الشركات الصغيرة – ضرورة الاستثمار في الأمن السيبراني

يدفع تزايد هجمات برامج الفدية، وانتهاكات البيانات، والهجمات السيبرانية صناع القرار وقادة الأعمال إلى النظر في ما يمكن القيام به لمواجهة ضعف الأمن السيبراني الناتج عن الارتجال و ضعف الضوابط و القيود على الموارد التي تواجهها الشركات الصغيرة في رحلة البحث عن جزيرة الكنز أو الأمان السيبراني. إنه الوقت الذي ينبغي فيه لأصحاب القرار اتخاذ إجراءات جريئة ومنسقة للحد من الهجمات السيبرانية المتزايدة الضرر، وخلق مستقبل رقمي أكثر أمناً.

تحديات بمواجهة الشركات الصغيرة

تتأثر إدارة مخاطر الأمن السيبراني بتوافر الموارد وعلاقتها بعملية صنع القرار. يمكن أن تؤدي الميزانيات المحدودة إلى خيارات صعبة ينتج عنها موقف أمن سيبراني دون المستوى المطلوب. لسوء الحظ، أثرت جائحة كوفيد-19 بشدة على قدرة الشركات الصغيرة والمتوسطة الحجم على الاستثمار في الأمن السيبراني. تقريباً، لا يستثمر ثلثا هذه المنظمات شيئاً في الأمن السيبراني، بينما ينفق الثلث المتبقي مبالغ متوسطة في هذا المجال.

وتشير الإحصائيات إلى أن الكيانات الأصغر لديها قدرة اقتصادية أقل على الاستثمار في الأمن السيبراني. لكنها بالنهاية ليست محصنة ضد الهجمات. على سبيل المثال، منفذو هجمات برامج الفدية يستهدفون الكيانات الكبيرة والصغيرة، العامة والخاصة. ولكنهم لا يهتمون بمدى الضرر الذي تتركه هجماتهم على الشركات الأصغر. تُغلق معظم الشركات الصغيرة أبوابها في غضون ستة أشهر من وقوع هجوم فدية ناجح. لذلك يوصي الخبراء بأن يتبنى كل كيان، بغض النظر عن حجمه أفضل الممارسات في مجال الأمن السيبراني للتصدي لهجوم مجرمي الانترنت .ومع ذلك، فإن تلبية متطلبات مثل هذه التوصية قد تتجاوز القدرة الاقتصادية لمعظم الشركات الصغيرة. و كذلك للشركات التي تعاني أساساً من نقص الموارد لتلبية الحاجات الأساسية للأمن السيبراني.

خطر الهجمات السيبرانية

تبين الدراسات أن الشركات التي توظف أقل من 10 موظفين، والشركات الصغيرة في الصناعات “الأبعد عن الرقمنة”، تتمتع بشكل عام بنضج سيبراني “محدود”. حيث لا توجد موارد داخلية لتكنولوجيا المعلومات. و يزداد النضج مع زيادة عدد الموظفين و حجم الأعمال. وذلك لامتلاكهم موارد أكثر لتكنولوجيا المعلومات، حتى لو لم تكن خاصة بالأمن السيبراني.

مع الهجمات المتزايدة الانتشار التي تستهدف الشركات الصغيرة فإنه ، في أغلب الدول العربية، لا يوجد معيار تنظيمي موحد يجب على جميع الشركات، بغض النظر عن حجمها أو صناعتها، اتباعه لتلبية الحد الأدنى من معايير الاستعداد للأمن السيبراني. وهذا أمر محير لأنه خارج عالمنا العربي -مع بعض الاستثناءات- هناك دول تفرض معايير إلزامية.

من الواضج أن الهجمات السيبرانية أصبحت أحد أخطر الأسلحة في العالم، سياسياً واقتصادياً وعسكرياً. ولا يبدو أن الأمور تتحسن . كل عام أسوأ من العام الذي سبقه. استهدف مجرمو الانترنت قطاعات التعليم والصحة. كما ارتفعت الهجمات على المدارس والجامعات على مستوى العالم. إن الهجمات السيبرانية تضرب في كل مكان و زمان. إنها تهديد القطاع الصحي في جميع أنحاء العالم فتسرق البيانات الشخصية للمرضى و تستغلها في سرقة الهوية الطبية. و على التوازي، هي تستهدف الأنظمة والشبكات المهمة ذات التأثيرات واسعة النطاق. أحد الأمثلة، هجوم برنامج الفدية في عام 2021 على خط أنابيب كولونيال. والذي أجبر أكبر نظام لخطوط أنابيب النفط المكرر في الولايات المتحدة على الإغلاق مؤقتاً. وبالتالي أجبر شركة Colonial Pipeline على دفع مبلغ 4.4 مليون دولار لمهاجميها.

ضعف الثقة

تركز عناوين وسائل الإعلام في كثير من الأحيان على الهجمات السيبرانية التي تستهدف الكيانات الكبرى التي تعاني من أكبر تكاليف التعافي. لكن تواجه الشركات الصغيرة والمتوسطة الحجم أيضاً خسائر غير قابلة للتعافي و ضربات قاضية و مدمرة مالياً. يتم شن 75% من هجمات برامج الفدية ضد الشركات الصغيرة. و يزيد القلق بسبب حقيقة أن 60% من الشركات الصغيرة تفتقر إلى الموارد المالية اللازمة لاستخدام وسائل الحماية المتعلقة بالأمن السيبراني.

تؤدي الهجمات السيبرانية المتزايدة والمتطورة إلى إضعاف ثقة الناس. اهتزاز الثقة يمتد لمستويات عدة، بما في ذلك عملية التصويت -في بعض الدول- و البنية التحتية الحيوية، ومؤسسات الأعمال. ومن المفارقات، أن تحقيق الأمن السيبراني هو عمل جماعي. وكما هو الحال مع حماية البيئة، فإن فشل شركة أو دولة واحدة في معالجة نقاط الضعف سيؤدي في نهاية المطاف إلى الإضرار بالأمن السيبراني للجميع. وفي الوقت نفسه، فإن رفع مستوى الأمن السيبراني لشخص واحد سيؤدي إلى رفع مستوى الحماية للجميع.

الهجمات السيبرانية على الشركات الصغيرة

في كل عام، تتصاعد الهجمات الإلكترونية من حيث عدد وشدة آثارها مجتمعة. بين ليلة وضحاها تقريباً ، أجبرت جائحة كوفيد-19 الشركات على التحول إلى الانترنت بالكامل. لم يوفر ذلك سوى فرصة ضئيلة لإنشاء حماية أمنية. استغل مجرمو الانترنت نقاط الضعف في العمل عن بعد. أدى ذلك إلى مضاعفة الهجمات السيبرانية ما بعد كوفيد إلى أربعة أضعاف أرقام ما قبل الوباء. وعلى الصعيد العالمي، ارتفعت الهجمات بنسبة 50% بين عامي 2020 و2021.

تعد برامج الفدية (Ransomware) أداة لها شعبيتها لدى مجرمي الانترنت. إنها المفضلة لديهم لاستهداف بيانات المؤسسة والبيانات الشخصية. وقد أدت نقاط الضعف التي خلقتها الجائحة إلى تفاقم تأثير الهجمات على استمرارية الأعمال. ولا تزال الشركات مترددة في الكشف عما إذا كانت تدفع فدية (أو مقدار ما دفعت). لكن تقدر إحدى الدراسات أن التكلفة الإجمالية لبرامج الفدية للشركات في عام 2020 تجاوزت 20 مليار دولار.

