الأمن السيبراني: احذروا العامل البشري!

التاريخ والوقت : الإثنين, 5 أغسطس 2019

إدوين هوي

 

ربَّما تكون انتهاكات خصوصية البيانات الرئيسية التي تمَّ الإبلاغ عنها في القطاع العام بسنغافورة خلال الفترة من أبريل 2018 إلى مارس 2019، قد كشفت عن مدى “القوة الناعمة” للأمن القومي السنغافوري. في حين أن مضاعف القوة، يجب ألا يؤدي بالتكنولوجياإلى غياب العامل البشري عن الأمن السيبراني.

ففي 31 مارس 2019، عقد رئيس الوزراء “لي هسين لونغ” اجتماعًا للجنة مراجعة أمان وخصوصية بيانات القطاع العام. وبعد ذلك، وفي 15 يوليو 2019، تمت متابعة ذلك من خلال مكتب الحكومة الذكية والحكومة الرقمية (SNDGO) الذي أعلن عن بدء تنفيذ 13 إجراء من تدابير الأمن السيبراني الجديدة كجزءٍ من إطار مشترك لأمن الفضاء الإلكتروني تعتمده كافة الوكالات الحكومية.

في حين أن ذلك يمثل أولية مهمة في سباق التسلح على مستوى الأمن السيبراني، فإن التحدي الكبير الذي سيواجه باستمرار الحكومة الإلكترونية، وربَّما جميع المدافعين عن الأمن السيبراني عمومًا، يتمثل في إغراء عرض مسألة الأمن السيبراني من خلال منظار يبدو منحازًا للتكنولوجيا. كما أن هناك فكرة أن الأمن السيبراني يعدُّ إلى حدٍّ بعيدٍ مسألة تقنية يمكن معالجتها بأفضل التقنيات. فقد أبرز تقرير لجنة التحقيق (COI) بشأن خرق البيانات أن “مواطن الضعف في الأصول البشرية يمكن أن تكون بنفس خطورة تلك الموجودة في نظم المعلومات”.

الخطأ البشري كعاملٍ رئيسٍ

في التاسع والعشرين من يناير 2019، أي بعد مرور ستة أشهر على خرق بيانات مؤسسة “سينغ هيلث” Singhealth للرعاية الصحية، سُرقت سجلات سرية لـ20000 شخص تمَّ تشخيص إصابتهم بـ”فيروس نقص المناعة” من وزارة الصحة السنغافورية، وتمَّ تسريبها عبر الإنترنت. وفيما يمكن اعتباره هجومًا داخليًا “تقليديًا”، فقد زعموا أن مرتكب الجريمة قد تمكن من الوصول إلى السجلات السرية من خلال استغلال علاقة شخصية مع طبيب سنغافوري سمح له بالوصول إلى سجل “فيروس نقص المناعة” التابع لوزارة الصحة.

وفي مارس 2019، تمَّ الإبلاغ عن تسريب أوراق اعتماد تسجيل الدخول لموظفي الوكالة الحكومية السنغافورية وعرضها للبيع على الإنترنت.

وحتى في حالة خرق بيانات مؤسسة “سينغ هيلث”، حيث كان يستخدم أدوات اختراق متطورة، خلصت لجنة التحقيق إلى أنه من المحتمل جدًا أن تكون رسالة بريد إلكتروني للتصيد الاحتيالي، وهي الرسالة التي يعتبرها الخبراء غير ضارة أو غير مقصودة من الهجوم الداخلي، ما أدى إلى خرق أولي لأمن شبكة مؤسسة “سينغ هيلث”.

لقد كانت “الوهلة الأولى”، أو الخطأ البشري، أو الإهمال، عاملاً رئيسيًا في جميع انتهاكات البيانات المذكورة. لقد لعب العامل البشري دورًا مهيمنًا، إذ لم تكن التكنولوجيا وحدها قادرة على إيقاف الجناة.

