تتزايد المغالطات والمفاهيم الخاطئة حول الأمن السيبراني بشكل كبير وتؤثر على المؤسسات بمختلف أحجامها، مما يجعلها عرضة للهجمات السيبرانية. وللحفاظ على بيئة رقمية آمنة ومرنة، من الضروري تصحيح العديد من الخرافات حول الأمن السيبراني. وكذلك اعتماد منظور واقعي قائم على الحقائق بشأن الجرائم السيبرانية والمخاطر الأمنية. في هذا المقال، يعرض روبودين لبعض المغالطات ويقدم الحقائق كبديل.
المهاجمون دائماً متقدمون على المدافعين
دائماً نسمع مغالطة أن المهاجمين يغيرون تكتيكاتهم. باستمرار و بالتالي لن نستطيع -كمدافعين سيبرانيين- اللحاق بهم. نعم، من الصحيح أن هناك كل يوم محاولات لاستغلال الثغرات الجديدة تظهر بمرور الوقت. لكن الثغرات ليست إلا جزءاً صغيراً من جبل الجليد عندما يتعلق الأمر بنشاط المهاجمين في الشبكة أو الأنظمة. حتى لو تعرضت المنظمة للخطر من خلال هجوم يوم الصفر zero day، فإن فرصة احتواء هذه الهجمات تتناسب طرداً مع نضج برنامج الأمن السيبراني في المؤسسة وخبرات مسؤولي الأمن. ليس هناك تغييرات جوهرية حقاً في تكتيكات المهاجمين ولكن هناك كسل و نمطية أحياناً في جهة المدافعين.
بالمحصلة، المهاجمون بشر (أو ذكاء اصطناعي-هذه الأيام) وبالتالي، نحن كبشر مثلهم، يمكننا توقع أننا جميعاً لسنا سوبرمان. وحين تبدأ في النظر إلى المهاجمين على أنهم بشر لهم أهدافهم، فإنك بذلك تبدد الهالة التي تجعلهم مخيفين غير قابلين للهزيمة. وكذلك، لنتذكر أنه ليس هناك خطط دفاع أو هجوم محكمة و جيدة لدرجة الكمال. لكن تتبع كل هجمة سلسلة من الخطوات والتي قد يرتكب فيها المهاجم خطأً سنكون نحن كمدافعين، بحاجة إلى اغتنامه لاحتواء الهجمة عبر الضوابط المختارة أو لتحديث تلك الضوابط عند قصورها عن تقليل المخاطر بالشكل المتوقع منها والاستجابة لها وإعادة بناء دفاعاتنا لمنع حدوث مثل هذه المحاولات مستقبلاً.
المنتج الأغلى أفضل -مفاهيم خاطئة حول الأمن السيبراني
كثيراً ما نرى ونسمع أقاويل في عالم تكنولوجيا المعلومات تفيد بأن شركتنا آمنة لأنها تستخدم المنتج الفلاني. إن مسؤولي المبيعات هم المسؤولون عن هذه العقلية الخطيرة لأنهم يضخمون نطاق وقدرة منتجهم ليحقق مبيعات أكبر. وكذلك فإنهم يقللون من توصيف الجهد الذي يتطلبه إعداد كل من الأنظمة والمنتجات المباعة للمؤسسة بشكل صحيح. إن فكرة الأمن المطلق في عالم الأمن السيبراني هو خرافة تآكلت و ثبت زيفها منذ زمن طويل. الأمن ليس حبة سحرية تبتلعها المؤسسة فتصبح عصية على المهاجمين. وبالتالي، فالمطلوب هو العمل باستمرار لتقليل المخاطر التي يشكلها عالم الجرائم السيبرانية.
ويتم تحقيق ذلك من خلال الموازنة بين الجوانب المختلفة للدفاع عن منظمة الأعمال وفقاً لقدرة كل منظمة على تحمل المخاطر.
ومن جانب آخر، فإن إحدى الأفكار الخاطئة عن الأمن السيبراني هي أننا على بعد حل تقني واحد من معالجة جميع المشاكل الأمنية. ولذلك، في كل عام، يروج البائعون للجيل القادم من المنتجات التي سيتم تشغيلها تلقائياً وتتكامل مع كل شيء و يتطلب تشغيلها وإدارتها عدد أقل من الموظفين. نلاقي مثل هذه العبارات الطنانة و الوعود البراقة ترحيباً من الإدارات العليا، وخصوصاً ، في ظل نقص المهارات السيبرانية. الرسالة الخاطئة هنا: لتحل مشاكلك، انتقل لجيل أحدث من التكنولوجيا. عند الانتقال، ستظهر مشاكل جديدة. لكل تحلها، انتقل لجيل أحدث. إنها حلقة مفرغة.
الأدوات المجانية مجانية
تقول الحكمة المعاصرة: إذا كان المنتج مجانياً، فأنت المنتج. قد يبدو هذا القول متطرفاً جداً في الشك. لكن، هل يوجد فعلاً ما هو مجاني بالمطلق؟ إن أغلب الأدوات والبرامج التي تقدم على أنها مجانية، في كثير من الأحيان، لا تكون مجانية بالفعل. الحقيقة أن مفهوم “مجاني” يعني منتج بحاجة إلى الخبرة والبحث (لأن تلك الأنظمة عادة ما تكون سيئة التوثيق)، ولذلك فأنت بحاجة إلى المزيد من الناس لإدارتها، مما يستغرق منك موارد وقت أطول. عند حساب التكلفة، ضع في الاعتبار الوقت والجهد المطلوب وضعه كي تأخذ من المنتج “المجاني” المخرجات المتوقعة. وكذلك أحتسب التكلفة المالية اللازمة لتحقيق ذلك. لا يوجد شيء “مجاني” لكن هناك دائماً تكلفة تم تجميلها أو تقنيعها لتبدو شيئاً آخر.
