في حين يُثير مصطلح "الأمن السيبراني" أفكاراً عن هجمات شديدة التعقيد تتطلّب معدات حاسوبية خاصة ومخترقين مهرة، إلا أن معظم الهجمات تتضمن في الحقيقة استراتيجيات أكثر بساطة تعتمد على استغلال السلوك البشري، خصوصاً في بيئة الشركات، وتعمل معظم الشركات بجد في سبيل بناء تقنيات لحماية نفسها ومستخدميها أو زبائنها بشكل أفضل، لكن لا يمكن للتكنولوجيا أن توفر لنا حماية موثوقة. والأشخاص هم العامل الأكثر أهمية في استراتيجية الأمن السيبراني لأي شركة، ويُعتبر الاستثمار في التواصل الأمني ناجعاً في مساعدة الشركات في تقليل احتمال تعرضها لأي اختراق، ومن هنا جاءت فكرة حملة فيسبوك السنوية لموظفيها .
حملة فيسبوك السنوية لموظفيها
تدير شركة "فيسبوك" (Facebook) برامج الشراكة الأمنية طوال العام، إلا أن الأداة الأكثر أهمية في مجموعة أساليبنا الأمنية هي حملة "هاكتوبر" (Hacktober)، وهو تقليد سنوي يدوم طوال شهر أكتوبر/ تشرين الأول من كل عام، ويهدف إلى بناء ثقافة واعية بالأمن واستدامتها. وهو النهج الذي نتّبعه في الشهر الوطني للتوعية بالأمن السيبراني، وتهدف هذه الحملة إلى إشراك الموظفين في الأمن السيبراني وتأدية أدوارهم في جعل الإنترنت أكثر أماناً وأمناً للجميع.
وتشتمل حملة "هاكتوبر" على عدد من العناصر المختلفة تتمثّل في اختبارات التصيد الاحتيالي، والحملات التسويقية، والمسابقات، والورشات، ومحادثات الخبراء. ولا يُلزَم الموظفون بالمشاركة، إلا أننا نجد أن حوالي ثلث الموظفين يشاركون في نشاط واحد على الأقل خلال الشهر. وقد صُممتْ هذه الحملة بهدف تذكير موظفينا بكيفية حماية أنفسهم وشركتنا وملايين الأشخاص الذين يستخدمون منصة "فيسبوك" كل يوم.
اقرأ أيضاً: تحقيق الأمن السيبراني ليس مسألة تقنية فقط.
الوعي الأمني هو مما رسة تنطوي على التواصل، وليست ممارسة مخيفة أو مملة. يُعتبر إنشاء بيئة تفاعلية وممتعة حول الأمن مفيداً في تعليم الموظفين دروساً أمنية مهمة يطبّقونها على مدار العام.
ونتبع في "فيسبوك" نهج "المخترق" في الوعي الأمني، ذلك أن هذا المبدأ هو جزء جوهري من ثقافتنا، ويلقى صدىً كبيراً لدى موظفينا. ويتمثّل أحد أفضل الأمثلة على هذا النهج في مسابقات "الاستحواذ على العلم".
إن مسابقات الاستحواذ على العلم هي مسابقات قائمة على الكمبيوتر، تتيح للموظفين ممارسة تأمين الأجهزة والدفاع ضد هجمات أمن سيبراني وهمية. وبما أن العديد من موظفينا يستمتعون بحل المشكلات المعقدة في بيئة تنافسية، تمنحنا مسابقات الاستحواذ على العلم وسيلة لخلق هذا النوع من المرح والجو التنافسي في التعليم الأمني. ونشرنا نسختين من هذه المسابقات هذا العام، النسخة الأولى هي مسابقات الاستحواذ على العلم المصمّمة على غرار مسابقات جيوباردي، إذ يمكن حل التحديات عن طريق البحث، والنسخة الثانية هي مسابقات الاستحواذ على العلم المصممة على أساس الهجوم والدفاع والتي تعتمد على الهجمات والاستغلالات في العالم الحقيقي. وقد جرى استضافة مسابقات الاستحواذ على العلم على منصتنا مفتوحة المصدر، وصُممت التحديات من قبل فريق عمل متعدد التخصصات، يضم مهندسي الأمن مع مجموعة من المهارات المتخصصة، بهدف ضمان تقديم تجربة مسابقات شاملة، مثل أمن تطبيقات الهاتف المحمول وأمن "ويندوز" (Windows) وما إلى ذلك.
