تعتمد العديد من الشركات الآن بشكل كامل على البيانات المخزنة على خوادم شبكاتها، وأجهزة الكمبيوتر الشخصية، وأجهزة الكمبيوتر المحمولة، والأجهزة المحمولة، أو على الحوسبة السحابية. ومن المرجح أن تحتوي بعض هذه البيانات على معلومات شخصية و/أو معلومات سرية خاصة بالشركة.
نتناول هنا بعض القضايا التي يجب مراعاتها عند مراجعة أمن أنظمة الكمبيوتر، وكيفية تقليل مخاطر فقدان البيانات. لدينا نشرة معلومات ذات صلة تتناول بعض الاعتبارات الإضافية لمن لديهم بيانات مخزنة على السحابة أو يستخدمون أي شكل من أشكال الاستعانة بمصادر خارجية.
شهدت السنوات الأخيرة العديد من حوادث فقدان البيانات البارزة، حيث تسربت كميات كبيرة من المعلومات الشخصية إلى المجال العام. وتشمل هذه المعلومات السجلات الصحية والسجلات المالية وتفاصيل الموظفين.
كما تواجه المنظمات التجارية خطرًا إضافيًا يتمثل في فقدان البيانات لصالح المنافسين.
من الواضح أن حالات فقدان البيانات الكبيرة من الدوائر الحكومية والشركات قد تصدرت عناوين الأخبار. ومع ذلك، فإن أي شركة، مهما كان حجمها، معرضة لفقدان البيانات ما لم تتخذ الاحتياطات اللازمة.
خلال عام 2021، تعرضت نحو 39% من الشركات البريطانية لنوع من أنواع الاختراقات الأمنية أو الهجمات الإلكترونية، وذلك وفقاً لدراسة أجرتها وزارة الثقافة والإعلام والرياضة. يمكن الاطلاع على التقرير عبر الرابط التالي : https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2022
تدقيق استخدام وتخزين البيانات الشخصية
ضع في اعتبارك البيانات الحساسة والسرية التي قد تخزنها شركتك:
- سجلات الموظفين التي تتضمن تاريخ الميلاد، والمعلومات الطبية، والراتب، وتفاصيل الحساب المصرفي، وما إلى ذلك
- سجلات العملاء والموردين مع تفاصيل حسابات البنوك/بطاقات الائتمان، وأرقام التعريف الشخصية، وكلمات المرور، ومعلومات المعاملات، ومعلومات العقود، والخصومات والأسعار
- البيانات المالية وبيانات الأداء وخطط العمل
- لا تُخزَّن البيانات السرية دائمًا بسهولة في قاعدة بيانات "آمنة". غالبًا ما يحتاج الموظفون إلى إنشاء تقارير مخصصة وتعميمها (باستخدام جداول البيانات وغيرها من المستندات) والتي عادةً ما تكون مقتطفات من المعلومات المخزنة في قاعدة البيانات. غالبًا ما يتم هذا النوع من استرجاع البيانات على حساب أمنها، حيث أن قاعدة البيانات نفسها عادةً ما تحتوي على ضوابط وصول، بينما لا تحتوي هذه التقارير المخصصة عادةً على هذه الضوابط.
- اكتشف ما يحدث للبيانات وما هي الضوابط المعمول بها لمنع فقدان هذه المعلومات عن طريق الخطأ أو عن قصد.
تحليل المخاطر والحد من المخاطر
السؤال الرئيسي هو: إذا فُقدت كل هذه البيانات أو بعضها، فمن قد يتضرر وكيف؟
بعد الإجابة على هذا السؤال، يجب اتخاذ خطوات للحد من مخاطر فقدان البيانات. فيما يلي بعض الخطوات التي ينبغي اتباعها لتقليل مخاطر فقدان البيانات:
- قم بإجراء نسخ احتياطية منتظمة وتخزين بيانات النسخ الاحتياطية بشكل آمن خارج الموقع
- إذا تم تخزين بيانات عالية الخطورة في السحابة، فافهم آليات الأمان المطبقة وكيفية استرداد جميع هذه البيانات عند الضرورة.
