فجر تقرير تقني مفاجأة خطيرة تتعلق بحالات الاختراق للشركات في المملكة العربية السعودية، وتقاعس موظفي الشركات عن الإبلاغ عنها، إذ يخفي الموظفون حالات اختراق تكنولوجيا المعلومات في 44% من الشركات العاملة في السعودية، وذلك وفقاً للتقرير الصادر عن شركة "كاسبرسكي لاب و"B2B International" بعنوان: "أثر العامل البشري في أمن تكنولوجيا المعلومات: كيف يجعل الموظفون الشركات عرضة للاختراق الأمني من الداخل".
وأوضح التقرير أن الموظفين يتسببون في حدوث 46% من حالات الاختراق الأمني سنوياً على نطاق عالمي، ما يستدعي ضرورة تصحيح هذه الثغرات الأمنية الناشئة في الشركات من خلال التعاون بين مختلف الإدارات وليس فقط عن طريق إدارة أمن تكنولوجيا المعلومات.
وقال التقرير إن القراصنة الأكثر تطوراً قد يستخدمون دائما البرمجيات الخبيثة المصممة حسب الطلب والتكنولوجيا فائقة التطور للتخطيط لعمليات القرصنة والسطو، وهم يستهلّون هجماتهم باستغلال الحلقة الأضعف والأسهل للدخول إلى شبكة الضحية وهي الكوادر البشرية أو الموظفين، مشيراً إلى أن الحقيقة المحزنة تتمثل في أن العامل البشري المتجدد قد يشكل مخاطر أكبر من ذلك بكثير.
وقال ديفيد جاكوبي الباحث الأمني في كاسبرسكي لاب: "كثيراً ما يتخذ مجرمو الإنترنت من موظفي الشركة بوابة ينفذون منها إلى داخل البنية الأساسية للشركة، وقد شهدنا مختلف أنواع الهجمات، كالتصيد عبر رسائل البريد الإلكتروني واختراق كلمات المرور الضعيفة والمكالمات الوهمية الواردة بفعل الدعم التقني وغيرها"، لافتاً إلى أن الموظفين اللامبالين وغير الواعين والمهملين، كثيراً ما يكون لهم دور في حدوث الهجمات المتطورة والموجهة ضد الشركات، ما تسبب في نشر العدوى الخبيثة.
وشدد التقرير على أهمية تدخل الموارد البشرية والإدارة العليا في الحالات الأمنية، لأن إقدام الموظفين على إخفاء حالات الاختراق المتورطين فيها، قد يؤدي إلى حدوث عواقب وخيمة وتفاقم الأضرار الكلية الناتجة عن ذلك، مشيراً إلى أن هناك بعض الموظفين الذين يفضلون تعريض الشركة للمخاطر بدلاً من الإبلاغ عن أي مشكلة تعترضهم، إما لأنهم يخشون العقاب أو يشعرون بالحرج لكونهم المسؤولين عن ارتكاب الخطأ.
وأكد أن حماية أمن الإنترنت لا ينحصر فقط في التكنولوجيا وحدها ولكن أيضاً في نهج عمل الشركة وما تقدمه لموظفيها من برامج تدريبية، وهنا يأتي دور الموارد البشرية والإدارة العليا.
وفي هذا الصدد قال سلافا بوريلن مدير برنامج التوعية الأمنية في كاسبرسكي لاب، إن التوعية بشأن مشكلة إخفاء حالات الاختراق لا ينبغي أن تقتصر على الموظفين فقط، بل يجب أن تشمل أيضاً مسؤولي الإدارة العليا وإدارات الموارد البشرية، وفي حال إقدام الموظفين على إخفاء أي من تلك الحالات، فلا بد أن يكون هناك سبب يدفعهم لذلك.
ونبه إلى خطورة السياسات الصارمة التي تطبقها بعض الشركات على موظفيها والضغوط عليهم والتحذيرات من أنهم سيتحملون المسؤولية تجاه أي أخطاء يتم ارتكابها، وقال إن هذه السياسات تكرس المخاوف في نفوس الموظفين بحيث لا تترك أمامهم سوى خيار واحد فقط لتجنب العقاب مهما كلف الأمر، وانه في حال كانت ثقافة الأمن الإلكتروني في الشركات إيجابية وتستند على أساس تربوي وتعليمي، بدلاً من تلك القائمة على القيود المفروضة من أعلى إلى أسفل الهرم الإداري، فإن النتائج ستكون إيجابية بالتأكيد.
وتطرق التقرير إلى بيئة الشركة وأجواء العمل، وقال إن الشركات حول العالم بدأت تدرك بالفعل بأن موظفيهم يتسببون في جعل شركاتهم عرضة للاختراق الأمني، حيث أقرت الشركات المستطلعة في المملكة العربية السعودية بأن الموظفين يشكلون أكبر نقطة ضعف في أمن تكنولوجيا المعلومات لديها، ومن هنا برزت الحاجة إلى تطبيق إجراءات قائمة على الموظفين، وتسعى 37% من الشركات السعودية إلى تحسين الأمن من خلال تقديم التدريب للموظفين، مما يجعلها الطريقة الثانية الاكثر انتشاراً في مجال الدفاع الإلكتروني، وهي تأتي في المرتبة الثانية فقط، من حيث تطبيق البرامج الأكثر تطوراً، وذلك وفقاً لآراء 41% من الشركات السعودية.
وفيما يتعلق بتكنولوجيا الأمن، ذكر التقرير ان معظم التهديدات المصممة لاستهداف الموظفين غير المدركين للمخاطر الأمنية أو اللامبالين، بما فيها هجمات التصيد الإلكتروني، من الممكن معالجتها والوقاية منها عن طريق حلول أمن نقاط النهاية التي تمتلك القدرة على تلبية هذه الاحتياجات، خصوصاً بالنسبة للشركات الصغيرة والمتوسطة سواء من حيث خصائصها المثبتة أو إمكانية تعريفها مسبقاً لتحديد نوع الحماية أو إعدادات الحماية الأمنية المتقدمة المتوفرة فيها، وذلك للحد من المخاطر.