الأمن السيبراني: ما يجب أن يعرفه كل مدير تنفيذي ومدير مالي

نشرت: 2022-03-11

ملخص تنفيذي

تكاليف الأمن السيبراني
  • في عام 2017 ، بلغ متوسط ​​تكلفة خرق البيانات 7.35 مليون دولار. تشمل التكاليف كل شيء بدءًا من الاكتشاف والاحتواء والتعافي وانتهاءً بتعطيل الأعمال وخسارة الإيرادات وتلف المعدات. يمكن أن يؤدي الخرق الإلكتروني أيضًا إلى تدمير سمعة الشركة أو حسن نية العميل.
  • الشركات التي تتمتع بأعلى مستويات الابتكار في الأعمال لديها هجمات أكثر تكلفة. يمكن أن يؤدي الاستحواذ على شركة أو سحبها إلى زيادة تكلفة الجرائم الإلكترونية بنسبة 20٪ بينما أدى إطلاق تطبيق جديد مهم إلى زيادة التكلفة بنسبة 18٪.
  • 24٪ من الانتهاكات طالت المؤسسات المالية ، تليها الرعاية الصحية والقطاع العام.
  • تكلفة تمويل الشركات هي الأعلى من بين جميع الصناعات ، حيث خسرت في المتوسط ​​16.5 مليون دولار في عام 2013.
الشركات الصغيرة مدركة ولكنها ليست جاهزة
  • في العام الماضي ، اخترق المتسللون نصف جميع الشركات الأمريكية الصغيرة. في استطلاع 2013 الذي أجراه معهد بونيمون ، لم يكن لدى 75٪ من المستجيبين خطة رسمية للاستجابة لحوادث الأمن السيبراني. لم يكن 66٪ من المشاركين واثقين من قدرة مؤسستهم على التعافي من هجوم.
  • أشار استطلاع عام 2017 من شركة الأمن السيبراني مانتا إلى أن واحدًا من كل ثلاث شركات صغيرة ليس لديه الأدوات اللازمة لحماية نفسه.
  • في عام 2013 ، نجحت 88٪ من الهجمات التي تم شنها ضد شركات FS في أقل من يوم واحد. ومع ذلك ، يتم اكتشاف 21٪ فقط منها في غضون يوم واحد ، وفي فترة ما بعد الاكتشاف ، تتم استعادة 40٪ فقط منها خلال إطار زمني مدته يوم واحد.
الهجمات البارزة على الشركات المالية
  • الهجوم على ستة بنوك أمريكية (2012): بنك أوف أمريكا ، جي بي مورجان تشيس ، سيتي جروب ، يو إس بانك ، ويلز فارجو ، وبي إن سي كانوا أهدافًا في موجة من الهجمات على الكمبيوتر من قبل مجموعة تدعي علاقاتها بالشرق الأوسط. كانت هذه هجمات DDoS ، حيث طغى المتسللون على مواقع البنوك إلى حد الإغلاق.
  • جي بي مورجان (2014): تم اختراق حوالي 83 مليون حساب من قبل المتسللين. ومن المفارقات أن JPMorgan تنفق حوالي 250 مليون دولار على أمن الكمبيوتر كل عام. كان مصدر الخرق أساسيًا: لم يستخدم البنك المصادقة ذات العاملين.
  • SWIFT (2016): تم اختراق جمعية الاتصالات المالية العالمية بين البنوك (SWIFT) ، وهي عبارة عن اتحاد دولي يضم أكثر من 11000 بنك يسهل عمليات التحويل عبر الحدود. تم اختراق بنك بنغلاديش ، وهو أحد مستخدمي شبكة SWIFT ، بمبلغ 81 مليون دولار.
منع وحلول الأمن السيبراني
  • ذكاء في الوقت الحقيقي. كلما استغرق تحديد الاختراق وقتًا أطول ، زادت تكلفة عواقبه. من خلال إشعار مدته 60 ثانية فقط بالحل الوسط ، يمكن تقليل التكاليف الناتجة بنسبة 40٪.
  • التأمين الإلكتروني. عادة ما تحد شركات التأمين من قدرتها إلى ما بين 5 ملايين دولار و 100 مليون دولار لكل عميل. اعتبارًا من أكتوبر 2016 ، اشترت 29٪ فقط من الشركات الأمريكية التأمين الإلكتروني. ومع ذلك ، يقدر سوق التأمين الإلكتروني الإجمالي بنحو 20 مليار دولار بحلول عام 2025 ، مقارنة بـ 3.25 مليار دولار اليوم.
  • برامج مكافأة البق. تدفع المنظمات للغرباء ("المتسللين الودودين") لإخطارهم بالثغرات الأمنية. تبنت الشركات التي تتراوح من Google و Dropbox إلى AT&T و LinkedIn هذه الممارسة بالفعل.

