ستبقى الجرائم السيبرانية طويلاً وهي تكلف الشركات الأميركية أموالاً طائلة بسبب أهمية الأمن السيبراني في الشركات. ولقد زادت التكلفة المقدرة سنوياً للجرائم السيبرانية التي تتكبدها الشركات العالمية بما يقرب من 62% منذ عام 2013، من 7.2 مليون دولار إلى 11.7 مليون دولار. وهذا هو متوسط التكاليف المباشرة فقط ليس إلا، فقد أعلنت شركة "تارغت" (Target)، التي تعرضت لخرق جسيم لبياناتها عام 2013، أن إجمالي تكلفة هذا الخرق تجاوزت 200 مليون دولار. ولعل شركة "فيرايزون" (Verizon)، التي اشترت شركة "ياهو" (Yahoo) مؤخراً، نجحت في الحصول على خصم قدره 350 مليون دولار بسبب ثلاث عمليات خرق لبيانات شركة "ياهو" وقعت خلال السنوات الأخيرة. وبالنظر إلى تلك التكاليف، ما الذي تستطيع الشركات أن تفعله؟
تتخذ الحكومات وصناعة الأمن الإجراء الذي يبدو واضحاً جلياً، ألا وهو إنفاق مليارات الدولارات على تطوير تقنيات جديدة مصممة لردع الأشرار وتطبيقها قبل أن يتجاوزوا الباب الأمامي. ولكن، رغم أن أفضل العقول وألمعها لدينا تعكف على هذه القضية، ما زالت هناك قيود كبيرة تعترض طريق ما يمكننا فعله باستخدام العتاد والبرمجيات. ورغم ميلنا إلى استخدام التكنولوجيا لحل ما يبدو مشكلات تقنية، ثمة فاجعة يتردد صداها في أوساط أمن المعلومات، تتمثل في أننا لا نبذل جهداً كافياً للتعامل مع أخطر مشكلة تهدد الأمن السيبراني، ألا وهي السلوك البشري.
اقرأ أيضاً: كيف تحسّن الأمن الرقمي في مؤسستك؟
الأمن السيبراني في الشركات
في عام 2014، صرحت شركة "آي بي إم" (IBM) أن أكثر من 95% من جميع الحوادث [الأمنية] التي تم التحقيق بشأنها اكتُشف أن "الخطأ البشري" عامل مساهم فيها". وحقيقة الأمر أن سلسلة هجمات البرمجيات الخبيثة الأخيرة التي اكتسبت مسميات قرصانية مثل "WannaCry" و"Petya" و"Mirai"، وكذلك الهجمات الواضحة برعاية الحكومة على شركة "إكويفاكس" (Equifax) ونظام الانتخابات الأميركي، وقعت كلها بسبب القرارات والإجراءات العقيمة للمستخدمين النهائيين. لو لم يكن مهندساً هو الذي صنع ثغرة دون قصد داخل شفرة برمجية، فستجد مستخدماً نهائياً نقر على رابط خبيث، أو وقع فريسة لهجوم احتيالي، أو استخدم كلمة مرور ضعيفة، أو تغاضى عن تثبيت تحديث أمني في الوقت المناسب. لم يكن المهاجمون يحتاجون هدم جدار من الشفرة الحاسوبية أو إتلاف جزء من عتاد معقد، وإنما ببساطة كانوا يحتاجون استغلال السلوك العقيم المتوقع للمستخدم.
