الأمن السيبراني 

دليل عملي للإدارات التنفيذية 

جريجوري توهيل وجوزيف توهيل

شركة وايلي للنشر، 2014

الرقم العالمي الموحد للكتاب: 9781118888148

عدد الصفحات: 416

النقاط الرئيسية:

• تُلحق الجرائم الإلكترونية الضرر بالشركات الكبيرة والصغيرة على السواء، وتبلغ جملة الخسائر الناجمة عنها نحو 100 مليار دولار سنوياً.

• من الأهمية اختيار كلمات مرور قوية تتكون من 14 خانة على الأقل وتتغيّر كل ثلاثة أشهر.

• تظل البيانات غير محصّنة تمامًا من الهجمات حتى بعد بناء جُدر الحماية اللازمة، والسبب هو الجهد البشري الذي ينقصه الكمال.

• الجهل بالأمن السيبراني واللامبالاة والسذاجة في اتخاذ الاحتياطات من أهم عوامل نجاح الجرائم الإلكترونية.

• رغم أهمية الإنفاق على الأمن السيبراني لا بد من دراسة العائد مقابل التكلفة.

• مثلما تخصص المنشآت جزءً من ميزانيتها لتأمين الممتلكات والسيارات يجب أن تخصص ميزانية لتأمين نفسها من المخاطر السيبرانية.

• في بعض الأحيان يكون التصرف الصحيح إزاء الاختراقات هو عدم الاستجابة لمطالب المهاجمين.

• عدم اختصاص المديرون التنفيذيون في الأمن السيبراني لن يمنعهم اتخاذ قرارات سليمة بهذا الخصوص.

• إخفاء خبر الهجمات السيبرانية عن العملاء خطأ كبير على قادة الشركات اجتنابه؛ فالعملاء سيتقبلون الصراحة لكنهم لن يتسامحوا مع التكتّم.

الملخص:

قائمة تدقيق المخاطر:

يشكل القراصنة تهديداً مستمراً على كل الشركات، إذ سبق أن استهدفوا شركات جوجل وسوني وداوكيميكال والحكومة الأمريكية بعينها، بل وهاجموا شركات كبرى مثل كوكاكولا مثلما هاجموا جهات أقل شهرة مثل سلسلة متاجر "شناكس". وبالرغم من أن وسائل الإعلام تركّز في تغطيتها على الشركات الكبيرة فقط، إلا أن الهجمات السيبرانية تستهدف الشركات الصغيرة أيضاً وبأعداد متزايدة. وتبلغ الخسائر الناجمة عن الجرائم السيبرانية أكثر من 100 مليار دولار سنويًا، وهي بذلك تجارةٍ ضخمة. تجارة يتمتع قراصنتها بمعرفة متقدّمة بالتكنولوجيا، علاوة عن كونهم بارعون اجتماعياً وتنظيميّا. وهؤلاء القراصنة يشكلون خطراً على كل نشاط ما دام جزءًا من الاقتصاد الحديث، حيث لا توجد صناعة أو منطقة جغرافية أو ملف تجاري محصن من الهجوم السيبراني.

"كثير من مخاطر عصرنا السيبراني هي نفسها المخاطر القديمة لكنها تختلف فقط في الشكل والطرق والصيغ والوسائل."

نقاط الضعف التي يستغلها المخترقون:

• الملكية الفكرية والأسرار التجارية: لا تحتفظ بالمعلومات الحساسة على حاسوبك، واحرص على ابقائها بعيدة عن الهواتف المحمولة. فالأسرار تكون أكثر أماناً عند حفظها في مكان غير متصل بالإنترنت أو حفظها بالطريقة التقليدية مثل الأوراق.

• المنافسون: عادةً ما يخوض منافسوك التحدي بشرف، ولكن قد يقوم بعضهم من عديمي المبادئ بتوظيف الجواسيس لسرقة أسرار منشأتك، فانتبه.

• حفظ البيانات على الحاسوب: مجرد حفظ السجلات والبيانات على أجهزة الحاسوب يؤدي إلى خلق نقاط ضعف وثغرات.

• الوصول إلى الإنترنت: على الرغم مما يتوفر من جدران الحماية (firewall) والتشفيرات وغيرها من أساليب التأمين، تظل أنظمتك الداخلية على بعد خطوة واحدة فقط من الاختراق إذا كانت متصلة بالإنترنت.

