الأخطاء البشرية تتسبب بتسعة أعشار حوادث الاختراقات السحابية

الثلاثاء 16 يوليو 2019
دبي - مينا هيرالد:

أظهر تقرير جديد أعدته كاسبرسكي بعنوان "فهم أمن السحابة ما بين اعتمادها والمخاوف المتعلقة بها والتهديدات المحدقة بها"، أن احتمالية وقوع حوادث في البنية التحتية للسحابة العامة تزداد بسبب تصرفات موظفي الشركات المستخدمة لها، لا بسبب الإجراءات التي يتخذها مقدمو الخدمات السحابية. وتتوقع الشركات أن يتحمّل مقدمو الخدمات السحابية مسؤولية تأمين بياناتهم المخزنة في السحابة، لكن حوالي 90% من حوادث اختراق بيانات الشركات في السحابة حصلت بسبب استهداف الموظفين بأساليب الهندسة الاجتماعية، لا بسبب مقدمي الخدمة.

ويسمح توظيف التقنيات السحابية للشركات بتصميم عملياتها بطريقة أكثر فعالية، إضافة إلى الحدّ من النفقات الرأسمالية، وتسريع تفعيل منظومات تقنية المعلومات. لكن الشركات تشعر بالقلق إزاء استمرارية إتاحة البنية التحتية للسحابة، وتأمين بياناتها. ويتخوف 35% من الشركات الصغيرة والمتوسطة و39% من الشركات الكبيرة من احتمالية وقوع حوادث تأثر سلباً في منظومات تقنية المعلومات المخدومة من قبل طرف خارجي، بحسب دراسة كاسبرسكي التي أعدّت تقريرها بناء عليها. قد تشمل العواقب فقدان السحابة مزاياها وقيمتها، علاوة على تهديد سمعة الشركات وأعمالها.

وعلى الرغم من تخوّف الشركات بشأن سلامة المنصات السحابية، تشير البيانات إلى احتمالية أعلى لتأثر الشركات بسبب مكامن ضعف داخلية. وعُزيت أسباب 33% من حوادث اختراق البيانات التي وقعت في السحابة إلى أساليب الهندسة الاجتماعية التي أثرت في تصرفات الموظفين، فيما وقع اللوم على مقدمي الخدمات السحابية في 11% من الحوادث فقط.

وكشفت الدراسة عن أن تطبيق الشركات إجراءات الأمن الرقمي اللازمة في التعامل مع الأطراف الخارجية ما زال لا يلقى الاهتمام الكافي؛ فقد وظّفت 39% فقط من الشركات الصغيرة والمتوسطة و47% من الشركات الكبيرة حماية ثُمّمت خصيصاً للسحابة، وقد يعود السبب في هذا إلى اعتماد الشركات كثيراً على مقدمي البنية التحتية في جانب الأمن الإلكتروني، كما أن الشركات قد تعتقد مخطئة أن الأمن العادي المطبق عند النقاط الطرفية في أنظمة الشركات كافٍ لضمان العمل بسلاسة في البيئات السحابية، من دون التقليل من مزاياها.

وعلّق مكسيم فرولوف، نائب الرئيس للمبيعات العالمية في كاسبرسكي بالقول إن أولى الخطوات التي يجب اتخاذها عند انتقال شركة لاستخدام السحابة العامة هي "فهم الجهة المسؤولة عن أمن بياناتها وأعمالها المخزنة في السحابة"، مشيراً إلى أن مقدمي الخدمات السحابية عادة ما يطبقون إجراءات أمنية لحماية منصاتهم وعملائهم، لكنه أكّد أن المسؤولية سوف "تقع فقط على عاتق العملاء" في حال وجود تهديد من جهتهم، وأضاف: "وجدَت أبحاثنا أن على الشركات توخّي الحذر إزاء تصرفات موظفيها الأمنية، واتخاذ إجراءات وتدابير لحماية بيئتها السحابية من الداخل".

وتنصح كاسبرسكي الشركات باتباع التدابير التالية لضمان بقاء بياناتها آمنة في السحابة:

  • حرص الموظفين على عدم الضغط على الروابط أو فتح المرفقات الواردة في مراسلات من مستخدمين مجهولين، لتجنّب أن يصبحوا ضحايا للتهديدات الإلكترونية، مع الاهتمام بتقديم التدريب التوعوي المتخصص، مثل التدريب بأسلوب اللعب عبر الحلّ Kaspersky Security Awareness.
  • التقليل إلى أدنى حدّ من خطر الاستخدام غير الموافق عليه للمنصات السحابية، وتوعية المسؤولين بالتأثير السلبي للمشاريع التقنية التي تتمّ من دون علم إدارات تقنية المعلومات، ووضع إجراءات خاصة بالمشتريات المتعلقة بالبنية التحتية السحابية واستخداماتها لكل إدارة من إدارات الشركة.
  • استخدام حل أمني خاص بالنقاط الطرفية لمنع نواقل الهجوم المعتمدة على مبادئ الهندسة الاجتماعية. ينبغي أن تشمل حماية خوادم البريد الإلكتروني وعملاء البريد والمتصفحات.
  • توظيف حماية للبنية التحتية السحابية في أقرب وقت ممكن بعد الانتقال إلى السحابة. ويُنصح باختيار حل متخصص للأمن الإلكتروني السحابي مع وحدة تحكم موحَّدة لإدارة الأمن في جميع المنصات السحابية، ودعم الكشف التلقائي للمضيفات السحابية، بالإضافة إلى توسيع نطاق الحماية تلقائياً لكل منها.
  • يقدّم الحلّ Kaspersky Hybrid Cloud Security للشركات حماية متعددة المستويات للبيئات السحابية المتعددة، والأمن الإلكتروني الموحد والتنسيق السلس. ويستطيع هذا الحلّ اكتشاف التهديدات الشائعة والمعقدة ليحمي البنية التحتية السحابية بالكامل سواء البيئات الافتراضية المحلية إلى المنصات السحابية العامة - مثل AWS وMicrosoft Azure.

إقرأ أيضا