وقدمنا أيضاً سلسلة من الأنشطة الأبسط التي تعكس ثقافة المخترِق، مثل إجراء دروس عملية على كيفية فتح الأقفال، وذلك من منطلق نشر روح المتعة والتواصل. وبهدف جذب الموظفين إلى جميع أنشطتنا والحفاظ على مشاركتهم، قدمنا هدايا تحمل علامة "هاكتوبر" تشتمل على القمصان والقبعات والملصقات وقطع المغناطيس المصممة وفق علامة "هاك لانتيرن" (Hack-o-lantern) التي طورناها على مدى السنوات السبع الماضية.
اقرأ أيضاً: مشكلة كبيرة تعترض التأمين على الأمن السيبراني.
أهمية شعور الموظفين بالارتياح عند التحدث عن الأمن. يجب أن يستطيع جميع الموظفين الإعراب عن مخاوفهم دون تردد، حتى عندما لا يكون دورهم في الحفاظ على أمن شركتنا واضحاً.
ونعتقد أنه يجب على جميع الموظفين أن يشاركوا في تعزيز أمان منصة "فيسبوك" وأمنها على شبكة الإنترنت. ونُجري طوال حملة فيسبوك السنوية لموظفيها "هاكتوبر" سلسلة من "الاختراقات" مثل رسائل التصيد الاحتيالي وإخطارات المصادقة الاحتيالية التي تساعدنا في تقييم استجابة موظفينا لهذه الهجمات الزائفة. كما نُجري دردشات غير رسمية مع ناطقين مثل كوندوليزا رايس، وزيرة الخارجية الأميركية السابقة والخبيرة المعروفة في مجال المخاطر الجيوسياسية. وأتاح حديثها المشترك مع أليكس توماس، الرئيس التنفيذي للأمن في شركة "فيسبوك" للأفراد فرصة التحدث عن تطور الهجمات السيبرانية التي تقودها الدول.
ومن الضروري أن توسّع الشركات تعريفها للأمن بهدف التخفيف من خطر الخطأ البشري، لهذا السبب، لا تنطوي حملة "هاكتوبر" على قضية الأمن "السيبراني" فحسب، وإنما ترتبط أيضاً بالأمان والسلامة البدنية لموظفينا، فنتشارك مع زملائنا في الأمن المادي في إعداد دورات تدريبية للموظفين، مثل دورة سلامة السفر الموجهة نحو الموظفات، ونستخدم منصة "فيسبوك" لمشاركة مقاطع الفيديو التدريبية حول تهديد مخاطر الذيل.
ضرورة تعريف الموظفين بالأشخاص العاملين في فرق الأمن. من الضروري أن يُدرك الموظفون دورهم في حماية مستخدمي منصة "فيسبوك".
لكن، مع نمو الشركة على مر السنين أصبحتْ عملية التعرف على أعضاء فريق الأمن والتواصل معهم صعبة. وقد حاولنا تبسيط هذا العملية من خلال إنشاء نموذج لتعليمات الأمن على شبكة الإنترنت الداخلية، وتنظيم جولات إلى مركز عمليات الأمن العالمي الخاص بنا. ونروّج لعملنا الأمني هذا من خلال إجراء حملة تسويقية ضخمة، فقد أنشأنا موقعاً مصغراً مخصصاً للأفراد يتيح لهم التعرف على الأنشطة المختلفة، ودعمناه باستخدام ملصقات "هاكتوبر" وبطاقات الموارد وملصقات أكواب القهوة. كما أنشأنا أيضاً مجموعة "فيسبوك هاكتوبر" داخلية تتيح للموظفين طرح الأسئلة، أو تقديم الملاحظات، أو التعاون بشأن تحديات مسابقات الاستحواذ على العلم، أو نشر أفكارهم حول الموضوعات أو المخاوف الحالية المرتبطة بالأمن.
وتُعتبر حملة فيسبوك السنوية لموظفيها "هاكتوبر" أيضاً فرصة تعليمية رائعة لفريق الأمن. ويمثّل الموقع المصغّر بالنسبة إلينا مصدراً للبيانات، لمعرفة اهتمامات الأفراد، فضلاً عن أننا نتتبع باستمرار المقاييس التي تساعدنا في تحسين برامجنا، ونحاول تطبيق بعض الدروس بشكل آني. على سبيل المثال، علّقنا حملة التصيد الاحتيالي في منتصف أكتوبر/ تشرين الأول عام 2019 عندما أظهرت بياناتنا انخفاضاً كبيراً في عدد الأشخاص الذين ينقرون على روابط التصيد الاحتيالي وزيادة في عدد الأشخاص الذين يبلغون عن عمليات التصيّد إلى فريق الأمن. خلاصة الأمر، حققنا هدفنا المتمثّل في تغيير سلوك الموظفين ووجدنا أنه من الأفضل تخصيص الموارد في مجال آخر.
