الخميس 28 مارس 2024 أبوظبي الإمارات
مواقيت الصلاة
أبرز الأخبار
عدد اليوم
عدد اليوم
اقتصاد

دراسة: التسريبات العرضية في الشركات أخطر من المقصودة

دراسة: التسريبات العرضية في الشركات أخطر من المقصودة
23 سبتمبر 2009 00:23
أكدت دراسة استطلاعية أن الاختراقات والتسريبات الداخلية العَرَضيَّة التي يتسبَّبُ بها موظفو الشركة أنفسهم عن غير قصد، تفوق في وتيرتها وآثارها الهجمات الخبيثة والمتعمَّدَة التي يشنها الموظفون أنفسهم عن قصد. كما أظهرت الدراسة أنَّ غالبية كبار المديرين التنفيذيين يجانبون الصوابَ في ترتيب أولوياتهم الأمنية عندما يعطونَ أولويةً أعلى للحماية من الاختراقات والتسريبات الخبيثة التي يشنها موظفون عن قصد بدلاً من الاستثمار في حلول تقنية للحؤول دون الاختراقات والتسريبات العَرَضيَّة التي يسبِّبها موظفون في الشركة عن غير قَصْد، والتي تحدث مراراً وتكراراً وتنطوي على أضرار بالغة تفوق تلك المتعمَّدة منها. وأعدت المؤسسة البحثية والاستشارية العالمية «آي دي سي» IDC الدراسة، وأعلنت نتائجها أمس «آر إس أيه» RSA، الشركة المتخصِّصة في أمن وحماية المعلومات والتابعة للشركة العالمية العملاقة «إي إم سي» EMC، ويناقش تقريرُ المؤسسة الاستشارية العالمية «آي دي سي» - الذي صدرَ مؤخراً تحت عنوان «إدارة مخاطر التسريبات والاختراقات الداخلية: منهجية إطارية في مجال الأمن الداخلي» ورَعَته شركة «آر إس أيه» - المخاطرَ الداخلية، أي التهديدات المحتملة التي يمكن أن تواجهها الشركة بسبب المستخدمين الداخليين الذين يمكنهم النفاذ إلى النظم الحسّاسة والمعلومات السريَّة للشركة. ورغمَ دراية كبار المديرين التنفيذيين بأنَّ المستخدمين الداخليين قد يتسبَّبون بمخاطر أمنية معلوماتية لشركاتهم، فإنَّ التهديدات الخارجية غالباً تستحوذ على جُلِّ اهتمامهم وتنسيهم الأهمية البالغة لحماية شركاتهم من التهديدات الداخلية ذات الطبيعة العَرَضيَّة أو غير المتعمَّدة. وأظهر التقرير الصَّادر مؤخراً مُجانبة كبار المديرين التنفيذيين الصَّواب في أولوياتهم ومخاوفهم من الاختراقات والتسريبات باهتمامهم بالخارجية منها، والإغفال عن الداخلية رغم أن الأخيرة هي الأكثر ضرراً بأعمال الشركة، والتي تتمثَّل، حسبما جاء في التقرير، في اختراقات أمنية معلوماتية عَرَضيَّة ونفاذ الموظفين إلى المعلومات الحسَّاسة والسريَّة وإساءة استخدامها عن غير قصد. وأشار معظمُ كبار صُنَّاع القرار في مجال تقنية المعلومات ممَّن شاركوا في الدراسة الاستطلاعية إلى التباسهم بشأن مصادر التهديدات الداخلية ومغازيها، وأنه في غير استطاعتهم تقييم التبعات المالية المُحتملة لمثل تلك التهديدات وآثارها على انسيابية الأعمال. نتائج ومن بين الشركات التي شملتها الدراسة الاستطلاعية، قالت نسبة 52 بالمئة منها إنَّ حوادث التهديدات الداخلية ذات طبيعة عَرَضيَّة في غالبيتها، فيما أعربت 19 بالمئة منها عن قناعتها بأنَّ مثل هذه التهديدات متعمَّدة. كما قالت نسبة 26 بالمئة منها إنَّ تلك التهديدات متساويةٌ في طبيعتها، أي بين متعمَّدة وغير متعمَّدة، وأما البقية المتبقية من الشركات، أي نسبة 3 بالمئة، فقالت إنها غير متأكدة. وعندما طُلِبَ منهم تصنيف التهديدات، قال 82 بالمئة من كبار المديرين التنفيذيين إنهم غير متأكدين فيما إذا كانت الاختراقات والتسريبات التي يسبِّبها المتعاقدون والموظفون المؤقتون ذات طبيعة عرضيَّة أو مقصودة. وفي هذا السياق، قال كريس كريستيانسن، نائب رئيس البرامج البحثية في وحدة الحلول الأمنية بالمؤسسة الاستشارية العالمية «آي دي سي»: «تنظر الشركات إلى علاقتها مع موظفيها من منطلق الثقة المطلقة، كما أنها تعتبر أن موظفيها هم قوامُ أعمالها ونجاحها». ولكنه استدرك بالقول إنَّ الطبيعة الموسَّعة والممتدَّة للبنية التحتية المؤسسية، مقرونةً بوجود قاعدة عريضة من الموظفين المنتشرين محلياً وربَّما عالمياً، وما يُضاف إليهم بطبيعة الحال من مستشارين ومتعهِّدين وشركاء، يجعل مسألة مواجهة