تصمم أغلب المؤسسات خطط حماية المعلومات لمواجهة متسلل خارجي لكنها تهمل التهديدات الداخلية التي تتعرض لها المعلومات. من هنا تأتي أهمية أن تبقي المؤسسات عين على الداخل تحدد مكامن الخطر عبر تصنيف المعلومات ومعرفة من يطلع عليها. تتعلق هذه الجهود بأحد أهم ركائز أمن المعلومات و هو السرية Confidentiality.
تضمن السرية عدم تمكن الأفراد غير المصرح لهم من الوصول إلى معلومات حساسة. و لتحقيق هذا الهدف يقوم متخصصو الأمن السيبراني بتطوير وتنفيذ ضوابط أمنية ، بما في ذلك جدران الحماية وقوائم التحكم في الوصول ACL والتشفير لمنع الإطلاع أو الإفصاح غير المصرح به عن المعلومة. إن أغلب طرق الحماية تركز على الجانب التقني، حيث تتراكم الضوابط الفنية للحفاظ على السرية. لكن نكاد نصل إلى نقطة يصبح فيها التطور بهذا المجال غير ممكن.
في الجانب الآخر من أرض المعركة، تتركز جهود المهاجمين على محاولات تقويض ضوابط السرية تلك لتحقيق أهدافهم .هل لاحظتم أن تركيزنا ينصب على الحماية من الخطر الخارجي بينما ما نحتاجه فعلاً هو عملية شاملة تتضمن أن تبقي أحد عينيك على المهاجم الخارجي بينما تركز أيضاً على احتواء التهديدات الداخلية لأمن المعلومات . لا ننسى أن كل الهجمات التي اخترقت سور الصين العظيم تمت برشوة الحراس.
اكتشاف الجوهرة المزيفة
يبدو أن المؤسسات تبذل الجهد لمعرفة الجهات المتعاقدة معها و لمعرفة زبائنها ، و لكنها لا تعرف موظفيها بالشكل المطلوب. إن البحث في ملف الموظف على Linkedin لم يعد كافياً. ما نحتاجه فعلاً أن نعرف كيف يفكر الموظف و كيف يتحول من مدافع إلى تهديد. من المؤسف أنه في كومة القش أو الذهب التي هي موظفي الشركة هناك أبرة سيئة أو جوهرة مزيفة. لدى المؤسسات الكثير لتقوم به بهذا الخصوص. زيادة معرفتنا بمحيطنا الداخلي تعني زيادة في مستوى حمايتنا كمؤسسات.
مواجهة التهديدات الداخلية
منع الهجوم قبل حدوثه يوفر الوقت والمال، و ربما الأرواح .أي محاولة للهجوم من الخارج ستصبح أسهل فيما لو قدم أحد المساعدة من الداخل.
للأسف، رغم برامج التوعية فإن 30 من أصل 100 رسالة تصيد يتم فتحها في الأربع دقائق الأولى لاستلامها. علماً أن رسالة واحدة منها فقط تكفي لمنح المهاجم طريقه الآمن إلى القلعة (المؤسسة).
إن توقع متى و كيف سيظهر شخص يمثل تهديداً من الداخل هو أمر شبه مستحيل. كل موظف له شخصية فريدة. كل موظف يسترشد ببوصلة أخلاقية تراكمت لديه عبر سنوات حياته. لا توجد إعدادات أخلاقية موحدة يمكن فرضها على جميع الموظفين بطريقة قسرية.
تشير الأبحاث إلى أن واحداً من كل عشرين شخصاً يفتقر بطبيعته إلى القدرة على إدارة السلوكيات المدمرة فيما لو سيطرت عليه. تبدأ القصة عندما يواجه الناس الضغوطات إما بشكل منفرد أو جماعي. عندما يصبح الضغط غير محتمل، سيلجأوون إلى سلوكيات جديدة في محاولة لتخفيف التوتر. قد تنقلهم هذه السلوكيات من موارد ذات قيمة للمؤسسة إلى تهديد لن يتم كشفه إذا لم يكن لدى المؤسسة آلية متكاملة لتحديد هذه السلوكيات في الوقت المناسب.
الحماية من التهديدات الداخلية لأمن المعلومات
ليس هناك حلول كاملة لتحقيق هذا الهدف. لكن البداية قد تكون بتحديد دقيق للمطلعين على المعلومات. هناك ما هو أخطر من أن يقوم أحد المطلعين المعروفين بتسريب المعلومات. الأخطر هو أن يسرب المعلومات شخص وصل لها بطريقة غير موثقة، كأن يستغل زميل حانق أو مغرور أو مهمل، ليصل إلى ما لا تسمح صلاحياته بالوصول إليه.
يُضاف لذلك، برامج التوعية. بينما يؤدي الجهل و الإهمال لأذى غير مقصود. فإن التوعية و تنمية الرغبة بالتعلم الذاتي تساعد في حماية المعلومات.
لكن بصراحة، هناك احتمال أن يتم تلقي برامج التوعية بنفس مستوى اللامبالاة التي يتم فيها تلقي جميع البرامج التدريبية السنوية الأخرى. اللامبالاة هي سبب الجذري لأغلب المشاكل الأمنية في الشركات. زيادة الشعور بالولاء للمؤسسة قد تكون أحد الحلول السحرية في هذا المجال.
طبعاً هناك جانب تقني في الحماية من الخطر الداخلي. تحديث البرامج وترقيتها على الفور. و منع استخدام كلمات المرور القديمة. إدارة الأنظمة و التأكد من الإعدادات و مراقبة النشاط على الشبكة. و لا ننسى أهمية عزل الشبكات باستخدام تجهيزات على دراية بالتطبيقات و الخدمات المسموحة في كل جزء من الشبكة و لكل مستوى من الموظفين.
بالمحصلة، لا يوجد مكان للثقة المطلقة عندما يتعلق الأمر بالأمن السيبراني . و لكن المطلوب العمل بشكل مستمر لتقييم المخاطر و مواجهتها و تقليلها للحد الذي تقبله المؤسسة.