التهديد من الداخل

لتوخي الحذر، حدثت بعض أخطر انتهاكات أمن البيانات حتى الآن خارج سنغافورة. فوفقًا لموقع وزارة الصحة والخدمات الإنسانية بالولايات المتحدة، كان هناك 2667 انتهاكًا رئيسيًا للبيانات الصحية ما يؤثر على أكثر من 193 مليون شخص في الولايات المتحدة، ابتداء من مارس 2019 منذ عام 2009. وفي 30 يوليو 2019، تعرض أحد البنوك الأميركية الكبرى، وهو بنك “كابيتال وان” Capital One، لواحد من أكبر اختراقات البيانات التي حدثت حتى الآن، والتي أسفرت عن سرقة المعلومات الشخصية لحوالي 100 مليون شخص، من قبل موظف سابق لأحد مقاولي الحوسبة السحابية.

يمكن القول إن أكثر خروقات البيانات تدميرًا هي تلك التي ترتبط بكشف معلومات مخابراتية أميركية سرية للغاية من قبل شركة “تشيلسي مانينج” في عام 2010، والتي نسبت إلى “إدوارد سنودن” في عام 2011. وهي العملية المعروفة باسم “تهديدات من الداخل”، حيث أسفرت عن سعي الحكومة الأميركية لاتخاذ تدابير مضادة وعجَّلت بإنشاء فرقة العمل الوطنية للتهديدات من الداخل (NITTF).

ويُعرَّف تهديد المطلعين الداخليين على أنه ضرر محتمل للمطلعين من داخل مؤسسة ما من خلال الاستفادة من مستوى معرفته أو الوصول إليها. حيث تعدُّ انتهاكات البيانات التي أجراها “سنودن” بمثابة أمثلة واضحة لما يُعرف باسم الهجوم الداخلي الخبيث. وهو ما يمكن وصفه بسهولة في إطار عملية خرق بيانات “فيروس نقص المناعة البشرية” في وزارة الصحة كمثال آخر على الهجوم الداخلي الخبيث.

وربَّما لا يكون “التهديد الداخلي” بالضرورة مدفوعًا بقصد خبيث؛ إذ قد يشكل فردًا يجهل السياسات والإجراءات الأمنية. ويمكن أن يؤدي الافتقار إلى التدريب، على سبيل المثال، إلى الجهل مما قد يجعل المنظمة عرضة للتهديدات الأمنية؛ وهو ما يعرف بالتهديدات غير الخبيثة أو غير المقصودة من الداخل.

وبالتالي، ففي حالة اختراق البيانات الخاصة بمؤسسة “سينغ هيلث”، يمكن اعتبار الموظفين الذين فتحوا رسائل البريد الإلكتروني المخادعة ومهدوا دون قصد الطريق لخرق أولي في النظام المتكامل للمعلومات الصحية الخاصة Integrated Health Information Systems Private Limited)) غير خبيثين أو غير مقصودين بالتهديدات الداخلية.

أهمية الثقافة التنظيمية

كانت الثقافة التنظيمية التي يلعب فيها العامل البشري أيضًا دورًا مهيمنًا، تمثل أحد الاعتبارات الرئيسية في تقرير لجنة التحقيق عن خرق البيانات الخاصة بمؤسسة “سينغ هيلث”. فقد أبرز التقرير أن المعالجة المتأخرة لقضايا وحوادث الأمن السيبراني من قبل الموظفين العاملين في النظام المتكامل للمعلومات الصحية والإدارة الوسيطة في استجابتهم للحوادث لخرق البيانات، ترجع إلى حدٍّ بعيدٍ إلى الثقافة التنظيمية.

وفي دراسة أجرتها الباحثة “إيمي زيجارت” حول إطلاق النار الجماعي في منطقة “فورت هود”، بولاية تكساس الأميركية عام 2008 من قِبل شخصٍ داخلي أسفر عن مقتل 13 وإصابة 43، خلصت إلى أن نقاط الضعف التنظيمية داخل البنتاجون لعبت دورًا مهمًا أدى إلى سلسلة من الإخفاقات في الحيلولة دون حدوث إطلاق النار.

وقد أكدت “زيجارت” أن الثقافة والعمليات التنظيمية غير المناسبة أدت إلى فشلٍ في مشاركةِ المعلومات وسوء تخصيص الموارد التي أهدرت فرصًا متعددة للكشف عن الهجوم وإحباطه. ووصفت نقاط الضعف التنظيمية هذه بأنها “مادة مجهولة تكمن في الخلفية”، والتي غالبًا ما يتم تجاهلها كعوامل مساهمة في الكوارث السابقة.

ويتمثل القصور التنظيمي الآخر في “الخطر الخفي للروتين” الذي يمكن أن يدفع الأفراد في المنظمات إلى الاستمرار في القيام بالأمور بالطريقة نفسها على الرغم من أنها لم تعد فعالة أو مناسبة في مواجهة التهديدات الجديدة والمتطورة.

قضية النهج الشمولي

لطالما كانت المشاركة البشرية في الجوانب الرئيسية للمنظمات أو الأنظمة ضرورية، حيث يظل العامل البشري هو الحلقة الأضعف في الأمن السيبراني. فمع المستخدمين البشريين، بصفتهم المطلعين على النظام أو المؤسسة، نظرًا لدخولهم المتميز إلى مؤسساتهم أو أنظمتهم، نجد أنه من المفترض أن يكون لديهم معرفة وثيقة بميزات الأمان الخاصة بمؤسستهم في إطار النظام الخاص بها ونقاط ضعفه.

وفي إطار تحويل الثقافة التنظيمية لمكافحة الضعف التنظيمي والسيطرة على التهديد الداخلي، ينبغي للقطاع العام والقطاع الخاص مواصلة جهودهما لإبقاء الموظفين متحمسين في ولائهم، لبناء ثقافات تميل إلى تعزيز الأمن.

وتهدف هذه الثقافات إلى تشجيع قبول الموظفين على نطاقٍ واسعٍ بالحاجة إلى نظافة الأمن السيبراني وتحفيز الموظفين على تحديد مواطن الضعف المحتملة ومعالجتها. ومن المهم بنفس القدر إيجاد توازن مناسب بين الموظفين الموثوق بهم والبقاء على دراية بإمكانية وجود تهديدات أمنية من الداخل والخارج. وفي حين أن قدرات برنامج الأمن السيبراني ستتحسن باستمرار مع تقدم التكنولوجيا، باستثناء ظهور الذكاء الاصطناعي المستقل بالكامل، يبقى العامل البشري أكثر العوامل قلقًا.

ففاعلية البرنامج ستكون جيدة مثل إدخال البيانات فيها، لأن التكنولوجيا – بلا شك – تمثل مضاعف قوةٍ حاسمًا في أي نظام أمني، لكن في نهاية المطاف، تظل مجرد مضاعف للقوة.

وأخيرًا، يجب أن تتخذ اليقظة المستمرة نهجًا شاملاً يضم الوسائل التقنية وكذلك العوامل غير الفنية. ومن بين هذه العوامل، يمكن الإشارة إلى التخفيف من حِدَّة التهديدات الداخلية وتعزيز الثقافة التنظيمية القوية التي تميل إلى الأمن. إذ سيبقى كل هذا ضروريًا لمعالجة نقاط الضعف الدائمة التي تعزى إلى العامل البشري في الأمن السيبراني.

 

إعداد: وحدة الترجمات بمركز سمت للدراسات

المصدر: Rajaratnam School of International Studies

 

 

النشرة البريدية

سجل بريدك لتكن أول من يعلم عن تحديثاتنا!

تابعونا على

تابعوا أحدث أخبارنا وخدماتنا عبر حسابنا بتويتر