سرقة البيانات من بنك ” كابيتال وان فايننشال” الأمريكي إنذار مقلق لجميع المؤسسات
يقول همايون يعقوب، مدير أول للإستراتيجية لدى فورس بوينت (مسؤول تنفيذي للأمن في شركة خدمات مالية كبيرة سابقاً)
: “أثارت سرقة بيانات أكثر من 100 مليون زبون في مصرف “كابيتال وان” الأمريكي، اهتمام خبراء الأمن وقادة الأعمال اليوم. يبدو أن هذا الاختراق كان بسبب مشكلة في تهيئة جدار الحماية، وهو ما يتم
تصحيحه عادةً من خلال عمليات التدقيق والتحكم الأمنية الروتينية. يوضح هذا الاختراق الكبير مدى ارتفاع تعقيد تطبيق عمليات الأمن في المؤسسات اليوم، وخصوصاً مع استخدام العديد من المنصات السحابية والوصول إلى البيانات الحساسة على سبيل المثال، وهناك حقيقة هامة أخرى تتمثل في أن الكثير من الأفراد من خارج المنظمة لديهم معرفة بكيفية عمل أنظمة المؤسسة وكيف تحافظ المنظمات على بياناتها والوصول إليها في السحابة، مما يمنحهم وجهات نظر داخلية يمكن استخدامها في جرائم شنيعة. تسلط هذه التعقيدات الضوء على وضع الضوابط الصحيحة وعمليات المؤسسة للاختبار المستمر والتأكيد على الموقف الأمني للمؤسسة مع تطور مشهد المخاطر دائماً”.
ويقول ستيوارت تايلور، مدير أول في مختبرات فورس بوينت للأمن
: “لقد اعتدَت أن تكون قادراً على وضع خطط متينة حول الأنظمة والبنية التحتية الخاصة بك. ولكن بمجرد التطبيق على نظام سحابي، يمكنك إزالة هذه الخطط المظلمة على الفور. مما يعني أنك بحاجة ماسة إلى تغيير المنهج التي تتعامل به مع الأمن. يؤدي ذلك إلى الاضطرار في النظر حول الحالات الشاذة بدلاً من النظر الشامل حول المحيط بشكل عام”.
وتقول سلام يمّوت، المدير الإقليمي لمنطقة الشرق الأوسط لدى جمعية الإنترنت: “تعتبر حادثة Capital One هي الأحدث في سلسلة من خروقات البيانات عالية التأثير. حصل المتسلل في هذه الحالة بشكل غير قانوني على حق الوصول إلى معلومات المستخدمين من خلال استغلال جدار حماية تطبيق الويب المضبوط بشكل خاطئ – وهو أمر كان من الممكن منعه. سنة بعد سنة، يوضح تحليلنا أن أكثر من 90٪ من خروقات البيانات يمكن الوقاية منها – في عام 2018 كانت 95٪.
وتأتي هذه الحادثة لتذكر الشركات التي تحتفظ بالبيانات الشخصية الحساسة بأهمية توخي الحذر والحيطة على الدوام. إن مسؤولية الإشراف الجيد على البيانات وتأمينها تقع على عاتق كل فرد من أفراد المؤسسة، وليس فقط فريق الإدارة التنفيذية أو تقنية المعلومات. ويجب استخدام كلمات مرور قوية وعمليات مصادقة متعددة العناصر، كما يتوجب تحديث البرامج بشكل دائم، ويجب الحذر عند استخدام البريد الإلكتروني، وتشفير وإجراء نسخ احتياطية للبيانات بحيث لا يمكن الاستحواذ عليها عبر برمجيات طلب الفدية، إذ يمكن لهذه الأساسيات منع نسبة كبيرة من الخروقات وكافة الحوادث والجرائم الإلكترونية.
ويتضمن تقرير توجهات الحوادث والخروقات الإلكترونية الذي نشر مؤخراً إرشادات حول أفضل السبل التي يمكن للشركات اتباعها لحماية بياناتها.
