تتزايد الهجمات السيبرانية من حيث العدد والتعقيد، ومع ذلك لا تزال العديد من الشركات تفشل في توفير التدريب الكافي على الأمن السيبراني لموظفيها.
وعلى الرغم من أن الشركات البريطانية تعرضت لـ 2.39 مليون هجمة سيبرانية خلال العام الماضي، إلا أن 18 في المائة منها فقط قدمت تدريبًا على الأمن السيبراني لموظفيها، وفقًا لاستطلاع خروقات الأمن السيبراني لعام 2023 الذي أجرته حكومة المملكة المتحدة.
غالبًا ما يعني هذا النقص في التدريب الأمني أن الموظفين غير مجهزين للتعامل مع التهديدات السيبرانية الحالية والناشئة. وجدت دراسة أجراها معهد تشارترد للإدارة في المملكة المتحدة أن مديرًا واحدًا فقط من بين كل 10 مديرين يفهم أساسيات الأمان، مثل وضع كلمات مرور قوية واكتشاف رسائل البريد الإلكتروني الضارة.
وتستمر هذه الفجوة المعرفية على الرغم من أن البشر يلعبون دورًا في 74% من خروقات الأمن السيبراني – وفقًا لتقرير التحقيقات في خروقات البيانات لعام 2023 لشركة Verizon – على سبيل المثال، من خلال النقر على الارتباطات التشعبية الضارة أو فتح المستندات في رسائل البريد الإلكتروني التصيدية.
لذلك، يجب على الشركات أن تنظر إلى نظافة الأمن السيبراني على أنها “أولوية قصوى” وأن تطور “ثقافة شركة واعية إلكترونيا”، كما يقول تريس مورجان، المدير الإداري للأمن في مجموعة الاتصالات البريطانية بي تي.
ويقول إنه يجب على الشركات تزويد موظفيها بتدريب منتظم حول السلامة عبر الإنترنت وتمكينهم من اتخاذ قرارات أفضل فيما يتعلق بمخاطر الأمن السيبراني.
وكجزء من هذه العملية، ينبغي لهم تعزيز الشفافية، حتى يتسنى للموظفين “مناقشة المخاوف المتعلقة بالسلامة بشكل علني والإبلاغ عنها”، مع عدم “إلقاء اللوم على الموظفين إذا وقعوا في خطأ، والاحتفال عندما يكتشفون تهديدًا إلكترونيًا”. ويقول إن الشركات يمكنها استكمال برامجها التدريبية في مجال الأمن السيبراني بوسائل حماية إضافية مثل ضبط كلمة المرور وتأمين شبكة WiFi للشركات وبرامج مكافحة الفيروسات والبرامج الضارة والشبكات الخاصة الافتراضية.
ويضيف مورغان: “أكثر من نصف الشركات (61 في المائة) في المملكة المتحدة تجد صعوبة في مواكبة تدابير الأمن السيبراني”.
“ومع ذلك، من خلال إنشاء ثقافة شركة تركز على الإنترنت وأساس متين لبروتوكولات الأمان للموظفين، يمكن للشركات تعزيز المرونة السيبرانية للعام المقبل.”
تتضمن استراتيجية النظافة الأمنية الفعالة للأمن السيبراني “التزام القيادة”، حيث يمارس المسؤولون التنفيذيون عادات أمنية جيدة و”يشجعون الموظفين على فعل الشيء نفسه”، وفقًا لما ذكره بهارات ميستري، المدير الفني في شركة أمن تكنولوجيا المعلومات تريند مايكرو.
إنها فكرة جيدة “النظر في تقييد الوصول إلى البيانات والأنظمة، بناءً على الأدوار والمسؤوليات – لتقليل التأثير في حالة اختراق حساب واحد”، بالإضافة إلى إجراء “مراجعات وصول منتظمة” في محاولة “لضمان بقاء الامتيازات مناسبة”. “، ينصح.
ويضيف ميستري أن محاكاة تهديدات الأمن السيبراني الشائعة، مثل رسائل البريد الإلكتروني التصيدية، من خلال برنامج تدريب تفاعلي يمكن أن تكون طريقة جيدة لزيادة وعي الموظفين واستجابتهم.
