالة بريد إلكتروني واردة من زميل لك أو رئيسك في العمل؟ تجلى هذا السيناريو مؤخراً عندما خدع قرصان إنجليزي مسؤولي البيت الأبيض، فكشفوا له عن معلومات شخصية.
كيف يمكن أن تعرف ما إذا كانت رسالة البريد الإلكتروني التي تتلقاها سليمة؟ لو تمت صياغة رسالة البريد الإلكتروني بدقة تحديداً، فقد لا تكون قادراً على الجزم فوراً بما إذا كانت واردة من مصدر موثوق أم لا. ثمة قاعدة بديهية مفادها أنه إذا طلب منك الراسل اسم المستخدم أو كلمة المرور أو معلومات شخصية عنك أو عن زميل لك أو معلومات محمية بحقوق ملكية، فلا ترد عليه وبلغ قسم تقنية المعلومات أو فريقك الأمني بالواقعة فوراً. إن مكالمة هاتفية بسيطة إلى الراسل من المفترض أن تمثل إجراءً احتياطياً جيداً. فمن السهل أن تستفسر قائلاً "مرحباً، هل أرسلت إلي حقاً رسالة بريد إلكتروني تطلب فيها كلمة مرور؟".
الحيلة الثانية - بث شفرة خبيثة عبر مرفقات وروابط البريد الإكتروني
وتشبه رسائل البريد الإلكتروني الاحتيالي حصان طروادة، فهي جزء خفي من شفرة خبيثة داخل مرفق أو رابط في البريد الإلكتروني. ورغم أن الرسالة بحد ذاتها ليست خطرة، فالروابط والمرفقات نفسها خطرة. قد يبدو من الجنون أن لا نفتح مستنداً أو مرفقاً من زميل لنا، غير أن تلك النقرات يمكن أن تفتح باباً سرياً للخصوم.
على المستوى المؤسسي، يمكن أن تستثمر الشركة في المنتجات الأمنية التي توفر تقييماً فورياً للبرامج الضارة في الروابط والمرفقات. وإذا رصد النظام شيئاً مريباً، فسيحتجز المرفقات أو يحظر الاتصال بالرابط الخطر.
اقرأ أيضاً: حظر الكمبيوتر المحمول على الطائرة جعل بيانات شركة عرضة للتجسس
كن حذراً تحديداً من رسائل البريد الإلكتروني التي تتلقاها في محل العمل وليس لها علاقة بالعمل، مثل الرسائل الواردة من عناوين البريد الإلكتروني للأصدقاء أو أفراد العائلة الذين لا يراسلونك عادةً على ذاك العنوان. إنها لفكرة سديدة دائماً أن تكون لدينا عناوين بريد إلكتروني منفصلة للعمل وللبيت، بل حتى أن يكون لدينا العديد من عناوين البريد الإلكتروني للأنواع المختلفة من المراسلات. على سبيل المثال، قد تود أن يكون لديك عنوان بريد إلكتروني تستخدمه فقط لمراسلة مدرسة أطفالك أو النادي أو مجموعة ما تنتمي إليها. إذا تلقيت رسالة إلكترونية في محل عملك يبدو أنها واردة من نادي التزلج على الجليد الخاص بك، فستعرف أنها مريبة لأن ناديك لا يعرف عنوان بريدك الإلكتروني الخاص بمحل عملك.
الحيلة الثالثة - الحصول على إمكانية الوصول إلى الشبكة عبر أجهزة شخصية
ليست البرامج كلها آمنة، والتطبيقات أصبحت وسيلة سهلة ويسيرة للحصول على إمكانية الوصول إلى الأجهزة والحواسيب. ومؤسسات كثيرة لديها سياسات تقضي أن يجلب الموظف أجهزته الخاصة، ليُسمح للمستخدمين باستخدام هواتفهم وأجهزتهم اللوحية وحواسيبهم المحمولة لإنجاز عملهم بالشركة. وهذه الأجهزة مرتع للمخاطر التي يمكن أن تتفشى في النظم المؤسسية.
بالنسبة للمؤسسات التي تقدم لموظفيها حواسيب محمولة وتتحكم فيها، من السهل نسبياً منع تثبيت التطبيقات غير المصرح بها عليها. ويمكن تنفيذ ذلك بجعل الفرد "مستخدماً" لجهازه لا مديراً له. ولا يستطيع أحد سوى المدير - وأعني قسم تقنية المعلومات - تثبيت التطبيقات.
تقتضي الحاجة التحكم في الأجهزة بواسطة السياسات والتثقيف، طالما أن فريق تقنية المعلومات ليس بوسعه غلق الأجهزة الشخصية لآلاف المستخدمين. لكنهم يستطيعون إلزام الآخرين باستخدام تطبيق شبكة افتراضية خاصة لضمان الاتصال الآمن بشبكات الشركة.
اقرأ أيضاً: تعرف على أخطاء المدراء التي يمكن تجنبها عند حدوث تسريب للبيانات
وتستطيع المؤسسات أيضاً إمداد أجهزة الموظفين بخدمات برامج مكافحة الفيروسات والحماية من البرامج الضارة، كتلك التي يقدمها موردون مثل "سيمانتك" (Symantec) و"مكافي" (McAfee). تنفذ هذه الأدوات مسحاً مستمراً لضمان سلامة الجهاز.
ورغم أن هذه ليست السبل الوحيدة التي يستطيع بها الخصوم خداع المطلعين على بواطن الأمور وإقناعهم بالامتثال لهم، لكنها أشهرها على الإطلاق. عليك أن لا تنسى أن الخصوم مثابرون وصبورون. وهم على استعداد للكد في عملهم، وإجراء أبحاثهم، واستهداف الموظفين والتنفيذيين رفيعي المستوى المعرضين للخطر على حد سواء. إن أفضل وسيلة للحيلولة دون إضرار المطلعين على بواطن الأمور مصادفةً بشركتك تكمن في فهم أساليبهم وغرس اليقظة في نفوس الموظفين جميعاً من أجل ضمان عدم تعريض بيانات الشركة للخطر الخارجي.
اقرأ أيضاً: الرؤساء التنفيذيون للشؤون المالية لا يقلقون بالقدر الكافي من الخطر السيبراني