أمن الموظف:

إدارة تهديدات سرقة البيانات في القطاع الخاص

27 February 2018


عرض مروان صالح - مركز المستقبل للأبحاث والدراسات المتقدمة

تُواجه شركات القطاع الخاص في الآونة الأخيرة ثلاثة تهديدات أمنية رئيسية، لا تنفصل عن تلك التي تشهدها الدول ومؤسساتها. يتمثل أولها في احتمالات تعرض أنشطته في الخارج لعمليات إرهابية، لا سيما مشاريع الشركات الغربية الكبرى في مناطق الصراع والأزمات تحت مسمى "الجهاد الاقتصادي" الذي ترفعه الكثير من التنظيمات الإرهابية المتطرفة. ويتعلق ثانيها بالهجمات الإلكترونية (القرصنة) لسرقة براءات الاختراع والبيانات أو الاحتيال أو التجسس. وتتزايد خطورة هذا التهديد إذا كانت الشركة التي تتعرض للتهديد مسئولة عن إدارة إحدى المؤسسات الحيوية للدولة مثل الصحة والطاقة. 

ومصدر التهديد الثالث الموظفون المغادرون وظائفهم، حيث تقوم الشركات -باستمرار- بتعيين موظفين جدد، وتستغني عن آخرين من حين لآخر بشكل روتيني، وقد يتمكنون من سرقة بيانات الشركة، كقوائم العملاء المهمين، أو نتائج الأبحاث، أو المخططات الهندسية، أو براءات الاختراعات، أو الوثائق القانونية، أو القوائم المالية، وغيرها الكثير؛ بغرض بيعها أو ابتزاز شركتهم السابقة للحصول على مكاسب مادية، أو نشرها على شبكة الإنترنت بغرض إيذاء سمعة الشركة. وسرقة موظفي الشركات لبياناتها قد يكون -في كثيرٍ من الأحيان- أكثر تهديدًا من الهجمات الخارجية عليها.

وفي إطار مواجهة تلك التهديدات التي تؤثر على أداء شركات القطاع الخاص لأعمالها، وإنجاز صفقاتها، والمنافسة في السوق بشكل فعال، وتقديم خدمات متميزة لعملائها، تنفق الشركات سنويًّا مليارات الدولارات لتأمين مشاريعها ومناطق نشاطها، وكذلك بياناتها من خلال التعاقد من شركات أمن خاصة، والاستثمار في أجهزة الجُدر النارية Firewalls، أو نظم كشف الاختراقات Intrusion-Detection Systems، أو التعاقد مع شركات متخصصة في الأمن الإلكتروني. وكل ذلك بهدف توفير الحماية من الهجمات السيبرانية الخارجية. 

ونظرًا لتفشي تلك الظاهرة مؤخرًا، قامت شركة netwrix الأمريكية، وهي شركة متخصصة في مجال تأمين البيانات، بعمل تقرير عن مواجهة تهديد سرقة الموظفين المغادرين لبيانات شركاتهم ترصد فيه الأسباب والدوافع وراء مثل هذه الحوادث، وكيفية تجنب وقوعها في المستقبل.

أسباب خمسة:

يُشير التقرير إلى أن هناك خمسة أسباب رئيسية لسرقة الموظف الذي يتم الاستغناء عن خدماته بيانات الشركة:

1- ضعف التواصل بين قسم الموارد البشرية وقسم تكنولوجيا المعلومات: فعندما يتم إيقاف الموظف عن عمله، يقوم قسم الموارد البشرية بإخطار قسم تكنولوجيا المعلومات بعد مدة من الزمن، وليس مباشرة. ويتيح هذا التأخير الفرصة للموظف لاستغلال صلاحياته الإلكترونية للقيام بنسخ أو مسح أو تعديل بيانات الشركة. وفي حالات أخرى يحتفظ بعض الموظفين المغادرين بصلاحياتهم حتى بعد خروجهم من الشركة نهائيًّا؛ لانشغال قسم تكنولوجيا المعلومات عنهم بسبب ضغط العمل أو صغر حجم القسم.

