الأمن السيبراني يُشكّل تحديًّا كبيرًا للقادة في الشرق الأوسط

نعيش في عالم يتّكل بشكل متزايد مع مرور الأيّام على البيانات، حيث تنقل الشركات أنظمتها وعمليّاتها وشبكاتها وبياناتها إلى سحابات تُديرها أطراف ثالثة. في ظلّ هذا الواقع، باتت الهجمات السيبرانية أكثر تعقيدًا، وتُشكّل خطرًا داهمًا على وجود المنظّمات بحدّ ذاته.

أشار المنتدى الاقتصادي العالمي إلى أنّ منظّمة واحدة من بين كل 61 منظّمة تعرّضت لهجمة من برامج الفدية (أو ما يُعرَف بال”رانسوم وير”) أسبوعيًا عام 2021، على صعيد العالم. وبحسب “فوربس”، فإنّ الحكومات ومجالات التصنيع والخدمات والتعليم والرعاية الصحية كانت القطاعات الأكثر تعرّضًا لهجمات برامج الفدية.

يستدعي هذا الواقع إطلاق مبادرات عالمية لمكافحة الجرائم السيبرانية وبلورة استجابة فعّالة لضمان الأمن السيبراني. تحفّز بعض القوانين، منها قانون النظام الأوروبي العام لحماية البيانات (GDPR) وقانون حماية البيانات (DPA) المنظّمات على تعزيز البنى التحتية لأمنها السيبراني وحماية بياناتها من الاختراقات المحتملة.

تُشير صحيفة “ذا ناشونال” إلى أنّ “هجمات البرمجيات الخبيثة في الشرق الأوسط قفزت إلى 161 مليون في النصف الأوّل من العام 2021، إذ أصبحت المنطقة هدفًا لمجرمي الإنترنت وسط تزايد الإقبال على العمل عن بُعد وما رافقه من تحوّل رقمي سريع”. ومن بين المنظّمات المستهدفة نذكر شركة أرامكو السعودية، حيث تمّ تسريب الملفات وطالب المتسلّلون بفدية قيمتها 50 مليون دولار.

وقد أصبحت هذه المسألة من أبرز المخاوف لدى القادة في المنطقة، الذين ينظرون إلى الهجمات السيبرانية على أنّها تُشكّل خطرًا كبيرًا على أمن منظّمتهم ونموّها. زاد هذا الخطر خلال الجائحة، عندما بدأ الناس يعملون عن بعد، وبالتالي بات يُمكنهم الوصول إلى كل شيء على الإنترنت، ممّا خلق حلقات ضعيفة ضمن نظام الشركات. والملفت أنّ العمل عن بُعد سيلازمنا لوقت طويل لأنّ الناس غير مستعدّين للعودة إلى نموذج العمل ما قبل الجائحة.

وبما أنّ محاولات الهجمات السيبرانية من المتوقّع أن تزيد، وتحديدًا في دول مثل المملكة العربية السعودية والكويت والإمارات العربية المتحدة وقطر، التي تُعتبر في صدارة التحوّل الرقمي، يتوجّب على الرؤساء التنفيذيين التعامل مع الأمن السيبراني على مستويات مختلفة.

 اتّخاذ الإجراءات الاستباقية تهيّبًا للتهديدات المحتملة

يرى طوني قزّي، مدير عام شركة Mindware، أنّ “الإجراءات الاستباقية ضرورية في كل منظّمة، لكنّنا نؤمن بأنّ مستويات الخطر والتهديد الراهنة دفعت بكل منظّمة إلى تحديد استراتيجية أمنها السيبراني”. ويتابع قائلًا: “فقد أصبح هذا الموضوع، في السنتين الأخيرتين، مسألةً يُضرب لها ألف حساب، وتربّعت على قائمة أولويات المدراء التنفيذيين. صحيح أنّ الرئيس التنفيذي لشؤون المعلومات و/أو الرئيس التنفيذي لأمن المعلومات يتحمّلان مباشرةً مسؤولية رسم الاستراتيجية الصائبة للأمن السيبراني وإطلاقها وتنفيذها، إلا أنّنا نلمس اليوم انخراط جميع المسؤولين على مستوى الإدارة العليا مباشرةً، ولا سيّما الرؤساء التنفيذيين والرؤساء الماليين، إذ لا يستطيع أحد المخاطرة بهكذا تهديد للشركة”.

