كشفت دراسة حديثة أجرتها شركة كاسبرسكي أن انتهاكات الموظفين لسياسات أمن المعلومات في شركاتهم تصل خطورتها إلى خطورة هجمات المخترقين الخارجيين. ففي العامين الماضيين، كان سبب نسبة قدرها 33% من الحوادث السيبرانية في الشركات في دولة الإمارات هو انتهاك الموظفين المتعمد للبروتوكول الأمني. ويكاد هذا الرقم يساوي الأضرار الناجمة في الشركات عن انتهاكات الأمن السيبراني التي كان الاختراق سببَ 36% منها.
يسود اعتقاد بأن الخطأ البشري هو أحد الأسباب الرئيسية للحوادث السيبرانية في الشركات، ولكن المسألة ليست واضحة وضوح الأبيض والأسود. حيث تعتبر حالة الأمن السيبراني في أي شركة أكثر تعقيدًا، وتدخل في معادلتها عوامل كثيرة. ومع أخذ هذا في الحسبان، أجرت كاسبرسكي دراسة لمعرفة آراء متخصصين في أمن تكنولوجيا المعلومات في الشركات الصغيرة والمتوسطة والمنظمات الكبيرة في جميع أنحاء العالم حول التأثير البشري في أمن الشركات السيبراني.
إذ تهدف الدراسة إلى جمع معلومات حول تأثير مجموعات مختلفة من الأشخاص في الأمن السيبراني، سواء كانوا موظفين داخليين أو أشخاصًا خارج الشركة.
وقد كشفت دراسة كاسبرسكي أن انتهاكات الموظفين سياسةَ أمن المعلومات كانت واحدة من أكبر المشاكل التي تواجه الشركات، بالإضافة إلى الأخطاء الحقيقية، حيث ادعى مشاركون من شركات حول العالم أن الإجراءات المتعمدة لخرق قواعد الأمن السيبراني قام بها كل من الموظفين غير المتخصصين في مجال تكنولوجيا المعلومات والمتخصصين في المجال خلال العامين الماضيين.
وقال المشاركون إن ارتكاب موظفي أمن تكنولوجيا المعلومات مثل هذه الانتهاكات للسياسة تسبب في 13% من الحوادث السيبرانية في العامين الماضيين. كما تسبب انتهاك متخصصي تكنولوجيا المعلومات الآخرين للبروتوكولات الأمنية في نحو 23% من الحوادث السيبرانية، أما زملاؤهم من غير المتخصصين في المجال فتسببوا في نحو 5% من الحوادث السيبرانية.
أما فيما يتعلق بسلوك الموظفين الفردي، فإن المشكلة الشائعة بكثرة هي أن الموظفين يتعمدون فعل الممنوع، وبالمقابل يفشلون في أداء المطلوب. ومن ثم يرى المشاركون أن 17% من الحوادث السيبرانية في العامين الماضيين حدثت بسبب استخدام كلمات مرور ضعيفة أو الفشل في تغييرها في الوقت المناسب. وكان سبب انتهاكات الأمن السيبراني الآخر هو زيارة الموظفين لمواقع إلكترونية غير آمنة، الأمر الذي تسبب في 29% من الانتهاكات. وأفاد 29% آخرون أنهم واجهوا حوادث سيبرانية؛ لأن الموظفين لم يقوموا بتحديث أنظمة التشغيل أو التطبيقات عندما لزم ذلك.
ومن المقلق أن المشاركين يعترفون بأنه إلى جانب السلوك غير المسؤول المذكور سابقًا، فإن 25% من الإجراءات الخبيثة ارتكبها موظفون لتحقيق مصالح شخصية. ومن النتائج الأخرى المثيرة للاهتمام أن انتهاكات الموظفين الخبيثة عمدًا لسياسة أمن المعلومات كانت مشكلة كبيرة نسبيًا في شركات الخدمات المالية، وذلك حسب ما أفاد 34% من المشاركين في هذا القطاع.
وتعليقًا على هذه النتائج؛ قال أليكسي فوفك؛ رئيس قسم أمن المعلومات في كاسبرسكي: “إلى جانب تهديدات الأمن السيبراني الخارجية، هناك العديد من العوامل الداخلية التي يمكن أن تؤدي إلى وقوع حوادث في أي شركة. كما تُظهر الإحصائيات، يمكن أن يؤثر الموظفون من أي قسم – سواء كانوا متخصصين في تكنولوجيا المعلومات أو غير متخصصين – سلبًا في أمن الشركات السيبراني عن قصد أو عن غير قصد. ولهذا، من المهم اعتماد طرق لمنع انتهاكات أمن المعلومات، أي تنفيذ نهج متكامل للأمن السيبراني. وفقًا لأبحاثنا، بالإضافة إلى كون 26% من الحوادث السيبرانية ناجمة عن انتهاك سياسات أمن المعلومات، فإن 38% من الانتهاكات ناجمة عن أخطاء بشرية. هذه الأرقام مثيرة للقلق، لذا من الضروري ترسيخ ثقافة الأمن السيبراني في الشركة منذ البداية من خلال تطوير السياسات الأمنية وإنفاذها، فضلًا عن رفع مستوى وعي الموظفين بالأمن السيبراني. ومن ثم سيتعامل الموظفون مع القواعد الأمنية بمسؤولية كبيرة وسيفهمون العواقب المحتملة لانتهاكاتهم بوضوح”.
وصايا خبراء كاسبرسكي:
للحفاظ على البنية التحتية لشركتك آمنة من عواقب انتهاكات الموظفين سياسات أمن المعلومات، يوصي خبراء كاسبرسكي بما يلي: