هل بيانات شركتك آمنة؟ ^مميز

يبدو أنه لا يمر يوم دون أنباء عن اختراق الشبكات والبيانات. أحد أحدثها، اختراق SolarWinds.

نظرًا للفوضى التي تسبب فيها جائحة COVID-19 منذ عام 2020، ومع عدم وجود حل سريع في الأفق، فإن آخر ما تحتاجه هو اختراق ممارستك. لكن الحقيقة الواضحة في الأمر هي أن الحاجة إلى العمل عن بُعد، بسبب فيروس كورونا، جعلت ممارستك وعملائك أكثر عرضة للخطر مما كانوا عليه في الماضي.

قال رومان كيبكزيك، مدير استراتيجية التكنولوجيا في شركة Right Networks:"أشارت سلسلة هجمات برامج الفدية المربحة على مدار العام الماضي إلى مجموعات متسللين منظمة تستهدف على وجه التحديد الشركات الطبية والقانونية والمحاسبية حيث لا يمكنهم فقط طلب الفدية ولكن أيضًا سرقة كنز دفين من معلومات العميل / الأعمال. سمح ذلك للمتسللين بالتهديد بالإفراج عن معلومات العميل السرية أو الملكية الفكرية إذا لم يتم دفع الفدية. بالإضافة إلى استخدام معلومات التعريف الشخصية لتقديم الإقرارات الضريبية عن طريق الاحتيال والتحريض على سرقة الهوية، اتصل المتسللون في بعض الحالات بعملاء الشركات لمزيد من الابتزاز، مهددين بالإفراج عن معلومات سرية أو مخترقة أو محرجة ".

من الواضح أن حماية أنظمتك وبياناتك من التدخل الخارجي أمر مهم. ولكن الأهم من ذلك هو حماية أنظمة وبيانات عملائك. وحقيقة أن الكثير منا يعملون من المنزل، ومن المرجح أن يستمروا في القيام بذلك، على الأقل بدوام جزئي، في المستقبل المنظور، يزيد فقط من هذا الخطر.

تتراوح الخطوات التي يمكنك اتخاذها من أساسية جدًا إلى فائقة التطور. تمثل خطوط دفاعك الأولى إجراءات نسخ احتياطي واستخدام تطبيق جيد لمكافحة البرامج الضارة. لكن هذه مجرد البداية. تحتاج إلى اتخاذ تدابير فعالة لحماية أنظمتك، سواء كانت في مكتبك الفعلي أو مكتبك في المنزل.

تعد المصادقة الثنائية والتشفير من أكثر إجراءات الأمان شيوعًا وأسهلها في التنفيذ. على الرغم من أن المصادقة ذات العاملين قد تكون مزعجة بعض الشيء، إلا أن الحاجة إلى إدخال كلمة مرور ورمز تحقق يتم إرسالهما إلى حساب بريد إلكتروني أو إرسال رسائل إلى حساب جوال يقلل بشكل كبير من فرص الاختراق إذا كان شخص ما قادرًا على الحصول على كلمة مرورك.

كلمات مرور أقوى مع أمان أكبر أمر لا بد منه أيضًا. لا يزال الكثيرون يستخدمون كلمات مرور ضعيفة، مثل أسماء أزواجهم أو أطفالهم، أو حتى "123".

تصر العديد من التطبيقات البعيدة الآن على كلمات مرور أقوى تحتوي على أحرف كبيرة وصغيرة وأرقام ورموز خاصة. لكن تتبع هذه، خاصة عندما تكون مختلفة لكل تطبيق، هو مصدر قلق كبير للعديد من المستخدمين. إذا كان هذا هو الحال بالنسبة لممارستك، فهناك عدة طرق يمكنك من خلالها استخدام كلمات مرور يصعب تخمينها ولا يزال يتعين عليك كتابتها لتذكر ماهيتها لكل تطبيق.