في معرض الشرح، يقول نبيل بو دياب، مدير الخدمات في شركة RACKS24: “لم يَعُد مفهوم الأمن التقليدي لمحيط الشركة كافيًا اليوم، إذ أنّ البيانات لم تَعُد محفوظة داخل الشركات – بل أصبحت موزّعة على السحابة وعلى أجهزة المستخدم، خاصّةً وأنّ الموظّفين باتوا يعملون اليوم عن بُعد فيحفظون البيانات على أجهزتهم لأسباب عدّة”.

ويتابع بو دياب قائلًا: “إنّ النقاط التي يجب تأمينها حاليًا هي السحابة، وبصمة وسائل التواصل الاجتماعي، والأجهزة الإلكترونية، وأجهزة الكمبيوتر المحمول ونقاط اللمس – ولم يَعُد التثبّت من الهوية وحده كافيًا. عندما يدخل الموظّفون إلى موارد الشركة عن بُعد، هل هم الوحيدين الذين يتمّ التحقّق من هويّتهم؟ هل أجهزتهم آمنة بما يكفي للوصول إلى البيانات؟ في حال عدم تطبيق الإجراءات الأمنية الكافية على مستوى الأجهزة والاتصال، يصبح التثبت من الهوية بلا جدوى، لأنّ الجرائم السيبرانية تتيح للمتسلّلين اختراق أجهزة المستخدم، وانتظار التثبت من هويتهم ليسرقوا معلوماتهم. وقد تتراوح عواقب الاختراقات الأمنية من دفع جزاء إلى العقوبات التي تفرضها قوانين النظام الأوروبي العام لحماية البيانات (GDPR)، إلى تضرّر سمعة الشركة، وخسارة العملاء، وحتّى خطر الإفلاس”.

بدوره، يقول خليل رزق الله، الرئيس التنفيذي لشركة  kloudr: “يتوجّب على كل منظّمة أن تضع استراتيجية تُعنى بالأمن السيبراني للتصدّي للتهديدات التي قد تؤدّي إلى تسرّب البيانات أو خسارتها. لا بدّ من اتّخاذ الإجراءات الوقائية على مستوى البنى التحتية من خلال تطبيق قواعد جدار الحماية الصحيحة، وإجراءات الوصول عن بُعد وسياسات كلمات المرور، وعلى مستوى التطبيق من خلال تشديد الأمن في مرحلة التطوير، واعتماد الترقيعات الأمنية وتفعيل جدار الحماية لتطبيقات الويب. ومن شأن اختبارات الاختراق من قِبل الأطراف الثالثة المعتمدة أيضًا أن تساعد على كشف أي اختلالات في الإعدادات على كافة المستويات”.

  العمل عن كثب مع إدارة الموارد البشرية لتوعية الموظّفين

في هذا الصدد، يقول قزّي: “تؤدّي إدارة الموارد البشرية دورًا محوريًا في استراتيجية الأمن السيبراني التي تنتهجها الشركة. فكل موظّف، بغضّ النظر عن الإدارة التي يعمل فيها أو منصبه، قد يُشكّل، عن قصد أو بدون قصد، تهديدًا للشركة في حال لم يكن يملك الوعي الكافي، طالما أنّه متّصل بموارد الشركة وبياناتها، سواء في منزله أو في الكتب، من خلال أي من أجهزته”.

يرى مارون فاضل، الشريك الإداري في شركة Aikon Solution أنّ “المعلومات تُشكّل موجودات استراتيجية قيّمة للعديد من المنظّمات، وتساعدنا على اتّخاذ قرارات أفضل. كلّما كانت القرارات التي نتّخذها مهمّة، كلّما زادت قيمة المعلومات التي نستند إليها لاتّخاذ هذه القرارات. إنّ التحلّي بالسرية والمصداقية وتوفّر المعلومات قد يعني أنّ الشركات تمتلك المعطيات لاتّخاذ قرارات أفضل ومدروسة أكثر. لذا يجب أن تطبّق الشركات آلية متماسكة لتحديد المخاطر وتقييمها على مستوى المؤسّسة انطلاقًا من الاحتمالات والآثار الممكنة. يجب تطبيق هذه المقاربة على صعيد أنشطة الشركة كافة. ولا بدّ من تعيين مسؤول عن حماية المعلومات لكل المعلومات الحسّاسة”.

