في زمن تتسارع فيه وتيرة التحول الرقمي وتتشابك فيه الهجمات الإلكترونية بقدر غير مسبوق، لم يعد الأمن السيبراني خيارًا تقنيًا يُدار في غرف أقسام تقنية المعلومات فحسب، بل أصبح ركيزة أساسية لضمان استمرارية الأعمال وحماية الأصول الحيوية. ومع ذلك، كشفت دراسة حديثة أجرتها كاسبرسكي في الشرق الأوسط وتركيا وأفريقيا عن فجوة معرفية مقلقة داخل بيئات العمل في السعودية. هذه الفجوة تهدد الشركات والمؤسسات على اختلاف أحجامها، وتجعلها عرضة لمخاطر جمة.
فجوة معرفية مقلقة في الأمن السيبراني بالسعودية
أظهرت الدراسة، التي حملت عنوان: (الأمن السيبراني في أماكن العمل: سلوكيات الموظفين ومعارفهم)، والتي أُعلنت نتائجها في معرض بلاك هات 2025 في الرياض، أن نصف الموظفين فقط في المملكة العربية السعودية تلقوا تدريبًا على مواجهة التهديدات الرقمية. وتكتسب هذه النتائج أهمية مضاعفة في ظل حقيقة أنّ الخطأ البشري ما زال سببًا رئيسيًا لمعظم الاختراقات السيبرانية، مما يجعل الاستثمار في تدريب الموظفين ليس خيارًا تكميليًا، بل جزءًا أساسيًا من بنية الدفاع الرقمي لأي مؤسسة. الوعي بالتهديدات السيبرانية يتزايد عالميًا، لكنه لا يزال غير كافٍ في العديد من المؤسسات السعودية.
الهندسة الاجتماعية: استغلال العامل النفسي في الهجمات الإلكترونية
لم تعد الهجمات الإلكترونية تستهدف نقاط الضعف في الكود البرمجي فحسب، بل تُصمَّم اليوم لتجاوز الدفاعات الرقمية عبر استغلال علم النفس البشري. أساليب الهندسة الاجتماعية، وفي مقدمتها رسائل التصيد الاحتيالي، تعتمد على خداع الموظفين واستغلال ثقتهم الطبيعية أو استعجالهم لاتخاذ قرارات غير صحيحة، تدفعهم لمشاركة بيانات حساسة أو تنفيذ معاملات احتيالية دون إدراك. وقد أظهرت دراسة كاسبرسكي أن نحو 45.5% من العاملين واجهوا خلال العام الماضي رسائل احتيالية انتحلت صفة مؤسساتهم أو زملائهم أو شركائهم من الموردين، والمثير للقلق أن 16% منهم عانوا عواقب وخيمة ومباشرة بعد هذه الاتصالات الخادعة.
مخاطر العنصر البشري تتجاوز التصيد الاحتيالي
ولا تتوقف المخاطر عند هذا الحد، إذ تشمل المشكلات الأمنية الأخرى المرتبطة بالعنصر البشري: كلمات المرور المخترقة، وتسريب البيانات الحساسة، واستخدام أنظمة أو تطبيقات غير محدثة، والاعتماد على أجهزة غير مؤمنة أو غير مُشفّرة. هذه الممارسات غير الآمنة تفتح الباب أمام اختراقات البيانات وتضر بسمعة المؤسسات.
التدريب على الأمن السيبراني: خط الدفاع الأول
يمكن تحصين المنظومة الدفاعية بالكامل وتجنب الهجمات السيبرانية الناجمة عن الخطأ البشري عبر الاستثمار الفعّال في التدريب الملائم ونشر الوعي الأمني. فقد أقر 14% من المشاركين في استطلاع الرأي الذي أجرته كاسبرسكي، بارتكابهم أخطاءً تقنية بسبب ضعف معرفتهم بأساسيات الأمن السيبراني. وفي الوقت ذاته، تظهر الإحصاءات أن التدريب من أقوى الوسائل وأكثرها فعالية لتحسين مستوى الوعي الأمني بين الموظفين غير المختصين في تكنولوجيا المعلومات؛ فقد فضّله 62% من الموظفين على البدائل الأخرى مثل القصص التوعوية الإرشادية (23%) أو الإشارة إلى المسؤولية القانونية (44%). وتؤكد هذه النتائج أن التدريب الممنهج على الأمن السيبراني لم يعد مجرد خيار، بل أصبح عنصرًا حاسمًا، يجب إدراجه كركيزة أساسية في منظومة الدفاع الإستراتيجية لأي مؤسسة.
أهم المواضيع التدريبية المطلوبة في مجال الأمن السيبراني
عندما أتيحت الفرصة للمشاركين لاختيار مواضيع تدريبية، جاءت أولوياتهم لتعكس المخاطر اليومية التي يواجهونها:
- حماية بيانات العمل السرية (43.5%)
- أمان الحسابات وكلمات المرور (38%)
- المواقع الإلكترونية والإنترنت (36.5%)
- استخدام الشبكات الاجتماعية وتطبيقات المراسلة (32%)
- الأجهزة المحمولة (31.5%)
- البريد الإلكتروني (29%)
- العمل من بُعد (24%)
- التعامل مع خدمات الذكاء الاصطناعي التوليدي (16.5%)
بالإضافة إلى ذلك؛ يفضل ربع المشاركين تقريبًا (25%) الخضوع لجميع التدريبات المذكورة، مما يؤكد الطلب الواسع على التعليم الشامل للأمن السيبراني.
الأمن السيبراني: مسؤولية جماعية وليست حكراً على قسم تقنية المعلومات
توضح نتائج الدراسة أن الموظفين يمتلكون الاستعداد الكامل لتحسين مهاراتهم في الأمن السيبراني، ومع ذلك لا يكمن النجاح في التدريب فقط، بل في وجود برامج تدريبية منظمة ومحكمة تُقدَّم وفق منهجية تراعي اختلاف الأدوار الوظيفية ومستويات المعرفة التقنية. فالتدريب الفعّال يجب أن يكون مستمرًا، وعمليًا، وتفاعليًا، ليترسخ كجزء من الممارسات اليومية للموظفين، ويساعدهم في استيعاب المفاهيم وتطبيقها بثقة.
وعندما تتبنى المؤسسات هذا الشكل من التعلم المُتخصص، فإنها تلبي جميع احتياجاتها الدفاعية، وتغرس عقلية (الأمن أولًا) بين موظفيها، وهكذا يتحول الموظفون بفضل هذا الاستثمار من ثغرات محتملة إلى مجموعة من الحراس اليقظين، الذين يستطيعون اتخاذ قرارات أمنية واعية وكذلك التعامل مع التهديدات بذكاء واستباقية. ويؤكد محمد هاشم، المدير العام لشركة كاسبرسكي في المملكة العربية السعودية والبحرين، الأهمية البالغة لعدم حصر الأمن السيبراني في قسم تقنية المعلومات وحده، قائلًا: “لا ينبغي حصر الأمن السيبراني في قسم تقنية المعلومات وحده؛ فالفهم المشترك للمخاطر الرقمية يجب أن يشمل الجميع،بدءًا من الإدارة العليا ووصولًا إلى المتدربين، لما لذلك من أهمية بالغة. إن بناء مؤسسة قوية يتطلّب تمكين كل موظف من المعرفة اللازمة لاكتشاف محاولات الاحتيال، وتجنّب الأخطاء الجسيمة، والتحوّل إلى حارس أمين لبيانات الشركة”.
تعزيز الجاهزية الأمنية للمؤسسات في السعودية
أوصت كاسبرسكي المؤسسات باتخاذ خطوات عملية لتعزيز قدراتها الدفاعية، ومن أبرزها:
- تطبيق حلول فعالة للمراقبة والأمن السيبراني، مثل سلسلة منتجات Kaspersky Next.
- توفير برامج تدريبية وتوعوية للموظفين عن الأمن السيبراني. فعلى سبيل المثال، تساعد منصة كاسبرسكي للتوعية الأمنية الآلية أقسام تكنولوجيا المعلومات والموارد البشرية في تزويد الموظفين بمهارات عملية في مجال الأمن السيبراني.
- تطبيق سياسات أمنية للموظفين تشمل استخدام كلمات المرور، وتثبيت البرامج، وتجزئة الشبكة.
- تكريس ثقافة الأمن عبر تشجيع الموظفين على الإبلاغ عن الأنشطة المشبوهة، ومكافأة السلوكيات الأمنية الاستباقية لتعزيز السلوكيات والعادات الجيدة بينهم.
الاستثمار في الأمن السيبراني ليس مجرد تكلفة، بل هو استثمار في استمرارية الأعمال وحماية الأصول الحيوية للمؤسسات السعودية في مواجهة التهديدات الرقمية المتزايدة.