مقدمة

فكر في [الأمن السيبراني] على أنه السلامة والأمن في الطرق والسيارات. لم تتغير السيارة حقًا خلال الثلاثين عامًا الماضية ، ولكن تم تضمين الكثير من الأمان فيها ، ولن يكون الأمر مثيرًا حتى اللحظة التي تنقذ فيها حياتك. لديك أجزاء مخفية - وسائد هوائية - وأجزاء هناك لتذكيرك بأن تكون آمنًا مثل أحزمة الأمان ... بعضها يتعلق بالسلوك الجيد والسلوك الجيد ، وبعضها يتعلق بالأمن الجسدي لتذكيرك بوجود خطر ، و يتم خبز بعض منه لإنقاذك.

- سيان جون ، كبير إستراتيجيي الأمن السيبراني في Symantec

سوف نعترف بذلك. الأمن السيبراني ليس مثيرًا. ومع ذلك ، في العصر الرقمي اليوم ، أصبح الأمن السيبراني مهمًا بشكل متزايد للشركات الكبيرة والشركات الناشئة الصغيرة على حد سواء. اليوم ، أصبحت المخاطر أكبر من أي وقت مضى ، حيث "أصبحت كل شركة شركة تقنية". أصبحت التكنولوجيا أكثر من مجرد مكمل لعمليات الشركة ، وفي كثير من الحالات ، فإن الأصول التي تعيش على شبكتها هي عملياتها الأساسية. يضاف إلى ذلك حقيقة أن الاختراقات أصبحت شائعة بسبب زيادة استخدام الأجهزة المحمولة وإنترنت الأشياء ، فضلاً عن النظام البيئي المتنامي لمجرمي الإنترنت.

توضح هذه المقالة أنواع مجرمي الإنترنت وتكتيكات الجرائم الإلكترونية والعوامل المساهمة. تتضمن القطعة أيضًا حلولًا ملموسة يمكن للشركات استخدامها لحماية نفسها. تشمل الحلول كلاً من الضمانات التكنولوجية والمكونات البشرية. على سبيل المثال ، يجب على القيادة أن تدرك الأمن السيبراني باعتباره مشكلة عمل إستراتيجية وليس مجرد "مشكلة تكنولوجيا معلومات". بالإضافة إلى ذلك ، تعد بعض الحلول الأكثر فاعلية أساسية إلى حد ما ، مثل تعليم الموظف أو المصادقة الثنائية للمستخدمين.

ما هي الجرائم الإلكترونية؟

ببساطة ، الجريمة الإلكترونية هي جريمة لها نوع من جوانب الكمبيوتر أو الإنترنت. يمكن أن تتشكل في أشكال متنوعة ، ومن أفراد أو مجموعات ذات عوامل تحفيز مختلفة. التهديدات السيبرانية هي في الأساس مخاطر غير متكافئة من حيث أن مجموعات صغيرة من الأفراد يمكن أن تسبب كميات كبيرة غير متناسبة من الضرر.

فئات مجرمي الإنترنت

  1. جماعات الجريمة المنظمة ذات الدوافع المالية: تقع معظم هذه الجماعات في أوروبا الشرقية

  2. الجهات الفاعلة في الدولة القومية: الأشخاص الذين يعملون بشكل مباشر أو غير مباشر لصالح حكومتهم لسرقة المعلومات الحساسة وتعطيل قدرات الأعداء. هم بشكل عام أكثر المهاجمين الإلكترونيين تطورًا ، حيث ينشأ 30٪ منهم في الصين.

  3. جماعات النشطاء ، أو "النشطاء": ليسوا في العادة في الخارج لسرقة الأموال. إنهم يخرجون للترويج لدينهم أو سياستهم أو قضيتهم ؛ للتأثير على السمعة أو التأثير على العملاء.

  4. المطلعون: هؤلاء هم الموظفون "المحبطون أو المبتزون أو حتى الإفراط في المساعدة" الذين يعملون من داخل الشركة. ومع ذلك ، لا يجوز لهم المشاركة في أنشطة الإجرام الإلكتروني عمدًا ؛ قد يأخذ البعض ببساطة قائمة جهات اتصال أو مستند تصميم دون إدراك الضرر الذي يمكن أن يسببه.

يبلغ متوسط ​​عمر مجرمي الإنترنت 35 عامًا ، وينتمي 80٪ من المتسللين الإجراميين إلى الجريمة المنظمة. باختصار ، يختار الناس هذا كمهنة.

تكتيكات جرائم الإنترنت

يستخدم مجرمو الإنترنت أساليب ثابتة وديناميكية لارتكاب جرائمهم. دعونا نتعمق في الأمر.