يقول بو دياب إنّه يتوجّب على الشركات أن تنظر أوّلًا وقبل أي شيء في توظيف مدير لأمن المعلومات، يستطيع فرض السياسات الآمنة على كافة المستويات. ويتابع: “لا يجدر بهذه السياسات أن تعيق عمل الشركة، بل أن تكون راسخة كثقافة للشركة. يجب بعدها على المدير الأول المسؤول عن الأمن أن ينسّق مع الموارد البشرية من أجل تدريب الموظّفين على مدى أهميّة المسائل الأمنية. في حال عدم إنجاز ذلك، نصبح أمام ما يُعرَف بـ’تكنولوجيا معلومات الظلّ‘ الذي يُشكّل تهديدًا خطيرًا للشركة، إذ تفقد عندها سيطرتها على تكنولوجيا المعلومات أو الأمن”.

ويضيف رزق الله قائلًا: “قد تنجم التهديدات الداخلية للأمن السيبراني عن موظّفين غير مبالين أو غير مطّلعين، وأيضًا عن موظّفين حاليين أو سابقين ذوي نيّة سيّئة. وسيشكّل الأمر خطرًا أكبر إذا كان يعني موظّفًا محطّ ثقة في الشركة أو يملك امتيازات خاصة للوصول إلى موارد الشركة. لذا فمن المهمّ التعاون على الصعيد الداخلي مع الموارد البشرية للحرص على إطلاع جميع الموظّفين وتوعيتهم حول تهديدات الأمن السيبراني، للحرص على منح الموظّفين الحاليين الامتيازات أو حقوق الوصول اللازمة، ومنعها بشكل قاطع عن الموظّفين السابقين”.

من جهته، يقول قزّي: “اليوم، وفي ظلّ الأجهزة المتنقّلة التي أتاحتها التكنولوجيا أمام القوى العاملة، ليصبح بإمكان كل فرد من الفريق الوصول إلى البيانات وتعديلها ومراجعتها وإنجاز المعاملات وسحب أي تقرير عبر أي جهاز كان (لابتوب، أو جهاز لوحي، أو هاتف، أو تلفاز متّصل بالإنترنت وما شابه)، يُشكّل كل موظّف واجهة إضافية للمنظّمة تصلها بالعالم الخارجي المحفوف بالمخاطر. لذا لا بدّ من تأمين التدريب المتواصل واستضافة جلسات لنشر التوعية إلى جانب التواصل الدائم على كافة المستويات بهدف تجنّب تعريض الشركة للخطر”.

توحيد الجهود الإقليمية والعالمية للتصدّي للهجمات

يقول فاضل إنّ مهمة أي تعاون على الصعيد الإقليمي يجب أن يكون مكافحة الجرائم السيبرانية وإيجاد الحلول للمشاكل التي تطال الأمن السيبراني. يتحقّق ذلك من خلال تأمين بيئة سيبرانية إقليمية آمنة يسودها التعاون، وتعزيز دور الاتحاد الدولي للاتصالات (ITU) في تعزيز الثقة والأمن في استخدام المعلومات وتقنيّات التواصل. لا بدّ من أن تستند هذه المبادرة على تطوير أطر عمل وسياسات إقليمية و/أو عالمية تُعنى بأمن المعلومات، وتأمين مراكز موحّدة للدول الأعضاء لإدارة هذه البرامج والمبادرات، بما فيها الاستراتيجيات والحوكمة المتّبعة.

وبحسب قزّي، فقد تمّ إطلاق رابطات عدّة لدعم الشركات وضمان استمراريّتها على الرغم من المخاطر والتهديدات الحالية المحدقة في السوق. ويشرح قائلًا: “من الناحية الحكومية، تمّ سنّ العديد من القوانين والأنظمة. لكنّنا نعتقد بأنّ هناك نقص على الصعيدين الإقليمي والعالمي لدعم مبادرات من هذا النوع وحماية الشركات وبالتالي الاقتصادات من مخاطر مماثلة. يجب أن تكون هذه الحكومات فاعلة أكثر في هذه المجالات، وأن تتّخذ إجراءات وقائية وتصحيحية، وتُطلق مبادرات توعية، وتسنّ القوانين، والأهمّ أن تتصدّى للهجمات السيبرانية بحزم”.