• منافذ "USB": تخلق منافذ "USB" نقاط ضعف أمنية، وقد اتضح ذلك من هجوم دودة "ستوكسنت" الحاسوبية الخبيثة التي تصيب نظام الويندوز.

• أقراص "DVD" وأقراص "CD": ربما تكون قد نسيت أجهزة التخزين هذه التي كانت تستخدم قديماً، ولكن لم ينساها لصوص البيانات! حيث استخدم الجندي الأمريكي "برادلي مانينغ" قرص "CD" لاختراق جدار الحماية العسكري لنقل معلومات سرية إلى موقع "ويكيليكس."

• حفظ البيانات في مكان خارجي: يمّكنك تخزين معلوماتك لدى طرف ثالث من الاستمرار في العمل في حالة وقوع كارثة طبيعية أو هجوم إرهابي، ومع ذلك فإنه يعرضك لخطر انتهاك البيانات من الطرف الثالث نفسه.

• تلقيم البيانات: هي وسيلة لتلقي البيانات المحدثة من مصادر البيانات المختلفة، حيث تنشر المؤسسات المالية وتجار التجزئة في التجارة الإلكترونية كميات هائلة من البيانات بسرعات عالية، وهذا أمر ضروري نظراً لطبيعة عملهم، ولكنه يخلق نقاط ضعف وثغرات.

"من مسؤولياتك الأساسية بصفتك مديراً أن تتحكم في المخاطر لتحمي عملك وتخلق بيئة آمنة للنمو والازدهار."

تحاول الجهود المستمرة المبذولة في قطاع التكنولوجيا تقليل أضرار تهديد القرصنة المتزايد، ومن الأمثلة البارزة على ذلك إصدار شركة "مايكروسوفت" تحديثين أمنيين كل ثلاثاء من الأسبوع الثاني من كل شهر، حيث يتيح "تحديث الثلاثاء الأمني" للعاملين في مجال تكنولوجيا المعلومات تحصين أنظمتهم ضد التهديدات الأمنية. وإذ تقع مسؤولية تحقيق الأمن السيبراني على عاتق المؤسسات الفردية ومديريها، فالأمر متروك لك للتعرف على التهديدات التي تتعرض لها مؤسستك. وتتمثل مسؤوليتك بالتحديد في توظيف خبراء في تكنولوجيا المعلومات لتولّي مهمة تأمين منشأتك، إضافة إلى تدريب الموظفين على فهم مخاطر القرصنة وكيفية تجنبها.

كلمات مرور يصعب التنبؤ بها واختراقها:

لغايات احترازية، اختر كلمات مرور أكثر أماناً لشركتك. وتتكون كلمات المرور القوية من أربعة عشر خانة أو أكثر، وتشمل على الأقل على حرفين كبيرين وحرفين صغيرتين ورقمين ورمزين من الرموز الخاصة (مثل @/#/$/%).

"لا يمكنك تحويل البسطاء إلى أذكياءً، لكن يمكنك زيادة وعيهم." (جون فيري، خبير سيبراني")

لكن، لا تعتقد أن مجرد اضافة رمز إلى كلمة المرور سيجعلها غير قابلة للاختراق. ينبغي أن تعلم أن القراصنة يستخدمون برامج تخمّن الآلاف من كلمات المرور، وأنهم يقومون ببحثٍ كافٍ على وسائل التواصل الاجتماعي لتحديد أسماء أفراد عائلتك والفرق الرياضية المفضلة لديك وكل ما من شأنه تحديد كلمة مرورك. وعليك ألّا تعيد استخدام كلمات المرور القديمة، وأن تغيّر كلمات المرور كل ثلاثة أشهر. وإذا وقعت منشأتك ضحية القراصنة فتأكد من قيام الجميع بتغيير كلمات المرور الخاصة بهم وخاصة مسؤولي النظام.

