لطالما سيطرت برامج الفدية الخبيثة والمخترقين والجهات التي تهدد الدولة على تركيز الفرق الأمنية. غالباً ما تبدو هذه التهديدات الخارجية أكثر إلحاحاً وخطورة، وتحمل عواقب محتملة ذات تأثير أكبر على الشركة. ليس هناك شك حول النية- فهي خبيثة. من منظور نفسي، من السهل على فرق الأمن كشف العدو والاستعداد لمحاربته. لكن ماذا يحدث عندما يكون التهديد داخلياً؟ ماذا لو أتى التهديد من عضو في الفريق، أو زميل تتناول الغداء معه، أو حتى من المدير التنفيذي الذي تقدم له التقارير؟ لا يمكن للفرق الأمنية اتباع نفس النهج المتبع مع الجهات الخارجية، ويرجع ذلك أساساً إلى أن الموظفين ليسوا أعداء مجهولي الهوية للقضاء عليهم، حتى لو كان تأثيرهم ضاراً بنفس القدر.
ماذا لو كان التهديد السيبراني داخليّاً؟
تحدث المخاطر الداخلية عندما تنتقل بيانات الشركات الحساسة كالملكية الفكرية أو الأصول الرقمية أو الأسرار التجارية أو أغلى ما تملكه تلك الشركات إلى أماكن غير موثوق بها مثل الأجهزة الشخصية أو البريد الإلكتروني أو الوجهات السحابية الإلكترونية. تمثل حركة البيانات هذه مخاطر تنافسية ومالية وخصوصية وخضوعية جسيمة. نطاق المشكلة كبير.
وفقاً لمركز أبحاث أبيردين ( Aberdeen Research)، فإن واحداً من كل ثلاثة انتهاكات للبيانات التي تم الإبلاغ عنها يشمل موظفاً من الداخل. يمكن أن تمثل تكلفة خرق البيانات من الداخل ما يصل إلى 20٪ من الإيرادات السنوية للشركة. المخاطر الداخلية ليست مشكلة جديدة، لكنها أصبحت ملحّة بشكل متزايد بسبب عوامل التشغيل مثل التحول الرقمي، و أسلوب العمل الهجين عن بعد، و"حالات الاستقالات الكثيرة"، ناهيك عن الارتفاع الملحوظ في استخدام الموظفين المتعاقدين وعمليات التسريح الأخيرة للعمال.
اقرأ أيضاً: استخدم أدوات الأمن السيبراني هذه لحماية أجهزتك من الاختراق
يمكن أن تحدث المخاطر الداخلية في أي مكان داخل الشركة، ومن قبل أي شخص. يمكن أن تأتي هذه المخاطر من موظفين سابقين ناقمين يسرقون أسراراً تجارية للذكاء الاصطناعي أو من خلال سرقة شخص من قبل منافس يأخذ أسرار تصميم شرائح الهاتف المحمول وهو خارج من منزله. يمكن أن يأتي حتى من المناصب التنفيذية العليا، كما علمت إحدى الشركات مؤخراً عندما شارك المدير المالي للشركة عن طريق الخطأ مستنداً مع الشركة بأكملها بعنوان "إعادة الهيكلة". يمكن أن يسبب الكشف غير المقصود عن البيانات قلق الموظفين، أو حتى كشف متطلبات الإفصاح العادل عن لوائح هيئة الأوراق المالية والبورصات الأميركية (SEC) (Reg FD) للشركات العامة، إذ كان من الممكن أن تؤثر البيانات المسربة على المساهمين. بالنسبة للفريق الأمني، قد يكون من غير المناسب اتباع نهج عدائي عنيف -مخصص للتهديدات الخارجية- مع المدير المالي على مشاركته غير المقصودة للبيانات. لكن هناك طريقة أفضل.
اقرأ أيضاً: ما هي أهم معايير وضوابط الأمن السيبراني؟
اتباع نهج تعاطفي في التحقيق مع الموظفين
الطريقة التي يجب أن نتعامل بها مع مخاطر خارجية - مثل البرمجيات الضارة، على سبيل المثال، تختلف كثيراً عن الطريقة التي نتعامل بها مع المخاطر الداخلية. هناك العديد من العوامل التي يجب مراعاتها عند إدارة المخاطر الداخلية، خاصة فيما يتعلق بنتائج العمل المرجوة. يجب ألا تندرج التحقيقات الداخلية ضمن اختصاص الفريق الأمني فقط وإنما تتطلب غالباً تعاوناً من الأمن والموارد البشرية والشؤون القانونية. وفقاً لشركة الاستشارات الإدارية جارتنر (Gartner)، "تشير بيانات الاستطلاع إلى أن أكثر من 50٪ من الحوادث الداخلية غير ضارة"، ما يعني أنه في أغلب الأحيان، كان الموظف المسؤول عن سبب الحادث يحاول ببساطة إنجاز عمله فارتكب خطأً، أو استخدم اختصاراً.
