التدريب ضرورة لتحقيق الأمن الإلكتروني

يكشف كل حادث جديد في الأمن الإلكتروني عن تزايد تعقيد الهجمات، ويفضح أيضًا نقص استعداد المؤسسات من مختلف القطاعات حتى مع إنفاق بعضها ملايين الدولارات لاقتناء تقنيات دفاعية متقدمة. وليس ثمة وصفة مضمونة للنجاة من الهجمات الإلكترونية تعتمد على التكنولوجيا وحدها.

وفي الواقع لا تكمن المصادر الرئيسية للتهديدات الإلكترونية في التكنولوجيا، وإنما في الدماغ البشري، وتظهر في الفضول والجهل واللامبالاة. ويتساوى خطرها مع تهديد البرمجيات الخبيثة. ولذلك فإن استعداد القادة والموظفين سواءً كانوا داخل المؤسسات أو في شبكات علاقاتها الخارجية هو خط الدفاع الأول.

ويُفاقم كسل القيادات وعدم استعدادها عواقب الاختراقات الأمنية، كما ظهر في اختراق “ياهو” الذي كشفت عنه في 2016، وكلف الشركة والمساهمين 350 مليون من صفقة اندماجها مع “فيرافيزون” وكاد أن يُنهي الاتفاق بأكمله.

وتحتاج المؤسسات للموازنة بين أساليب الردع والحماية ودفاعات مرنة تُركز على الدور الإنساني وتشمل أساليب استباقية واتخاذ قرارات أسرع وأكثر وضوحًا. وفي ذلك عليها التعامل مع ثلاث حقائق صعبة:

الأولى: تطور الأخطار الإلكترونية وفقًا لقانون مور ما يعني تضاعف قوتها سريعًا، وبالتالي لا تنجح الحلول التقنية أبدًا في مواكبة التهديدات الإلكترونية المُتغيرة.

الثانية: الدفاع أكثر صعوبة من الهجوم كحال إدارة مختلف أنواع المخاطر. ويكفي المهاجمون إحراز الفوز مرة واحدة لإلحاق أضرار هائلة بالمؤسسات.

الثالثة: يتوافر لدى المهاجمين الصبر والوقت للتجربة والإعداد، وفي المُقابل قد تقنع المؤسسات بأساليبها الدفاعية المعتادة.

ويكمن الضرر في التفكير أن نظم الدفاع الشاملة تكفي وحدها. ومن الأفضل أن تفترض المؤسسات أن دفاعاتها عرضة للاختراق وتُدرب الموظفين على الخطوات التالية. وبدلًا من إدارة المخاطر، ينبغي عليها الاهتمام بسرعة التصرف والمرونة في مواجهة الأخطار، وتُجهز مختلف طبقات المؤسسة بتوجيهات لاتخاذ القرارات وحدود احتمال الخطر.

وبالإضافة إلى ضرورة فهم جميع الموظفين واجباتهم فيما يخص سياسة المؤسسات واستخدام الإنترنت، يتوجب تدريبهم لاكتشاف الأنشطة المشبوهة. وتتمثل السمة الأساسية للمخاطر الإلكترونية في الشعور بالخطأ والتصرف حياله بما يجعل الجميع، دون استثناء، جزءًا من شبكة أمان عصبية. ومثلًا بدأت مواجهة اختراق نظام سويفت المصرفي، الذي أدى لسرقة نحو 81 مليار دولار، باكتشاف موظف في مصرف ألماني خطأ في التهجئة.

وإلى جانب الاستثمار في تدريب العاملين، ينبغي على المسؤولين التنفيذيين والمديرين والقيادات البارزة تعلم تقييم الأطراف الخارجية التي يتعاملون معها مثل المتعاقدين والمستشارين والموردين، وجميعهم يتصلون بشبكات المؤسسات وكان بعضهم سببًا لحوادث اختراق خطيرة للأمن الإلكتروني والبيانات كما حدث في متاجر “تارجت” و”هوم ديبوت” الأمريكية وغيرهما.

وحتى الآن لا يحصل تدريب الأمن الإلكتروني على التمويل الكافي داخل المؤسسات، وتتجلى عواقب هذا النقص في العدد الضخم من الهجمات الإلكترونية والاختراقات. ويُضاف إلى ذلك عدد كبير من حوادث الاختراق التي تكتشفها المؤسسات مُبكرًا ولا تُعلن عنها حفاظًا على سمعتها.

وبحسب دراسة أجُريت العام الماضي قال المشاركين أن المصادر الداخلية سببت نصف حوادث الأمن الإلكتروني التي أسفرت عن كشف معلومات خاصة أو حساسة دون قصد. وتشمل الأخطار الداخلية أنشطة مشبوهة وأخطاء الموظفين كالوقوع ضحية لرسائل التصيد.

ومن المُمكن أن يُثبت الاستثمار في تحسين الاستعداد مخاطر الأمن الإلكتروني فعاليته من ناحية التكلفة، ولاسيما عند مقارنته باعتماد تقنيات دفاعية متقدمة تفقد قيمتها بمضي الوقت. ولا يُقلل ذلك من الدور الحاسم للتكنولوجيا لضمان الأمن السيبراني، لكن كما هو الحال مع استخدام سيارات تتمتع بأحدث تقنات الأمان، يبقى السائق الخبير والمُدَرب جيدًا أفضل وسائل الدفاع.

وعلاوةً على ذلك، قد تفرض القوانين على المؤسسات تبني معايير الأمن. ومثلًا اشترطت أحدث اللوائح من إدارة الخدمات المالية في ولاية نيويورك الأمريكية من الشركات توفير تدريب منتظم حول الأمن لجميع موظفيها. ولا يُمثل هذا سوى البداية لما ستُقدِم عليه هيئات حكومية في مختلف أنحاء العالم. ولذلك يتعين على قادة المؤسسات التيقن أن السبيل لضمان الأمن الإلكتروني لا يتمثل في نهجٍ ذي بعد واحد أو أداة فائقة التطور، وإنما في تقديم الاستعداد البشري على دفاعات التكنولوجيا.

المصدر

الصورة