كشف تقرير صدر مؤخراً عن شركة "هيستاكس تكنولوجي" أن 74% من المؤسسات المشاركة "تشعر بأنها عرضة للتهديدات الداخلية"، مع تأكيد 56% من المتخصصين في مجال الأمن على أن "التهديدات الداخلية أصبحت أكثر حدوثاً" خلال العام الماضي.
وعندما يتعلق الأمر بالجريمة الرقمية، من السهل تصور أن أبرز التهديدات وأكبرها تكون خارجية المصدر، إلا أن الشركات باتت تدرك إمكانية أن يشكل الموظفون الموثوقون والمدربون تهديداً كبيراً على أمنها.
وفي حين تكون بعض الهجمات والخروقات ناجمة عن الموظفين الذين يحملون مشاعر سلبية تجاه شركاتهم، قد يحدث الكثير منها أيضاً بسبب الإهمال، سواء بسبب تجاهل التحذيرات أو عدم اتباع الإجراءات المعتمدة، أو بسبب الأخطاء البشرية البسيطة. وحددت "إسيت"، الشركة الرائدة على مستوى العالم في مجال البرمجيات الأمنية الاستباقية وحلول الحماية الأمنية، ثلاثة أنواع من الموظفين الذين يمكن لهم أن يتسببوا بحدوث خروقات البيانات.
وعندما يتعلق الأمر بخروقات البيانات، يمكن للعاملين الأبرياء التسبب بأضرار جمة تماماً كالقراصنة ومجرمي الإنترنت؛ ويتمثل أحد الدروس المستفادة في هذا السياق بالدرس الذي تعلمته السلطات في مناطق نورفولك وسوفولك وكامبريدجشاير بالمملكة المتحدة، حيث سجلت سلطات تلك المناطق أكثر من 160 خرقاً للبيانات بين عامي 2014 و2015، وكان أغلبها ناجماً عن أخطاء بشرية (بما يشمل فقدان الهواتف المحمولة وإرسال الرسائل إلى عناوين خاطئة وحتى بيع حزمة ملفات تحتوي على بيانات حساسة إلى أطراف ثالثة).
ويتمثل أحد الأمثلة الأخرى على هذه المسألة باختراق بيانات الشركة الفيدرالية لتأمين الودائع (FDIC) عام 2016، حيث قام أحد الموظفين السابقين "دون قصد أو نوايا خبيثة" بتحميل بيانات حساسة على جهاز تخزين شخصي.
ومع حالات كهذه، ليس من المستغرب أن تبدي نسبة 74% من الجهات المشاركة بدراسة "هيستاكس" قلقها الشديد حيال هذا النوع من خروقات البيانات غير المقصودة.
ويدرك المستخدمون ماهية تحذير الأمان الذي يومض على شاشاتهم – فهل يقوم هؤلاء المستخدمون باتخاذ إجراءات فورية؟ كشفت دراسة استقصائية أجرتها شركة "غوغل" عام 2013 عن تجاهل 25 مليون من رسائل التحذير الخاصة ببرنامج تصفح الإنترنت "كروم" في 70.2% من الأوقات، ويعزى هذا الأمر بصورة جزئية إلى غياب المعرفة التقنية لدى المستخدمين، الأمر الذي دفع شركة التكنولوجيا العملاقة لتبسيط اللغة التي تستخدمها في رسائل التحذير الخاصة بها.
ولسوء الحظ، وجنباً إلى جنب مع الأخطاء البشرية، تلعب النوايا الخبيثة لدى الموظفين دوراً ملموساً في حدوث خروقات البيانات الداخلية. ويتضح هذا الأمر من خلال قصة هيئة تنظيم الاتصالات بالمملكة المتحدة (OFCOM) التي اكتشفت في عام 2016 أن أحد الموظفين السابقين كان يقوم بجمع بيانات الأطراف الثالثة سراً. ويتمثل الأمر المفاجئ بأن هذا النشاط الخبيث كان يحدث على مدى فترة استمرت لست سنوات.
وبدورها، وقعت "موريسونز"، علامة متاجر السوبرماركت العملاقة في المملكة المتحدة، ضحية أحد الموظفين الساخطين الذي قام بنشر بيانات شخصية لما يقارب 10 آلاف من موظفي الشركة على شبكة الإنترنت. وبالرغم من وقوع هذه الحادثة في عام 2014، إلا أن الشركة لا تزال تواجه احتمال اتخاذ المزيد من الإجراءات القانونية من قبل الموظفين بسبب هذا الخرق.
وبحسب دراسة استقصائية أجريت عام 2016، اعتبر 93% من المشاركين بالدراسة أن السلوك البشري يشكل أكبر خطر على حماية البيانات. وتعتقد شركة "نويكس"، التي طلبت إجراء الدراسة، أن الشركات قد تبدأ بلوم الموظفين الذين "يسيئون فهم أو تفسير أو تقدير السياسات والإجراءات الأمنية طويلة الأمد".
ومع تأثير تسرب البيانات الذي يتسبب بالأضرار للشركات، بما يشمل الخسائر المالية والأضرار التي قد تلحق بسمعة الشركات، ليس من المستغرب أن الشركات أصبحت منفتحةً على مسألة إيجاد سبل جديدة لتخفيف والحد من سوء استخدام أجهزة الكومبيوتر.
لعل الخطوة الأكثر منطقية بالنسبة لأصحاب العمل تتمثل في ضمان إدراك جميع الموظفين للتأثير المحتمل الذي قد ينجم عن أفعالهم، وكيفية تجنب فقدان البيانات غير المقصود. ومن المهم أيضاً ضمان مشاركة جميع الموظفين في البرامج التدريبية المناسبة، بدلاً من تفاعلهم بصورة مباشرة مع تكنولوجيا المعلومات.
الحفاظ على أمن المعلومات
وفقاً لستيفن كوب من شركة "إسيت"، "هناك مليون سبب مختلف لتشفير البيانات". وفي حين تعتبر هذه المسألة غير معتمدة من قبل الجميع، لكن يمكن لتشفير البيانات أن يكون جزءاً مهماً من عملية منع فقدان البيانات.
وتتيح مراقبة استخدام أجهزة الكمبيوتر وسلوكيات الأفراد للشركات البقاء على علم ودراية بالأنشطة غير العادية أو الخطيرة وتحديدها. وينبغي أن تتم مراقبة العمل من خلال أسلوب "أحضر جهازك الخاص" (BOYD) المتواجدة في العديد من الشركات وعدم إهمال الجانب الأمني فيها.