أكثرها شيوعًا هو استخدام مدير كلمات المرور الذي يتتبع كلمات المرور الخاصة بك ويدخل كلمة المرور المناسبة التي يصعب تذكرها في التطبيق المناسب. يتضمن مديري كلمات المرور المشهورة 1Password و LastPass ، ولكن هناك الكثير من التطبيقات المماثلة لأجهزة الكمبيوتر الشخصية وأجهزة Mac والهواتف الذكية والأجهزة اللوحية.

بديل آخر هو استخدام مفتاح مصادقة الأجهزة الذي يتم توصيله بمنفذ USB-A oe USB-C أو يوفر NFC (اتصال المجال القريب -التقنية المستخدمة في بطاقات ائتمان انقر وادفع وبعض الهواتف) للعمل مع الأجهزة المحمولة التي تتضمن هذه الميزة. يتم تقديم مفتاح شائع واحد من قبل Yubico، على الرغم من أنها ليست البائع الوحيد.

قال تشاد ثونبرج، كبير مسؤولي أمن المعلومات في Yubico، "يوفر YubiKey للمستخدمين حلاً مصادقة قويًا متعدد العوامل مدعومًا بالأجهزة وله سجل حافل لحماية الحسابات. لم يعتمد كل مقدم خدمة أو تطبيق -بما في ذلك بعض مجموعات برمجيات المحاسبة الشائعة. ولكن، تدعم العديد من هذه التطبيقات استخدام موفر هوية تسجيل الدخول الموحد [SSO] الذي يدعم استخدام مفاتيح YubiKeys. للبدء، يمكن للمستخدمين تسجيل YubiKey الخاص بهم مع موفر الهوية المفضل لديهم (على سبيل المثال، Google أو Apple أو Microsoft) ثم استخدام موفر الهوية هذا لتسجيل الدخول إلى برمجيات المحاسبة الخاص بهم. ألقيت نظرة سريعة على بعض العروض الشائعة، وكل من FreshBooks و QuickBooks Online و Sage   Accountingيدعم SSO. "

التشفير هو خيار آخر يجب أن تكون على دراية به. أشار ريتشارد كانادجيان، مدير أعمال USB المشفر في Kingston Technology ، إلى أن "التشفير يعني أساسًا أنه إذا قمت بتشفير البيانات على محرك أقراص USB وفقدت ذلك ، فإن احتمال أن يتمكن شخص ما من استرداد هذه البيانات هو في الواقع ضئيل للغاية. إنها في الواقع صفر تقريبًا. والسبب هو أن لدينا عناصر تحكم في كلمة المرور. على سبيل المثال، لديك كلمة مرور أو رقم تعريف شخصي لمحرك أقراص USB وسيسمح لك محرك الأقراص المشفر بإدخال كلمة المرور 10 مرات فقط. لذلك، إذا قمت بإدخاله مرات أكثر وإذا كان شخص ما يخمن، فسيقوم محرك الأقراص حرفياً بمسح محتوياته ومحو البيانات. لن يكون لديك في الواقع أي بيانات تتعرض لخرق ".

يعد الاحتفاظ ببيانات تطبيقاتك على محرك أقراص مشفر طريقة قابلة للاستخدام، ولكن ضع في اعتبارك أن البيانات الموجودة على محرك أقراص مشفر يجب نسخها احتياطيًا في موقع آمن، سواء كان ذلك في السحابة أو محرك أقراص مشفر ثانيًا، فقط في حالة تشفير محرك الأقراص تم فقد أو سرقة محرك الأقراص الذي يحتوي على بيانات مهمة.

يجب أن تكون على دراية كبيرة بالمكان الذي تستخدم فيه الكمبيوتر المحمول. يذهب الكثير من الناس إلى المقهى المحلي أو المكتبة، حيث يتوفر الإنترنت مجانًا، ولا يتخذون الاحتياطات المعقولة. أصبح إصابة أجهزة التوجيه في هذه المواقع ببرامج ضارة أمرًا شائعًا للغاية، ويمكن للإنترنت المخترق في هذه المواقع أن يصيب مئات أو حتى آلاف الأنظمة المستخدمة هناك، بالإضافة إلى أي شبكات يتم ربط الأنظمة المصابة بها بعد ذلك.

