الغوص العميق في الأمن السيبراني: ما هو BYOD وتسعة مخاطر أمنية
سياسة جلب جهازك الخاص (BYOD) هي سياسة تتيح للموظفين استخدام أجهزتهم الخاصة (الهواتف، الحواسيب المحمولة، إلخ) في العمل أو عن بُعد. ووفقًا لموقع “Cybersecurity Insiders”، حوالي 82% من المنظمات تطبق سياسة BYOD.
بينما تجعل هذه السياسة الموظفين أكثر كفاءة وتعزز معنوياتهم وتوفر المال للشركة، هناك العديد من المخاطر الأمنية المرتبطة بسياسة BYOD.
إليكم ملخص سريع للمخاطر:
- إصابة الجهاز بالبرامج الضارة
- الخلط بين الاستخدام الشخصي والعملي
- فقدان الجهاز أو سرقته
- استخدام شبكة واي-فاي غير آمنة
- قلة الوعي بالأمن السيبراني والإهمال
- الوصول غير المصرح به إلى البيانات الحساسة
- عدم وجود تحديثات الأمان والبرامج
- تقنية المعلومات الخفية
- الإهمال في الالتزام بسياسات الأمن
هذه المخاطر الأمنية التسع الكبرى يمكن أن تضر بأعمالك بشكل جدي إذا سمحت بسياسة BYOD دون إجراء فحوصات منتظمة.
فيما يلي، سأتحدث بمزيد من التفصيل عن كل مخطر أمني وأقترح بعض الحلول. استمروا في القراءة!
إصابة الجهاز بالبرمجيات الخبيثة
أكبر مخاطر سياسات جلب جهازك الخاص (BYOD) هي الإصابة بالبرمجيات الخبيثة. يميل الموظفون إلى الإهمال في الاهتمام بأمان أجهزتهم الشخصية ولا يعيرون الكثير من الانتباه إلى التطبيقات التي يقومون بتثبيتها.
قد يقومون بتحميل ملفات PDF، وتثبيت الألعاب وتطبيقات أخرى للاستخدام الشخصي، وقد تكون العديد من هذه التطبيقات مصابة ببرمجيات خبيثة.
بما أن الجهاز يحتوي أيضًا على بيانات الشركة، ستحصل البرمجيات الخبيثة على الوصول إليها، مما يتسبب في خرق البيانات.
والأكثر من ذلك، عندما يأتي الموظف إلى العمل ويربط جهازه بشبكة الشركة، ستنتشر البرمجيات الخبيثة في الشبكة بأكملها، مما يؤدي إلى أزمة.
هناك عدة أنواع من البرمجيات الخبيثة، تشمل:
- الفيروسات
- طروادة
- أدوات التصيد الاحتيالي
- مسجلات الضغطات
- البرمجيات الإعلانية
- الديدان
- برمجيات التجسس
- برمجيات الفدية
- البرمجيات الخبيثة بدون ملف
الأسوأ من ذلك كل شيء على الإنترنت يمكن أن يكون مصابًا بأي من هذه البرمجيات الخبيثة. كل ما تحتاجه هو لحظة تقصير في الحكم عند الوصول إلى موقع غريب أو تحميل تطبيق وسيصاب جهازك.
كصاحب عمل، ليس لديك تقريبًا أي تحكم في كيفية استخدام الموظف لجهازه الشخصي في المنزل.
لذلك، لا تعرف إذا كان جهازهم مصابًا أم لا.
الحلول
- فرض تثبيت حلول مكافحة البرمجيات الخبيثة على أجهزة الموظفين. سيساعد هذا في تنبيههم حول أي تطبيقات أو مواقع مشبوهة، مما يمنع إصابة الجهاز بالبرمجيات الخبيثة
- فحص جميع التطبيقات التي قام الموظفون بتثبيتها على أجهزتهم الشخصية عند القدوم إلى العمل. إجراء فحوصات أمان للتأكد من عدم وجود خطر الإصابة بالبرمجيات الخبيثة
- تطبيق سياسات استخدام صارمة لمنع الموظفين من استخدام أجهزتهم الشخصية بحرية دون مراعاة مخاطر الأمن السيبراني (مثلاً، منع الموظفين من تثبيت الألعاب أو التطبيقات غير الخاصة بالعمل على أجهزتهم)
- إجراء فحوصات روتينية منتظمة على أجهزة BYOD للتأكد من عدم تثبيت تطبيقات غير متوقعة أو أنها لم تصب بالبرمجيات الخبيثة
خلط الاستخدام الشخصي والمهني
عند تطبيق سياسة BYOD، من المحتم لأن الموظفين سيقومون بخلط الاستخدام الشخصي والمهني على أجهزتهم.
هذا يخلق نقاط ضعف أمنية لأن البيانات الشركاتية ستُخزن على أجهزة تُستخدم في أنشطة غير آمنة مثل التسوق عبر الإنترنت.
من الصعب جدًا السيطرة على أجهزة الموظفين لأنك لن تعرف كيف يستخدمونها في المنزل.
وهذا ما قد يحدث نتيجة لذلك:
- يقوم الموظف بإعارة الجهاز لصديق، مما يعرض البيانات الحساسة للخطر
- يتصل الجهاز بشبكة واي-فاي غير آمنة
- يصل الموظف إلى موقع ويب مُصاب، مما يعرض البيانات الحساسة للخطر
- يقوم الموظف بتحميل ملف مُصاب، مما يؤدي إلى الوصول إلى البيانات الشركاتية الخاصة على الجهاز
من الصعب للغاية السيطرة على هذه الأمور. تشكل سياسة BYOD مخاطر أمنية سيبرانية كبيرة وليست سهلة الاجتناب.
الحلول
- فصل بين الاستخدام الشخصي والمهني للتأكد من أن المستخدم لا يؤثر على البيانات العملية عند استخدام الجهاز لاحتياجات شخصية. يمكن تحقيق ذلك من خلال تشفير البيانات، ونظام أمان بلا ثقة، ومبدأ أقل صلاحية
- فرض استخدام شبكة VPN لمنع اعتراض الاتصالات الخبيث عند توصيل الجهاز بشبكة واي-فاي غير آمنة
- قطع الوصول إلى التطبيقات والبيانات العملية عند مغادرة الموظف لمنع أي وصول غير مصرح به أو خرق للبيانات في حالة إهمال الموظف
- فرض الوعي الأمني لتجنب الإهمال واللامبالاة في الاستخدام الشخصي في المنزل
فقدان أو سرقة الجهاز
إن احتمالية فقدان الموظف لجهازه الشخصي أعلى بكثير مقارنةً بجهاز العمل.
تُظهر إحدى الدراسات أن 68% من خروقات البيانات الصحية نتجت عن فقدان أو سرقة جهاز موظف.
هذا يحدث لأن الجهاز الشخصي أكثر عرضة للسرقة أو الفقدان بسبب طريقة ومكان وزمان استخدامه.
يُستخدم جهاز العمل فقط في العمل، بينما يُستخدم الجهاز الشخصي في كل مكان يذهب إليه المستخدم.
أي شخص يتواصل مع المستخدم قد يسرق أو يصل إلى جهازه ويحصل على بيانات الشركة الحساسة.
الحلول
- تدريب الموظفين على استخدام كلمات المرور والأمان البيومتري على أجهزتهم لتجنب الوصول غير المصرح به في حال فقدان الجهاز أو سرقته
- تدريب الموظفين على الإبلاغ عن جهاز مسروق/مفقود فورًا لإلغاء أوراق اعتماد الوصول الخاصة به وتجنب خرق البيانات
- تشفير البيانات العملية على جهاز الموظف بحيث لا يمكن الوصول إليها خارج بيئة العمل
استخدام شبكات واي-فاي غير آمنة
هذا يستحق مكانه الخاص في القائمة بسبب مدى خطورة واي-فاي على أمان البيانات على أجهزة الموظفين.
شبكات واي-فاي العامة هي من أسوأ مخاطر الأمن السيبراني بسبب مدى ضعفها أمام التلاعب الخارجي.
هجمات “الرجل في المنتصف” فعالة للغاية في اختراق اتصالات واي-فاي وإصابة الأجهزة المتصلة.
أماكن واي-فاي الوهمية أكثر شيوعًا مما تعتقد، ومن السهل جدًا الوقوع في فخها إذا لم تتمكن من التمييز بين شبكة واي-فاي خبيثة وأخرى شرعية.
نوع آخر من هجمات واي-فاي هو التجسس، حيث يستغل المخترقون نقاط الوصول غير المشفرة أو المزيفة لاختراق الأجهزة المتصلة بشبكات واي-فاي العامة. وبما أن معظم شبكات واي-فاي العامة غير مشفرة، فإن المخاطر حقيقية للغاية.
الحلول
- توجيه الموظفين لعدم استخدام شبكات واي-فاي العامة لتجنب مخاطر الأمن السيبراني الكبرى مباشرة
- إلزام استخدام شبكات VPN لجميع الموظفين، مما يوفر الحماية ضد هجمات واي-فاي
- تعزيز الوعي بالأمن السيبراني، خاصةً بشأن استخدام واي-فاي العام أثناء التنقل
- تشفير البيانات الشركاتية على الجهاز لمنع الوصول غير المصرح به حتى لو تم اختراق الجهاز بعد استخدام شبكة واي-فاي عامة
نقص الوعي بالأمن السيبراني والإهمال
وفقًا لتقرير تحقيقات خرق البيانات لعام 2023 الصادر عن شركة فيرايزون، 74% من جميع خروقات البيانات شملت العنصر البشري.
عندما يقولون “العنصر البشري“، يقصدون موظفي الشركة الذين ارتكبوا خطأً، أو أهملوا، أو تصرفوا بجهل. الهندسة الاجتماعية، باختصار.
الإهمال ونقص الوعي بالأمن السيبراني يمكن أن يؤدي إلى كارثة لأي شركة تعمل على الويب.
عدد لا يحصى من الهجمات السيبرانية يتم تسهيلها من خلال العنصر البشري. البرمجيات الخبيثة، التصيد الاحتيالي، الديدان، برمجيات الفدية، أيا كانت، ستجد شخصًا مذنبًا بالإهمال.
إليك كيف قد يبدو ذلك:
- تحميل مرفق تصيد من بريد إلكتروني مزيف
- تثبيت تطبيق مصاب من متجر Play، مما يؤدي إلى اكتشاف بيانات حساسة على الجهاز
- زيارة موقع ويب مصاب، مما يؤدي إلى تحميل برمجية فدية على جهازك، والتي تنتهي بإصابة قاعدة بيانات الشركة
- استخدام شبكة واي-فاي غير آمنة بدون VPN والوقوع ضحية لهجوم “الرجل في المنتصف”
- سرقة جهازك، مما يؤدي إلى الكشف عن بيانات الشركة الحساسة
الإهمال، عدم الاهتمام، الكسل، اللامبالاة، كل هذه مشكلات للموظفين الذين لديهم وصول إلى بيانات حساسة.
عندما يأتون بأجهزتهم الخاصة إلى المكتب، يصبح مجموعة كاملة من سيناريوهات الهجوم واقعًا وعليك الاستعداد لها.
الحلول
- تعليم الموظفين عن الهجمات السيبرانية ومنفذي التهديدات. يجب أن يعرف الموظفون عن أنواع الهجمات السيبرانية المختلفة، والمخاطر المرتبطة بالتصفح عبر الإنترنت، وكيفية التعرف على الاحتيال، وكيفية التعامل مع الهجمات، وما لا يجب فعله أثناء التواجد على الإنترنت
- إجراء فحوصات دورية وفرض قواعد أمنية صارمة. لا تريد أن يكون موظفوك مهملين أو غير مهتمين بأمان البيانات الشركاتية. التدريب الأمني أمر واحد لكن الفحوصات الدورية هي الطريقة للحفاظ على انتباه ووعي الموظفين
الوصول غير المصرح به إلى البيانات الحساسة
عند الحديث عن BYOD، فإن أحد أعلى المخاطر هو وصول شخص ما إلى البيانات الحساسة دون إذن.
قد يعني هذا السرقة، ولكن قد يعني أيضًا استخدام جهاز الموظف دون علمه.
بما أن الموظفين سيأخذون أجهزتهم إلى المنزل، قد يفتح شخص ذو نوايا سيئة هذه الأجهزة، يصل إلى البيانات الحساسة، ويكشفها.
هناك أيضًا خطر سرقة الجهاز من قبل شخص ذو نوايا سيئة. قد ينتهي الأمر بذلك إلى خرق للبيانات إذا لم يتم تأمين الجهاز بشكل صحيح.
بالنظر إلى أن 79% من الأمريكيين يحتفظون بهواتفهم الذكية معهم لمدة 22/24 ساعة في اليوم، فمن الواضح كيف أن خطر سرقة البيانات أمر مهم يجب الأخذ في الاعتبار.
فقدان الجهاز أيضًا احتمال وارد. يجب أن تأخذ في الاعتبار خطأ الإنسان والإهمال عند تطبيق BYOD في شركتك.
