يعتبر خبراء الأمن السيبراني أن هجمات التصيد الاحتيالي تمثل "أخطر" تهديد للأمن السيبراني في مؤسساتهم، وفقًا لدراسة أجرتها "سايبر سيكيوريتي هاب" (Cyber Security Hub)، وهو موقع إخباري إلكتروني مخصص لخبراء الأمن السيبراني.
في الربع الثالث من عام 2022،لاحظت «مجموعة العمل لمكافحة التصيد الاحتيالي» (APWG)، وهي تحالف دولي،«ما مجموعه 1,270,883 هجمة تصيد احتيالي، وهو رقم قياسي جديد وأسوأ ربع سنوي من حيث هجمات التصيد الاحتيالي سجلتها المجموعة على الإطلاق».
وأشار مايكل ريدمان، أحد كبار الشركاء في شركة «شيلمان» (Schellman) — وهي شركة عالمية مستقلة متخصصة في تقييم الامتثال لمعايير الأمن والخصوصية — إلى أن الجائحة والهجرة الجماعية للموظفين للعمل عن بُعد أو من المنزل لعبتا دوراً في زيادة حالات التصيد الاحتيالي. لكن التصيد الاحتيالي كان بالفعل في تزايد مستمر، وهو خطر تجد الشركات صعوبة بالغة في التعامل معه.
ما هو التصيد الاحتيالي؟
قال ريدمان إن التصيد الاحتيالي (عبر البريد الإلكتروني)، والتصيد الصوتي (عبر المكالمات الهاتفية)، والتصيد الموجه (الذي يستهدف شخصًا أو مجموعة معينة)، والتصيد الكبير (الذي يستهدف شخصيات بارزة) هي جميعها «تكتيكات يستخدمها اللصوص الذين يبحثون عن معلوماتك المالية أو الخاصة». "إنهم يريدون أرقام الحسابات وكلمات المرور وأرقام الضمان الاجتماعي وغيرها من المعلومات السرية التي يمكنهم استخدامها لنهب حساباتك، أو تراكم الفواتير على بطاقات الائتمان الخاصة بك، أو سرقة هويتك بأي طريقة أخرى."
تتضمن هجمات التصيد الاحتيالي استخدام رسائل البريد الإلكتروني أو المكالمات الهاتفية أو الرسائل النصية التي تبدو شرعية، مما يدفع المستلمين غير المرتابين إلى الوقوع في فخ هذه الحيلة وتعريض معلوماتهم الخاصة للخطر. ويمكن للموظفين الذين يكشفون عن معلومات الشركة أن يعرضوا الكثير من المعلومات الخاصة للخطر.
تعد هجمات التصيد الاحتيالي شكلاً من أشكال "الهندسة الاجتماعية" — أي اختراق أنظمة الكمبيوتر، ليس عن طريق التكنولوجيا، بل من خلال نقاط الضعف لدى الموظفين.
وكما أشارت كاتي ماكولو، رئيسة قسم أمن المعلومات في شركة «بانزورا» (Panzura)، وهي شركة برمجيات مقرها سان خوسيه بولاية كاليفورنيا، فإن «الدراسات تُظهر أن جميع الموظفين سيقعون في نهاية المطاف ضحية لمحاولة تصيد، بغض النظر عن مهاراتهم التقنية أو أعمارهم أو تدريبهم». وأضافت أن الدراسات تُظهر أيضًا أن «مجموعة صغيرة من الموظفين تقع مرارًا وتكرارًا ضحية لهذه المحاولات حتى بعد تلقيهم التدريب».
وأشار ويليام ج. روبرتس، الرئيس المشارك لقسم خصوصية البيانات وحمايتها والتقاضي في شركة «داي بيتني» بمدينة هارتفورد بولاية كونيتيكت، إلى أن «انتهاكات خصوصية البيانات تحدث حتى لأفضل الشركات، كما أن أخطاء أمن البيانات تحدث حتى لأفضل موظفيك — فلا أحد في مأمن من ذلك، ولا أحد كامل».
يمكن لقسم الموارد البشرية أن يلعب دوراً مهماً في تثقيف الموظفين وتقليل المخاطر المحتملة التي تتعرض لها الشركات جراء هجمات التصيد الاحتيالي. وتتمثل الخطوة الأولى المهمة في إقامة شراكة مع قسم تكنولوجيا المعلومات.
التعاون مع قسم تكنولوجيا المعلومات
لا تقع المسؤولية عن توعية الموظفين والتواصل معهم بشأن الحد من المخاطر المرتبطة بهجمات التصيد الاحتيالي على عاتق إدارة الموارد البشرية أو إدارة تكنولوجيا المعلومات وحدها. بل يتعين على هاتين الإدارتين العمل معًا لتحقيق أقصى قدر من الفعالية. وبالطبع، يتعين عليهما أيضًا الحصول على المساعدة والدعم من كبار القادة والمديرين في جميع أنحاء المؤسسة في جهودهما هذه.