وأشار ستيفن لوتون، مدير تحرير المشاريع الخاصة في SC Media ، إلى ذلك: "واحدة من أكبر المخاوف التي نراها هي أن العديد من الموظفين أجبروا على العمل من المنزل وفجأة أصبحوا جالسين على شبكات خارجة عن سيطرة تكنولوجيا المعلومات للشركات ،إذا سمحت للموظف ببساطة باستخدام أنظمته المنزلية وشبكاته المنزلية دون أي تحكم IP ، بصراحة تامة ما ستحصل عليه هو BYOD- ليس "أحضر جهازك الخاص" ، ولكن "أحضر كارثتك الخاصة". إن الافتقار إلى ضوابط الأمان على معظم الشبكات المنزلية أمر مذهل حقًا. لم يقم الكثير من الأشخاص بتحديث البرامج الثابتة وأجهزة التوجيه الخاصة بهم. لم يضعوا أبدًا أي نوع من عناصر التحكم أو البرامج الأمنية على أنظمتهم. إذا كنت ستجعل العاملين لديك يعملون من المنزل، فإن الممارسة تحتاج حقًا إلى الاستثمار في أجهزة الكمبيوتر المحمولة خصيصًا لهذا الغرض، والتي تحتوي على عناصر تحكم أمنية مضمنة فيها. تحتاج على الأقل إلى بعض برامج مكافحة الفيروسات وبرامج مكافحة البرامج الضارة ومكافحة برامج الفدية الضارة. يجب أيضًا أن تجعل الأنظمة تنتقل عبر شبكة خاصة افتراضية إلى قاعدة منزلية. من المؤكد أن الشبكات الافتراضية الخاصة ليست مضمونة، لكنها أفضل من عدم امتلاك أي شيء على الإطلاق، أو مجرد المرور عبر الشبكة الشخصية للموظف ".

أصبحت القياسات الحيوية كبديل لكلمة المرور شائعة بشكل متزايد. لا، ليس من الضروري أن يكون لديك ماسح ضوئي لشبكية العين مثبتًا على جهاز الكمبيوتر أو الكمبيوتر المحمول، على الرغم من أنه لن يكون من المفاجئ رؤية شيء على هذا المنوال باستخدام كاميرا الويب شبه المنتشرة في كل مكان في المستقبل القريب. ولكن في حين أن الماسحات الضوئية لشبكية العين كانت موجودة منذ سنوات، جنبًا إلى جنب مع قارئات بصمات اليد التي تُرى غالبًا في الأفلام، فقد تم تحويلها إلى حد كبير إلى منشآت أمنية عالية جدًا مع ميزانيات وموارد أمان عالية.

تعد قارئات بصمات الأصابع، خاصة في أجهزة الكمبيوتر المحمولة، شائعة هذه الأيام. ويتمتع كل من نظامي التشغيل iOS و Windows بإمكانيات التعرف على الوجه التي لا يمكن أن تعمل فقط كبديل لكلمات مرور النظام، ولكن في كثير من الحالات يمكن أيضًا استخدامها ككلمات مرور للتطبيقات الحساسة مثل الحسابات المصرفية وبطاقات الائتمان.

معظم قدرات التعرف على الوجه على مستوى الدخول، مثل تلك الموجودة في نظام التشغيل، تتطلب أن يكون الوجه بأكمله مرئيًا لتوفير المصادقة. غالبًا ما يؤدي ارتداء القناع الواقي، وهو ضرورة في الأماكن العامة أو في مكتبك هذه الأيام، إلى التغلب على طريقة تسجيل الدخول سهلة الاستخدام هذه.

إحدى نقاط الضعف التي حظيت بمزيد من الاهتمام مؤخرًا هي الأجهزة المتصلة بإنترنت الأشياء -المكونات، مثل الطابعات والطابعات متعددة الوظائف، المتصلة بشبكتك ولها أيضًا مسارات خاصة بها في الإنترنت. معظمنا على دراية بالتهديدات مثل التصيد الاحتيالي والبرامج الضارة المضمنة، ولكن هناك طريق آخر إلى شبكتك ربما لم تفكر فيه.