الحلول
- كلمات مرور قوية لجميع أجهزة العمل. تأكد من أن موظفيك يستخدمون كلمات مرور قوية لأجهزتهم. ideal يجب أن يضعوا كلمة مرور أخرى على ملفات ومجلدات الشركة
- التحقق البيومتري سيقلل من هذا الخطر بشكل أكبر، مما يضمن أن من يحصل على الجهاز لا يمكنه استخدامه
- أنظمة المصادقة الثنائية (2FA) مطبقة بحيث حتى لو حصل شخص ما على الجهاز، لا يمكنه الوصول إلى البيانات الحساسة بدون الرمز الصحيح لـ 2FA (أو المفتاح الفعلي)
- الإبلاغ الفوري عن فقدان/سرقة الجهاز بحيث يمكن للمسؤولين إلغاء أي رموز وصول على الجهاز التي قد يستخدمها طرف ثالث للوصول إلى قواعد بيانات الشركة
فقدان التحديثات الأمنية وبرمجيات التصحيح
سبب آخر يجعل BYOD قد يشكل خطرًا أمنيًا جديًا هو أن الموظفين قد لا يكونون محدثين بأحدث تحديثات الأمان وبرمجيات التصحيح.
نحن جميعًا نعلم أن معظم الناس يميلون إلى الإهمال بشأن أجهزتهم الشخصية. الأمر كله يتعلق بالراحة.
لكن هذه الراحة تأخذ ثمنًا كبيرًا على الأمن الشخصي (والشركاتي) عندما لا تقوم بتثبيت أحدث التحديثات الأمنية.
إليك ما قد يحدث في هذه الحالة:
- استغلال ثغرة يوم الصفر التي تم اكتشافها حديثًا (والتي لا تعرف عنها) قد يمكن المخترقين من التسلل إلى هاتفك وسرقة البيانات الحساسة
- قد يؤثر هجوم سيبراني حديث يدمر نوع نظام التشغيل الخاص بك عليك لأنك لم تقم بتثبيت أحدث تحديث أمني
- العديد من ثغرات النظام قد تفتح جهازك لهجمات من طرف ثالث ذو نوايا خبيثة
خارج المكتب، قد يكون الموظفون أقل ميلاً لاتباع احتياطات الأمان والاعتناء بقدر ما يفعلون في المكتب.
ومع ذلك، هذا مهم للغاية، إن لم يكن أكثر، من أجل حماية البيانات الشركاتية على الجهاز.
الحلول
- إجراء فحوصات منتظمة على أحدث إصدار من نظام التشغيل لأجهزة موظفيك للتأكد من أنهم يستخدمون أحدث برمجيات وتحديثات الأمان
- التأكيد على أهمية تثبيت تحديثات الأمان والبرمجيات لموظفيك حتى يغيروا عقليتهم من البداية. تجاهل ذلك قد يكون له عواقب وخيمة على عملك
تكنولوجيا المعلومات الخفية
تحدث تكنولوجيا المعلومات الخفية عندما يستخدم الموظفون أجهزة غير مصرح بها أو يقومون بتثبيت برمجيات غير مصرح بها على أجهزة العمل دون إعلام فريق تكنولوجيا المعلومات بذلك.
حوالي 80% من العمال يعترفون بأنهم يستخدمون تطبيقات SaaS التي لا يعرف عنها قسم تكنولوجيا المعلومات.
قد تكون الأسباب متعددة، ولكن في معظم الحالات، يدعي العمال أن الإبلاغ عن كل شيء لقسم تكنولوجيا المعلومات سيبطئ سير العمل.
بينما قد يكون هذا صحيحًا، يجب ألا يتم تجاهل المخاطر الأمنية التي تشكلها تكنولوجيا المعلومات الخفية.
الموظفون ليسوا خبراء أمن، لذلك يمكن أن يُدخلوا مخاطر أمنية جديدة من خلال استخدام برمجيات أو أجهزة غير موافق عليها.
بعض هذه التطبيقات قد تكون معايير الأمان فيها ضعيفة، أو لا تحتوي على تشفير، وحتى قد تحتوي على ثغرات أمنية.
الحلول
- التأكيد على أن الأجهزة أو البرمجيات غير المصرح بها ممنوعة حتى لا ينخرط الموظفون في استخدام تكنولوجيا المعلومات الخفية. يجب توضيح المخاطر الأمنية من البداية والتشدد في تطبيق اللوائح
- محاولة توفير جميع الأدوات المتعلقة بالعمل للموظفين حتى لا يضطروا إلى استخدام تكنولوجيا المعلومات الخفية. غالبًا ما يحدث هذا بسبب تضييع قسم تكنولوجيا المعلومات الوقت في الموافقة على أداة يحتاجها الموظفون لأداء عملهم
- تطبيق آلية اكتشاف أمني أفضل للأجهزة أو البرمجيات غير المصرح بها حتى يمكنك اكتشافها مبكرًا
الإهمال في مراعاة سياسات الأمن
بعض الموظفين سيكونون ببساطة غير مدركين أو مهملين ولا مبالين بشأن سياسات الأمن التي قمت بوضعها.
قد يحدث هذا لعدة أسباب مثل:
- المشاكل الشخصية
- الثقة المفرطة في تجنب المخاطر الأمنية دون الالتزام باللوائح الصارمة
- عدم الاهتمام
أي من هذه الأسباب مشكلة كبيرة لأمن شركتك. يجب التعامل معها في أقرب وقت ممكن.
الحلول
- اكتشاف سبب إهمال الموظفين ومحاولة حل هذه المشكلة. شرح لهم الأثر المحتمل لخرق البيانات والعواقب المحتملة إذا كانوا مسؤولين عنه
- فصل الموظفين الذين يكونون مهملين باستمرار. من الأفضل التخلي عن موظف يكون مهملًا باستمرار ولا يستطيع الالتزام بالقواعد
هل سياسة BYOD تستحق العناء في النهاية؟
لسياسات BYOD بعض الفوائد الواضحة التي يجب أن تعرفها:
- تكاليف أولية أقل بكثير للأجهزة المقدمة للموظفين. بما أنهم يأتون بأجهزتهم الخاصة إلى العمل، ستوفر في هذه المصاريف
- تحسين إنتاجية الموظفين بسبب اعتيادهم على أجهزتهم الخاصة
- زيادة رضا الموظفين لأنهم يجلبون عنصراً من الألفة إلى العمل ولا يضطرون للتعامل مع جهازين شخصي وعمل في نفس الوقت
- تحقيق قدر أكبر من الحركة لأن الموظفين يكونون متاحين دائمًا، حتى خلال أوقات راحتهم الرسمية. يجب أن يعزز هذا الاستجابة والتفاعل
- مرونة أكبر في الوصول إلى موارد الشركة من أي مكان، مما يزيد من الروح المعنوية للموظفين وتفاعلهم وولائهم
هذه هي الفوائد الرئيسية لسياسات جلب جهازك الخاص للشركة وموظفيها.
لكني وصفت أيضًا المخاطر الأمنية أعلاه. هناك احتمال لخرق أمني كارثي ينتظر الحدوث إذا تم استغلال سياسات BYOD بشكل سيء ومُخادع.
ستحتاج إلى وضع بعض القواعد الأساسية عند تطبيق BYOD. فحوصات الأمان، والوعي بالأمن السيبراني، والتشجيع النشط على تجنب الإهمال الأمني وتكنولوجيا المعلومات الخفية، كلها خطوات ضرورية نحو بيئة BYOD صحية.
ليس من المستحيل تحقيق ذلك، على أية حال. مع الأدوات والتخطيط الصحيح، يمكن أن تعزز BYOD أداء عملك بشكل كبير.
تابعوا المزيد من المحتوى الخاص بالأمن السيبراني في PrivacyAffairs!
المصادر
BitGlass – تقرير أمان BYOD 2021
Privacy Affairs – لماذا يُعتبر التصيد الاحتيالي شائعًا وكيف تحمي نفسك ضده؟
Perception Point – أمان BYOD: التهديدات، التدابير الأمنية وأفضل الممارسات
Privacy Affairs – الغوص العميق في الأمن السيبراني: ما هو مبدأ أقل صلاحية؟
Kiteworks – الأجهزة المحمولة المفقودة والمسروقة هي السبب الرئيسي لخروقات بيانات الرعاية الصحية
Forbes – المخاطر الحقيقية لشبكات واي-فاي العامة: إحصاءات رئيسية وبيانات استخدام
Verizon – تقرير تحقيقات خرق البيانات 2023
Privacy Affairs – فن الخداع السيبراني: الهندسة الاجتماعية في الأمن السيبراني
Privacy Affairs – الغوص العميق في الأمن السيبراني: 18 نوعًا من الهجمات السيبرانية وطرق الوقاية
Leftronic – إحصاءات استخدام الهواتف الذكية: حول العالم في 2023
Track – 21 إحصائية لإدارة تكنولوجيا المعلومات الخفية يجب أن تعرفها
Jumpcloud – فوائد BYOD للأعمال