 اختيار الشركاء الملائمين للمنظّمة

بحسب بو دياب، أصبح الرؤساء التنفيذيون اليوم يفحصون خلفيّة الشركات التي يودّون العمل معها، إذ أن طريقة إدارة هذه الشركات لسياساتها الأمنية يؤثّر على قرارهم. لم تَعُد المسألة تقتصر على فحص الناحية التقنية فقط – بل لا بدّ من أن يطال التحقيق مزوّدي الخدمات من الأطراف الثالثة والرابعة، لضمان الأمن على طول سلسلة الإمداد برمّتها.

يقول قزّي إنّ اختيار الشريك المناسب ليتولّى إعداد استراتيجية الأمن السيبراني في الشركة وتخطيطها وتنفيذها هو أمر بغاية الأهمية. فيجب على الشركات أن تدرس ملفّات المستشارين، وخبرتهم، وشهاداتهم وممارساتهم المثلى. ولنجاح هذا المشروع، لا بدّ من اختيار الأنظمة المناسبة ليتمّ تطبيقها، وإشراك المعنيّين، وعقد جلسات للتدريب والتوعية، فضلًا عن التواصل بوضوح ودقة.

ويتابع بو دياب قائلًا: “أصبح على الشركات اليوم النظر إلى ما يحصل خارج محيطها ومراقبة محيطها، إذ هناك تكمن الحلقات الأضعف التي تحتاج إلى الحماية”.

بناء منظومة لتبادل المعارف بين المنظّمات بشكل يفيد تشارك البيانات والموارد الجماعية

بناء منظومة لتبادل المعارف بين المنظّمات بشكل يفيد تشارك البيانات والموارد الجماعية

يرى فاضل أنّ “الشركات والهيئات الحكومية يجب أن تطبّق خطة توعية وبيئة سيبرانية آمنة للمجتمعَين الخاص والعام. كما يجب أن تطلق الحكومة الإلكترونية مبادرات للمساهمة في بناء الثقة عند استخدام الخدمات الإلكترونية.

تهدف خطة السلطات الحكومية إلى تطوير استراتيجيات وسياسات تُعنى بأمن المعلومات للحفاظ على تواجد المجتمع على الإنترنت. لا بدّ من أن تشمل حملات التوعية التوصيات التقنية للتصدّي للهجمات.

يقول قزّي إنّ “تشارك المعلومات واستنساخ الممارسات المثلى بين المنظّمات مسألة في غاية الأهمية. غير أنّ ذلك لا يُطبّق على نطاق واسع نظرًا إلى سرية المعلومات والبيانات وحساسيّتها”. 

يختتم فاضل حديثه قائلًا إنّ المسؤولية التي تقع عاتق الحكومة تتمثّل في تأمين فضاء سيبراني آمن للمواطنين، وتسهيل نقل المعلومات بطريقة سلسة وآمنة ونشر التوعية حول أهميّة الأمن السيبراني في المجتمع.

يُشدّد أيضًا على أهميّة تعزيز التعاون بين المؤسّسات الحكومية والخاصة، وعلى دور أجهزة إنفاذ القوانين في معالجة الحوادث الأمنية.

ويضيف فاضل قائلًا: “إنّ نشر التوعية حول الآليات والإجراءات المستخدمة للتعامل مع المخاطر والتهديدات السيبرانية مسألة لا بدّ منها خلال الجائحة، إذ أنّ المجرمين السيبرانيّين سيستهدفون أوّلًا وقبل أي أحد العاملين عن بُعد. ومن المهمّ جدًا أن تقوم الحكومات في دول الشرق الأوسط بمساعدة المنظّمات الخاصة والعامة لتطبيق أنظمة مفيدة تتصدّى لاختراق البيانات والجرائم السيبرانية، بما يتوافق مع المعايير الدولية”.