الرسم البياني 1: التكتيكات المستخدمة في خرق البيانات ، 2016

رفض الخدمة الموزع (DDoS)

يحاول هجوم DDoS تعطيل خدمة الشبكة. يرسل المهاجمون كميات كبيرة من البيانات أو حركة المرور عبر الشبكة حتى تصبح محملة بشكل زائد وتتوقف عن العمل. تنبع حركة المرور الوافدة التي تغرق الضحية من عدة مصادر مختلفة ، يحتمل أن تكون مئات الآلاف. هذا يجعل من المستحيل إيقاف الهجوم عن طريق حظر عنوان IP واحد ، ويجعل من الصعب التمييز بين حركة المرور المشروعة وحركة مرور الهجوم.

التصيد

غالبًا ما يتظاهر بأنه طلب للحصول على بيانات من طرف ثالث موثوق به ، ويتم إرسال هجمات التصيد عبر البريد الإلكتروني ويطلب من المستخدمين النقر فوق ارتباط وإدخال بياناتهم الشخصية. غالبًا ما ينطوي على التلاعب النفسي ، والتذرع بالإلحاح أو الخوف ، وخداع الأفراد المطمئنين لتسليم معلومات سرية.

هناك عدة عوامل مقلقة. أولاً ، أصبحت رسائل البريد الإلكتروني المخادعة معقدة وغالبًا ما تشبه الطلبات المشروعة للحصول على معلومات. ثانيًا ، يتم الآن ترخيص تقنية التصيد لمجرمي الإنترنت ، بما في ذلك خدمات التصيد عند الطلب ومجموعات التصيد الجاهزة. ولعل الأمر الأكثر إثارة للقلق هو حقيقة أن خدمات الويب المظلمة قد مكّنت مجرمي الإنترنت من تحسين حملاتهم ومهاراتهم. في الواقع ، يزيد احتمال النقر على رسائل البريد الإلكتروني المخادعة ستة أضعاف عن رسائل البريد الإلكتروني التسويقية الاستهلاكية العادية.

الرسم البياني 2: النقر فوق الأسعار عبر البريد الإلكتروني المخادع

البرمجيات الخبيثة

تم تصميم البرامج الضارة ، وهي اختصار لعبارة "البرامج الضارة" ، للوصول إلى جهاز كمبيوتر أو إتلافه. البرامج الضارة مصطلح شامل لمجموعة من التهديدات الإلكترونية بما في ذلك أحصنة طروادة والفيروسات والديدان. غالبًا ما يتم تقديمه إلى النظام من خلال مرفقات البريد الإلكتروني أو تنزيلات البرامج أو نقاط الضعف في نظام التشغيل.

إساءة استخدام الامتياز الداخلي

بينما يتلقى المطلعون الخبثاء الذين يقومون بتسريب المعلومات إلى ويكيليكس كل الصحافة والمجد ، فإن السيناريو الأكثر شيوعًا هو أن الموظف العادي أو المستخدم النهائي ، ولكن الانتهازي ، يأخذ بيانات سرية سراً على أمل جني الأموال في مكان ما (60٪ من الوقت) . في بعض الأحيان ، يشعر الموظفون بالفضول قليلاً ويقومون ببعض التطفل (17٪). تستهدف المعلومات الشخصية والسجلات الطبية (71٪) الجرائم المالية ، مثل سرقة الهوية أو الاحتيال في الإقرارات الضريبية ، ولكن في بعض الأحيان يكون ذلك لمجرد الشائعات.

كاشطات البطاقة المادية

تتضمن هذه الهجمات الزرع المادي على أحد الأصول الذي يقرأ بيانات الشريط المغناطيسي من بطاقة الدفع (على سبيل المثال ، أجهزة الصراف الآلي ومضخات الغاز ومحطات نقاط البيع). من السهل نسبيًا تنفيذ هجوم مثل هذا ، مع إمكانية تحقيق عائد مرتفع نسبيًا - وكذلك نوع الإجراء الشائع (8٪).

عواقب وتكاليف الأمن السيبراني

تكاليف الشركات

قبل ثلاث سنوات ، قدرت صحيفة وول ستريت جورنال تكلفة الجرائم الإلكترونية في الولايات المتحدة بمبلغ 100 مليار دولار. وقدرت تقارير أخرى أن الرقم كان أعلى من ذلك بعشر مرات. في عام 2017 ، بلغ متوسط ​​تكلفة خرق البيانات 7.35 مليون دولار أمريكي ، مقارنة بـ 5.85 دولار أمريكي في عام 2014. وتشمل التكاليف كل شيء بدءًا من الكشف والاحتواء والتعافي وانتهاءً باضطراب الأعمال وفقدان الإيرادات وتلف المعدات. بعيدًا عن المخاوف المالية ، يمكن أن يؤدي الخرق الإلكتروني أيضًا إلى تدمير الأصول غير الملموسة ، مثل سمعة الشركة أو حسن نية العميل.