لكن التهديدات ليست واضحة دائما. في حين أنه قد يكون من الأسهل على الموظفين اكتشاف رسائل البريد الإلكتروني التصيدية إذا كانت تحتوي على أخطاء إملائية أو تنسيق غير صحيح، فمن المحتمل أن يواجهوا صعوبة في تحديد الهجمات المستهدفة، وفقًا لجيمس واتس، المدير الإداري في Databarracks، المتخصص في استمرارية الأعمال.
ويوضح قائلاً: “سيقوم المهاجمون بالبحث عن عملائك ومورديك وموظفيك، وسيقومون بإدراج هذه التفاصيل لجعل رسائل البريد الإلكتروني أكثر إقناعًا”. “قد يشترون النطاقات لإرسال رسائل بريد إلكتروني تبدو وكأنها من مؤسستك.”
يقول واتس إن “التدريب العام على الأمن السيبراني” ليس كافيا لمواجهة هذه المخاطر، ويحث أصحاب العمل على “أن يكونوا واضحين بشأن أنواع الاتصالات التي يمكن أن يتوقعها موظفو الاتصالات من المنظمة” و”ما يجب أن يكون مثيرا للريبة”.
ويوصي أيضًا بأن تقوم الشركات بترشيح وإرشاد شخص أو مجموعة معينة يمكنها التحقق من النشاط الرقمي المشبوه والتحقق منه.
ويقول: “لا يميل الموظفون إلى التحايل على سياسات الأمن السيبراني من خلال الكسل أو عدم الكفاءة، بل يحاولون في كثير من الأحيان العثور على أسرع طريقة للقيام بعملهم”. “اجعل من السهل فحص رسائل البريد الإلكتروني التصيدية المحتملة والتحقق من صحتها.”
يحذر نيل ثاكر، كبير مسؤولي أمن المعلومات في أوروبا والشرق الأوسط وأفريقيا في شركة Netskope للأمن السحابي، من تطوير برنامج تدريبي سنوي على الأمن السيبراني، لأنه من غير المرجح أن يغير سلوك الموظفين أو يخفف من الهجمات السيبرانية.
ويقول: “على المستوى البشري، غالبًا ما يُنظر إلى التدريب السنوي على أنه عمل روتيني شاق وعائق بين الموظف وعبء العمل اليومي”. “على مستوى الشركات، لا تحقق هذه البرامج التدريبية أكثر من مجرد وضع علامة على مربعات الامتثال”.
وبدلا من ذلك، ينبغي للشركات أن تقدم تدريبا في الوقت الحقيقي من شأنه أن “يشير على الفور إلى السلوك عالي الخطورة” و”يقترح إجراءات بديلة للموظف”. سيساعد ذلك الموظفين على “اتخاذ قرارات أكثر أمانًا” والتأكد من قدرة الشركات على “منع الحوادث السيبرانية لحظة حدوث التهديد”.
ومع ظهور تقنيات جديدة، سوف يتطور مشهد تهديد الأمن السيبراني أيضًا.
تستخدم كاثرين موليجان، المحاضرة الزائرة في كلية إمبريال كوليدج للأعمال، مثال الذكاء الاصطناعي التوليدي الذي من المحتمل أن يكشف الأسرار التجارية.
تتطلب هذه التهديدات الجديدة من الموظفين “أن يكونوا قادرين على التكيف في طريقة تفكيرهم بشأن الأمن”، وأن يأخذوا في الاعتبار “الآثار المترتبة على المرونة السيبرانية لأفعالهم في جميع أجزاء أنشطتهم اليومية”.
وتقول إنه يجب على الشركات التأكد من أن كل فرد داخل المنظمة يطور “العقلية الصحيحة” للاستجابة “للتهديدات الجديدة وغير المعروفة تمامًا” – بدلاً من مجرد “التهديدات المعروفة” – مع ضمان أن تكون المرونة السيبرانية “مضمنة في كل جزء من وظيفة الشخص”. “.
وتختتم قائلة: “بكل بساطة، حتى فريق الأمن السيبراني الأفضل تدريبًا لن يكون قادرًا على مواكبة التهديدات الناشئة – وسيتطلب ذلك التعاون والثقة بين المنظمات”.