كتب _ محمد عبد النور:
اكدت دراسة حديثة أن الشركات معرضة بشكل متزايد لخطر الحوادث السيبرانية بسبب لجوء بعض موظفيها إلى استخدام منتجات تكنولوجية غير مصرّح بها دون علم أقسام تكنولوجيا المعلومات، وسط التوجه المتزايد نحو توزيع القوى العاملة جغرافياً وفق بحث أجرته كاسبرسكي، تعرضت 78% في منطقة الشرق الأوسط وتركيا وإفريقيا من الشركات لحوادث سيبرانية في العامين الماضيين، وكان 10% منها بسبب استخدام منتجات تكنولوجية غير مصرح بها.
أظهرت دراسة حديثة لكاسبرسكي أنه خلال العامين الماضيين، عانت 11% من الشركات عالمياً من حوادث سيبرانية بسبب استخدام الموظفين لمنتجات تكنولوجية غير مصرح بها دون علم أقسام تكنولوجيا المعلومات في تلك الشركات. يمكن أن تتنوع عواقب استخدام التكنولوجيا غير المصرح بها من حيث مستوى الخطورة، ولكن خطورتها دائماً موجودة، سواء كان ذلك تسرّباً لبيانات سرية أو ضرراً ملموساً على الشركات.
ما هي تكنولوجيا المعلومات غير المصرح بها؟
تعد تكنولوجيا المعلومات غير المصرح بها جزءاً من البنية التحتية التقنية للشركة لكنها تقع خارج مجال سيطرة أقسام تكنولوجيا المعلومات وأمن المعلومات، ومنها التطبيقات، والأجهزة، والخدمات السحابية العامة، وما إلى ذلك، ولكن لا يتم استخدامها ضمن سياسات أمن المعلومات في الشركة. يمكن أن يؤدي نشر وتشغيل تكنولوجيا المعلومات غير المصرح بها إلى تبعات سلبية خطيرة على الشركات. وقد عثرت دراسة كاسبرسكي على العديد من الحالات التي كشفت أن صناعة تكنولوجيا المعلومات كانت الأكثر تضرراً، حيث تعرضت لنسبة 16% من جميع الحوادث السيبرانية الناتجة عن الاستخدام غير المصرح به لتكنولوجيا المعلومات في عامي 2022 و2023. وكانت القطاعات الأخرى المتضررة من المشكلة هي البنية التحتية الحيوية ومؤسسات النقل والخدمات اللوجستية، التي شهدت 13% من جميع تلك الحوادث السيبرانية.
تثبت عمليات اختراق شركة Okta الأخيرة بوضوح مخاطر استخدام تكنولوجيا المعلومات غير المصرح بها. فهذا العام، أعطى أحد موظفي الشركة (الذي كان يستخدم حسابه الشخصي على جوجل على جهاز مملوك للشركة) مصادر التهديد وصولاً غير مصرح به إلى نظام دعم العملاء التابع لشركة Okta عن غير قصد. مما مكّنهم من اختراق ملفات تحتوي على معرّفات الجلسات، التي يمكن استخدامها لشن الهجمات. استمرت هذه الحادثة السيبرانية لمدة 20 يوماً وأثرت على 134 من عملاء الشركة وفقاً لتقرير Okta.
تحديد تكنولوجيا المعلومات غير المصرح بها
إذاً، كيف يمكن التعرف على تكنولوجيا المعلومات غير المصرح بها؟ يمكن أن تكون تكنولوجيا المعلومات غير المصرح بها تطبيقات غير مصدّقة مثبتة على حواسيب الموظفين، أو وحدات تخزين، أو هواتف محمولة، أو حواسيب محمولة غير مسجلة، وما إلى ذلك.
ولكن يوجد أيضاً بعض الخيارات الأقل وضوحاً مثل الأجهزة المهجورة المتبقية بعد تحديث أو إعادة تنظيم البنية التحتية التقنية للشركات. إذ يمكن أن يستخدم الموظفون هذه الأجهزة «خفية»، مما يكوّن نقاط ضعف ستصبح جزءاً من بنية الشركة التحتية عاجلاً أم آجلاً.
كما يحدث غالباً، يمكن لمتخصصي تكنولوجيا المعلومات والمبرمجين أن يطوروا برامج مخصصة لتحسين العمل داخل فرق/أقسام شركاتهم، أو لحل المشكلات الداخلية، مما يجعل العمل أسرع وأكثر كفاءة. ومع ذلك، فهم لا يطلبون دائماً التصريح لاستخدام هذه البرامج من قسم أمن المعلومات، وقد ينتج عن ذلك عواقب وخيمة.
قال «أليكسي فوفك»، رئيس قسم أمن المعلومات لدى كاسبرسكي: «يعتقد الموظفون الذين يستخدمون التطبيقات، أو الأجهزة، أو الخدمات السحابية التي لم يصرّح لها قسم تكنولوجيا المعلومات أنه إذا كانت منتجات تكنولوجيا المعلومات هذه تأتي من مزودين موثوقين، فبالتأكيد هي محمية وآمنة. ومع ذلك، يستخدم مزودو المنتجات الخارجيون ما يسمى «نموذج المسؤولية المشتركة» في «شروطهم وأحكامهم». وينص هذا النموذج على أنه بمجرد الموافقة على الشروط والأحكام، يؤكد المستخدمون أنهم سيقومون بإجراء تحديثات منتظمة لهذه المنتجات وأنهم يتحملون المسؤولية عن الحوادث المتعلقة باستخدامها (بما في ذلك تسرّب بيانات الشركة). ولكن في نهاية المطاف، تحتاج الشركات إلى استخدام أدوات للتحكم في تكنولوجيا المعلومات غير المصرح بها عندما يستخدمها الموظفون.