- راجع نوع المعلومات المخزنة على جميع الأجهزة (بما في ذلك أجهزة الكمبيوتر المحمولة والهواتف المحمولة والأجهزة اللوحية وغيرها) المستخدمة خارج الموقع. إذا كانت هذه المعلومات تحتوي على بيانات شخصية و/أو سرية، فحاول تقليل حجمها أو إخفاء هوية أصحابها. تأكد من تطبيق أعلى مستويات أمان البيانات وتشفيرها.
- إذا سُمح للأجهزة المحمولة باستخدام مرافق الشركة، فتأكد من وجود سياسة فعّالة لاستخدام الأجهزة الشخصية في العمل. بالإضافة إلى ذلك، طبّق ضوابط أمنية مناسبة لتقييد نوع البيانات التي يمكن تخزينها على هذه الأجهزة.
- تأكد من أن مواقع شركتك الإلكترونية التي تعالج المدفوعات عبر الإنترنت تتمتع بأعلى مستويات الأمان المتاحة، مثل استخدام أحدث إصدارات بروتوكول SSL لنقل البيانات. إذا لم تكن تُمرر عملية الدفع إلى بوابة دفع إلكترونية، وكنت ستخزن معلومات بطاقات الائتمان، سواءً على القرص أو في ذاكرة خوادمك الخاصة، فسيتعين عليك الامتثال لمعيار أمان بيانات صناعة بطاقات الدفع (PCI DSS).
- راجع استخدام/توافر منافذ USB، وغيرها من الوسائط القابلة للكتابة مثل الأجهزة الضوئية داخل الشركة، وفكّر في تقييد الوصول إلى هذه الأجهزة للمستخدمين المصرح لهم فقط، من خلال إعدادات أمان مناسبة، وتشفير البيانات، وضوابط مادية.
- تأكد من فحص مواقع الشركة وشبكاتها بحثًا عن الثغرات الأمنية التي قد تتعرض للهجمات، وفكّر في الاستعانة بشركات متخصصة في اختبار الاختراق لإجراء هذه الاختبارات نيابةً عنك.
- يجب وضع إجراءات للتعامل مع المعلومات الحساسة والتخلص الآمن منها بمجرد انتهاء الحاجة إليها، وينبغي أن يشمل ذلك أيضاً التخلص من النسخ المطبوعة.
- يجب أن يكون هناك إجراء يسمح بحذف أي بيانات شخصية/خاصة بالشركات مخزنة على الأجهزة المحمولة أو إزالة الوصول إليها
- تدريب الموظفين على مسؤولياتهم، وإجراءات أمن البيانات الخاصة بالشركة، وما يجب عليهم فعله في حالة فقدان البيانات.
- تدريب الموظفين على تحديد رسائل البريد الإلكتروني الخبيثة، وبرامج الفدية، والبرامج الضارة، وغيرها من التهديدات المحتملة، بالإضافة إلى الإجراءات التي يجب اتباعها.
خرق أمني
إلى جانب الحد من المخاطر، من الممارسات الجيدة أيضاً وضع إجراءات للتعامل مع أي خرق أمني. وينبغي أن تركز هذه الإجراءات على أربعة مجالات رئيسية:
- خطة تعافي وإجراءات للحد من الأضرار
- عملية مراجعة التعافي لتقييم العواقب السلبية المحتملة على الأفراد، ومدى خطورتها أو جسامتها، ومدى احتمالية تكرارها.
- إجراءات الإبلاغ – لا يقتصر ذلك على إبلاغ الأفراد المتضررين أو الذين قد يتضررون، بل يشمل أيضًا إبلاغ مفوض المعلومات في حال تسبب الاختراق الأمني في فقدان بيانات شخصية. وقد يلزم إبلاغ جهات تنظيمية أخرى وأطراف ثالثة أخرى، مثل الشرطة والبنوك ووسائل الإعلام.
- بعد وقوع الخرق – التأكد من وضع التدابير المناسبة لمنع حدوث أمر مماثل، وتحديث الإجراءات وتدريب الموظفين أو إعادة تدريبهم وفقًا لذلك.
مورد مفيد
المركز الوطني للأمن السيبراني (المملكة المتحدة) – www.ncsc.gov.uk/guidance .
التهديد السيبراني للشركات في المملكة المتحدة – www.ncsc.gov.uk/cyberthreat .
