كاسبرسكي: انتهاكات الموظفين لأمن معلومات شركاتهم تسبب نفس ضرر الاختراق
تاريخ النشر: 12th, December 2023 GMT
تعد انتهاكات الموظفين لسياسات أمن المعلومات في شركاتهم بخطورة هجمات المخترقين الخارجيين. ففي العامين الماضيين، كان سبب 47% المملكة العربية السعودية، من الحوادث السيبرانية في الشركات هو انتهاك الموظفين المتعمد للبروتوكول الأمني. ويكاد هذا الرقم يساوي أضرار الشركات الناجمة عن انتهاكات الأمن السيبراني التي كان الاختراق سبب 38% منها.
يسود اعتقاد بأن الخطأ البشري هو أحد الأسباب الرئيسية للحوادث السيبرانية في الشركات، غير أن المسألة ليست واضحة بوضوح الأبيض والأسود. حيث تعتبر حالة الأمن السيبراني في أي شركة أكثر تعقيداً، وتدخل في معادلتها عوامل أكثر من ذلك. مع أخذ هذا في الاعتبار، أجرت كاسبرسكي دراسة لمعرفة آراء متخصصي أمن تكنولوجيا المعلومات في الشركات الصغيرة والمتوسطة والمنظمات الكبيرة في جميع أنحاء العالم حول التأثير البشري على أمن الشركات السيبراني. إذ تهدف الدراسة إلى جمع معلومات حول تأثير مجموعات مختلفة من الأشخاص على الأمن السيبراني، سواء كانوا موظفين داخليين أو أشخاص خارج الشركة.
كشفت دراسة كاسبرسكي أنه بالإضافة إلى الأخطاء الحقيقية، كانت انتهاكات الموظفين لسياسة أمن المعلومات من أكبر المشاكل التي تواجه الشركات. حيث ادعى مشاركون من شركات حول العالم أن الإجراءات المتعمدة لخرق قواعد الأمن السيبراني قام بها كل من الموظفين غير المتخصصين في مجال تكنولوجيا المعلومات وأيضاً المتخصصين في المجال خلال العامين الماضيين.
قال المشاركون إن ارتكاب موظفي أمن تكنولوجيا المعلومات مثل هذه الانتهاكات للسياسة تسبب في 31% من الحوادث السيبرانية في العامين الماضيين. كما تسبب انتهاك متخصصو تكنولوجيا المعلومات الآخرون للبروتوكولات الأمنية بحوالي 22% من الحوادث السيبرانية، أما زملاؤهم من غير المتخصصين في المجال فتسببوا بحوالي 9% من الحوادث السيبرانية.
أما بالنسبة إلى سلوك الموظفين الفردي، فإن المشكلة الأكثر شيوعاً هي أن الموظفين يتعمدون فعل الممنوع، وبالمقابل يفشلون في أداء المطلوب. بالتالي، يرى المشاركون أن 27% من الحوادث السيبرانية في العامين الماضيين حدثت بسبب استخدام كلمات مرور ضعيفة أو الفشل في تغييرها في الوقت المناسب. وكان سبب انتهاكات الأمن السيبراني الآخر هو زيارة الموظفين لمواقع إلكترونية غير آمنة، والذي تسبب في 27% من الانتهاكات. وأفاد 23% آخرون أنهم واجهوا حوادث سيبرانية لأن الموظفين لم يقوموا بتحديث برامج نظامهم أو تطبيقاته عندما لزم ذلك.
ومن المقلق أن المشاركين يعترفون أنه إلى جانب السلوك غير المسؤول المذكور سابقاً، فإن 27% من الإجراءات الخبيثة ارتكبها موظفون لتحقيق مصالح شخصية. ومن النتائج الأخرى المثيرة للاهتمام هي أن انتهاكات الموظفين الخبيثة عمداً لسياسة أمن المعلومات كانت مشكلة كبيرة نسبياً في شركات الخدمات المالية، وذلك حسب ما أفاد 34% من المشاركين في هذا القطاع.
قال أليكسي فوفك، رئيس قسم أمن المعلومات في شركة كاسبرسكي: «إلى جانب تهديدات الأمن السيبراني الخارجية، هناك العديد من العوامل الداخلية التي يمكن أن تؤدي إلى وقوع حوادث في أي شركة. كما تظهر الإحصائيات، يمكن أن يؤثر الموظفون من أي قسم - سواء كانوا متخصصين في تكنولوجيا المعلومات أو غير متخصصين - سلباً على أمن الشركات السيبراني عن قصد أو عن غير قصد. ولهذا، من المهم اعتبار طرق تمنع انتهاكات أمن المعلومات عند ضمان الأمان، أي تنفيذ نهج متكامل للأمن السيبراني. وفقاً لأبحاثنا، بالإضافة إلى كون 26% من الحوادث السيبرانية ناجمة عن انتهاك سياسات أمن المعلومات، فإن 38% من الانتهاكات تحدث بسبب أخطاء بشرية. هذه الأرقام مثيرة للقلق، لذا من الضروري ترسيخ ثقافة الأمن السيبراني في الشركة منذ البداية من خلال تطوير السياسات الأمنية وإنفاذها، فضلاً عن رفع مستوى وعي الموظفين بالأمن السيبراني. وبالتالي، سيتعامل الموظفون مع القواعد الأمنية بمسؤولية أكبر وسيفهمون العواقب المحتملة لانتهاكاتهم بوضوح.»
المصدر: بوابة الوفد
كلمات دلالية: الامن السيبراني كاسبرسكي الحوادث السيبرانية مواقع إلكترونية
إقرأ أيضاً:
الرقابة المالية تعزز إجراءات الأمن السيبراني في المؤسسات المالية بإجراءات جديدة
تابع أحدث الأخبار عبر تطبيق
أصدرت الهيئة العامة للرقابة المالية، برئاسة الدكتور محمد فريد، الكتاب الدوري رقم (3)، بشأن إجراءات تعزيز الأمن السيبراني في مؤسسات قطاع التمويل غير المصرفي.
ويأتي ذلك ضمن مساعي الهيئة الرامية لتسريع وتيرة التحول الرقمي دعما لجهود الحكومة المصرية الرامية لزيادة مستويات الشمول المالي واستفادة أكبر قاعدة من المواطنين بالخدمات المالية غير المصرفية، مع التأكيد على الأهمية القصوى لالتزام المؤسسات المالية غير المصرفية بمتطلبات الأمن السيبراني لاستقرار الأسواق وحماية المتعاملين واستدامة الأعمال.
وتسري هذه الإجراءات والمتطلبات على المؤسسات المالية غير المصرفية المرخص لها بمزاولة أنشطة التمويل غير المصرفي أحد الأنشطة التي تنظمها وتراقبها الهيئة العامة للرقابة المالية، باستخدام أحد مجالات التكنولوجيا المالية، وكذا الشركات الجديدة الراغبة في الحصول على ترخيص بمزاولة أنشطة التمويل غير المصرفي باستخدام التكنولوجيا المالية.
وتتضمن أنشطة التمويل غير المصرفي التي تخضع لإشراف ورقابة الهيئة، أنشطة التمويل العقاري والتأجير التمويلي والتخصيم والتمويل الاستهلاكي وتمويل المشروعات الصغيرة والمتوسطة ومتناهية الصغر.
وتأتي هذه الجهود بالتوازي مع تسارع وتيرة جهود الهيئة لرقمنة المعاملات المالية غير المصرفية، وذلك بعد إصدارها حزمة من القرارات التنفيذية وذلك إنفاذاً للقانون رقم 5 لسنة 2022 والذي يوفر الإطار التنظيمي والتشريعي لتنظيمه وتنمية استخدام التكنولوجيا في الأنشطة والخدمات المالية غير المصرفية، وتضمن القانون مواد تنظم حقوق والتزامات المؤسسات المالية غير المصرفية الراغبة في تقديم خدماتها المالية غير المصرفية باستخدام التكنولوجيا المالية.
