يعتقد العديد من الأشخاص بأن منفذي الهجمات الإلكترونية على الشركات يستهدفون فقط الشركات الكبيرة وان الشركات الناشئة و الصغيرة خارج دائرة الاستهداف. ولكن للأسف هذا الأمر غير صحيح. فالأمن السيبراني يفترض أن يكون ضمن أولويات الشركات مهما كان مجال حجمها، نوعها أو نطاق عملها.
تشير الإحصائيات أن الشركات التي لديها أقل من 100 موظف تتأثر بنسبة 76% من الهجمات الالكترونية. لأن الجهات المنفذة للهجمات تعرف أنه من السهل الوصول لهذه الشركات نظراً لضعف الحماية ونقص الخبرة المطلوبة لتطبيق الحماية.
معظم الشركات الصغيرة لا تملك الميزانية اللازمة للاستثمار في الحماية . ليس لديهم الخبراء والأدوات كما أنه ليس لديهم الوقت الكافي للتعرف على أهمية الأمن السيبراني وقد يؤدي هذا الأمر إلى اضرار كبيرة لا تحمد عقباها.
في الآونة الأخيرة تطورت الهجمات الالكترونية بشكل كبير جداً وخاصة مع سياسة العمل من المنزل خلال انتشار وباء كورونا ونتائج وآثار هذه الهجمات أصبحت مكلفة جداً. لذلك ننصحك بقراءة هذا الدليل الذي عرضنا في جزئه الأول لأهمية تقييم المخاطر، تدريب الموظفين، حماية الشبكة، و النسخ الاحتياطي للبيانات. تابع معنا في هذا الجزء بعضاً من أساسيات الأمن السيبراني الخاصة بحماية الشركات الناشئة والصغيرة.
قم بتحديث برامجك بانتظام لتقليل مخاطرالهجمات الإلكترونية على الشركات
لن تتمتع بأحدث تدابير الأمان إذا لم تقم بتحديث الأنظمة والبرامج الخاصة بك بانتظام. يساعدك هذا الإجراء على إصلاح الثغرات ونقاط الضعف الموجودة . علماً أنه من المهم تطبيق التحديثات بمجرد توافرها.
يعمل الخبراء على تصحيح الثغرات ونقاط الضعف وتوفيرها للمستخدم من خلال التحديثات. وهذا الأمر يجعل من الأنظمة والبرامج أكثر أماناً. وتعتبر عمليات التحديث من اهم القواعد في الأمن السيبراني للحماية من الهجمات الإلكترونية على الشركات وتعزيز مستوى الأمان فيها.
كلمات السر والمصادقة الثنائية:
تعتبر كلمات السر القوية والمصادقة الثنائية من أهم الأمور التي يجب تطبيقها لزيادة مستوى الحماية في الشركات الصغيرة.
يمكن للموظفين استخدام عبارات طويلة بدل كلمات السر البسيطة. كما يمكنهم الاعتماد على تطبيق لإدارة كلمات السر لحفظ كلمات السر للحسابات المختلفة. يساعدهم ذلك في استخدام كلمات سر قوية دون تحمل مشقة حفظ تلك الكلمات أو إساءة تخزينها وإدارتها.
كلمة السر خط دفاع في وجه الهجمات الإلكترونية على الشركات
يجب على الموظفين عدم مشاركة كلمات السر وعدم تخزينها في أماكن غير آمنة ومرئية. و عليهم أيضاً عدم إبقاء الأجهزة مفتوحة أو بدون كلمة سر عن الذهاب للاستراحة وشرب القهوة.
ولإضافة طبقة حماية أخرى ينصح دائماً باستخدام المصادقة الثنائية إما من خلال العوامل الحيوية كبصمة الأصبع أو العين أو من خلال كود أو رمز يتم إرساله للموظف عبر رسالة SMS أو عبر تطبيق خاص يعمل على توليد هذا الرمز بشكل لحظي OTP. وهذا الأمر يمنع المهاجم من الوصول للحسابات حتى لو تمكن بطريقة ما من الحصول على كلمة السر الصحيحة.
بعض الأمور التي تساعد الموظفين على تذكر كلمات السر هو طريقة توليد هذه الكلمة. في حال كان الموظف يريد توليد كلمة سر قوية وطويلة وتحوي على أحرف كبيرة وصغيرة ورموز وأرقام بالتأكيد سيكون من الصعب عليه لاحقاً تذكر هذه الكلمة. أو من المؤكد انه سيقوم بكتابتها أو حفظها في مكان آخر. وهذا الامر لا يعتبر جيد من وجهة نظر الحماية. ولحل هذه المشكلة يمكن للموظف اختيار عبارة طويلة (بيت شعر مثلاً) واخذ الحرف الأول أو الحرف الأول والثاني من كل كلمة وإضافة بعض الأرقام لهم ليحصل على كلمة سر قوية وغير قابلة للتخمين.