ومن المثير للاهتمام أن الشركات التي تتمتع بأعلى مستويات الابتكار في مجال الأعمال غالبًا ما تتعرض لهجمات أكثر تكلفة. يمكن أن يكون "ابتكار الأعمال" أي شيء من الاستحواذ أو التجريد إلى الدخول إلى سوق جغرافية جديدة. ثبت أن الاستحواذ على شركة أو سحبها يزيد من تكلفة الجرائم الإلكترونية بنسبة 20٪ بينما أدى إطلاق تطبيق جديد مهم إلى زيادة التكلفة بنسبة 18٪.

الرسم البياني 3: متوسط ​​التكلفة لكل خرق للبيانات ، عالميًا

بالنسبة لشركات الخدمات المالية ، يمكن أن تُعزى التكاليف بعد حدوث خرق أمني إلى تعطل الأعمال وفقدان المعلومات وخسارة الإيرادات والتكاليف الأخرى.

الرسم البياني 4: تكلفة النسبة المئوية للعواقب الخارجية

الأمن السيبراني واضح لصناعة الخدمات المالية

الحقيقة المؤسفة هي أنه على الرغم من عدم وجود صناعة محصنة ، إلا أن قضايا الأمن السيبراني تظهر بشكل خاص للخدمات المالية. وفقًا لتقرير تحقيقات خرق بيانات Verizon لعام 2017 ، فإن 24٪ من الانتهاكات أثرت على المؤسسات المالية (الصناعة الأولى) ، تليها الرعاية الصحية والقطاع العام. للمقارنة ، احتلت الصناعة في عام 2012 المرتبة الثالثة بعد صناعات الدفاع والمرافق والطاقة. وبعيدًا عن التردد ، فإن تكلفة شركات التمويل هي الأعلى بين جميع الصناعات ، حيث خسرت في المتوسط ​​16.5 مليون دولار في عام 2013.

الرسم البياني 5: متوسط ​​التكلفة السنوية حسب قطاع الصناعة

في الخدمات المالية ، كان النوع الأكثر شيوعًا من الاختراقات الإلكترونية هو هجمات DDoS. وكما هو الحال بالنسبة لجميع هجمات DDoS ، كانت صناعة التمويل هي الأشد تضرراً.

الرسم البياني 6: هجمات DDoS حسب الصناعة

قرصنة الخدمات المالية الشهيرة

الهجوم على ستة بنوك أمريكية (2012)

في عام 2012 ، استُهدفت ستة بنوك أمريكية كبرى (بنك أوف أمريكا ، وجي بي مورجان تشيس ، وسيتي جروب ، ويو إس بانك ، وويلز فارجو ، وبي إن سي) في موجة من هجمات الكمبيوتر من قبل مجموعة تدعي علاقاتها بالشرق الأوسط. تسببت الهجمات في انقطاع الإنترنت وتأخير الخدمات المصرفية عبر الإنترنت ، مما أدى إلى إحباط العملاء الذين لم يتمكنوا من الوصول إلى حساباتهم أو دفع الفواتير عبر الإنترنت.

كانت هذه هجمات DDoS ، حيث طغى المتسللون على مواقع البنوك إلى حد الإغلاق. استخدمت الهجمات أيضًا شبكات الروبوتات ، وهي شبكات من أجهزة الكمبيوتر المصابة التي تقدم عطاءات للمجرمين. في بعض الأحيان ، يُشار إلى شبكات الروبوت على أنها "أجهزة كمبيوتر زومبي" تخضع لأوامر "الروبوتات الرئيسية". لسوء الحظ ، يمكن تأجيرها من خلال الأسواق السوداء أو إقراضها من قبل المجرمين أو الحكومات.

جي بي مورجان (2014)

في صيف عام 2014 ، في أكبر خرق أمني لبنك أمريكي حتى الآن ، تم اختراق الأسماء والعناوين وأرقام الهواتف وعناوين البريد الإلكتروني لحوالي 83 مليون حساب من قبل المتسللين. ومن المفارقات أن JPMorgan تنفق حوالي 250 مليون دولار على أمن الكمبيوتر كل عام. لم يكن خرق 2014 نتيجة مخطط معقد. لم يستخدم الهجوم هجوم يوم الصفر ، وهو خطأ برمجي جديد يُباع للملايين في السوق السوداء. كما أنها لم تستخدم البرامج الضارة التي استخدمها المتسللون في كوريا الشمالية في هجومهم الإلكتروني على شركة Sony. بدلاً من ذلك ، كان مصدر المشكلة أساسيًا: لم يستخدم البنك مصادقة ثنائية ، وهي طبقة إضافية من الأمان عندما يقوم المستخدمون بتسجيل الدخول للوصول إلى البيانات أو التطبيق. أهمل فريق أمان JPMorgan ترقية أحد خوادم الشبكة الخاصة به باستخدام نظام كلمة المرور المزدوجة - هذا كل ما يتطلبه الأمر.

نظام الدفع السويفت (2016)

في فبراير 2016 ، تم اختراق جمعية الاتصالات المالية العالمية بين البنوك (SWIFT) ، وهو اتحاد دولي يضم أكثر من 11000 بنك يسهل التحويلات عبر الحدود. تم اختراق بنك بنغلاديش ، وهو مستخدم في شبكة SWIFT ، بمبلغ 81 مليون دولار. تم استرداد نسبة صغيرة فقط قبل أن يحظر بنك الاحتياطي الفيدرالي في نيويورك 30 معاملة أخرى ربما تكون قد حولت 850 مليون دولار إضافية.

تظهر هذه الهجمات أن شبكات الدفع جديرة بالثقة مثل أضعف رابط لها. لم يتفاجأ الكثير في الصناعة بالهجوم. وفقًا لجوستين كلارك سالت ، المؤسس المشارك لشركة Gotham Digital Science ، وهي شركة للأمن السيبراني ، استغلت الهجمات نقطة ضعف في النظام: لا تحمي كل مؤسسة الوصول إلى SWIFT بنفس الطريقة. بعد كل شيء ، "غالبًا ما يهاجم المهاجمون الأشخاص الذين يسهل مهاجمتهم ... حتى الآن مما نعرف أنه تم الإبلاغ عنه علنًا ، فقد استهدفوا بشكل كبير المؤسسات المالية الأصغر. ربما هذا لأن لديهم ضوابط أقل تعقيدًا ".

هل الشركات الصغيرة أو الكبيرة أكثر عرضة للخطر؟

على الرغم من أن الأخبار غالبًا ما تغطي الهجمات على أكبر الشركات (Target و Yahoo و Home Depot و Sony) ، فإن الشركات الصغيرة ليست محصنة. في الأشهر الـ 12 الماضية ، اخترق المتسللون نصف جميع الشركات الصغيرة في الولايات المتحدة ، وفقًا لتقرير حالة الأمن السيبراني للشركات الصغيرة والمتوسطة لعام 2016.

من ناحية أخرى ، يجادل البعض بأن الشركات الأصغر قد لا تكون قادرة على التعافي من هجوم إلكتروني **. ** وفقًا لسيان جون ، كبير استراتيجيي الأمن السيبراني في Symantec ، واجهت الشركات مشكلة أمنية "ضربة مالية وسمعة هائلة" للشركات في العام التالي ، قبل العودة إلى الحياة الطبيعية. تساءلت ، "إذا كنت شركة أصغر ، هل يمكنك النجاة من هذا الانخفاض؟"

من ناحية أخرى ، يجادل آخرون بأن الشركات الصغيرة تتمتع بميزة: "الشركة الكبيرة أكثر ضعفًا من الشركات الصغيرة: فهي تمتلك مجمعات بيانات ضخمة ويتعين على مئات الأشخاص الوصول إليها ... إذا كنت في الطرف الأصغر من على نطاق واسع ، كونك ذكيًا بشأن العمليات التجارية وفهم الأماكن التي يمكن أن تُستغل فيها هذه العمليات التجارية ، فإن ذلك أسهل من أي مؤسسة كبيرة ، "صرح ريتشارد هورن ، الشريك في برايس ووترهاوس كوبرز.

تحديات الأمن السيبراني

العوامل التي ساهمت في ارتفاع الجرائم الإلكترونية

ظهرت سلالة "مؤسسية" من مجرمي الإنترنت

يعتمد مجرمو الإنترنت الآن أفضل ممارسات الشركات لزيادة كفاءة هجماتهم. يقوم بعض أكثر المجرمين المغامرين ببيع أو ترخيص أدوات القرصنة لمجرمين أقل تعقيدًا. على سبيل المثال ، كان المجرمون المحترفون يبيعون تكنولوجيا يوم الصفر للمجرمين في السوق المفتوحة ، حيث يتم تحويلهم بسرعة إلى سلعة. تقدم Gangs أيضًا برامج الفدية كخدمة ، والتي تقوم بتجميد ملفات الكمبيوتر حتى تفي الضحية بالمطالب المالية ، ثم تقوم بقطع توفير الترخيص.

يوجد الآن نظام بيئي كامل للموارد يمكن لمجرمي الإنترنت الاستفادة منه. "مجموعات الهجوم الإجرامي المتقدمة الآن تردد صدى مجموعات مهارات مهاجمي الدولة القومية. لديهم موارد واسعة وفريق عمل فني ذو مهارات عالية يعمل بكفاءة بحيث يحافظون على ساعات العمل العادية وحتى يأخذون عطلات نهاية الأسبوع والعطلات ... حتى أننا نرى مهاجمين إجراميين من المستوى المنخفض ينشئون عمليات مركز اتصال لزيادة تأثيرهم قال كيفن هالي ، مدير شركة Symantec.

أمن البائعين الخارجيين

إذا تم اختراق طرف ثالث ، فإن شركتك معرضة لخطر فقدان بيانات العمل أو تعريض معلومات الموظف للخطر. على سبيل المثال ، كان خرق البيانات المستهدف لعام 2013 والذي أدى إلى اختراق 40 مليون حساب عميل نتيجة سرقة بيانات اعتماد الشبكة من بائع تدفئة وتكييف هواء تابع لجهة خارجية. أشارت دراسة أجريت عام 2013 إلى أن 63٪ من تحقيقات خرق البيانات في ذلك العام كانت مرتبطة بمكون تابع لجهة خارجية.

زيادة استخدام تقنيات الهاتف المحمول من قبل العملاء

نظرًا للعدد المتزايد من الأهداف عبر الإنترنت ، أصبح القرصنة أسهل من أي وقت مضى. في مجال الخدمات المصرفية للأفراد ، انتشر استخدام الأجهزة المحمولة والتطبيقات بشكل كبير. وفقًا لدراسة أجرتها شركة Bain & Company لعام 2014 ، فإن الهاتف المحمول هو القناة المصرفية الأكثر استخدامًا في 13 من 22 دولة ويشكل 30٪ من جميع التفاعلات على مستوى العالم. بالإضافة إلى ذلك ، اعتمد المستهلكون أنظمة الدفع بواسطة الهاتف المحمول. بالنسبة للبنوك التي تتنافس مع الشركات الناشئة في مجال التكنولوجيا المالية ، ستظل راحة العملاء مهمة. قد يتعين عليهم الموازنة بين خسائر الاحتيال المحتملة والخسائر الناتجة عن تجربة المستخدم الأكثر إزعاجًا. تستخدم بعض المؤسسات المصادقة المتقدمة لمواجهة هذه المخاطر الأمنية الإضافية ، مما يسمح للعملاء بالوصول إلى حساباتهم عبر التعرف على الصوت والوجه.

انتشار إنترنت الأشياء (IoT)

إنترنت الأشياء (IoT) مكرس لفكرة أن مجموعة واسعة من الأجهزة ، بما في ذلك الأجهزة والمركبات والمباني ، يمكن أن تكون مترابطة. على سبيل المثال ، إذا رن المنبه الخاص بك في الساعة 7:00 صباحًا ، فيمكنه تلقائيًا إخطار صانع القهوة لبدء تحضير القهوة من أجلك. يدور إنترنت الأشياء حول الاتصال من آلة إلى آلة ؛ إنه محمول ، افتراضي ، ويوفر اتصالات فورية. هناك أكثر من مليار جهاز إنترنت الأشياء قيد الاستخدام اليوم ، ومن المتوقع أن يتجاوز الرقم 50 مليار بحلول عام 2020. المشكلة هي أن العديد من الأجهزة الذكية الأرخص سعرًا تفتقر غالبًا إلى البنية التحتية الأمنية المناسبة. عندما تنطوي كل تقنية على مخاطر عالية ، تزداد المخاطر بشكل كبير عند دمجها.

الوعي بالأمن السيبراني مقابل الاستعداد للتصدي

على الرغم من العناوين الرئيسية حول الأمن السيبراني وتهديداته ، لا تزال هناك فجوة بين وعي الشركات واستعدادها لمعالجته. في العام الماضي ، اخترق المتسللون نصف جميع الشركات الأمريكية الصغيرة. في استطلاع 2013 الذي أجراه معهد بونيمون ، أشار 75٪ من المشاركين إلى أنه ليس لديهم خطة رسمية للاستجابة لحوادث الأمن السيبراني. لم يكن 66٪ من المشاركين واثقين من قدرة مؤسستهم على التعافي من هجوم. علاوة على ذلك ، أشار استطلاع عام 2017 من شركة الأمن السيبراني مانتا إلى أن واحدًا من كل ثلاث شركات صغيرة ليس لديه الأدوات اللازمة لحماية نفسه.

من الناحية التكتيكية ، يتعين على شركات الخدمات المالية تحسين الكثير من حيث اكتشاف الهجمات والاستجابة لها. في عام 2013 ، نجحت 88٪ من الهجمات التي تم شنها ضد شركات FS في أقل من يوم واحد. ومع ذلك ، يتم اكتشاف 21٪ فقط منها في غضون يوم واحد ، وفي فترة ما بعد الاكتشاف ، تتم استعادة 40٪ فقط منها خلال إطار زمني مدته يوم واحد.

الشكل 1: وقت استجابة شركات الخدمات المالية العالمية للهجمات يشير إلى وجود ثغرات كبيرة في الاستعداد

تتطلب حلول الأمن السيبراني نهجًا متعدد الجوانب

لا يوجد حل "مقاس واحد يناسب الجميع" للأمن السيبراني. ومع ذلك ، بشكل عام ، يجب أن تشمل الحلول كلاً من التكنولوجيا المتطورة ومكونات "بشرية" أخرى مثل تدريب الموظفين وتحديد الأولويات في غرفة الاجتماعات.

استخبارات التهديد القابلة للتنفيذ

ذكاء في الوقت الفعلي:

يُعد الذكاء في الوقت الفعلي أداة قوية لمنع الهجمات الإلكترونية واحتوائها. كلما استغرق تحديد الاختراق وقتًا أطول ، زادت تكلفة عواقبه. كشفت دراسة أجراها معهد بونيمون عام 2013 أن المديرين التنفيذيين لتكنولوجيا المعلومات يعتقدون أن أقل من 10 دقائق من الإخطار المسبق بخرق أمني هو وقت كافٍ لتعطيل التهديد. من خلال إشعار مدته 60 ثانية فقط بالحل الوسط ، يمكن تقليل التكاليف الناتجة بنسبة 40٪.

وفقًا لجيمس هاتش ، مدير الخدمات الإلكترونية في شركة BAE Systems ، "يعد اكتشاف [هجوم إلكتروني] مبكرًا أمرًا أساسيًا ... قد يكون الفرق بين خسارة 10٪ من [أجهزة الكمبيوتر] و 50٪." لسوء الحظ ، في الواقع ، تستغرق الشركات في المتوسط ​​أكثر من سبعة أشهر لاكتشاف هجوم ضار.

الإجراءات التكميلية:

يمكن للشركات أن تتخذ عدة خطوات تكتيكية أصغر لحماية نفسها. وتشمل هذه:

  • سن استراتيجية دفاعية متعددة الطبقات. تأكد من أنه يغطي مؤسستك بالكامل وجميع نقاط النهاية والأجهزة المحمولة والتطبيقات والبيانات. حيثما أمكن ، استخدم التشفير والمصادقة ثنائية أو ثلاثة عوامل للوصول إلى الشبكة والبيانات.

  • إجراء تقييم بائع تابع لجهة خارجية أو إنشاء اتفاقيات مستوى الخدمة مع جهات خارجية: تنفيذ سياسة "الامتياز الأقل" فيما يتعلق بمن وما يمكن للآخرين الوصول إليه. اجعل من المعتاد مراجعة استخدام بيانات الاعتماد مع جهات خارجية. يمكنك حتى أن تخطو خطوة أخرى إلى الأمام من خلال اتفاقية مستوى الخدمة (SLA) ، والتي تلزم تعاقديًا الأطراف الثالثة بالامتثال لسياسات الأمان الخاصة بشركتك. يجب أن تمنح اتفاقية مستوى الخدمة الخاصة بك شركتك الحق في تدقيق امتثال الطرف الثالث.

  • نسخ احتياطي مستمر للبيانات. يمكن أن يساعد هذا في الحماية من برامج الفدية ، التي تقوم بتجميد ملفات الكمبيوتر حتى يفي الضحية بالمطالب المالية. يمكن أن يكون النسخ الاحتياطي للبيانات أمرًا بالغ الأهمية إذا تم قفل أجهزة الكمبيوتر أو الخوادم الخاصة بك لأنك لن تحتاج إلى الدفع مقابل الوصول إلى بياناتك.

  • الترقيع بشكل متكرر. تصحيح البرنامج هو تحديث كود في برنامج موجود. غالبًا ما تكون إصلاحات مؤقتة بين الإصدارات الكاملة للبرامج. قد يعمل التصحيح على إصلاح خطأ البرنامج أو معالجة ثغرة أمنية جديدة أو معالجة مشكلات استقرار البرنامج أو تثبيت برامج تشغيل جديدة.

  • إدراج تطبيقات البرامج في القائمة البيضاء. ستمنع إضافة التطبيقات إلى القائمة البيضاء أجهزة الكمبيوتر من تثبيت برامج غير معتمدة. هذا يسمح للمسؤولين بمزيد من التحكم.

