حل مشاكل المستخدم في الخروقات السيبرانية

Brian Byagaba, Senior Manager – Information Security, CBI

 

في أغلب الأحيان، لا يتم وضع حتى الحد الأدنى من الكتل الأمنية.

عندما تم اختراق حساب مارك زوكربيرغ على تويتر في عام 2016، افترض معظم الناس أن المهاجمين استخدموا واحداً من برامج الإختراق المُعقّدة لإستهداف الرئيس التنفيذي لواحدة من أكبر شركات التكنولوجيا في العالم. ولكن سرعان ما غرّد المتسللون (من حساب زوكربيرغ على تويتر) بأنهم عثروا على كلمة المرور الخاصة به في قاعدة بيانات مسربة على تطبيق لينكد إن، واكتشف قطاع التكنولوجيا أن كلمة المرور كانت عبارة عن تسلسل بسيط مؤلف من ستة أحرف يتحدى جميع توصيات السلامة في القطاع ("dadada").

وتمكّن المتسللون من استخدام نفس كلمة المرور للوصول إلى حسابه على تطبيق Pinterest لأنه يحمل نفس كلمة المرور. قد يكون من المدهش معرفة أن أحد أقوى الرجال في مجال التكنولوجيا اختار عدم اتباع إحدى قواعد الأمن السيبراني الأساسية، لاستخدام كلمة مرور مختلفة ومعقّدة لكل حساب عبر الإنترنت.

لكن باعتباري متخصصاً في أمن المعلومات لدى البنك التجاري الدولي، لست متفاجأً تماماً؛ فالحلقة الأضعف في سلسلة الأمان هي الأشخاص أنفسهم.

لا تخطئوا فهمي. لا تزال البرامج الضارة تشكل تهديداً كبيراً للشركات، سواء مكانت على شكل فيروسات أو أحصنة طروادة أو برامج فدية. وفقاً لمركز الدراسات الإستراتيجية والدولية، ينفق الإقتصاد العالمي سنوياً أكثر من 600 مليار دولار (2.2 تريليون درهم) (ما يقرب من %1 من الناتج المحلي الإجمالي) على الجرائم السيبرانية. وتتكبد دولة الإمارات، وهي واحدة من أكثر الدول المستهدفة في العالم للهجمات السيبرانية، تكاليف تُقدّر بنحو 1.4 مليار دولار سنوياً.

لكن، في الواقع، انتهاكات الأمن السيبراني ليست مُعقّدة إلى هذا الحد. وفي تقريرها السنوي عن تحقيقات انتهاك البيانات، كشفت شركة Verizon أن أكثر من %40 من انتهاكات البيانات في عام 2016 استخدمت تقنيات الهندسة الإجتماعية. وتشير الهندسة الإجتماعية بشكلٍ أساسي إلى الطرق التي يخدع بها المهاجم شخصاً ما للكشف عن معلومات حساسة بقصد استخدامها بطريقة احتيالية.

 

دولة الإمارات ليست مُحصّنة

 

تظهر الأبحاث أنه في عام 2016، وقع 15.4 مليون مستهلك ضحايا لسرقة الهوية أو الإحتيال. وقد زادت عمليات الإحتيال في حالة عدم وجود البطاقة (عن طريق الهاتف أو البريد الإلكتروني) بنسبة %40 من عام 2015 إلى عام 2016. ومن المؤكد أن دولة الإمارات ليست مُحصّنة. وذكرت هيئة الإذاعة البريطانية "بي بي سي" مؤخراً قصةً يصعب تصديقها لحساب مهاجم زعم أنه قام بعملية احتيال سطا فيها على 242 مليون دولار من أحد المصارف الإماراتية، زاعماً أنه يتمتع بقوى سحرية.

مع أن المخاطر تبدو عالية جداً، لماذا يستمر الناس في التعرّض للاحتيال؟ نسخر من تلقي مكالمة أو رسالة بريد إلكتروني من أمير نيجيري يعرض ميراثاً مفقوداً منذ فترة طويلة أو جائزة حصرية، إلّا أنّ الأمر أبعد بكثير مما نراه.

في هذه المنطقة، غالباً ما يستهدف مجرمو الإنترنت عامة الناس عبر الهاتف أو البريد الإلكتروني، ويطالبونهم بمشاركة بيانات اعتمادهم المصرفية أو بطاقات ائتمانهم عبر الإنترنت بحجة فوزهم بجوائز أو إعادة التحقق من صحة بيانات حساباتهم المصرفية. يصممون عملياتهم الاحتيالية خصيصاً لدولة الإمارات، حيث من المعتاد اختيارهم للدخول في سحب مهرجان التسوق أو الفوز بجائزة نقدية أو ذهب أو حتى سيارة من خلال مسابقات يطلقها المصرف الذي يتعاملون معه.