عندما تُركز الشركات على حل ما تعتبره مشكلات تقنية عبر حلول تقنية، فستتجاهل تحديد التدخلات البسيطة التي يمكن أن تساعد في الحد من ممارسة السلوكيات العقيمة وتعزيز السلوكيات الحميدة. وصحيح أنه رغم سعي بعض الاستثمارات التقنية إلى الحيلولة دون حدوث هذه السلوكيات من الأساس عبر إفراغ القرارات البشرية في نظم الذكاء الاصطناعي وتعلم الآلة، إلا أن هذه الابتكارات ما زال أمامها الكثير حتى تصل إلى مرحلة النضج. وكما يُذكّرنا الروبوت الأمني الذي سقط في نافورة أحد المراكز التجارية، فإن الذكاء الاصطناعي وغيره من التقنيات ذات الصلة ليست تقنيات متطورة بالكامل بعد. على سبيل المثال، كم مرة أخفق مرشح الرسائل غير المرغوب فيها الخاص بك في التعرف على رسالة بريدية احتيالية؟ في غياب الذكاء الاصطناعي المحكم، ما زال الحكم البشري يحتاج سد الفجوة بين قدرات تقنياتنا الأمنية واحتياجاتنا الأمنية. ولكن، لو لم يكن الحكم البشري على الأمور مثالياً، ولم تكن التقنية وافية، فما الذي تستطيع الشركات فعله للحد من المخاطر السلوكية؟
اقرأ أيضاً: تعلّم الأمن السيبراني ضروري للحصول على شهادة في علوم الحاسب الآلي
ثمة رؤية ثاقبة أساسية مستخلصة من مجالي الاقتصاد السلوكي وعلم النفس، مفادها أن تحيزاتنا السلوكية يسهل التوقع بها جداً. على سبيل المثال، صرح الخبراء الأمنيون مراراً وتكراراً أن الحفاظ على تحديث البرامج وتثبيت التصحيحات الأمنية في أسرع وقت ممكن واحد من السبل المثلى لحماية نظم أمن المعلومات من الهجمات. ولكن، رغم أن تثبيت التحديثات أمر بديهي نسبياً، يظل كثيرٌ من المستخدمين، بل وحتى مدراء تقنية المعلومات، يماطلون في تنفيذ هذه الخطوة الحيوية. لماذا؟ يكمن جزء من المشكلة في أن إشعارات التحديث والتصحيحات الأمنية تأتي غالباً في الوقت غير المناسب، وتحديداً بينما ينشغل المسؤول عن تثبيتها بمشكلة أخرى ملحة في الوقت ذاته. فضلاً عن ذلك، غالباً ما يتاح لدينا "مخرج" سهل متى تعلق الأمر بتحديث حواسيبنا الشخصية وأجهزتنا وهو خيار "ذكرني لاحقاً". ونظراً لهذه التفصيلة السياقية البسطية، من الأرجح أن يؤجل المستخدمون التحديث مهما كان حساساً. كم مرة نقرت على خيار "ذكرني غداً" قبل أن تلتزم أخيراً بالتحديث؟
تحسين سلوك الموظفين من أجل حماية الأمن السيبراني
في شركتي "آيدياز42" (ideas42) المتخصصة في الأبحاث العلمية والتصميم، عكفنا على توثيق السياقات العديدة التي تحمل المستخدمين والمدراء على اتخاذ قرار (والتصرف بناءً عليه) بطرق أقل من المثالية، مما يعرضهم وشركاتهم إلى خطر الهجمات السيبرانية. ومن خلال هذا المنظور، استخلصنا عدداً من الرؤى الثاقبة المتعلقة بالسبب الذي يجعل الناس يختارون كلمات مرور ضعيفة، ويتجاهلون تثبيت التحديثات، وينقرون على الروابط الخبيثة ويقعون فريسة لرسائل البريد الإلكتروني المحتالة. كما بيّنا أيضاً ما تستطيع المؤسسات والمدراء فعله لتحسين سلوك مستخدميهم (للمزيد، طالعوا قصتنا القصيرة المبنية على الأبحاث والجرائم الواقعية فكرة عميقة: قصة عن الأمن السيبراني).