مفاهيم خاطئة حول الأمن السيبراني – كلهم أشرار
تدور الصور النمطية عن المتسللين (Hackers) حول الشخصية الغامضة التي ترتدي قبعة غريبة و لديهم شخصية عدوانية أو إنطوائية بأحسن الأحوال. وكذلك، فإن تصنيف كل الـ Hackers كأشرار، هو نوع من الغرق في الوهم. الكثير من المتسللين، وتحديداً الأخلاقيين منهم، يحفزون حل المشكلات، بل أن معظمهم من مستكشفي الأخطاء ومصلحيها. وكان فضولهم ومثابرتهم في كثير من الأحيان يساء فهمه، مما يؤدي إلى اختلاق صورة نمطية ضارة تخلط بينهم وبين الجهات الضارة. في هذا المجتمع، يشارك القراصنة الأخلاقيين ما يعرفونه ويشجعون الآخرين على المحاولة، واستقطاب الخبرات. يستكشف القراصنة الأخلاقيون الأصول الرقمية عبر الوصول للثغرات الأمنية فيها، للإضاءة على زوايا تريد الشركات عادة تجاهلها، يساعدنا ذلك في كشف الحقيقة حول مستوى أماننا الفعلي.
حلول سحرية للأمن السيبراني
بالعودة لمغالطة ارتباط الأمن بالمنتجات التقنية فقط فإن الواقع يثبت أنه لا يمكن بناء شبكات آمنة للغاية من خلال استثمار الملايين في المنتجات الأمنية فقط. ولكن بدلاً من ذلك يتطلب الأمر عملية وإجراءات، وتغييرات إدارية وفنية. يشبه ذلك الطريقة التي نتعامل بها مع الصحة الشخصية. هناك الكثير من الأنظمة الغذائية البدائية ويتعين على صناعة الأنظمة الغذائية أن تبتكر باستمرار أشياء جديدة لإقناعك بأنها يمكن أن تجعلك أكثر صحة في وقت أقل. سيتطلب منك الأمر اتباع مجموعة من الأشياء التي نعلم أنها تجعلك بصحة جيدة كتناول الطعام بشكل صحيح، والراحة وعدم التدخين.
صناعة الأمن السيبراني تفعل الشيء نفسه. بدلاً من أخذ الوقت الكافي لتنفيذ السياسات والإجراءات والتدريب والتكوين المناسبين، تحاول الشركات أن تبيع أنظمة غذائية (حلول) بدائية لمعالجة مشاكلك الفنية. و بالتالي، فإن ما سيحدث في الأمن السيبراني يحدث بعد استخدام البرامج المعلبة الخاصة بالصحة الشخصية، حتى لو فقدت الوزن/ أي أصبحت أكثر أماناً، فإنك ستكسب هذا الوزن مجدداً (وربما أكثر) خلال عام، تماماً كما ستستعيد مشاكلك الفنية بانتهاء مفاعيل الحل “السحري” الذي كان من المفروض عندما اشتريته أن يعالج كل الثغرات الأمنية.
الخبرات السيبرانية صالحة لكل وقت
أن مهنة الأمن السيبراني لديها ألاف الوظائف الشاغرة، وبالتالي فالشركات بحاجة فقط إلى جذب وتدريب المزيد من الأشخاص لملء جميع تلك الوظائف. تستثمر المؤسسات يوماً بعد يوم في البنية التحتية والخدمات السحابية وبالتالي فإن الكثير من الوظائف ستسند إلى مزودات الخدمة. هناك أمثلة في كل مكان عن شركات تنجز بوجود 20 شخصاً اليوم أكثر مما أمكنهم إنجازه مع 50 موظف قبل سنين مضت. هناك أيضاً تحول رقمي متسارع، والعديد من الوظائف الجديدة ستكون مختلفة إلى حد كبير عن الوظائف الأمنية التي نعرفها اليوم. سوف ينجز التعلم العميق والشبكات العصبية الكثير من العمل. ستكون وظائف الأمن السيبراني أكثر اتساقاً مع العمليات التجارية الخاصة في المؤسسات وبالتالي فإن معرفة الأعمال التجارية ستكون جزءاً من المهارات المطلوبة لمسؤولي وقادة الأمن السيبراني. ستظل هناك وظائف جيدة ، وكلنا بحاجة إلى مجموعة متنوعة من الأشخاص المتحمسين لحل المشاكل الصعبة، ولذلك فالمطلوب من المؤسسات هو عملية مستدامة للتأكد من تدريب متخصصين في مجال الأمن ملائمين لوظائف المستقبل.
مفاهيم خاطئة حول الأمن السيبراني – كلمة أخيرة
إن تعرفنا على الأفكار الخاطئة عن الأمن السيبراني هو أمر بالغ الأهمية يساعد في زيادة الوعي وإدارة المخاطر بشكل استباقي. ومن خلال فهم الحقائق وراء هذه الأأفكار وتنفيذ تدابير أمنية قوية، يمكن للمؤسسات حماية نفسها بشكل أفضل ضد التهديدات السيبرانية المتطورة وكذلك تحسين ثقة العملاء وسمعة الأعمال.