فيما ألزم الكتاب الدوري، مؤسسات قطاع التمويل غير المصرفي باتخاذ كافة الإجراءات الواجبة لتعزيز منظومة الأمن السيبراني لديها وحماية الأنظمة والبيانات ذات الحساسية، على أن يشمل ذلك كل من التجهيزات والبنية التكنولوجية وأنظمة المعلومات ووسائل الحماية والتأمين الواردة في قرار مجلس إدارة الهيئة رقم 139 لسنة 2023، والمتضمن ضوابط أمن المعلومات الواردة في قرار وأن تكون قاعدة بيانات عملاء المؤسسة داخل مصر.
مع العمل على إعداد أطر عمل لحوكمة تكنولوجيا المعلومات وإدارة مخاطر تكنولوجيا المعلومات، وكذلك لإدارة الأمن السيبراني، وموافاة الهيئة بهم بعد اعتمادها من مجلس إدارة أمناء المؤسسة، وكذلك تفعيل آليات التأمين الملائمة وفق طبيعة منتجات التمويل الرقمي التي تقدمها مؤسسات التمويل من خلال إبرام وثيقة تأمين ضد مخاطر الأمن السيبراني، حال امتد الخطر إلى قرصنة معلومات أو بيانات مالية خاصة بعملاء المؤسسة بما يؤدي لضرر مادي ملموس لديهم، وتعكس قيمة الأصول المؤمن عليها إجمالي قيمة محفظة منتجات التمويل لديها محل احتمالية تحقق هذا الخطر ووفق القواعد التي تصدر عن الهيئة في هذا الشأن.
على أن يتم موافاة الهيئة بالخطة الزمنية اللازمة لتوفيق الأوضاع وتنفيذ التعليمات المنصوص عليها، وذلك في مدة لا تتجاوز 30 يوم عمل من تاريخه، ويشمل ذلك كل المؤسسات القائمة التي تمارس أعمالها أو جزء من أعمالها بالوسائل والآليات الرقمية، على أن تتضمن الخطة المشار إليها خطوات تنفيذ التعليمات والضوابط الخاصة بالبنية التكنولوجية وأمن المعلومات خلال مدة لا تتجاوز 6 أشهر من تاريخ صدور الكتاب الدوري.
أما خطة تنفيذ باقي البنود فيجب أن تكون في مدة لا تتجاوز 12 شهرًا من التاريخ ذاته، مع مراعاة إرسال المتطلبات وتسليم المستندات المشار إليها بعاليه في صورة إلكترونية، وكذلك نسخة مطبوعة موجهة لقطاع تكنولوجيا المعلومات بالهيئة.
جدير بالذكر أن الرقابة المالية تعمل على توفير وتهيئة بيئة عمل آمنة على مستوى البيانات ومستقرة على مستوى الأسواق وكذلك المؤسسات المالية غير المصرفية وذلك لتعزيز دور القطاع المالي غير المصرفي في الاقتصاد الوطني.
ومع بدء الاعتماد على التطبيقات التكنولوجية تنشأ مخاطر وخاصة محاولات اختراق البيانات والتي تهدد أمن البيانات وتنال من استقرار الأسواق، مما جعل من الضروري دفع سرعة العمل على تطوير سياسات وأنظمة عمل تعزز من مستويات حوكمة التكنولوجيا المالية والتأكد من استخدام المؤسسات المالية غير المصرفية لها بما يعزز من مستويات الاستقرار بالأسواق.
يأتي ذلك في إطار خطة الهيئة لتعزيز الأمن السيبراني بكافة الشركات الخاضعة لرقابة الهيئة، وبدأت بنشاط التأمين، حيث أصدرت الرقابة المالية الكتاب الدوري رقم 3 لسنة 2023 بشأن إجراءات تعزيز الأمن السيبراني بشركات التأمين، ويقصد بالأمن السيبراني العمل على حماية الأنظمة والشبكات والبرامج ضد أي هجمات رقمية قد تنال من البيانات وتهدد استقرار الأسواق.
البافاري يعلن عن صفقة جديدة