اجتنب الأخطاء الفادحة:

بالرغم من كون جدار الحماية (firewall) حائط منيع لحماية بياناتك، تظل حمايتك عرضة للتقصير البشري. ويجب أن تعلم أن إدارة هذه "المخاطر البشرية" هي مسؤوليتك. وعليك الحذر من هجمات "التصيد الاحتيالي" لأنها شائعة وتتمثل في رسائل بريد إلكتروني مفخخة بالبرامج الحاسوبية الضارة. كما يستخدم القراصنة "التصيُّد بالرمح"، وهو إرسال رسائل بريد إلكتروني معدّة بدقة إلى شخص معين أو مجموعة مقصودة للحصول على نتائج دقيقة. لذا احذر من استخدام القراصنة هذا الأسلوب لحث الموظفين على تنزيل برامج ضارة على حواسيبهم. ويجب أيضاً أن تنتبه إلى أن الرسائل الزائفة تبدو صحيحة للوهلة الأولى، لذا درّب موظفيك على أن يطرحوا ثلاثة أسئلة على أنفسهم قبل فتح أي رسالة ذات مرفق: هل هذه الرسالة ذات صلة بما أقوم به؟ هل كنت في انتظار هذه الرسالة من أحدهم؟ هل المرسل جهة رسمية أو شخصية معروفة؟ عموماً، ثقّف موظفيك حول مخاطر البريد الإلكتروني ووسائل التواصل الاجتماعي، وكن على علم أن القراصنة في بعض الحالات يرسلون فواتير مزيفة ويتحدثون بإقناع عبر الهاتف.

إضافة إلى ما سبق، اجتنب هذه الأخطاء الفادحة:

• الجهل: قد يجهل الموظفون مخاطر الأمن السيبراني ولا يعرفون قواعدك وسياساتك للحد من تلك المخاطر، وفي هذه الحالة يمكنك معالجة هذا النقص عن طريق تدريبهم.

• اللامبالاة: قد يدرك موظفوك المخاطر ويعرفون سياساتك، ولكن لا يتبعون الإجراءات الأمنية المعمول بها. ومن علامات عدم مبالاتهم فشلهم في اكمال في إكمال تدريبات الأمن السيبراني وتجاهلهم قواعد الأمان.

• السذاجة: حتى الأذكياء يقومون بتصرفات ساذجة أحيانًا! وتبين ذلك من خلال تجربة أجريت في منشأة حكومية أمريكية، حيث وضع الباحثون ذاكرات "USB" متنقلة في ساحة اصطفاف السيارات وانتظروا ليروا ما سيحدث، قام الموظفون بالتقاطها وإدخال 60٪ منها في الحواسيب الحكومية، على الرغم من القواعد التي تحظر مثل هذه الأعمال تحديداً.

• الفضول: تستغل هجمات "التصيد الاحتيالي" الفضول البشري، وتدّعي مثلًا تقديم معلومات حول وجود مشكلة في حساب مصرفي يخص المستهدف بالرسالة.

• ضعف القيادة: خذ الأمن السيبراني على محمل الجد. إذا كنت مديراً مهماً، فيجب عليك حضور الدورات التدريبية، وأحرص على أن يدرك موظفوك أهمية الأمن السيبراني.

• عدم المساءلة: هل يتجاهل موظفوك السياسات الأمنية؟ إذا كان الأمر كذلك، افرض عليهم العقوبات، فإذا لم تحاسب أي شخص على أخطائه سيستمر سلوكهم المحفوف بالمخاطر.

التعامل مع المخاطر:

لديك أربع خيارات للتعامل مع خطر الهجمات السيبرانية، اختّر من بينها وفقاً لوضعك الحالي وما يتوفر لمنشأتك من قدرات تقنية وما يحدّق بها من مخاطر:

1. تقليل المخاطر: قد يكون الإنفاق على سد ثغرات دفاعاتك هو الخطة التأمينية الأكثر جدوى، لكن لا تتسرع في هذه الخطوة دون مقارنة العائد مقابل الإنفاق. إذ كثيراً ما تنفق الشركات الملايين في تكنولوجيا المعلومات لتأمين معلومات لا تصل قيمتها إلى نصف المبلغ المنفق، لذا اطرح على نفسك ثلاثة أسئلة عند الإقدام على وضع ميزانية الأمن السيبراني: كيف يمكنني التقليل من هذه المخاطر؟ وكم ستكون التكلفة؟ وكم من الوقت ستستغرق؟