2- قلة الوعي لدى الموظفين بالتعليمات: إن جهل الموظفين بسياسات وتعليمات الشركة يؤدي بشكل مباشر إلى فقدان أو سرقة البيانات، وذلك بسبب عدم قيام قسم الموارد البشرية بتوعية الموظفين بشكل مستمر، وتحديد ما هو مسموح، وما هو ممنوع بشكل واضح. ويرى الخبراء أن جهل الموظف بالتعليمات هو الخطر الثاني بعد البرمجيات الخبيثة، حيث إن هناك بعض الحالات التي لا يكون فيها الموظف مدركًا أنه يُخالف التعليمات عندما ينسخ بعض الوثائق أو البيانات. 

3- عدم وجود سياسات واضحة: يذكر التقرير أن إحدى الدراسات تشير إلى أن 90% من الموظفين الذين سرقوا بيانات من شركاتهم قاموا بذلك لأنه لم تكن هناك سياسات داخلية واضحة تمنع ذلك، بالإضافة إلى أن العديد من الموظفين المغادرين يأخذون البيانات ليس من باب السرقة ولكن للاستفادة منها في مناصبهم الجديدة، وأنهم يرون أن تلك البيانات ملكهم؛ نظرًا لأنهم ساهموا في جمعها وإعدادها طوال مدة خدمتهم في الشركة. ناهيك عن أن أقسام تكنولوجيا المعلومات تراجع أجهزة الموظفين المغادرين بعد فوات الأوان، وعندها يصبح من المستحيل معرفة متى وكيف تم سرقة البيانات بشكل قاطع.

4-التأخر في اتخاذ التدابير اللازمة: في كثير من الأحيان تتأخر أقسام تكنولوجيا المعلومات في إيقاف أو إلغاء صلاحيات الموظف السابق بعد رحليه عن الشركة مباشرة، الأمر الذي يُؤدي إلى استخدام الموظف لتلك الصلاحيات بدوافع شخصية أو بإيعاز من مدرائه الجدد لسرقة البيانات أو إساءة استخدامها. لذا فإنه من المهم إيقاف صلاحيات الموظف المغادر فور انتهاء عمله تجنبًا لأي اعتداءات في المستقبل.

5- التآمر بين منافسي الشركة وموظفيها: يجب أن تكون الشركة حذرة من وقوعها ضحية التآمر بين موظفي الشركات المنافسة لها وموظفيها المغادرين، حيث إن النتائج قد تكون كارثية على الشركة، خصوصًا إذا ما دخلت في صراعات قانونية مع منافسيها، وهو الأمر الذي يمكن أن يُلحق بها أضرارًا مالية كبيرة أو يُعرّضها للإفلاس.

دوافع سرقة البيانات:

يوضح التقرير أن الدوافع وراء سرقة الموظفين المغادرين بيانات شركتهم تتباين من شخص لآخر، فمنهم من يسعى لإنشاء شركة منافسة خاصة به، ومنهم من يسعى لبيع البيانات في السوق السوداء بأعلى سعر ممكن، وآخر يسعى للانتقام أو تشويه سمعة مكان عمله السابق، وغيرها من الدوافع العديدة. لكنّ معظم حالات سرقة البيانات تقع ضمن الحالات التالية:

1-سرقة البيانات نتيجة سوء النية: يُظهر الموظفون ذوو النية السيئة سلوكًا غير اعتيادي يمكن ملاحظته، مثل: الوصول لبيانات لا تمت لعملهم بصلة ولا حق لهم في الاطلاع عليها، بالإضافة إلى محاولة نسخ أكبر عدد من البيانات والتحفظ عليها، ونسخ رسائل البريد الإلكتروني الهامة والحساسة. كما أن بعض الموظفين سيئي النية ممن لهم صلاحيات إلكترونية يمكن أن يُحدثوا تغييرات في بيانات وأنظمة الشركة دون علم القائمين عليها. وتعد كل تلك السلوكيات مؤشرًا لإمكانية تعرض بيانات الشركة للخطر.

2-سرقة البيانات بدون نوايا سيئة: يمكن للموظفين داخل الشركة تعريض بياناتها للخطر بدون قصد أو سوء نية. ومثال على ذلك أن يقوم الموظف بنسخ بيانات من الشركة على أدوات تخزين خاصة دون أن يعي أن ذلك يُخالف القانون، ويعرض بيانات الشركة للخطر. ويُمكن سرقة تلك البيانات من الموظف، ويُساء استغلالها دون علمه. لذا، يتعين على قسم تكنولوجيا المعلومات متابعة البيانات ومستخدميها داخل الشركة، لضمان الحفاظ عليها.