وأشار شيفون أولبرايت، كبير تقنيي أمن الطباعة في HP:"في كثير من الأحيان، تم استخدام محيط الشبكة، في الماضي، كوسيلة لتأمين الأجهزة. وفي هذا اليوم وهذا العصر، مع البريد الإلكتروني، وهجمات التصيد، والنقر على شيء ما، وأي نوع من البريد الإلكتروني أو الرابط، لا يمكنك ضمان تأمين شبكة محيطك الداخلي. أنت فقط لا تستطيع. وأحد الأشياء التي رأيناها، كانت مقالة من Microsoft في أغسطس من عام 2019. لقد سلطوا الضوء على أنهم ضبطوا متسللين روسيين يستخدمون شبكات إنترنت الأشياء المخترقة. وبالمناسبة، وجدوا أن الأجهزة التي تم اختراقها كانت عبارة عن هواتف تعمل عبر بروتوكول الإنترنت وطابعات مكتبية ".

العملاء أهداف أيضًا

من الواضح أن هناك الكثير من الأمور التي يجب النظر إليها من الناحية الأمنية أكثر مما يتم تغطيته هنا. إن تطوير الخبرة والمعرفة للتعامل مع التهديدات الجديدة التي تظهر كل يوم ليس فقط عملية مستمرة، بل هي عملية قد يكون من الصعب الحفاظ عليها وتوسيعها، وهو سبب جيد آخر لفحص الممارسات والبروتوكولات المعمول بها في ممارستك. ولدى عملائك.

إن حماية بياناتك وبيانات عملائك ليست مسؤولية ائتمانية فحسب، بل إنها أيضًا ممارسة تجارية جيدة. 

يستغرق بناء الخبرة في هذا المجال وقتًا ومالًا. وحتى بعد الانغماس المكثف في الأمان، فمن المحتمل أنك ما زلت لا تملك الخبرة لمعرفة كيفية تحديد مكان ثغرات ممارستك وكيفية معالجتها عند اكتشافها.

أحد الأساليب التي اقترحها راندي جونستون، نائب الرئيس التنفيذي لشركة K2 Enterprises ، والتي تنطبق بشكل خاص إذا قمت بالاستعانة بمصادر خارجية لبعض أو كل دعم تكنولوجيا المعلومات الخاص بك ، هو "اختيار مزودي تكنولوجيا المعلومات ذوي السمعة الطيبة الذين يفهمون وينفذون أفضل الممارسات الأمنية لمساعدة موظفي تكنولوجيا المعلومات الداخليين لديك . بينما تتحول مخاطر الأمان بمرور الوقت، يجب على المزود الاستجابة بفعالية للتهديدات الجديدة وتعديل بروتوكولات الأمان والإعداد الفني باستمرار لحماية شركتك ".

وأضاف Kepczyk: "يعد تدريب الموظفين أمرًا بالغ الأهمية، لا سيما فيما يتعلق بتهديدات التصيد الاحتيالي، والتي تمثل دخول الغالبية العظمى من الانتهاكات، لذلك نقترح عليك الاستعانة بمصادر خارجية لأطراف ثالثة مثلKnowBe4, PhishMe, Wombat Security, ، وما إلى ذلك ، من شأنه إجراء اختبار التصيد وتدريب الموظفين ".

ولكن سواء قررت إضافة الاستشارات الأمنية إلى ممارستك أم لا أو أن تكون شريكًا مع شركة لديها خبرة وسمعة في هذا المجال، ضع في اعتبارك أن آخر شيء تريد إخباره للعميل هو أنك تعرضت لخرق للبيانات، أو أن نظامك مقفل بسبب برامج الفدية الضارة. تعتبر استراتيجية النسخ الاحتياطي الجيدة خطوة أولى ضرورية، ولكن من أين ستنتقل من هناك سيحدد مدى أمان معيشتك المستمرة. وعلى الرغم من عدم وجود شيء مثل الأمان المثالي، يجب أن تكون على دراية بالمكان الذي تكون فيه عرضة للخطر، واتخاذ خطوات لتعزيز تلك المجالات من إجراءاتك وممارساتك.