2. إحالة المخاطر (تأمين المخاطر): أوكل مخاطر هجوم الأمن السيبراني إلى جهة معنية لتتولى مسؤوليتها، مثلما توكل مخاطر ممتلكاتك وسياراتك إلى شركات التأمين. وقد تنامى سوق التأمين السيبراني وتجاوزت قيمته مليار دولار، وأصبحت له وثائق تأمين وسياسات تأمينية معروفة تغطي مسؤولية الطرف الثالث عن الأضرار الناجمة عن الخرق بالإضافة إلى تكاليف إدارة الأزمات للطرف الأول مثل تكاليف عمليات التحقيق وتكاليف الإجراءات القانونية وتكاليف موظفي مركز الاتصال.

3. تقبُّل المخاطر: يكون التصرف الصحيح في بعض الأحيان ضد التهديد الأمني هو تجاهله. إذ ربما تكون مخاطرك قليلة أو قد تكون قيمة بياناتك ليست عالية. في كل مرة تتعرّض منشأتك إلى هجوم ما عليك إلا تقدير الأضرار ومن ثم سيتبيّن لك إن كان التجاهل هو التصرّف الأنسب.

4. تجنّب المخاطر: قد تكون المعدات القديمة والبرامج القديمة مليئة بالثغرات الأمنية، لذا ينبغي عليك تحديث الأجهزة والبرامج لتقلل منها. فالتصرف المنطقي هو تجنب المشكلة من البداية عبر استبدال النظام القديم وشراء خوادم وبرامج جديدة أكثر أماناً. ومن طرق تجنب المخاطر عدم إدراج المعلومات الشخصية في السيرة الذاتية الرسمية وإزالة أسماء أطفالك ومعلوماتك سكنك من أي سيرة ذاتية منشورة.

أفضل ممارسات الأمن السيبراني:

على الرغم من أن لكل منشأة تدابير وقائية خاصة تناسب مجال عملها، إلّا أن التدابير التالية مفيدة لفئة كبيرة من الأنشطة:

• توطين سياسات الأمن السيبراني: درّب جميع العاملين على فهم هذه السياسات وممارستها بانتظام.

• ضبط إعدادات البرامج ومواكبة التحديثات: استخدم فقط النسخ المعتمدة والمختبرة من أنظمة التشغيل وبرمجيات مكافحة الفيروسات.

• إعداد اتصالات حدودية وأنظمة كشف تسلل قوية: استعن بطرف ثالث مستقل ليختبر بانتظام قابلية أنظمتك للاختراق.

• رفض الكل والسماح للاستثناءات: يجب أن تكون سياستك الافتراضية هي رفض وصول الجميع إلى الشبكة إلا بإذن؛ لتصفية الحركة على الشبكة وحظر أي زوار غير مرغوبين.

• إعداد تسلسل هرمي للامتيازات (تخصيص الأذونات): السماح للمستخدمين بالوصول إلى المعلومات والخدمات التي يحتاجون إليها فقط؛ لإحباط محاولات الذين يزوّرون الهويات لسرقة معلومات حساسة.

• تشفير كل شيء: تشفير بيانات حاسوب المنزل وحواسيب المكتب والبيانات المتنقلة، وتشفير محركات الأقراص الثابتة على أجهزة الحاسوب المكتبية والمحمولة وغيرها من الأجهزة.

• تثبيت نظام لاكتشاف الاختراقات: يمكنك اكتشاف الانتهاكات الداخلية والهجمات الخارجية وإيقافها على الفور من خلال عمليات المسح الداخلية والخارجية الدقيقة.

• إدراج الأمن السيبراني ضمن أولويات الشركة: امنع استخدام محركات قراءة أقراص "USB" وأجهزة قراءة أقراص "CD"، واسمح باستخدمها ضمن ظروف خاضعة للرقابة. وعند استيراد البيانات وتصديرها قم بتنفيذ "سياسات الامتثال للاتصال"، والتي هي عبارة عن خمس خطوات حاسمة وضعتها وزارة الدفاع الأمريكية للدفاع عن المنظمات من الهجمات الإلكترونية وتخفيف المخاطر، وكذلك لا تسمح بالوصول إلى الشبكة عن بعد إلا في الظروف الخاضعة للرقابة فقط.