اقرأ أيضاً: كيف تمكن قراصنة روس من اختراق وكالات حكومية أميركية لأشهر دون ضبطهم؟
إن معاملتهم كما لو كانت أفعالهم خبيثة قاموا بها بصورة متعمدة هو نهج خاطئ وقد يأتي بنتائج عكسية. يجب على المشاركين في التحقيق اتباع نهج تعاطفي خالٍ من الحكم. وإلّا فإن خطر ارتكاب هذا الموظف لنفس الخطأ مرة أخرى أو أن يصبح ناقماً ومحروماً من حقوقه يرتفع بشكل كبير. يتطلب النهج التعاطفي بالتحقيقات الداخلية تحولاً نفسياً. إنها الخطوة الأولى لبناء الثقة، وبالتالي يمكن الوصول إلى أفضل نتيجة للشركة. فيما يلي خمسة عناصر مهمة لنهج تعاطفي للتحقيقات الداخلية:
- تواصل لتفهم ما يلي: عندما تقع حادثة ما، يمكن أن يكون التواصل الأول عرضياً وغير رسمي مثل، "مرحباً، لقد لاحظنا أنك نقلت مستنداً إلى حسابك الشخصي على السحابة الإلكترونية. هل قصدت أن تفعل ذلك؟" غالباً ما يكون ردهم مفاجئاً، لأنه كان خطأً، أو لم يدركوا أن هذا غير مسموح به. ربما تعيّن عليهم ببساطة إنجاز العمل، وكانت هذه هي الطريقة الأسرع.
- استكشاف التحيزات اللاإرادية: لدى جميع البشر تحيزات إرادية وغير إرادية تؤثر على أفعالنا وقراراتنا. يمكن لفريق الموارد البشرية مساعدة الأطراف المعنية على استكشاف هذه التحيزات والعمل على التخفيف منها. من المهم معاملة جميع الأفراد على قدم المساواة، سواء كانوا زملاء أو الرئيس التنفيذي أو شخصاً في مجموعة أو من ثقافة مختلفة عن ثقافتك.
- طمأنة لدعم الشراكة: إذا كان الحدث خطأ، أخبر الموظف أنه ليس في ورطة. فمن المحتمل أن يعتقد الموظف أنه كذلك وقد يتساءل عما إذا كان من الممكن أن يفقد وظيفته. إنها غريزة بشرية طبيعية أن تصبح في موقع الدفاع عن النفس وتنكر التصرفات التي قمت بها. طمأنهم أنه يمكن الرجوع عن هذه الحادثة وأنت موجود لمساعدتهم. من المرجح أن يكونوا صادقين بشأن ما كانوا يحاولون القيام به وستكون حينها في موقف أفضل للمساعدة - واستعادة أي بيانات مكشوفة أو مسربة.
- انشر الوعي: في حال وقوع حادث غير مقصود أو نتيجة إهمال، من المهم تزويد الموظف بمعلومات حول الطريقة الصحيحة للتصرف في المستقبل. التوجيه في وقت الخطأ مؤثر للغاية ومن المرجح أن يتم تذكره أكثر من جلسة التدريب السنوية، على سبيل المثال. يمكنك تعزيز المحادثة بمقاطع فيديو قصيرة مدتها من دقيقة إلى ثلاث دقائق حول موقف معين.
- اتخذ إجراءات عملية: من المهم التعامل مع كل تحقيق بتعاطف، ولكن هناك دائماً جزء من الانتهاكات الداخلية تكون خبيثة حقاً. وفي هذه الحالات، يكون التوثيق مهماً. إذا تم تأكيد أن الموظف قد اتخذ إجراءً محفوفاً بالمخاطر بشكل متعمد -وإذا كان واضحاً لدى المسؤول تنفيذي أنه يمثل خطراً مستمراً على المؤسسة وبياناتها- فيجب حشد جميع الجهات المعنية الرئيسية من الفريق الأمني والموارد البشرية والقانونية لتقديم خطة عمل موصى بها للفريق التنفيذي.
يساعد النهج التعاطفي بالتحقيقات مع الموظفين في بناء ثقافة الثقة والتواصل المفتوح والاحترام. ويبني ويرسخ الثقافة الأمنية الإيجابية، وأفضل ما في الأمر أنه سيساعد في الحفاظ على أمان وسلامة بيانات شركتك الأكثر قيمة.
اقرأ أيضاً: