تعليق من جمعية الإنترنت على سرقة البيانات من بنك ” كابيتال وان فايننشال” الأمريكي

تقول سلام يمّوت، المدير الإقليمي لمنطقة الشرق الأوسط لدى جمعية الإنترنت: “تعتبر حادثة Capital One هي الأحدث في سلسلة من خروقات البيانات عالية التأثير. حصل المتسلل في هذه الحالة بشكل غير قانوني على حق الوصول إلى معلومات المستخدمين من خلال استغلال جدار حماية تطبيق الويب المضبوط بشكل خاطئ – وهو أمر كان من الممكن منعه. سنة بعد سنة، يوضح تحليلنا أن أكثر من 90٪ من خروقات البيانات يمكن الوقاية منها – في عام 2018 كانت 95٪.

وتأتي هذه الحادثة لتذكر الشركات التي تحتفظ بالبيانات الشخصية الحساسة بأهمية توخي الحذر والحيطة على الدوام. إن مسؤولية الإشراف الجيد على البيانات وتأمينها تقع على عاتق كل فرد من أفراد المؤسسة، وليس فقط فريق الإدارة التنفيذية أو تقنية المعلومات. ويجب استخدام كلمات مرور قوية وعمليات مصادقة متعددة العناصر، كما يتوجب تحديث البرامج بشكل دائم، ويجب الحذر عند استخدام البريد الإلكتروني، وتشفير وإجراء نسخ احتياطية للبيانات بحيث لا يمكن الاستحواذ عليها عبر برمجيات طلب الفدية، إذ يمكن لهذه الأساسيات منع نسبة كبيرة من الخروقات وكافة الحوادث والجرائم الإلكترونية.

ويتضمن تقرير توجهات الحوادث والخروقات الإلكترونية الذي نشر مؤخراً إرشادات حول أفضل السبل التي يمكن للشركات اتباعها لحماية بياناتها.

على الرغم من ضررها، إلا أن الهجمات الكبيرة (وكيفية التعامل معها) قد علمتنا درساً هاماً في أساليب الحماية والوقاية:

1. مسؤولية الحماية من الحوادث والاستعداد لها تقع على عاتق الشركة بأكملها.
2. البيانات هي الأصول الأكثر قيمة لدى الشركات، لذلك يجب تحديد ما هي هذه البيانات، وأين توجد، ولماذا وكيف يتم استخدامها. بالإضافة إلى تحديد المخاطر المحتملة لهذه البيانات على الشركة، وهل يمكن للأفراد الوصول إليها بشكل غير رسمي أو الاحتفاظ بها أو نشرها أو ازالتها.
3. يجب جمع البيانات التي تلبي أهداف العمل والاحتفاظ بها طالما كانت هناك حاجة إليها؛ حيث لا يمكن للمجرمين سرقة البيانات التي لا تملكها أو الاستحواذ عليها، وقد يعتبر هذا التقليل من البيانات من المتطلبات التنظيمية للأعمال.
4. يجب أن يتناسب مستوى أمن البيانات الذي تعتمده مع أهمية البيانات المتوفرة.
5. الحماية لا تتضمن فقط حادث معين (فقدان البيانات، الفدية المدفوعة)، ولكن تشمل أيضاً تكاليف تعطل العمل، ومن ضمنه البيانات المؤمّنة، وتعطيل الشبكة والنظام، وعمليات السيطرة على الأجهزة المتصلة.
6. يجب اعتماد خطة مناسبة للحد من تأثير الهجوم. تحتاج خطط التعامل مع الحوادث إلى اعتماد التدريب بهدف المساعدة في الوقاية من الحوادث واكتشافها والتخفيف من أثارها والتعافي منها. تماماً مثل موظف الاستجابة السريعة، إذ يجب تدريب الموظفين بشكل منتظم وتجهيزهم وتمكينهم للتعامل مع أي حادثة فقدان للبيانات أو أي حادثة إلكترونية أخرى.
7. إن الأمن والخصوصية هي ليست مسائل مطلقة ويجب تطويرها بشكل دائم. ويتوجب على المؤسسات مراجعة إجراءاتها بانتظام لجمع وتخزين واستخدام وإدارة وتأمين كافة البيانات (إلى جانب مراجعة التقنيات المتغيرة والمتطورة باستمرار، واعتماد أفضل الممارسات والتشريعات).
8. يجب أن تمتد الحماية لتصل إلى ما بعد أجهزة الكمبيوتر المكتبية والشبكات والجدران في المؤسسة، إذ غالباً ما تساهم الخدمات السحابية والمعالجات التي توفرها الجهات الخارجية، وشركاء الأعمال تعزيز احتمالية التعرض لهجمات إلكترونية. وهنا يتوجب إجراء تقييم للمخاطر قبل الدخول في شراكات أو اتفاقيات الخدمة والحرص على إعادة هذا التقييم بشكل دوري.
9. ينطوي على الأجهزة المتصلة بشبكة الإنترنت مستويات جديدة من المخاطر. ويعد التقييم المستمر للمخاطر المحيطة بأجهزة إنترنت الأشياء وتطوير واعتماد سياسة خاصة بالموظفين عند الحاجة لربط الأجهزة بشبكة الشركة أمراً بالغ الأهمية حيث يمكن لجهاز متصل واحد أن يصدر تهديدات كبيرة على مستوى الشبكة.
10. بناء الثقة من خلال الشفافية. ففي حالة وقوع حادث، يجب الحفاظ على اتصالات واضحة، سواء كان التواصل مع العملاء أو أعضاء مجلس الإدارة أو هيئات حماية البيانات، حيث إن إبقاء أصحاب المصلحة المهمين على اطلاع مبكر بالتحديثات المنتظمة يعد جزءاً هاماً من مسألة الحفاظ على الثقة.”