مخاطر التسريبات والاختراقات الداخلية تحدياً جدِّياً، بل وتعدُّ أهمّ تحدٍ يواجهه كبارُ المديرين التنفيذيين حالياً. وأضاف «سواء كانت تلك التسريبات والاختراقات مقصودةً ومتعمَّدةً أو غير ذلك فإنها تشكِّل تحدياً حقيقياً ماثلاً أمام الشركات وعليها مواجهته». ومن النتائج اللافتة التي أبرزها التقرير عددُ الاختراقات والتسريبات الداخلية التي تواجهها الشركات حول العالم. فقد اعترفَ 400 من المشاركين في الدراسة الاستطلاعية أنهم واجهوا خلال الإثني عشر شهراً الماضية 6,244 حادثة فقدان معلومات بطريقة عَرَضيَّة، و5,830 هجمة بالبرمجيات الخبيثة والتجسُّسية من داخل الشركة، و5,794 حادثة ناجمة عن امتيازات النفاذ إلى المعلومات الممنوحة لموظفيها. وفي المُجمل، بلغ عدد الحوادث الأمنية الداخلية التي أقرَّ بها المشاركون والتي وقعت خلال الإثني عشر شهراً الماضية 57,485 حادثة. كما أظهرت الدراسة الاستطلاعيَّة أن قرابة 40 بالمئة من الشركات تخطِّطُ لزيادة الإنفاق على المبادرات الرامية إلى الحدِّ من المخاطر الأمنية الداخلية خلال الاثني عشر شهراً المقبلة، فيما قال نحو 6 بالمئة من المشاركين إنهم سيقلِّلون الإنفاق في هذا المجال. منهجية المواجهة وتظهر النتائج السابقة أنه ليس هناك من حلٍّ واحد وموحَّد لمواجهة المخاطر الأمنية الداخلية في مُجملها، وأن هذه المسألة بحاجة إلى منهجية شاملة لإدارة المخاطر تعمل على دراسة جميع المخاطر المحتملة التي تواجه الشركة ونشر الضوابط اللازمة بالشكل الأمثل. بدوره، قال أحمد عبدالله، المدير الإقليمي في «آر إس أيه» لمنطقة الشرق الأوسط وشمال وغرب أفريقيا «أمن المعلومات مهمّةٌ تقع على عاتق جميع الموظفين، ويتعيَّن ألا تنحصرَ تلك المهمّة في فريق أمن المعلومات بالشركة». وأضاف «لا شك أن مخاطر التسريبات والاختراقات الداخلية في نمو مطرد، ويتعيَّن على كبار المديرين التنفيذيين أن يغيِّروا منهجيتهم في حماية الأعمال، وأن يوسِّعوا أولياتهم الأمنية لتشملَ الحاجة المُلحَّة لحماية الشركة من المخاطر الداخلية، المقصودة وغير المقصودة على حدٍّ سواء». وأكد أنه «لابدَّ أن يعتمدَ كبار المديرين التنفيذيين استراتيجيةً شموليةً للحدِّ من التهديدات الداخلية بحيث تصبُّ اهتمامها على حماية المعلومات الحسَّاسة وذات الأهمية الحاسمة من إساءة استخدامها، أو تسريبها، أو فقدانها على يد الموظفين، سواءٌ كان ذلك بطريقة متعمَّدة أو غير مقصودة». ورغم التعقيد المتزايد في هجمات اختراقات البيانات التي يشنُّها مجرمون عازمون عن قَصْد، فقد أظهرت الدراسة أن فقدان البيانات بطريقة عَرَضيَّة وعن غير قَصْد وما يتصل بذلك من مخاطر أمنية يؤثِّر فعلياً في انسيابية أعمال الشركة بشكل يفوق الهجمات الخبيثة والمتعمَّدة. ومن أبرز نتائج الدراسة أن التهديدات الداخلية الخبيثة، مثل النفاذ دون تخويل إلى بيانات سريَّة وانتشار البرمجيات الخبيثة والتجسُّسيَّة من داخل الشركة، احتلت المرتبة الأولى بين المخاوف الأمنية التي تساورُ كبار المديرين التنفيذيين. بيدَ أن المخاطر الأمنية الداخلية التي سبَّبت أكبر عدد من الاختراقات والتسريبات المعلوماتية (مثل فقدان البيانات عن غير قَصْد بسبب إهمال الموظفين)، ونجمَ عنها أكبر آثار مالية كانت عَرَضيَّةً أو غير متعمَّدةً في طبيعتها. وفي السنة الماضية، مثَّلَ المتعاقدون والموظفون المؤقتون أكبرَ مصدر للتهديدات الداخلية. أما الخسائر المالية، فقد بلغ معدَّل الخسائر المالية السنوية الناجمة عن المخاطر الداخلية نحو 800,000 دولار في صناعة تعهيد تقنية المعلومات. وفيما أنَّ 93 بالمئة من المشاركين في الدِّراسة الاستطلاعية كانوا هم المسؤولون عن اتخاذ قرارات أمن المعلومات في الشركات، قال نحو 82 بالمئة إنهم لم يكونوا على دراية واضحة بشأن مصدر التهديدات الداخلية، بل ولم يكن باستطاعتهم أن يحدِّدوا طبيعةَ الآثار المالية الناجمة عن مثل هذه الأخطار أو مقدارها
المصدر: دبي
جميع الحقوق محفوظة لمركز الاتحاد للأخبار 2024©