ويتجاهلون الإلتزام بهذه القيود غير الواقعية معتمدين على المعايير الثقافية. كما يستغلون إهمالنا لتغيير كلمات المرور الخاصة بنا. ويعتقد معظم الأشخاص إن المهاجم يمكنه، على سبيل المثال، استخدام كلمة المرور المسربة الخاصة بـ "لينكد إن" أو "دروب بوكس" أو "ياهو" لمحاولة الوصول إلى حسابهم المصرفي عبر الإنترنت.

ومع ذلك، نواصل احتفاظنا بكلمة المرور الأساسية نفسها لجميع حساباتنا بدلاً من استخدام كلمة مرور قوية مختلفة لكل حساب عبر الإنترنت.

غالباً ما تُستخدم التكنولوجيا لمحاولة حل مشاكل الجرائم الإلكترونية، إلا أن التكنولوجيا في حد ذاتها لا يمكن أن تغير السلوك البشري أو توثيق الإجراءات أو المعايير الموثقة بشكلٍ أفضل.

ولذلك نحتاج إلى تدريب الأشخاص على فهم الإجراءات الموثوقة ومتابعتها وتنفيذها على منصة تقنية موثوقة. وغالباً ما يستخدم مصطلح "مشكلة الميل الأخير" في أمن المعلومات لوصف التعليم والوعي والتدريب غير المكتمل للأشخاص المكلفين بتشغيل أنظمة وعمليات الأمن. وهذا يعني أنه من غير اللائق إتاحة المعلومات الأمنية المهمة بين أيدي الموظفين والبائعين والشركاء والمتعاملين.

 

المكافآت بدلاً من العقوبات

 

نحن بحاجة إلى توسيع نهجنا لتغيير الطريقة التي يفكر ويتصرف بها الأشخاص الذين يعملون ويتأثرون بالتكنولوجيا.

تتمثل واحدة من طرق المساعدة في حفز التغيير السلوكي في إبطاء عملية اتخاذ القرار الأمني من خلال إدخال المزيد من صمامات الأمان. وتشير الأبحاث غلى أن القرارات المتخذة على عجل تتأثر إلى حد كبير بالعواطف أكثر من المنطق أو الخبرة. ويمكننا تشجيع الأشخاص على طلب المزيد من المعلومات أو أشكال الاتصال الأخرى لكسب المزيد من الوقت لتقييم ما إذا كانت هذه المعلومات حقيقية أو مزيفة.

هناك طريقة أخرى هي التركيز على مكافأة الأشخاص لكونهم أمينين بدلاً من معاقبتهم فقط لإهمالهم اتباع الممارسات الأمنية. وتواصل الأبحاث إثبات أن الناس يستجيبون للمكافأة بشكلٍ أفضل مما يستجيبون للعقوبات، حيث للمكافآت تأثير طويل الأمد على موقف وسلوك الفرد.

على المستوى الشخصي، تمكنت بفضل أحد الأدوات التكنولوجية من إدارة إجراءات أماني بشكلٍ أفضل، وهو مدير كلمات المرور؛ عبارة عن تطبيق آمن يعمل كمساحة لتخزين جميع كلمات مرور الحساب والمساعدة في إنشاء كلمات مرور جديدة قوية. وبخلاف ذلك كيف يُتوقع من أي شخص أن يواصل إنتاج وتذكر كلمات مرور فريدة جديدة لبريده الإلكتروني وتسجيلات الدخول المصرفية وبرامج الولاء وشبكات الـ "واي فاي" وغيرها من أنواع الحسابات الأخرى؟

باستخدام مدير كلمات المرور، أحتاج فقط إلى تذكر كلمة مرور واحدة قوية تتيح لي الوصول إلى التطبيق. أتحقق من أن التطبيق آمن عن طريق اختيار واحد تمت مراجعته بدقة، ومتاح للتحميل من متاجر تطبيقات "أندرويد" و"أبل" الرسمية. ويعتبر ذلك خير مثال على استخدام التقنيات لمساعدة الأشخاص على تطبيق إجراءات الأمان بطريقة عملية ومريحة، وأنا شخصياً أُشجّع الجميع على استخدامها.

 

بريان بياغابا

مدير أول أمن المعلومات

يخضع البنك التجاري الدولي ش.م.ع لرقابة المصرف المركزي لدولة الإمارات العربية المتحدة