نقص الموظفين والأخطاء البشرية تعرض أمن نظم الرقابة للخطر
أبرزت دراسة استطلاعية حول “حالة الأمن الإلكتروني في القطاع الصناعي 2018” والتي أجرتها شركة كاسبرسكي لاب، الآراء المختلفة للشركات الصناعية وشركات الطاقة، فضلاً عن شركات النقل والخدمات اللوجستية، فيما يتعلق بالآثار السلبية للهجمات الإلكترونية على شبكاتهم وأنظمتهم الصناعية.
وعرضت كاسبرسكي لاب نتائج هذه الدراسة خلال مشاركتها في أسبوع جيتكس للتقنية 2018، في إطار التزامها برفع الوعي بشأن مشهد التهديدات الأمنية المعقّد في أوساط المعنيين من مختلف القطاعات.
ومع ذلك، ثمّة ثلاثة مخاوف رئيسية يمكن أن تتفق عليها الشركات عندما يتعلق الأمر بالمسائل التي تؤثر في قدرتهم على الحفاظ على أمن الشبكات. وتتمثل تلك المخاوف في نقص الموظفين وضعف الاستثمارات من الإدارة العليا والعامل البشري.
ويمكن لهذه الفجوات الكامنة في البنية التحتية الحيوية أن تزيد من المخاطر التي تواجه الشركات، لا سيما وأن أكثر من 40% من أجهزة الحاسوب المتصلة بنظم الرقابة الصناعية في منطقة الشرق الأوسط تتعرض لهجمات كل 6 أشهر في المعدل.
وقد استطاعت منتجات كاسبرسكي لاب في النصف الثاني من 2017، منع إصابات استهدفت 37.8% من الحواسيب المتصلة بنظم رقابة صناعية تحميها هذه المنتجات. وتأتي كل من الجزائر (بنسبة 66.2%) والمغرب (60.4%) ومصر (57.6%) والمملكة العربية السعودية (48.4%) في طليعة البلدان التي تواجه مثل تلك الهجمات.
مخاوف مختلفة
لدى الشركات تقييمات مختلفة بشأن الأضرار التي ألحقتها التهديدات الإلكترونية بأعمالها، اعتماداً على القطاع الذي تنشط فيه.
وقد تمثّل التأثير الأشدّ سلبية على شركات النقل والخدمات اللوجستية التي تبني أعمالها استناداً على نموذج الخدمة، بفقدان ثقة العملاء. ولكن غالبية الشركات الصناعية وشركات الطاقة ترى أكبر مخاوفها بتعريض جودة الإنتاج للخطر جرّاء الهجمات الإلكترونية.
نقص الموارد والمؤهلين
غالباً ما تقع مهمة حماية الشبكات الصناعية على عاتق أولئك الذين يقدمون أمن المعلومات للشركات.
وقد وجدت الدراسة، على الصعيد العالمي، أن 40% من الشركات الصناعية، تقع مسؤولية حماية نظم الرقابة الصناعية فيها على عاتق مسؤولي أمن تقنية المعلومات العاملين فيها.
وفي شركات النقل والخدمات اللوجستية، يؤكد أكثر من نصف المستطلعة آراؤهم في الدراسة (58%) أن سلامة نظم الرقابة الصناعية مُناطة بفريق متخصص يعمل بدوام كامل لضمان مكافحة التهديدات.
وتحتاج الشركات الصناعية، لا سيما تلك التي لديها عمليات تقنية معقدة، إلى موظفين على درجة عالية من التخصّص مؤهلين لملء الفجوة.
وعلى سبيل المثال، يتمثل التحدي الرئيس عندما يتعلق الأمر بإدارة الأمن في شركات قطاع الطاقة التي تتم فيها إدارة البنية التحتية الحيوية الوطنية بمساعدة نظم الرقابة الصناعية، في تعيين موظفين ذوي مهارات مهمة للعمل، وذلك بنسبة 61%.
