كتب _ محمد عبد النور:
عادةً ما تُعزى الحوادث السيبرانية الناجمة عن «العامل البشري» إلى أخطاء عرضية يرتكبها الموظفون، ولكن غالباً ما يتم التغاضي عن عنصر آخر مهم: سلوك الموظفين الخبيث عمداً. حيث وجدت دراسة جديدة أجرتها شركة كاسبرسكي أنه خلال العامين الماضيين، واجهت 78% من الشركات في منطقة الشرق الأوسط وتركيا وأفريقيا حوادث سيبرانية بأشكال مختلفة، وكانت23% من هذه الحوادث في المنطقة ناجمة عن سلوك خبيث متعمد من الموظفين.
بشكل عام، تنقسم التهديدات السيبرانية الداخلية إلى نوعين رئيسيين: التهديدات غير المتعمدة والمتعمدة. التهديدات غير المتعمدة أو العرضية هي أخطاء يرتكبها الموظفون عن غير قصد مثل الوقوع ضحية التصيد الاحتيالي وحيل الهندسة الاجتماعية الأخرى، أو إرسال معلومات حساسة وسرية إلى الشخص الخطأ، وما إلى ذلك.
في المقابل، يرتكب التهديدات المتعمدة موظفون داخليون خبيثون يتعمدون اختراق أنظمة أصحاب عملهم. وعادةً ما يفعلون ذلك لتحقيق مكاسب مالية من بيع البيانات الحساسة أو بدافع الانتقام. ويكون هدفهم تعطيل أو إيقاف العمليات التجارية المنتظمة لشركاتهم، وكشف نقاط الضعف التقنية، والحصول على معلومات سرية.
يعد الموظفون ذوو النوايا الخبيثة الأكثر خطورة من بين جميع الموظفين الذين قد يفتعلوا حوادث سيبرانية، فتتفاقم التهديدات التي تشكلها أفعالهم لعدة عوامل هي:
• يتمتع الموظفون الداخليون بمعرفة مفصلة عن بنية شركتهم التحتية وعملياتها، بما في ذلك أنهم يفهمون أدوات أمن المعلومات المستخدمة في الشركة.
• لا يحتاج الموظفون إلى اختراق شبكة الشركة، فهم موجودون بالفعل داخلها وليسوا بحاجة لاستخدام هجمات التصيد الاحتيالي، أو هجمات الجدار الناري، أو غيرها لاختراق نظام الشركة من الخارج.
• يحظى الموظفون بزملاء وأصدقاء داخل الشركة، مما يسهّل عليهم استخدام حيل الهندسة الاجتماعية.
• تحفز دوافع قوية الموظفين ذوي النوايا الخبيثة لإلحاق الضرر بشركتهم.
تعد المكاسب المالية أحد الأسباب الرئيسية التي تدفع الموظفين إلى ارتكاب أعمال خبيثة ضد صاحب عملهم. وغالباً ما يعني ذلك سرقة معلومات حساسة بهدف بيعها لطرف خارجي مثل المنافسين، أو حتى بيعها بمزاد علني على شبكة الإنترنت المظلم ليشتريها المجرمون السيبرانيون الراغبون بمهاجمة الشركات.
وقد يؤدي فصل أحد الموظفين إلى ارتكابه سلوك خبيث بدافع الانتقام، ربما باستغلال علاقاته مع الموظفين الآخرين. ولكن الاحتمالية الأسوأ تحدث إذا احتفظ الموظف المفصول بإذن تسجيل الدخول إلى حساب عمله عن بعد لأن الشركة لم تقم بإلغاء قدرته على الوصول إلى أنظمة الشركة.
كما يمكن أن يتصرف الموظفون بشكل خبيث عندما يكونون غير راضين عن وظائفهم أو «للانتقام» من صاحب العمل الذي لم يمنحهم زيادة في الراتب أو ترقية متوقعة.
ويحدث نوع مميز آخر من الأعمال الخبيثة عندما يتعاون موظف واحد أو موظفون عدّة مع جهة خارجية لاختراق شركة ما. في كثير من الأحيان، تتضمن هذه الحوادث مجرمين سيبرانيين يقومون بضم موظف واحد أو موظفين عدّة إلى صفهم لتنفيذ أنواع مختلفة من الهجمات. وهناك أيضاً حالات تتعاون فيها جهات خارجية، مثل المنافسين أو الأطراف المعنية الأخرى، مع الموظفين للحصول على البيانات الحساسة للشركة.