ألموغ أبيريون هو الرئيس التنفيذي والمؤسس المشارك لشركة «سيولو»، وهي شركة متخصصة في خدمات أمن الكمبيوتر ومقرها تل أبيب، إسرائيل. وقال أبيريون: «للقضاء على مخاطر الهجمات، يجب على المتخصصين في الموارد البشرية العمل جنبًا إلى جنب مع فريق الأمن السيبراني لديهم لجعل العمليات سلسة قدر الإمكان لجميع الموظفين داخل الشركة». «وفي هذا السياق، يجب كسر الحواجز بين الأقسام لضمان التواصل السلس بين الفرق».
تقليل المخاطر
أوصت شركة «أبيريون» بخطة من ثلاث خطوات لتدعم أقسام الموارد البشرية استراتيجيات الأمن في مؤسساتها، وهي: التدريب، وتوفير الموارد، والحد من الاستخدام.
التدريب. قالت شركة «أبيريون» إن التوعية بالأمن السيبراني يجب أن تكون جزءًا من عملية التوجيه والتأهيل لكل موظف جديد، وذلك لترسيخ الثقافة الأمنية لدى الموظفين منذ انضمامهم إلى الشركة. «حتى لو كانوا قد تلقوا تدريبًا في شركات أخرى، فإن ضمان معرفتهم بما يجب الانتباه إليه وكيفية تجنب الرسائل الإلكترونية الخبيثة هو ما يرسخ ثقافة الأمن السيبراني».
توفير الموارد. توصي شركة Apirion بأن تعمل إدارة الموارد البشرية عن كثب مع قسم تكنولوجيا المعلومات لضمان حصول المستخدمين على ما يحتاجون إليه. وقال: "ستسهم سهولة الوصول بشكل كبير في مساعدتهم على اكتشاف الرسائل الإلكترونية الخبيثة". "تتظاهر العديد من الهجمات الناجحة بأنها تطبيقات أو أنظمة موثوقة لإغراء المستخدم بالنقر عليها، لذا فإن المستخدم الذي يعرف على وجه اليقين كيفية عمل النظام سيكون أقل عرضة للوقوع ضحية لهذه الهجمات".
التقييد. نصحت شركة «أبيريون» بمنح الموظفين حق الوصول فقط إلى ما يحتاجونه فعلاً لأداء مهامهم. وأشار إلى أن «فرض قيود على حق الوصول يمكن أن يكون إجراءً مؤقتاً طارئاً يمنع البرامج المصابة من الانتشار إلى أجزاء أخرى من شبكة الشركة».
ومن الطبيعي أن يستمر التواصل إلى ما بعد عملية التهيئة.
قال ريدمان إن التدريب الدوري على التوعية الأمنية، الذي يتضمن اختبارات في الوقت الفعلي لمدى استجابة الموظفين في مجال الأمن السيبراني، يعد أمرًا أساسيًا لحماية بيانات المؤسسة. "تعد رسائل البريد الإلكتروني الاحتيالية إحدى أكثر الطرق شيوعًا لنشر البرامج الضارة. ولذلك، من المنطقي تضمين اختبار مباشر لاستجابة الموظف عند تلقي رسالة بريد إلكتروني احتيالية. هل يعرف الموظف أنه يجب عليه عدم النقر على الروابط الضارة؟ هل يعرف أنه يجب عليه عدم مشاركة المعلومات الشخصية أو الحساسة التي قد تُستخدم لاستغلال أنظمة المعلومات والبيانات الخاصة بنا؟"
وقال ريدمان: "إن إعداد الموظفين والفرق "لتحديد مؤشرات التهديدات أو الهجمات المحتملة، مع تزويدهم بتعليمات واضحة لا لبس فيها تحدد كيفية استجابتهم في هذه الظروف، يمكن أن يساعد حقًا في تقليل الآثار السلبية على مؤسستكم".
قال مارك براون، المدير الإداري العالمي لاستشارات الثقة الرقمية في المعهد البريطاني للمعايير في لندن: "إن مفتاح نجاح تكامل الموارد البشرية في منع التصيد الاحتيالي يكمن، بالتالي، في ترسيخ ثقافة الوعي التي ترتكز على الأدوار والمسؤوليات المحددة". وأضاف: "لقد ثبت بعد وقوع انتهاكات أمنية أن التدريب العام الموحد للجميع في مجال الأمن السيبراني غير فعال". وبدلاً من ذلك، نصح براون المؤسسات باستخدام تدريب محدد قائم على الأدوار. ويقول إن هذا "أكثر نجاحاً بكثير، خاصةً عندما يتم تقديمه في جلسات منتظمة — شهرية أو ربع سنوية — أقصر وأسهل في الاستيعاب، وغالباً ما تستغرق ما بين خمس إلى ثماني دقائق".