3- سرقة البيانات نتيجة سوء استخدامها: وتشمل أخطاء الموظفين في التعامل مع البيانات التي بين أيديهم، وأشهر الأمثلة على ذلك إرسال رسائل البريد الإلكتروني الحساسة بالخطأ، أو إرسال البيانات إلى الشخص الخطأ بسبب الإهمال أو قلة التركيز. 

كيف تُسرق البيانات؟

يستدل التقرير بثلاث وقائع تُعطي صورة واضحة عن كيفية سرقة البيانات والأهداف من وراء ذلك، والشركات التي وقعت ضحية في تلك الوقائع، وهي:

الواقعة الأولى حدثت بعدما استحوذت شركة أوبر Uber على شركة Otto، وهي شركة ناشئة متخصصة في تطوير السيارات ذاتية القيادة، بغرض تطوير قدراتها في هذا المجال. لكن بعد عام من عملية الاستحواذ رفعت الشركة المنافسة Waymo قضية ضد شركة أوبر بدعوى أن مؤسس شركة Otto كان يعمل لديها سابقًا، وقد سرق 14000 وثيقة تقنية تشمل مخططات وتصاميم وملفات هامة قبل مغادرته الشركة (Waymo) ليؤسس شركته الخاصة (Otto) ويحصل على مكاسب مادية أكبر. وقد كلفت تسوية هذه القضية شركة أوبر Uber مبالغ طائلة. 

الواقعة الثانية حدثت في أحد مراكز جراحات التجميل بمنطقة بيفرلي هيلز بالولايات المتحدة، حيث استغلت إحدى الموظفات دورها كمُدخلة للبيانات لسرقة صور ومقاطع فيديو وبيانات للمرضى الذين يزورون العيادة، بعد أن تمت مواجهتها بتهم اختلاس. وقد ظهرت بعض الصور على شبكات التواصل الاجتماعي. ويعتقد أحد القائمين على المركز أن السرقة تمت بغرض الانتقام وتشويه سمعة المركز.

الواقعة الثالثة وقعت في الوكالة الفيدرالية لضمان الودائع (FDIC) بالولايات المتحدة، حيث قامت إحدى الموظفات بعد تقديم استقالتها وفي آخر يوم عمل لها بالوكالة بنسخ بيانات من جهازها، وقد شملت بالخطأ بيانات 44000 شخص من قاعدة بيانات المركز. وتم اكتشاف ذلك بعد ثلاثة أيام، وإبلاغ الموظفة بإعادة البيانات، وتوقيع تعهد بعدم نشر أو استغلال تلك البيانات.

سبل المواجهة:

من أجل مواجهة فعالة لمخاطر سرقة الموظفين للبيانات من شركاتهم، ينصح التقرير بأن تكون ثقة الشركة في الموظف لها حدود، ويتم مراجعتها كل فترة، بالإضافة إلى ضرورة قيام الشركة بمراجعة البيانات، وتصنيفها، ومتابعة تخزينها، وطريقة استخدام الموظفين لها؛ لاكتشاف أي أفعال أو ممارسات تُهدد أمن وتكامل البيانات قبل فوات الأوان.

كما يوصي التقرير بسرعة عمل سياسات أمن وحوكمة للبيانات على مستوى الشركة كاملة مع مراعاة أهدافها السوقية وتطلعاتها، وتحليل وعزل رسائل البريد الإلكتروني المرسلة إلى عناوين بريد شخصية والتحقق منها، ومراقبة كافة أجهزة وأدوات التخزين التي تستعمل داخل الشركة، ومراقبة الصلاحيات الإلكترونية للموظفين لمنع أي تغييرات غير مصرح بها. ويوصي أيضًا بالإيقاف الفوري لصلاحيات الموظف الذي تنتهي مدة عملة بالشركة لمنع أي سرقات في المستقبل.

المصدر:

Insider Threat Playbook: How to Deter Data Theft by Departing Employees