على الرغم من ضررها، إلا أن الهجمات الكبيرة (وكيفية التعامل معها) قد علمتنا درساً هاماً في أساليب الحماية والوقاية:
- مسؤولية الحماية من الحوادث والاستعداد لها تقع على عاتق الشركة بأكملها.
- البيانات هي الأصول الأكثر قيمة لدى الشركات، لذلك يجب تحديد ما هي هذه البيانات، وأين توجد، ولماذا وكيف يتم استخدامها. بالإضافة إلى تحديد المخاطر المحتملة لهذه البيانات على الشركة، وهل يمكن للأفراد الوصول إليها بشكل غير رسمي أو الاحتفاظ بها أو نشرها أو ازالتها.
- يجب جمع البيانات التي تلبي أهداف العمل والاحتفاظ بها طالما كانت هناك حاجة إليها؛ حيث لا يمكن للمجرمين سرقة البيانات التي لا تملكها أو الاستحواذ عليها، وقد يعتبر هذا التقليل من البيانات من المتطلبات التنظيمية للأعمال.
- يجب أن يتناسب مستوى أمن البيانات الذي تعتمده مع أهمية البيانات المتوفرة.
- الحماية لا تتضمن فقط حادث معين (فقدان البيانات، الفدية المدفوعة)، ولكن تشمل أيضاً تكاليف تعطل العمل، ومن ضمنه البيانات المؤمّنة، وتعطيل الشبكة والنظام، وعمليات السيطرة على الأجهزة المتصلة.
- يجب اعتماد خطة مناسبة للحد من تأثير الهجوم. تحتاج خطط التعامل مع الحوادث إلى اعتماد التدريب بهدف المساعدة في الوقاية من الحوادث واكتشافها والتخفيف من أثارها والتعافي منها. تماماً مثل موظف الاستجابة السريعة، إذ يجب تدريب الموظفين بشكل منتظم وتجهيزهم وتمكينهم للتعامل مع أي حادثة فقدان للبيانات أو أي حادثة إلكترونية أخرى.
- إن الأمن والخصوصية هي ليست مسائل مطلقة ويجب تطويرها بشكل دائم. ويتوجب على المؤسسات مراجعة إجراءاتها بانتظام لجمع وتخزين واستخدام وإدارة وتأمين كافة البيانات (إلى جانب مراجعة التقنيات المتغيرة والمتطورة باستمرار، واعتماد أفضل الممارسات والتشريعات).
- يجب أن تمتد الحماية لتصل إلى ما بعد أجهزة الكمبيوتر المكتبية والشبكات والجدران في المؤسسة، إذ غالباً ما تساهم الخدمات السحابية والمعالجات التي توفرها الجهات الخارجية، وشركاء الأعمال تعزيز احتمالية التعرض لهجمات إلكترونية. وهنا يتوجب إجراء تقييم للمخاطر قبل الدخول في شراكات أو اتفاقيات الخدمة والحرص على إعادة هذا التقييم بشكل دوري.
- ينطوي على الأجهزة المتصلة بشبكة الإنترنت مستويات جديدة من المخاطر. ويعد التقييم المستمر للمخاطر المحيطة بأجهزة إنترنت الأشياء وتطوير واعتماد سياسة خاصة بالموظفين عند الحاجة لربط الأجهزة بشبكة الشركة أمراً بالغ الأهمية حيث يمكن لجهاز متصل واحد أن يصدر تهديدات كبيرة على مستوى الشبكة.
- بناء الثقة من خلال الشفافية. ففي حالة وقوع حادث، يجب الحفاظ على اتصالات واضحة، سواء كان التواصل مع العملاء أو أعضاء مجلس الإدارة أو هيئات حماية البيانات، حيث إن إبقاء أصحاب المصلحة المهمين على اطلاع مبكر بالتحديثات المنتظمة يعد جزءاً هاماً من مسألة الحفاظ على الثقة.”