لذا يوفر حلّا Kaspersky Endpoint Security for Business وKaspersky Endpoint Security Cloud هذا التحكم مع ميزات تحكم في التطبيقات، والمواقع الإلكترونية، والأجهزة التي تحد من استخدام التطبيقات، والمواقع الإلكترونية، والأجهزة الطرفية غير المصرح لها. بالطبع، سيظل قسم أمن المعلومات بحاجة إلى إجراء عمليات فحص منتظمة لشبكة شركتهم الداخلية لتجنب الاستخدام غير المصرح به للأجهزة، والخدمات، والتطبيقات غير الخاضعة للرقابة وغير الآمنة.»
بشكل عام، يعد موضوع الاستخدام المنتشر لتكنولوجيا المعلومات غير المصرح بها موضوعاً معقداً لأن العديد من الشركات لا توثّق أي عقوبات سيتم تنفيذها على الموظفين نتيجة مخالفتهم سياسات تكنولوجيا المعلومات في هذا الشأن. علاوة على ذلك، من المفترض أن تصبح تكنولوجيا المعلومات غير المصرح بها واحدة من أكبر التهديدات لأمن الشركات السيبراني بحلول عام 2025. على الجانب المشرق، دوافع الموظفين لاستخدام تكنولوجيا المعلومات غير المصرح بها ليست خبيثة دائماً، بل تكون على العكس من ذلك في كثير من الأحيان. حيث يستخدمها الموظفون في كثير من الحالات كخيار لتوسيع وظائف المنتجات التي يستخدمونها في العمل لأنهم يعتقدون أن مجموعة البرامج المسموح بها غير كافية، أو أنهم ببساطة يفضلون استخدام البرنامج المألوف من حواسيبهم.
توصي كاسبرسكي بما يلي للتقليل من مخاطر استخدام تكنولوجيا المعلومات غير المصرح بها في الشركات:
• اضمن التعاون بين أقسام الأعمال وتكنولوجيا المعلومات لمناقشة احتياجات الشركة الجديدة بانتظام، وللحصول على تعليقات حول خدمات تكنولوجيا المعلومات المستخدمة من أجل إنشاء خدمات تكنولوجيا معلومات جديدة، وتحسين الخدمات القائمة التي تحتاجها الشركات.
• قم بإجراء جرد منتظم لأصول تكنولوجيا المعلومات في الشركة، وقم بفحص شبكتك الداخلية لتجنب ظهور الأجهزة والخدمات غير الخاضعة للتحكم.
• من الأفضل أن تمنح الموظفين وصولاً محدوداً قدر الإمكان إلى الموارد التي يحتاجونها للقيام بعملهم فقط على أجهزتهم. استخدم نظام تحكم في الوصول يسمح فقط للأجهزة المصرح لها بالوصول إلى شبكة الشركة.
• احرص على تنفيذ برامج تدريبية لتحسين معرفة الموظفين بأمن المعلومات. بادر إلى تعزيز الوعي الأمني عند الموظفين، وذلك بتثقيفهم عبر البرنامج التدريبي المتاح على منصة Kaspersky Automated Security Awareness، الذي يعلمهم السلوك الآمن على شبكة الإنترنت.
• استثمر في البرامج التدريبية الهامة للاختصاصيين في أمن تكنولوجيا المعلومات. يساهم التدريب الخاص بأمن المعلومات، الذي تقدمه شركة كاسبرسكي، في إنشاء أفضل الممارسات البسيطة والفعالة المرتبطة بأمن تكنولوجيا المعلومات، ووضع السيناريوهات البسيطة للاستجابة للحوادث لمسؤولي تكنولوجيا المعلومات غير المتخصصين. بينما يزود حل Kaspersky Expert Training فريق الأمن لديكَ بأحدث المعارف والمهارات في مجال إدارة التهديدات والتخفيف من خطورتها.
• استخدم المنتجات والحلول التي تتيح لك التحكم باستخدام تكنولوجيا المعلومات غير المصرح بها داخل شركتك. يوفر حلّا Kaspersky Endpoint Security for Business، وKaspersky Endpoint Security Cloud ميزات تحكم في التطبيقات والويب والأجهزة بما يحدّ من استخدام التطبيقات ومواقع الويب والأجهزة الطرفية غير المصرح لها، وهذا يقلل بشكل كبير من مخاطر الإصابة حتى حينما يستخدم الموظفون تكنولوجيا المعلومات غير المصرح بها، أو يرتكبون أخطاء بسبب افتقارهم إلى عادات السلامة السيبرانية.
• نفّذ جرداً منتظماً لأصول تكنولوجيا المعلومات للتخلص من ظهور الأجهزة والمعدات غير المستخدمة.
• قم بتنظيم عملية مركزية لنشر الحلول المكتوبة داخلياً، بحيث يتعرف عليها متخصصو تكنولوجيا المعلومات وأمن المعلومات في الوقت المناسب.
• احرص على الحد من عمل الموظفين مع خدمات خارجية لطرف ثالث، وإذا استطعتَ فاحظر الوصول إلى موارد تبادل المعلومات السحابية الأكثر شيوعاً.