يجد المخربون طرقاً جديدة ومبتكرة لشن هجمات سيبرانية ضد المؤسسات في دولة الإمارات العربية المتحدة؛ سواء كان ذلك عبر اختراق البريد الإلكتروني للأعمال (BEC) أو التصيد الاحتيالي أو برامج الفدية. وفقاً لتصريحات المدير الإقليمي لدى بروف بوينت في الشرق الأوسط وأفريقيا، إميل أبوصالح، التي أدلى بها لـ«الرؤية».
وقال إن المخربين يلاحقون الهدف نفسه بشكل متزايد، ويستهدفون الموظفين بدلاً من البنية التحتية.
وأضاف، لا يمثل الموظفون أهداف الهجمات السيبرانية الكبيرة فحسب، بل يُنظر إليهم أيضاً على أنهم أكثر عرضة لارتكاب الخطأ من الأدوات والتقنيات المؤتمتة.
وهذا ما أكده أغلبية كبار مسؤولي الأمن الإلكتروني وأمن المعلومات في دولة الإمارات. في الواقع، يعتقد أكثر من النصف أن الخطأ البشري ونقص الوعي الأمني هما أكبر خطرين ضد منظماتهم.
وبينما يدرك كبار مسؤولي الأمن الإلكتروني وأمن المعلومات المخاطر والعواقب، فإن الكثير يكافحون من أجل حماية أعمالهم، سواء كان ذلك بسبب استراتيجيات غير فعالة أو قلة اهتمام على مستوى مجلس الإدارة أو قلة الوعي بالأمن السيبراني. وكل ما سبق يستدعي الحاجة إلى التغيير.
التكيف مع النهج الجديد
وقال أبوصالح، إن الدفاع ضد الهجمات السيبرانية المتمركزة حول الأفراد يتطلب تبني نهج جديد يتمثل في إدراج الموظفين ضمن استراتيجية الدفاع السيبراني. ولبناء ونشر مثل هذه الاستراتيجية، يجب علينا أولاً أن نفهم نوع وتكرار الهجمات التي تواجه مؤسستنا.
وأفاد كبار مسؤولي الأمن الإلكتروني وأمن المعلومات في دولة الإمارات الذين شملهم الاستطلاع الذي أجريناه في الدولة أنهم قد تعرضوا لهجوم إلكتروني واحد على الأقل في العام 2019، بينما أبلغ أكثر من نصفهم عن عدة حوادث.
وتتصدر الهجمات التي تتمحور حول الأفراد قائمة الهجمات السيبرانية. وتم الإبلاغ عن اختراق الحسابات من قبل 28٪ من المؤسسات يليه التصيد الاحتيالي (20٪) والتهديدات الداخلية (17٪) والتصيد الاحتيالي (15٪) وهجمات اختراق البريد الإلكتروني للأعمال ( (15٪).
وإن لم يكن تكرار هذه الهجمات أثار القلق بشكل كاف، فإن معدلات نجاحها يجب أن تسبب قلقاً بالغاً.
وشكل اختراق البريد الإلكتروني للأعمال BEC خسائر تقدر بـ 1.7 مليار دولار العام الماضي بينما كانت 55٪ من المنظمات ضحايا لهجوم تصيد ناجح واحد على الأقل.
وربما تكون العواقب بالنسبة للأعمال التي تندرج تحت الإحصاءات سالفة الذكر بعيدة المدى مثل خفض الإيرادات والتأثير السلبي على سمعة الشركة، وربما تلجاً المؤسسات إلى التوقف عن العمل ناهيك عن والرسوم القانونية والتعويض والعلاج.
ومن خلال فهم نوع الهجمات الشائعة وتواترها وعواقبها فقط، يمكننا تزويد أولئك الموجودين في الخطوط الأمامية بالمعلومات الكافية والتوعية المطلوبة للدفاع ضد أي هجمات. ولسوء الحظ، لا يزال هذا الجانب يحتاج إلى مزيد من الجهد وتنظيم العديد من الورش التدريبية.
وأضاف، على الرغم من المخاطر العالية، فإن معظم المؤسسات في دولة الإمارات تجري ورشة عمل تدريبية حول الوعي الأمني مرة واحدة فقط أو مرتين في السنة - مع تنفيذ 2٪ فقط من برنامج التعليم المستمر. وينعكس هذا الانحفاض المستمر في التعليم والتثقيف سلباً على مستويات وعي الموظفين.
وأشارت دراسة حديثة لـ Proofpoint إلى أن ثلثي القوى العاملة العالمية فقط على دراية بمصطلح «التصيد الاحتيالي» - حيث تلقى 1 من أصل كل 4 رسائل بريد إلكتروني للتصيد الاحتيالي واعترف 10٪ بالنقر على الروابط الضارة داخلها.
وبناء على ذلك، ليس من المستغرب أن 21٪ فقط من كبار مسؤولي الأمن الإلكتروني وأمن المعلومات في دولة الإمارات يوافقون بشدة على أن أعمالهم مستعدة لردع أي هجوم إلكتروني. ويتضح أن مسألة المخاطر السيبرانية وكيفية الاستعداد للتصدي لها على رأس جداول أعمال معظم المنظمات، فإن الواقع غالباً ما يكون بعيداً عن الحالة المرغوبة.
تطبيق الوعي على أرض الواقع
إن مسألة الوعي حول الأمن السيبراني المقتصر فقط على مستوى المجلس ليس كافياً. يمكن للدفاع السيبراني المرتكز على الأفراد أن يكون فعالاً فقط عندما يكون على مستوى الشركة. ويمكن للموظفين عبر كل المستويات الوظيفية أن يعرضوا المؤسسات للخطر بطرق عديدة، وهذا ما يعرفه جيداً كبار مسؤولي الأمن الإلكتروني وأمن المعلومات.
تعزيز وبناء دفاع سيبراني يتمحور حول الأفراد
تستدعي الهجمات التي تتمحور حول الأفراد الحاجة إلى تعزيز وعيهم للتصدي إليها. يمكن أن يكون الموظفون عبر جميع المستويات الوظيفية هدفاً للمخربين، لذلك يجب على المؤسسات التأكد من أن جميع القوى العاملة لديها مجهزة بالمعرفة والأدوات اللازمة للدفاع ضد جميع أنواع التهديدات.