العمل "عن بعد" يفتح باب الاختراقات.. ويرفع أهمية تأمين المخاطر السيبرانية

ارتفعت الأصوات المنادية بالتأمين على المخاطر السيبرانية كأحد الأدوات المالية المناسبة للتعويض عن الأضرار المترتبة عنها.
وتواكبت دعوات مع ما شهده الشهران الماضيان من ازدياد في تحول القطاعات الحكومية والخاصة بشكل متسارع نحو اعتماد التقنيات الافتراضية بالعمل عن بُعد، للاستفادة من الحلول المخصصة لتعزيز التعاون والعمل المشترك لكل جهة على خلفية إجراءات العزل الأخيرة لمواجهة كورونا المستجد.
لكن تنفيذ ترتيبات العمل من المنزل نظراً للإجراءات الاحترازية التي وضعتها الدولة -حفظها الله- لمنع انتشار (COVID-19)، عبر قيام الموظفين بتسجيل دخولهم إلى شبكات الشركات عن بُعد، وكذلك باستخدام التطبيقات القائمة على المنصات السحابية، وعقد اجتماعات بين رئيس وموظفيه، فتح أبواباً للمخاطر الأمنية والتهديدات السيبرانية.
في الوقت الذي شهدت فيه الأيام الماضية تحذيرات على لسان خبراء في عالم التقنية من اختراق الخصوصية في برامج الاجتماعات عن بعد، حيث باتت الشركات العاملة في المملكة في حاجة ملحة إلى الحماية الكافية ضد الهجمات الإلكترونية، لذلك من الضروري وجود منتجات تأمينية لتغطية جميع المخاطر السيبرانية، وعلى هذا الأساس، فإن على شركات التأمين إعداد تصور للمنتج التأميني وإطار تقني مصاحب له لتقييم الخسائر الناتجة عن هذه المخاطر وتسوية مطالباتها التأمينية.
وحدد خبراء التدابير الأساسية لمواجهة المخاطر السيبرانية في اتخاذ مجموعة من التدابير الأساسية هي وضع استراتيجية لإدارة المخاطر وسياسات قادرة على التصدي للقرصنة الإلكترونية، تنفيذ خطط وقائية لمواجهة الهجمات الإلكترونية، تطبيق برامج حماية الأنظمة والشبكات وقواعد أمن المعلومات، شراء برامج تأمينية للتعويض عن الخسائر في حالة أصبحت ضحية لهذه الهجمات.
في حين عانت العديد من القطاعات الحكومية والخاصة من الخسائر الناجمة عن الهجمات الإلكترونية، التي تسببت بخسائر مالية لنحو 40 % من الشركات في العالم خلال الأعوام الثلاثة الماضية، حيث يظل الخطر ماثلاً لجميع الشركات، لا سيما تلك التي تعتمد على أنظمة تكنولوجيا المعلومات في أعمالها.
وعلى الصعيد المحلي، كان قد تعرض عدد من المنشآت العامة والخاصة بالمملكة إلى 54 ألف هجمة إلكترونية في العام 2017، وهو الأمر الذي أدى إلى تصنيف المملكة في المرتبة الثالثة عالمياً، من حيث التعرض للهجمات الإلكترونية.
وتزداد أهمية الأمن السيبراني في المملكة نتيجة التوسع في استخدام تكنولوجيا المعلومات وتقنيات الاتصال لتلبية أهداف رؤية 2030 والتي تركز على تطوير قطاع تقنية المعلومات، وتفعيل التعاملات الحكومية الذكية ودعم التجارة الإلكترونية، وزيادة مساهمة صناعة تقنية المعلومات في الناتج المحلي الإجمالي.
يأتي ذلك في الوقت الذي أولى فيه برنامج التحول الوطني 2020 أهتماماً ملحوظاً لقطاع تقنية المعلومات بالمملكة، حيث وضع البرنامج عدداً من الأهداف التي تتعلق بتعزيز قطاع تقينة المعلومات، أبرزها رفع مستوى الخدمات الحكومية الرئيسة إلكترونياً من 44 % إلى 85 %، وزيادة نسبة تحول الجهات الحكومية للتعاملات الإلكترونية الحكومية من 50 % إلى 80 %، وتحسين ترتيب المملكة في مؤشر الأمم المتحدة لتطوير الحكومة الإلكترونية من 36 إلى 25، ورفع نسبة مستخدمي الإنترنت في المملكة من 63.7 % إلى 85 %.
لكن تبقى المخاطر السيبرانية والجرائم الإلكترونية من أكبر التحديات التي تواجه قطاع تقنية المعلومات في مختلف الشركات والمؤسسات، حيث الكثير من الأنماط تتمثل في اختراق الأجهزة والبرمجيات والشبكات المعلوماتية وتدميرها أو انهيار النظام ومنع الاستفادة منه، كذلك دخول غير المصرح لهم إلى الأنظمة وقواعد البيانات والتحكم بها أو استغلالها.
ويمكن أن يتجسد الخطر السيبراني في صور متنوعة مثل: الاختراق المتعمد وغير المرخص له للأنظمة المعلوماتية ونظام الأمان لدى الشركات أو المؤسسات، إضافة إلى مخاطر تقنية المعلومات التشغيلية، فضلاً عن سرقة معلومات العملاء وتصميمات المنتجات والابتزاز والتهديد وانتهاك الخصوصية، ورغم الاحتياطات الأمنية والمعلوماتية المتطورة، تتعرض الكثير من الشركات والمؤسسات لهذه المخاطر السيبرانية، وبناء عليه، فإن برنامج تأمين المخاطر السيبرانية يشكل حلاً مثالياً لتلك الشركات، لكونه يهدف إلى التعويض عن الخسائر الناتجة عن المخاطر، حيث يتميز برنامج تأمين المخاطر السيبرانية بأنه يواكب تطورات الأعمال وفقاً لأحدث التقنيات المعلوماتية، ويحمي دخل الشركة أو المؤسسة وسمعتها حيث يساعدها على سرعة استبدال الأصول الرقمية والعودة لممارسة النشاط، في حين يوفر البرنامج أيضاً أعلى حد للتعويض عن الخسائر الناتجة عن المخاطر السيبرانية مقابل قسط تأميني محدود، كما يعوض عن الخسائر المباشرة التي يتعرض لها المؤمن له، وكذلك الخسائر المالية وغير المالية والدعاوى القضائية في حال شكوى صاحب التعويض على المؤمن له.