ومع ذلك، وعلى الرغم من بذل قصارى الجهد، فمن المرجح أن تتعرض المؤسسات لخرق أمني ناجم عن هجوم تصيد. ومن المهم وضع سياسات وإجراءات مسبقًا لمعرفة كيفية التعامل مع مثل هذه الحالات.
التعامل مع المجرمين المتكررين
وقالت ماكولوغ: "تحتاج فرق الموارد البشرية إلى سياسات واضحة بشأن كيفية التعامل مع الموظفين [الذين] يكشفون مرارًا وتكرارًا عن بيانات تجارية حساسة". وأوضحت أنه نظرًا للمخاطر المرتبطة بعمليات التصيد الاحتيالي، تنص سياسات بعض الشركات على أن الموظفين الذين يفشلون باستمرار في اجتياز اختبارات التصيد الاحتيالي الدورية قد يتعرضون لإجراءات تأديبية.
لكن روبرتس نصح بعدم القيام بذلك.
قال روبرتس: "لا يمكن أن تكون رسالة قسم الموارد البشرية هي أن الموظفين الذين يتسببون في حدوث خرق للبيانات — مثل النقر على روابط التصيد الاحتيالي — سيتعرضون لإجراءات تأديبية أو للفصل من العمل". "ورغم وجود حالات تكون فيها العقوبات، بما في ذلك الفصل من العمل، ردود فعل مبررة تجاه مشكلة تتعلق بخصوصية البيانات، فإن النقر على رابط تصيد احتيالي لا يندرج ضمن هذه الحالات".
وقال روبرتس إن هناك أسبابًا عملية جدًّا تدعو إلى اتباع هذا النهج. "إذا شعر الموظفون بأن عليهم إخفاء حقيقة أنهم نقروا على رابط تصيد احتيالي، أو أنهم سيتعرضون لإجراءات تأديبية أو الفصل من العمل بسبب ذلك، فإن هذا القلق سيضر بشركتك أكثر من عملية التصيد نفسها." وأضاف قائلاً: "قد يؤدي عدم الإبلاغ إلى إلحاق ضرر أكبر بأنظمة المعلومات الخاصة بشركتك والبيانات التي تحتفظ بها." على سبيل المثال، قد يؤدي عدم الإبلاغ إلى تخطي الشركة للمواعيد النهائية لإخطار الانتهاكات، مما قد يترتب عليه عواقب قانونية خطيرة.
ومع ذلك، وكما قال روبرتس، قد تكون هناك حالات تتطلب اتخاذ إجراءات تأديبية. وقال ماكولوغ إنه من المهم تحديد أنواع المخالفات التي قد تؤدي إلى فرض عقوبات تأديبية أو إنهاء الخدمة بوضوح. "إن تحديد هذه السياسات وإبلاغ الموظفين بوضوح بالمخاطر يساعد المؤسسات على التصرف بعدل وإنصاف عندما يرتكب موظف خطأً يؤدي إلى خرق للبيانات."
من المهم تهيئة بيئة يشعر فيها الموظفون بأنهم جزء من الحل، وأنهم لن يتعرضوا لعقوبات إذا وقعوا — مثل الغالبية العظمى من الناس — ضحية لخرق أمني.
لين غرينسينغ-بوفال، الحاصلة على SHRM، هي صحفية متخصصة في الشؤون التجارية مقيمة في ولاية ويسكونسن وتتمتع بخبرة في مجال استشارات الموارد البشرية.
هل كان هذا المورد مفيدًا؟
تحقق من صحة خبرتك في مجال الموارد البشرية
الحصول على شهادة SHRM يجعلك خبيرًا وقائدًا معترفًا به في مجال الموارد البشرية.
المحتويات ذات الصلة
تعرّف على كيفية نجاح شركة مارش ماكلينان في تعزيز رفاهية الموظفين باستخدام الأدوات الرقمية، وتحسين الإنتاجية والرضا عن العمل لأكثر من 20,000 موظف.
ويتوقع بعض الخبراء أن يساعد انتشار الذكاء الاصطناعي في مكان العمل، والزيادة المتوقعة في الإنتاجية والكفاءة المترتبة على ذلك، في بدء أسبوع العمل الذي يستمر أربعة أيام.
مع استمرار تطور تكنولوجيا الذكاء الاصطناعي، سيزداد الطلب على العمال الذين لديهم القدرة على العمل جنباً إلى جنب مع أنظمة الذكاء الاصطناعي وإدارتها. وهذا يعني أن العمال غير القادرين على التأقلم وتعلم هذه المهارات الجديدة سوف يتخلفون عن الركب في سوق العمل.