الافتقار إلى مشاركة الإدارة العليا يسبب نقص التمويل
يعد أمن تقنية المعلومات أولوية للإدارة العليا في العديد من الشركات، ولكن في أكثر من نصف الشركات الصناعية (54%) على مستوى العالم، فإن الإدارة العليا لا تشارك إلاّ قليلاً في المسائل المتعلقة بحماية نظم الرقابة الصناعية فيها، ما يؤدي إلى نقص في الاستثمارات اللازمة لحماية تلك النظم.
والواقع أن ثلثي الشركات (66%) ليس لديهاموازنة مخصصة لأمن البنية التحتية الحيوية، وهو موقف لم يتغير حتى في حالة وقوع حادث أو احتمال وقوعه، إذ لا ترى 17% من الشركات الصناعية في ذلك سبباً كافياً للاستثمار في أمن نظم الرقابة لديها.
العامل البشري مشكلة دائمة الحضور في أمن نظم الرقابة الصناعية
تمثل العواقب الناجمة عن أخطاء الموظفين تهديداًخطراً لنصف الشركات في جميع أنحاء العالم وفي جميع القطاعات (بنسبة 49%). وهذا ليس مستغرباً، نظراً لكونه ثالث أكثر الأسباب شيوعاً للحوادث الأمنية في نظم الرقابة الصناعية (بنسبة 27%) بعد الفيروسات وبرمجيات طلب الفدية.
وكان تقرير حديث صادر عن كاسبرسكي لاب وشركة “بي تو بي إنترناشونال” للأبحاث، قد أشار إلى أن نحو ربع خروقات البيانات التي حدثت في منطقة الشرق الأوسط وتركيا وإفريقيا خلال العام الماضي أدت إلى فقدان موظفين لوظائفهم.
لكن الشركات تدرك هذه المشكلة وتحاول حلّها بتدريب الموظفين وإنشاء قواعد للسلوك تضبط طريقة التعامل مع مكونات البنية التحتية الحيوية. وأظهر البحث أن 82% من الشركات في جميع أنحاء العالم قد نفذت تدريباتأمنية للموظفين والمقاولين والبائعين.
وأياً كانت العواقب الأكثر إثارة لمخاوف الشركات الصناعية، فإن الطريقة الوحيدة لمنع الهجمات الإلكترونية أو تقليل تأثيرهاتتمثل باتخاذ تدابير وإجراءات سلامة قوية تكون كفيلة بتحصين شبكات نظم الرقابة الصناعية.
وينبغي أن تصبح عمليات الرصد والتجاوب في الوقت المناسب مع الحوادث الواقعة في الشبكات الصناعية من الأولويات الأمنية الرئيسة لتقنية المعلومات، إلى جانب توعية الموظفين بشأن كيفية تقليل المخاطر التي تهدّد أعمالهم.
وأشار أمير كنعان، المدير التنفيذي لشركة كاسبرسكي لاب في منطقة الشرق الأوسط وتركيا وإفريقيا، إلى أن برمجيات خبيثة أطلقت حديثاً، مثل Industroyer وTriton، قد استغلت نقاط الضعف لدى الموظفين، ما يثبت كونها “تهديدات خبيثة تستهدف الشركات، وتؤكّد سرعة التطور في مشهد التهديدات الإلكترونية بخطى غير مسبوقة”.
وقال: “يمكن أن تؤدي الحوادث الناجمة عن سوء تصرف الموظفين إلى اختراق البيانات وتعطّل العمليات التجارية، فضلاً عن خسائر مالية جسيمة وأضرار في السمعة، وإذا أخذنا ذلك في الاعتبار، نجد أن “جيتكس”يلعب دوراً حيوياً كمنصة مثالية لتركيز جهودنا في بناء الوعي حول هذه القضية المهمة، لا سيما وأن الشركات في جميع أنحاء المنطقة بدأت في إيلاء الأمن الإلكتروني بنظم الرقابة الصناعية مزيداً من الاهتمام، وتقيّم شبكاتها، وتدرّب موظفيها،وهذه علامات جيدة تشير إلى أهمية سعي الشركات في المستقبل لاتخاذ إجراءات استباقية تكفل لها درء المخاطر بدل الاضطرار إلى التعامل مع تبعات الحوادث عند وقوعها”.