ويتميز برنامج تأمين المخاطر السيبرانية بتعويض المؤمن له عن تكاليف انتهاك الخصوصية، والناتج مباشرة من حادث التعدي على الخصوصية، وتعويض المؤمن له عن نفقات استبدال أي أصول رقمية، بسبب إتلاف أو تدمير الأصول الرقمية، وذلك كنتيجة لحادث الاختراق الأمني، وتمتد تعويضات البرنامج لتشمل الخسائر في دخل الشركة، والأنشطة التابعة والنفقات الإضافية التي يتكبدها المؤمن له أثناء مدة استعادة الخدمة بسبب تعطل الخدمة.
ويعوض البرنامج عن أي نفقات الابتزاز التي يتعرض لها المؤمن له، بسبب تهديد ابتزاز سيبراني، كما يتم تعويض المؤمن له أيضاً عن أي مكافآت دفعت لأي شخص أو جهة اعتبارية مقابل معلومات أدت للقبض على وإدانة المسؤولين عن تهديد الإبتزاز الإلكتروني، وتعويض المؤمن له عن كل الخسائر التي يصبح المؤمن له ملزماً قانوناً بدفعها بسبب أي مطالبة لأي نشر إلكتروني غير قانوني.
وفي ظل تزايد الاجتماعات الافتراضية مؤخرًا على خلفية إجراءات العزل الأخيرة لمواجهة انتشار فيروس كورونا، طرح المركز الوطني الإرشادي للأمن السيبراني وجمعية حماية المستهلك؛ 11 نصيحة تقنية؛ لتجنت اختراق الخصوصية في برامج الاجتماعات عن بعد، وهي: ضع كلمة سر قوية لغرف الاجتماعات وشاركها بطريقة آمنة، استخدم ميزة "غرفة الانتظار" كي ينتظر المشاركون فيها حتى يسمح لهم المضيف بالانضمام، أقفل الاجتماع بعد اكتمال المشاركين ولا تسمح لغيرهم بالانضمام، لا تستخدم معرفك الشخصي للاجتماع وأنشئ معرفاً عشوائياً، عطل ميزة مشاركة الشاشة لجميع المشاركين إذا لم يكن لها حاجة وفعلها فقط للمضيف، لا تشارك روابط الاجتماعات على منصات التواصل الاجتماعي، عطّل ميزة السماح للمشاركين المزالين بالعودة للاجتماع لكي تمنع دخول المتصيدين، لا تضغط على الروابط المشبوهة التي يتم نشرها في غرف الاجتماعات، لا تضغط على روابط اجتماع من مصدر غير موثوق، عطّل ميزة الانضمام قبل المضيف، كي لا يتمكن الأشخاص من الدخول قبل المضيف، عطّل ميزات نقل الملفات والدردشة الخاصة.
وفي موضوع ذي صلة، كان في وقت سابق قد أصدرت وزارة الموارد البشرية والتنمية الاجتماعية الدليل الإرشادي المؤقت للعمل عن بُعد، ضمن جهود الدولة الحثيثة للسيطرة على فيروس كورونا المستجد (COVID19) ومنع دخوله وانتشاره، حيث وضح الدليل المصطلحات والمفاهيم والحقوق والواجبات على المنشآت والعاملين في القطاع الخاص.
وجاء في الدليل أنه يجب أن يكون لدى جهة العمل التي تطبق هذا الدليل نظاماً تقنياً تتوفر فيه -كحدٍ أدنى- المواصفات الآتية: يمكّن جهة العمل من إدارة إنتاجية العامل عن بُعد، والإشراف على المهام المسندة إليه، يمنح العامل عن بُعد الصلاحيات التي تمكنه من تأدية مهام عمله، كما يجب أن تحدد جهة العمل إدارة أسلوب العمل عن بُعد لمنتسبيها من حيث تحديد ساعات العمل، سواءً كانت محددةً بوقتٍ معين، أو مرنة خلال اليوم، أو الأسبوع، أو الشهر، على أن تحدد آليات متابعة أعمالها وإدارة إنتاجية العامل.
وبيّن الدليل أن على الموظف الالتزام بالحضور إلى جهة العمل إذا دعت الحاجة لذلك، واستخدام الأجهزة المخصصة له من قبل جهة العمل في أداء عمله، أو الأجهزة الشخصية المطبّقة عليها ضوابط الأمن السيبراني الخاصة بالجهة، وأن يحتفظ بمعلومات العمل ومستنداته في الأوعية التقنية الخاصة بجهة العمل، مع التقيد بالسياسات والإجراءات الخاصة بالأمن السيبراني والاتصال عن بُعد المنصوص عليها من قبل جهة العمل، وحفظ الأدوات والأجهزة التي في عهدته، والاعتناء بها، وطلب الصيانة اللازمة لها من جهة العمل كلما تطلب الأمر ذلك، وإعادة الأدوات والأجهزة التي توفرها له جهة العمل للقيام بعمله، متى طُلِب منه ذلك.
للتواصل مع مشرف الصفحة: محمد السعيد malsaeed@alriyadh.com