رغم التلميحات الواسعة من أمثال مكتب مفوض المعلومات (ICO) والمركز الوطني للأمن السيبراني (NCSC) أن الانفتاح والشفافية هو الخيار الصحيح في أعقاب الهجوم السيبراني، وأن التعاون قد يقلل من شدة العقوبات التنظيمية، لا يزال الضحايا كشف تقرير أن المرأة أصيبت بالشلل بسبب الخوف عندما يحين وقت التقدم للأمام.
في دراسة لقادة فرق تكنولوجيا المعلومات والأمن بعنوان مسح كوارث الأمن السيبراني: الإبلاغ عن الحوادث والإفصاح عنها، كشفت Keeper Security أن 48% من المؤسسات التي تتعرض لحوادث وكوارث إلكترونية خطيرة مثل هجمات برامج الفدية لا تبلغ عنها إلى السلطات المختصة، وأن 41% منها لا تكشف حتى عن الهجمات الإلكترونية لمجالس إدارتها – 75% قالوا إنهم يشعرون بالذنب تجاه الحفاظ على هادئ.
وبشكل عام، تُظهر نتائج التقرير أوجه قصور كبيرة في كيفية استجابة المؤسسات للهجمات والانتهاكات والإبلاغ عنها، والتي يبدو أن الكثير منها يشير في نهاية المطاف إلى قضايا ثقافية عميقة الجذور داخل الشركات.
وقال Keeper إن الخوف والنسيان وسوء الفهم والثقافة السيبرانية السيئة للشركات كلها عوامل تساهم في هذه الإخفاقات. ومن بين أمور أخرى، كان 43% من محترفي تكنولوجيا المعلومات والأمن يخشون تداعيات الإبلاغ عن الحوادث، وشعر 36% منهم أن الإبلاغ غير ضروري، و32% نسوا الأمر تمامًا. بالإضافة إلى ذلك، يُعزى الفشل في الإبلاغ خارجيًا إلى الخوف من الإضرار بسمعة المنظمة على المدى القصير، واحتمال فرض عقوبات مالية.
وقال دارين جوتشيوني، الرئيس التنفيذي والمؤسس المشارك لشركة Keeper Security: “تشير الأرقام إلى حاجة المؤسسات إلى إجراء تغييرات ثقافية كبيرة حول الأمن السيبراني، وهي مسؤولية مشتركة”.
“تبدأ المساءلة من القمة، ويجب على القيادة إنشاء ثقافة مؤسسية تعطي الأولوية للإبلاغ عن حوادث الأمن السيبراني، وإلا فإنها ستعرض نفسها للمسؤوليات القانونية والعقوبات المالية المكلفة، وتعريض الموظفين والعملاء وأصحاب المصلحة والشركاء للخطر.”
البكاء للحصول على الدعم
وكشف المشاركون في تقرير Keeper Security أيضًا عن رغبة قوية في أن تُظهر القيادة العليا اهتمامًا أكبر بالمنظمة وتوفر الموارد والدعم اللازم للإبلاغ عن الهجوم والرد عليه.
وقال ما مجموعه 48% من المشاركين أنهم لا يعتقدون أن القيادة ستهتم بالهجوم السيبراني (25%)، ولن يستجيبوا (23%). وقال ما يقرب من الربع (22٪) إن مؤسساتهم ليس لديها نظام مطبق لإبلاغ القيادة عن أي انتهاك.
وقال غوتشيوني إنه في البيئة الأمنية الحالية عالية المخاطر، أصبح من الضروري للمؤسسات تشجيع المزيد من الشفافية والشعور بالصدق عندما يتعلق الأمر بالإبلاغ عن الحوادث، واعتماد أفضل الممارسات والسياسات والإجراءات للحماية من التهديدات التي تتصاعد إلى حوادث. في المقام الأول.
عادة ما تكون التدابير الوقائية أقل تكلفة على المدى الطويل، سواء من المنظور المالي أو من وجهة نظر سمعة العلامة التجارية. على هذا النحو، فإن اعتماد الضوابط الأساسية مثل تنفيذ نظافة وإدارة بيانات الاعتماد المناسبة لن يؤدي إلى تحسين النظافة السيبرانية فحسب، بل سيساعد أيضًا خلق ثقافة أمن سيبراني أكثر صحة وقال التقرير داخل الأعمال.