• استثمر في موظفي تكنولوجيا المعلومات: كلما زادت مخاطرك زادت الأولوية التي يجب أن توليها لموظفي تكنولوجيا المعلومات لديك، واشتدت حاجتك للاستعانة بخبراء في تكنولوجيا المعلومات ممن حصلوا على التدريب والشهادات المناسبة.

• إبقاء بيانات العمل المهمة بعيدة عن الإنترنت: بعض بياناتك مثل المراسلات العامة ليست ذات قيمة مهمة، ولكن بيانات الملكية الفكرية والأسرار التجارية الخاصة بك لها قيمة عظيمة وعليك تداولها خارج الإنترنت.

إدراك المخاطر:

قادة المنشآت ليسوا بحاجة إلى أن يكونوا خبراء حتى يتخذوا قرارات فعّالة، وما عليهم إلا إثارة هذه الأسئلة ليتبيّن لهم الإجراء اللازم:

• ما هي تهديدات أمننا؟ يتطور مجال الأمن السيبراني باستمرار، لذا ينبغي إعادة فحص نقاط ضعفنا وثغراتنا يومياً.

• ما مدى فعالية أنظمتنا؟ إعداد مقاييس أداء لقياس مدى هشاشة أمننا السيبراني.

• ما مدى ضعفنا؟ قد تعمل أنظمة تكنولوجيا المعلومات لديك بكفاءة، ولكن هذا لا يعني أنها آمنة تمامًا.

• هل لدينا الموظفين المناسبين؟ هل تم تدريبهم جيّدًا؟ وهل يتبعون الإجراءات المناسبة حيث يعد الخطأ البشري تهديداً خطيراً حتى لشبكة تكنولوجيا المعلومات الآمنة.

• هل أنفق المبلغ المناسب على الأمن السيبراني؟ يختلف مبلغ الإنفاق المناسب باختلاف المنشآت، لكن الإنفاق على التدريب والأجهزة والبرمجيات بنود ضرورية.

هجوم الاختراق:

كن متأهّبًا للتصرّف ضد الهجمات حتى قبل وقوعها، واهتم جيّدًا بالرأي العام حتى لا تقع في نفس خطأ شركة سوني عندما تصرّفت بسذاجة إثر هجوم عام 2001م الذي اخترق شبكة "بلاي ستيشن" إذ أصدرت الشركة بياناً مقتضباً متأخراً غير مطمئن حول تسرّب بيانات بطاقات ائتمان المشتركين، في وقت كانت الهواجس تعصف بهم لأيام دون رد من الشركة. ومثال آخر على أخطاء التصرّف هو ما فعلته سلسلة المتاجر "شناكس" عندما اخترق نظامها في العام 2013م إذ رفض مسؤولو الشركة التحدث إلى وسائل الإعلام وقدموا بيانات مكتوبة فقط وتأخر ردّ الرئيس التنفيذي إلى أن فات الأوان فرُفعت على السلسلة دعاوى جماعية من العملاء.

لذا، الإدارة التخطيط لمقابلة الهجمات السيبرانية كما تخطط للكوارث الطبيعية تماماً، مع اتّباع الخطوات التالية بعد أي هجوم:

• تواصل على الفور: قد يتفهم العملاء مكاشفتهم بتعرضهم للاختراق، ولكنهم لن يكونوا متسامحين عند إخفاء أمر الهجوم عنهم.

• استعن باختصاصي علاقات عامة: موظفو العلاقات العامة في منشأتك يكونون عادة غير معتادين على التعامل مع ظروف الهجمات السيبرانية، لذا هناك حاجة للاستعانة باختصاصيين خارجيين عند الأزمات.

• ضع كبار المسؤولين أمام الكاميرات: قد تنجح في إصدار تصرفات ميدانية فعالة ضد الهجمات السيبرانية، ولكن إذا واصلت الامتناع عن الظهور الإعلامي، فسيظن العملاء أنك لا تهتم بمخاوفهم. وعليه، حث المسؤوليك في شركتك على التعامل مع وسائل الإعلام.

• كن كريماً: قدّم تعويضاً للعملاء لمساعدتهم على التغاضي عن الانتهاك الذي تعرضت له معلوماتهم، واعلم أن ذلك مهما كلفك في الحاضر سيوطد علاقتك بهم على المدى الطويل.