حدد إعدادات افتراضية قوية
من بين أقوى الرؤى الثاقبة المستخلصة من العلوم السلوكية هي أنه مهما كان الوضع "الافتراضي"، فهو يظل على حاله بلا تغيير. استُغلتْ هذه الرؤية الثاقبة، وحققت نتائج رائعة في مجالات مدخرات التقاعد والتبرع بالأعضاء، فقد زاد التحول من الوضع الافتراضي "اشتراك" إلى الوضع الافتراضي "إلغاء الاشتراك" بقدر كبير من معدلات المشاركة. ويجوز تطبيق منطق مثيل على سياق الاختيار المتعلق بأمن المستخدم في المؤسسات. فبدلاً من حمل موظفيك على الاشتراك في إجراءات أمنية محددة، مثل تثبيت شبكة افتراضية خاصة، أو تفعيل المصادقة الثنائية، أو تفعيل التشفير الكامل للأقراص، أو تخويل خصائص التحديث التلقائي، يمكن لأصحاب الأعمال تخصيص بعض الوقت لإعداد الحواسيب والنظم التي يستخدمها الموظفون بحيث يُفعّلون هذه الخصائص بشكل افتراضي. وقد يفضي ذلك إلى معدلات امتثال أعلى مقارنةً بالوثوق بتنفيذ موظفيك لهذا الإجراء بأنفسهم.
اقرأ أيضاً: تطوير الأمن السيبراني يعني الاهتمام أكثر بالمحتوى الذي ندخله للعالم الرقمي
استخدم التزامات التقويم للحث على تحديث النظام
أحياناً يستحيل تفعيل التحديثات التلقائية لبرامج النظام، مما يضع خيار التحديث من عدمه في يد الموظفين. ومع ذلك، قد يستقر رأي الموظفين، وهم يواجهون احتمال تعطل سير العمل لتحديث بعض البرامج، على تأجيل هذا الإجراء لوقت أفضل "مبهم". المشكلة أننا لو بقينا متحيزين للماضي، وكرّسنا أنفسنا للمهمة التي بين أيدينا، فقد لا يحين هذا "الوقت الأفضل" أبداً. ومن بين السبل التي استطاع من خلالها الباحثون التحايل على مشكلة التحيز للحاضر هذه هي إلزام المستخدمين بالتقيد بالتزامات ملموسة حيال توقيت إنجاز عملهم المؤجل. وكلما كان الوقت محدداً كان ذلك أفضل. في سياق تحديثات البرامج، تستطيع جهات التوظيف تقديم يد المساعدة بالتيسير على الموظفين التقيد بالتزام ملموس بالتحديث. على سبيل المثال، عند إصدار تحديث جديد، يستطيع المدير إرسال رسالة بالبريد الإلكتروني تملي على الموظفين تخصيص وقت محدد على جدول أعمالهم لاستكمال التحديث. إن الإجراء البسيط الذي يحمل الموظفين على الالتزام مسبقاً يمكن أن يحول دون دائرة المماطلة المفرغة ووأدها في المهد.
قارن الموظفين بنظرائهم
يميل الناس إلى التطلع إلى الآخرين، خصوصاً الأقرب إليهم شبهاً، ليتعلموا كيف يتصرفون. وهذه الظاهرة، التي تعرف باسم الدليل الاجتماعي، يمكن أن تكون لها آثار قوية على سلوك البشر، وتتجلى قوتها تحديداً متى كان السلوك المنشود غامضاً وملتبساً، كما هو الحال مع النظافة السيبرانية. استخدمت منصة أوباور Opower، المتخصصة في إشراك الزبائن لدى مزودي خدمات المرافق، هذه الرؤية الثاقبة وحققت نتائج رائعة. ترسل الشركة مخططاً صغيراً للبيانات مرفقاً بفواتير مرافق المنازل يُظهر كمية الكهرباء التي يستهلكها المنزل مقارنةً بالبيوت العادية في الجوار، وكذلك مقارنةً بأكثر المنازل كفاءة من حيث استخدام الكهرباء. وهذه الإشارة العابرة إلى أداء البيوت الأخرى تُقلل متوسط استهلاك الكهرباء بنسبة 2% للبيت الواحد، وهو ما يعتبر تحولاً هائلاً على النطاق الأكبر.