تطبيق مبدأ الصلاحيات القليلة least privilege principle:
مبدأ الصلاحيات القليلة أو أقل مستوى صلاحيات هو قاعدة أساسية في الأمن السيبراني ومهمة جداً في الشركات الصغيرة. يعني هذا المبدأ منح الموظف الحد الأدنى من الصلاحيات ليتمكن من الوصول للموارد التي يحتاجها لتنفيذ عمله. علماً أن الحسابات ذات الصلاحيات العالية مثل حساب Root or Admin لها صلاحيات غير محدودة وفي حالة منح الموظف هذه الحسابات فإن أي خطأ سيقوم به سيكون له آثار سلبية كبيرة. وفي حال تم اختراق حساب الموظف لديه صلاحيات Root or Admin فإن المهاجم سيكون له القدرة على الوصول لموارد غير محددة ضمن النظام . لذلك يجب التأكد من تطبيق هذا المبدأ في الشركات الصغيرة.
مثلاً: إذا احتاج موظف الموارد البشرية الوصول إلى قاعدة البيانات فلن يحتاج الوصول لتقارير الكشوفات المالية. لذلك يجب منح كل موظف الحد الأدنى فقط من الصلاحيات اللازمة له للقيام بعمله ولفترة محدودة فقط . وهذا الأمر يساعد على منع كشف المعلومات وتسريبها عبر تقييد الإطلاع عليها أو الوصول لها لأقصى حد.
استخدام VPN وتأمين الشبكات اللاسلكية:
تؤمن الشبكات الخاصة الافتراضية VPN – Virtual Private Network حماية وتشفير للاتصال عبر الشبكة. وهذا الأمر يساعد على الحماية من التنصت على البيانات المهمة أثناء نقلها عبر الشبكة.
كما يجب الانتباه للشبكات اللاسلكية وتأمينها بالشكل الأمثل كون الوصول لها أسهل من الشبكات السلكية ويمكن للمهاجم تنفيذ العديد من الهجمات عبر الشبكة اللاسلكية الغير مؤمنة بشكل جيد.
مراقبة البائعين والتعاقد مع مزودي خدمات الحماية
يمكن لمزودي الخدمات المتعاقدين مع الشركة الوصول إلى الكثير من المعلومات بدون علمك. لذا تحقق من البيانات التي يمكن للبائعين الوصول لها وكيفية استخدامها، وما إذا كانت لديهم التدابير الأمنية اللازمة لضمان الحماية لمعلومات شركتك التي يتعاملون معها.
إن لم يكن لديك المال الكافي في شركتك الصغيرة للدفع وتوظيف خبراء ومهندسين للحماية من مخاطر الأمن السيبراني فيمكنك التعامل مع شركات الحماية التي تقدم لك هذه الخدمة بكفاءة عالية وتكاليف مقبولة.
شركات الحماية ممكن أن تساعدك في إدارة البنية التحتية لتكنولوجيا المعلومات في شركتك حضورياً أو عن بعد. من كما يمكن أن تعمل تلك الشركات على تقديم التدريب والتوعية لموظفيك وفق شروط متفق عليها بشكل مسبق.
تأثير الهجمات الإلكترونية على الشركات على الشركات الصغيرة:
ينصحكم روبودين بأخذ الأمور السابقة على محمل الجد باتباع الإجراءات المذكورة في هذا الدليل لتجنب الوقوع بمشاكل أو أضرار مدمرة. من المهم أن تدرك أهمية الأمن السيبراني للشركات الناشئة و الصغيرة. إن منفذي الهجمات قد أتمتوا أدواتهم وهجماتهم وما هي إلا مسألة وقت ليصيبك الضرر.
فأساليب المهاجمين تتطور بشكل يومي. وتتم الهجمات بتكتيكات جديدة ومبتكرة. تخيل ماذا سيحدث لو تعرضت شركتك لهجوم باستخدام برامج الفدية وتم تشفير كامل الملفات ومنعك من الوصول لها ومطالبتك بدفع مبلغ مالي للسماح لك بذلك.
تخيل لو تم تسريب معلومات وبيانات شركتك، ما هي الخسائر المالي التي قد يتسبب بها مثل هذا التسريب؟ و هل يمكنك قياس ضرر السمعة و فقدان الثقة من قبل العملاء بالشركة.
تخيل العميل وهو يقول كيف لي أن أضع ثقتي بهذه الشركة وأن أكون عميل لها وهي لا يمكنها حماية نفسها من الهجمات الالكترونية. كيف ستكون جديرة بالثقة لحماية معلوماتي وبياناتي الحساسة؟
لتجنب هذه المواقف وللبقاء في الجانب الامن يجب ان تدرك أهمية الامن السيبراني وتدرك حقيقة أن الأمن السيبراني ضرورة وليس رفاهية. و أن الاستثمار به هو امر ضروري لتجنب الخسائر المالية والخسائر الأخرى الناتجة عن الهجمات الالكترونية.
لا تنتظر حدوث الأمور السيئة و إنما ابدأ من الآن بتطبيق إجراءات وتدابير الحماية . إن الوقاية خير من العلاج فما بالك إذا علمت أن بعض نتائج الهجمات الالكترونية قد لا ينفع معها العلاج. لذا فإن الوقاية ثم الوقاية هي الحل الأمثل للحصول على المستوى المطلوب من الحماية.