بما يخص هذا الموضوع قال «أليكسي فوفك»، رئيس قسم أمن المعلومات في شركة كاسبرسكي: «فاعلو الأعمال الخبيثة موجودون في كل مكان، سواء في المؤسسات الضخمة أو الشركات الصغيرة، ويستحيل توقعهم. لذلك، يجب على الشركات بناء نظام أمني حديث، ومرن، وشفاف يجمع بين الحلول الأمنية الفعالة، وبروتوكولات الأمان الذكية، وبرامج تدريب الموظفين داخل وخارج قسم تكنولوجيا المعلومات للحماية من هذا التهديد. بالإضافة إلى ذلك، من الضروري استخدام المنتجات والحلول التي تحمي بنية الشركة التحتية. على سبيل المثال، يحتوي حل Kaspersky Endpoint Detection and Response Optimum الخاص بنا على ميزة التحكم المتقدم في الحالات الشاذة التي تساعد على رصد ومنع الأنشطة المشبوهة والأنشطة الخطيرة المحتملة، سواء كان مرتكبها يعمل من داخل الشركة أو خارجها.»
للوقاية من التهديدات الخبيثة الداخلية، توصي شركة كاسبرسكي بما يلي:
• احرص على تنفيذ برامج تدريبية لتحسين معرفة الموظفين بأمن المعلومات وتمنع الإخلال المتعمد بسياسات أمن المعلومات في الشركة. بادر إلى تعزيز الوعي الأمني عند الموظفين، وذلك بتثقيفهم عبر البرنامج التدريبي المتاح على منصة Kaspersky Automated Security Awareness، الذي يعلمهم السلوك الآمن على شبكة الإنترنت.
• استثمر في البرامج التدريبية ذات الصلة للمتخصصين في مجال أمن تكنولوجيا المعلومات. يساعد تدريب Kaspersky Cybersecurity for IT Online على بناء أفضل الممارسات الأمنية البسيطة والفعالة وسيناريوهات بسيطة للاستجابة للحوادث عند مسؤولي تكنولوجيا المعلومات بشكل عام، بينما يعمل برنامج Kaspersky Expert Training على تزويد فريق شركتك الأمني بأحدث المعلومات والمهارات اللازمة لإدارة التهديدات، والتخفيف منها.
• تساعد ميزة التحكم المتقدم في الحالات الشاذة الموجودة في Kaspersky Endpoint Security for Business Advanced وKaspersky Total Security for Business وKaspersky Endpoint Detection and Response Optimum على منع حدوث الأنشطة الخطيرة المحتملة سواء قام بها الموظف أو بدأها المهاجم الذي تولى السيطرة على النظام.
• تحكم وضع حدوداً لاستخدام الأجهزة الشخصية والتطبيقات والخدمات الخارجية. حيث يوفر حلّا Kaspersky Endpoint Security for Business، وKaspersky Endpoint Security Cloud ميزات تحكم في التطبيقات والويب والأجهزة بما يحدّ من استخدام التطبيقات والمواقع الإلكترونية والأجهزة الطرفية غير المصرح لها، وهذا يقلل بشكل كبير من مخاطر الإصابة حتى حينما يستخدم الموظفون أجهزة، أو تطبيقات، أو خدمات غير مصرح بها لنقل البيانات.
• استخدم منتجات تعطي صلاحيات المسؤول للموظفين عندما يحتاجونها فقط. إذ يوفر حل Kaspersky Endpoint Security for Business وصولاً قائماً على الأدوار إلى عناصر وحدة تحكم إدارة Kaspersky Security Center، وبالتالي لا يتمتع جميع المسؤولين بالتحكم الكامل في وظائف الأمان.
• يتمتع حل Kaspersky Security for Internet Gateway أيضاً بميزة تصفية المحتوى لمنع نقل البيانات غير المرغوب فيها بغض النظر عن نوعها، أو حالة حماية المنصة، أو سلوك مستخدمي النقاط الطرفية داخل الشبكة.