إن ما أثبته هذا التدخل وغيره من التدخلات الشبيهة هو أن الناس لا يحتاجون في واقع الأمر إلى أن يروا رأي العين الآخرين وهم يمارسون سلوكاً بعينه، وإنما يكفيهم أن يتعرفوا على ممارساتهم له. وفي الأجواء المؤسسية، يستطيع المدراء تعزيز الدليل الاجتماعي لمساعدة الموظفين على التعرف على السلوكيات المنشودة وتشجيعهم على تبنيها. على سبيل المثال، تستطيع جهات التوظيف إجراء استبيان للموظفين حيال العديد من السلوكيات والتدابير الوقائية التي يستخدمونها على شبكة الإنترنت، وتسجيل نقاط بناءً على تلك السلوكيات. وبعدها، يمكنهم إعداد تقارير للجميع، ومقارنتهم بالموظف العادي، وكذلك بالموظفين الأكثر دأباً، وإمدادهم بخطوات قابلة للتنفيذ يمكنهم الإقدام عليها لتحسين نقاطهم. من الممكن أن يؤدي هذا التدخل البسيط بالدليل الاجتماعي إلى قدر أكبر من الامتثال عبر المؤسسة.
تحويل التدريب التوعوي إلى منظومة للملاحظات المستمرة
من بين الرؤى الثاقبة البارزة المستخلصة من علم السلوكيات هي أنك لو أمددت أحدهم بالتدريب، فقد تزيد معرفة الناس، لكن من المستبعد أن تغير سلوكياتهم. غالباً ما يتم التدريب بغرض التوعية على النحو التالي: يدخل الموظفون مرة واحدة في السنة إلى قاعة ما لساعة أو اثنتين ليحاضرهم مدرب خبير بالتوعية، ويعودون بعدها إلى مكاتبهم، ويتجاهلون أغلب ما تعلموه. وهناك أسباب عدة وراء حدوث ذلك: فتركيز الأفراد محدود، وليس بوسعهم استيعاب المعلومات التي تعلموها جميعها في اللحظة، وربما ليس لديهم إحساس ملموس بتحويل ما تعلموه إلى إجراءات قابلة للتنفيذ، ومن ثّم فإنهم لا يغيرون سلوكهم، وربما كانوا واثقين بشكل مبالغ فيه بأن أياً من الأخطار التي تعرفوا عليها لا تسري عليهم تحديداً - "لن يحدث ذلك لي أبداً!" - والقائمة لا تنتهي.
ومن بين السبل التي يجوز أن تُحسّن بها المؤسسات فعالية التدريب التوعوي أن تحوله إلى عملية مستمرة، وأن تضيف ملاحظات ليتعرف الموظفون على المواقف التي يُخفقون فيها، وما يمكنهم فعله لتفادي الإخفاقات في المستقبل. على سبيل المثال، لتجعل قوتك العاملة أقدر على مواجهة هجمات الاحتيال والتصدي لها، قد يستقر رأيك على توظيف برنامج مثل "فيشمي" (Phishme) الذي يرسل رسائل بريد إلكتروني احتيالية زائفة للموظفين بشكل منتظم، ويقدم علاجاً للمشكلة عندما يقع المستخدمون فريسة للهجوم. ثمة عمليات شبيهة يمكن تنفيذها لمساعدة الموظفين على تفادي الروابط الخبيثة، وتذكّر تحديث برامجهم، وأن يتبنوا السلوكيات المفيدة، مثل استخدام المصادقة الثنائية، وتشغيل الشبكة الافتراضية الخاصة عند ولوج شبكة غير آمنة، واستغلال المزيد من كلمات المرور الأكثر أمناً.
وفي نهاية الحديث عن الأمن السيبراني في الشركات، إذا واصلنا محاولة استغلال التقنية لحل المشكلات التي هي في الأصل مشكلات بشرية، فسنظل عرضة للهجمات. ولكن، إذا تبنينا منهجاً يضع في الاعتبار السياق الذي يُحتمل أن يقترف فيه البشر أخطاءً، فمن الأرجح أن نجد حلولاً مستدامة سوف تُبقينا ومؤسساتنا آمنين من الأشرار بسبب معرفتنا حق المعرفة ما هو الأمن السيبراني.
اقرأ أيضاً: