عادةً ما تُعزى الحوادث السيبرانية الناجمة عن العامل البشري إلى أخطاء عرضية يرتكبها الموظفون، ولكن غالبًا ما يُتغاضى عن عنصر آخر مهم، وهو أخطاء الموظفين التي تُرتكب عمدًا. وقد وجدت دراسة جديدة أجرتها شركة كاسبرسكي أنه خلال العامين الماضيين، واجهت 87% من الشركات في الإمارات العربية المتحدة حوادث سيبرانية بأشكال مختلفة، وكانت 25% من هذه الحوادث ناجمة عن خطأ متعمد من الموظفين.
بشكل عام، تنقسم التهديدات السيبرانية الداخلية إلى نوعين رئيسيين: التهديدات غير المتعمدة والمتعمدة. التهديدات غير المتعمدة أو العرضية هي أخطاء يرتكبها الموظفون عن غير قصد مثل: الوقوع ضحية للتصيد الاحتيالي وحيل الهندسة الاجتماعية الأخرى، أو إرسال معلومات حساسة وسرية إلى الشخص الخطأ، وغير ذلك.
في حين؛ يرتكب التهديدات المتعمدة موظفون داخليون يتعمدون اختراق أنظمة شركاتهم، وعادةً ما يفعلون ذلك لتحقيق مكاسب مالية من بيع البيانات الحساسة أو بدافع الانتقام. ويكون هدفهم تعطيل العمليات التجارية المنتظمة لشركاتهم أو إيقافها، وكشف نقاط الضعف التقنية، والحصول على معلومات سرية.
يُعد الموظفون ذوو النوايا الخبيثة الأكثر خطورة من بين جميع الموظفين الذين قد يفتعلون حوادث سيبرانية، وتتفاقم التهديدات التي تشكلها أفعالهم لعدة عوامل هي:
- يتمتع الموظفون الداخليون بمعرفة مفصلة عن بنية شركتهم التحتية وعملياتها، بما يشمل فهم آلية عمل أدوات أمن المعلومات المستخدمة في الشركة.
- لا يحتاج الموظفون إلى اختراق شبكة الشركة، فهم موجودون بالفعل داخلها وليسوا بحاجة إلى استخدام هجمات التصيد الاحتيالي، أو هجمات الجدار الناري، أو غيرها لاختراق نظام الشركة من الخارج.
- يحظى الموظفون بزملاء وأصدقاء داخل الشركة، مما يسهّل عليهم استخدام حيل الهندسة الاجتماعية.
تُعد المكاسب المالية أحد الأسباب الرئيسية التي تدفع الموظفين إلى ارتكاب أعمال خبيثة تجاه شركاتهم، وغالبًا ما يعني ذلك سرقة معلومات حساسة بهدف بيعها لطرف خارجي مثل المنافسين، أو حتى بيعها في مزاد علني عبر شبكة الإنترنت المظلم ليشتريها المجرمون السيبرانيون الراغبون في مهاجمة الشركات.
وقد يؤدي فصل أحد الموظفين إلى ارتكابه سلوكًا متعمدًا بدافع الانتقام، ربما باستغلال علاقاته مع الموظفين الآخرين. ولكن الاحتمال الأسوأ يحدث إذا احتفظ الموظف المفصول بإذن تسجيل الدخول إلى حساب عمله مِن بُعد لأن الشركة لم تقم بإلغاء قدرته على الوصول إلى أنظمة الشركة. كما يمكن أن يتصرف الموظفون بهذا الشكل عندما يكونون غير راضين عن وظائفهم أو للانتقام من صاحب العمل الذي لم يمنحهم زيادة في الراتب أو ترقية متوقعة.
ويحدث نوع مميز آخر من الأعمال الخبيثة عندما يتعاون موظف واحد أو موظفون عدّة مع جهة خارجية لاختراق شركة ما. وفي كثير من الأحيان، تتضمن هذه الحوادث مجرمين سيبرانيين يقومون بضم موظف واحد أو موظفين عدّة إلى صفهم لتنفيذ أنواع مختلفة من الهجمات.
وهناك أيضًا حالات تتعاون فيها جهات خارجية، مثل: المنافسين أو الأطراف المعنية الأخرى، مع الموظفين للحصول على البيانات الحساسة للشركة.
وتعليقًا على هذا الموضوع؛ قال أليكسي فوفك؛ رئيس قسم أمن المعلومات في شركة كاسبرسكي: “فاعلو الأعمال الخبيثة موجودون في كل مكان، سواء في المؤسسات الضخمة أو الشركات الصغيرة، ويستحيل توقعهم. لذلك، يجب على الشركات بناء نظام أمني حديث، ومرن، وشفاف يجمع بين الحلول الأمنية الفعالة، وبروتوكولات الأمان الذكية، وبرامج تدريب الموظفين داخل قسم تكنولوجيا المعلومات وخارجه للحماية من هذا التهديد. بالإضافة إلى ذلك، من الضروري استخدام المنتجات والحلول التي تحمي بنية الشركة التحتية. على سبيل المثال، يحتوي حل Kaspersky Endpoint Detection and Response Optimum الخاص بنا على مزية التحكم المتقدم في الحالات الشاذة التي تساعد في رصد الأنشطة المشبوهة والأنشطة الخطيرة المحتملة ومنعها، سواء كان مرتكبها يعمل من داخل الشركة أو خارجها”.
وصايا خبراء كاسبرسكي:
للوقاية من التهديدات الخبيثة الداخلية، يوصي خبراء كاسبرسكي الشركات بتطبيق الإجراءات الأمنية التالية:
- احرص على تنفيذ برامج تدريبية لتحسين معرفة الموظفين بأمن المعلومات ومنع الإخلال المتعمد بسياسات أمن المعلومات في الشركة. بادر إلى تعزيز الوعي الأمني عند الموظفين، وذلك بتثقيفهم عبر البرنامج التدريبي المتاح في منصة Kaspersky Automated Security Awareness، الذي يعلمهم السلوك الآمن عبر شبكة الإنترنت.
- استثمر في البرامج التدريبية ذات الصلة بالمتخصصين في مجال أمن تكنولوجيا المعلومات، وهنا سيزود برنامج Kaspersky Expert Training فريق شركتك الأمني بأحدث المعلومات والمهارات اللازمة لإدارة التهديدات، والتخفيف منها.
- تساعد مزية التحكم المتقدم في الحالات الشاذة الموجودة في Kaspersky Endpoint Security for Business Advanced و Kaspersky Total Security for Business و Kaspersky Endpoint Detection and Response Optimum في منع حدوث الأنشطة الخطيرة المحتملة؛ سواء قام بها الموظف أو بدأها المهاجم الذي تولى السيطرة على النظام.
- ضع حدودًا لاستخدام الأجهزة الشخصية والتطبيقات والخدمات الخارجية. إذ يوفر حل Kaspersky Endpoint Security for Business، و Kaspersky Endpoint Security Cloud مزايا تحكم في التطبيقات والأجهزة بما يحد من استخدام التطبيقات والمواقع الإلكترونية والأجهزة الطرفية غير المصرح لها، وهذا يقلل بشكل كبير من مخاطر الإصابة حتى حينما يستخدم الموظفون أجهزة، أو تطبيقات، أو خدمات غير مصرح بها لنقل البيانات.
- استخدم منتجات تعطي صلاحيات المسؤول للموظفين عندما يحتاجونها فقط. إذ يوفر حل Kaspersky Endpoint Security for Business وصولًا قائمًا على الأدوار إلى عناصر وحدة تحكم إدارة Kaspersky Security Center، ومن ثم لا يتمتع جميع المسؤولين بالتحكم الكامل في وظائف الأمان.
- يتمتع حل Kaspersky Security for Internet Gateway أيضًا بمزية تصفية المحتوى لمنع نقل البيانات غير المرغوب فيها بغض النظر عن نوعها، أو حالة حماية المنصة، أو سلوك مستخدمي النقاط الطرفية داخل الشبكة.