تأمين ضد القرصنة

الاتجاه الناشئ هو التأمين ضد القراصنة ، أو التأمين الإلكتروني. يختلف نطاقه باختلاف مقدمي الخدمة ، ولكنه يحمي عادةً من الانتهاكات والخسائر الأمنية. عادة ما تحد شركات التأمين من قدرتها إلى ما بين 5 ملايين دولار و 100 مليون دولار لكل عميل. اعتبارًا من أكتوبر 2016 ، اشترت 29٪ فقط من الشركات الأمريكية التأمين الإلكتروني. ومع ذلك ، يقدر سوق التأمين الإلكتروني الإجمالي بنحو 20 مليار دولار بحلول عام 2025 ، مقارنة بـ 3.25 مليار دولار اليوم. شركات التأمين متفائلة ، وتقدر أن أقساط التأمين ستتضاعف ثلاث مرات خلال السنوات القليلة المقبلة.

لكي تحدد منظمة مقدار التأمين الإلكتروني الذي تحتاجه ، يجب عليها قياس مخاطر الإنترنت. يجب أن يفهم كيف تتأثر أصولهم بهجوم إلكتروني وكيفية ترتيب أولوياتهم.

الرسم البياني 7: النمو المقدر لأقساط التأمين الإلكتروني العالمية

برامج Bug Bounty

فكرة جديدة أخرى في الصناعة هي ما يسمى ببرنامج مكافأة الأخطاء ، حيث تدفع منظمة للغرباء ("المتسللين الودودين") لإخطارها بوجود عيوب أمنية. تبنت الشركات التي تتراوح من Google و Dropbox إلى AT&T و LinkedIn هذه الممارسة بالفعل.

الشكل 2: قائمة الأسعار: مكافآت الأخطاء

لا تنسى المكون البشري

  • تصبح "مشكلة تكنولوجيا المعلومات" مشكلة عمل إستراتيجية. بالنسبة للعديد من الرؤساء التنفيذيين والمديرين الماليين ، يمكن أن تكون القرصنة محبطة لأنهم لا يفهمون العدو. وفقًا لريتشارد أندرسون ، رئيس مجلس إدارة معهد إدارة المخاطر ، "لا يزال هناك الكثير من الأشخاص الذين يجلسون بعيدًا عن الشركات الكبرى الذين لا يزالون يعتبرونها شيئًا يهتم به المهوسون ، بدلاً من كونها مشكلة تجارية." ومع ذلك ، وكما أظهرت الإحصائيات ، فإن هذا أبعد ما يكون عن الحقيقة.

    يقترح المستند التعريفي التمهيدي لشركة Deloitte إنشاء فريق متخصص لإدارة التهديدات الإلكترونية وإنشاء "ثقافة مدركة للمخاطر الإلكترونية". من المستحسن أيضًا أن تعين المنظمات مسؤول أمن معلومات رئيسي (CISO). على سبيل المثال ، لم يكن لدى JPMorgan ولا Target CISOs عندما تم اختراقهما في 2014 و 2013 ، على التوالي.

  • العودة إلى الأساسيات: تدريب الموظفين. غالبًا ما تكون خروقات البيانات نتيجة للضعف النفسي لدى البشر. لذلك من الضروري تثقيف موظفيك حول العلامات التحذيرية للانتهاكات الأمنية ، والممارسات الآمنة (توخي الحذر عند فتح مرفقات البريد الإلكتروني ، وأين يتصفحون) ، وكيفية الرد على الاستيلاء المشتبه به.

خواطر فراق

إن الطعن الشائع للانتباه المتزايد لأخطار الأمن السيبراني هو ، "ماذا إذن؟ هل من المفترض أن نتوقف عن الابتكار خوفًا من الهجمات؟ " الجواب ليس بالضبط. ومع ذلك ، قد يكون من المفيد للشركات أن تنظر إلى الأمن السيبراني على أنه مسألة أخلاقية. وهذا يعني أن الأمن السيبراني لا ينبغي أن يكون مجرد مسألة تقنية ، بل مسألة أخلاقية أيضًا. بعد كل شيء ، هل من الأخلاقي إنشاء وبيع التكنولوجيا التي تجعل المستهلكين عرضة للخطر؟ مع "النمو أو الموت" في وادي السيليكون وثقافة قصر النظر في بعض الأحيان ، من المحتمل أن يكون هذا موقفًا لا يحظى بشعبية.

ومع ذلك ، هناك سابقة في قطاعات أخرى. على سبيل المثال ، تطلب الجمعية الطبية الأمريكية ونقابة المحامين الأمريكية من المتخصصين اتباع القواعد الأخلاقية الخاصة بكل منهم. يجب أن يتعهد الأطباء بقسم أبقراط ، وهو أحد أقدم الوثائق الملزمة في التاريخ ، والذي يفرض على الأطباء تعهدًا بحماية مرضاهم. وبالمثل ، يتبع المحامون قواعد نموذجية للسلوك المهني ، يتعهدون بحماية موكليهم واحترامهم.

يحسن بنا جميعًا أن نتذكر أنه على الرغم من أن التكنولوجيا قد تأتي وتذهب ، إلا أن الصواب والخطأ لا يتغيران أبدًا.