يساهم انتشار الخدمات الإجرامية التي يسهل الوصول إليها وبأسعار معقولة -للأسف-، والمعروفة باسم برامج الفدية وشبكات البوتات كخدمة، في تعزيز التهديدات السيبرانية حيث يقوم مجرمون باستئجار برامج معدة مسبقاً، أو الشراكة مع مجرمي الانترنت الأكثر تطوراً من الناحية الفنية، لشن الهجمات. منصات الهجوم هذه متاحة بسهولة عبر الانترنت، ويقدم بعضها تجارب مجانية و دعم فني على مدار الساعة!

تكلفة الدفاع السيبراني

يتحمل مجرمو الانترنت تكاليف منخفضة لشن الهجمات، إلا أن ثمن الدفاع ضدهم يمكن أن يكون باهظاً. فالشركات تواجه تهديدات متنوعة ويُطلب منها الدفاع ضد خصم أكثر إبداعاً وتحفيزاً وقدرة على التكيف. يتواصل مجرمو الانترنت بطريقة أفضل و أكثر تنسيقاً من تواصل المدافعين. وعلى وجه الخصوص، فإن تبادل تهديدات المعلومات عبر مختلف القطاعات ومع جهات إنفاذ القانون، غير منتظم إلى حد كبير بسبب المخاوف بشأن تعطيل الأعمال، والإضرار بالسمعة، والتداعيات المحتملة على السوق، والعقوبات القانونية.

من الصعب تعقب المهاجمين لأنهم يمكن أن يتواجدوا في أي مكان حرفياً، وهم بارعون في إخفاء هوياتهم الرقمية. ويمثل إثبات إسناد الهجوم السيبراني، وتقديم الجناة إلى العدالة، مشكلة عابرة للحدود الوطنية تزداد تعقيداً بسبب البيئة الجيوسياسية والقوانين غير المتسقة والإجراءات غير الواضحة من قبل الدول والشركات.

بينما تواجه الشركات التهديدات السيبرانية المتصاعدة، فإنها تواجه حقيقة مفادها أنه من المستحيل تحقيق أنظمة آمنة تماماً، بغض النظر عن التكلفة. غالباً ما يتم صياغة القرارات المتعلقة بالاستثمار المطلوب لرفع الأمن السيبراني إلى مستوى أعلى وأكثر أماناً وتقليل مخاطر الهجمات السيبرانية في مقاييس العائد على الاستثمار ROI أو حسابات إدارة المخاطر. ومن المؤكد أن هناك أطر مختلفة متاحة لتوجيه الشركات في تقييم احتياجات الاستثمار في الأمن السيبراني.و لمساعدة المؤسسات على تحديد مخاطر الأمن السيبراني وإدارتها. وأحد أهم هذه الأطر NIST.

كلمة أخيرة

في حين أنه لا يوجد أي متطلبات شاملة للأمن السيبراني لجميع أنواع العمليات التجارية، فإن تلك الشركات التي تعمل في صناعات محددة يجب أن تستوفي معايير تنظيمية معينة تتضمن حسابات تكلفة المخاطر السيبرانية و أضرار فقدان السمعة، والتعافي و تقليل المخاطر، وتقييم ثغرات الأمن السيبراني. وتميل الشركات إلى الاستثمار في الأمن السيبراني فقط حتى النقطة التي لا تتجاوز فيها التكاليف العائد من الاستثمار. وبالتالي، في الظروف التي يكون فيها احتمال نجاح الهجوم منخفضاً، ولكن التكاليف مرتفعة لمواجهة مثل هذا الاحتمال فقد تختار الشركة التخلي عن الاستثمار في الأمن السيبراني. تكمن نقطة الضعف في هذا السلوك أنه غالباً ما يتجاهل أو يقلل من قيمة تأثير نقاط الضعف السيبرانية لشركة واحدة على النظام الرقمي الأوسع لصناعة بأكملها. كما يفشل في توضيح تأثير العوامل الخارجية السلبية على انعدام الأمن في الشركة.