قد تكون حملة فيسبوك السنوية لموظفيها "هاكتوبر" واحدة من أكثر الطرق فاعلية لتقييم مخاطر الهندسة الاجتماعية وفهم أنواع السلوك البشري التي تواجه الشركة. هل هو تصيد احتيالي؟ هل كلمات المرور ضعيفة؟ هل يوجد مشكلة في الأمن المادي؟ ما هي الأدوات أو الأساليب التي يمكن لفريقك توظيفها لمواجهة هذه التهديدات؟
شاهد أيضاً: ويبينار: ما الذي يجب على كل قائد أعمال وموظف معرفته عن الأمن السيبراني؟.
لقد صممنا حملة "هاكتوبر" لتلائم الاحتياجات الثقافية واحتياجات الأمن لدى شركة "فيسبوك"، ولكن يمكن للشركات الأخرى تطبيق العديد من هذه المبادئ أيضاً. تذكر فقط ضرورة أن تحظى أي حملة ناجحة بدعم القيادة العليا، وأن تتواءم مع ثقافة الشركة وتهدئ من روع الأفراد في أثناء إجراء المحادثات الأمنية. إن التثقيف الأمني لا يتعلق بالتشهير بالأفراد لممارستهم عادات سيئة، وإنما يتعلق بمكافأة السلوك الإيجابي وتعزيز ثقافة واعية بالأمن بين أهم مواردك، ألا وهم الأفراد.
وإليك عدة خطوات يمكن لشركتك اتباعها في سبيل إنشاء حملة "هاكتوبر" خاصة بها:
- تحديد أولويات المؤسسة والعلامة التجارية. تُزيّن شركة "فيسبوك" جدرانها بملصقات علامة "هاك لانتيرن" المميزة وتوظّف مجموعات داخلية لمشاركة المنشورات حول حملة "هاكتوبر"، إذ يساعد إنشاء هوية فريدة لجهود التوعية الخاصة بك الأشخاص في تحديد هذه الجهود، وإيجاد طرق للمشاركة.
- الشراكة مع مؤسسات أطراف ثالثة. يُعتبر تحالف الأمن السيبراني الوطني شريكاً رائعاً في أعمال التوعية الأمنية ويقدم الأفكار والمحتوى.
- التقدير ومكافأة المشاركة. تحظى تذكارات "هاكتوبر" بشعبية كبيرة لدى موظفي "فيسبوك"، مثل القمصان والملصقات، فتجري مكافأة الموظفين الذين يُبلغون عن نشاط مشبوه أو يكشفون عن أحد المخترقين بواحدة من هذه الجوائز المرغوبة، والتي تساعد في زيادة الوعي وتحفيز الآخرين على المشاركة.
- تطبيق اختبارات الأمان في العالم الحقيقي. يمكن للاختبارات البسيطة أن تُساهم في تذكير الأفراد بتوخي الحذر. ونوصي بالأمور التي قد يُصادفها الأشخاص في يوم عمل عادي، مثل إرسال رسائل بريد إلكتروني للتصيد الاحتيالي التي يبدو أنها مُرسلة من مصدر موثوق أو إسقاط محركات "يو إس بي" (USB) في جميع أنحاء المكتب تضم برمجيات ضارة، والتي تعلّم الموظفين التفكير مرتين قبل توصيل جهاز مجهول في أجهزة الكمبيوتر الخاصة بهم.
- جمع الموظفين مع بعضهم البعض. قدّم دورات تعليمية مع فريق الأمن الخاص بك، واستضف ورشات تفاعلية، وأجر المسابقات والمنافسات. ويمكنك حتى استخدام منصة مسابقات الاستحواذ على العلم مفتوحة المصدر في منصة "فيسبوك" لإجراء مسابقات خاصة بشركتك.
- الحفاظ على طابع المتعة. ليس من الضروري أن تكون محادثات الأمن السيبراني مخيفة، وقد دعت شركة "فيسبوك" العائلات إلى مقرها الرئيس لمشاهدة فيلم حول الأمن وتعلّم فن النحت. ويمكن لهذه الأنشطة، وغيرها من الأنشطة العملية، أن تساعد في تثقيف الأفراد في بيئة ممتعة وغير رسمية.
اقرأ أيضاً: تطوير الأمن السيبراني يعني الاهتمام أكثر بالمحتوى الذي ندخله للعالم الرقمي.