مع تزايد الاستخدام التنظيمي لأدوات الاتصالات لمشاركة البيانات ذات الصلة مع الموردين والشركاء الخارجيين، يؤدي عدم الاهتمام بالأمن إلى زيادة مستويات المخاطر، وفقًا لدراسة عالمية أجريت على 781 من محترفي تكنولوجيا المعلومات والإنترنت والمخاطر والامتثال، 29% والتي تم استخلاصها من مناطق أوروبا والشرق الأوسط وإفريقيا، والتي تم إجراؤها من أجلها الطائرات الورقية، متخصص في هذا المجال.
وفي دراستها، تقرير الخصوصية والامتثال لاتصالات المحتوى الحساس Kiteworks 2023، كشف المورد عن أدلة على وجود “ثغرات خطيرة” في سياسات إدارة الحقوق الرقمية (DRM) في هذا المجال والتي تعرض المؤسسات للمتاعب.
وعلى وجه الخصوص، يفتقر الكثير منها إلى الأدوات اللازمة لتتبع البيانات التي يتم إرسالها أو مشاركتها مع أطراف ثالثة والتحكم فيها وتأمينها، مما يخلق خطرًا كبيرًا للوصول غير المصرح به، سواء كان ذلك ضارًا أو عرضيًا.
قال فرانك بالونيس، كبير مسؤولي أمن المعلومات والنائب الأول: “يسلط هذا التقرير الضوء على الحاجة إلى إدارة الحقوق الرقمية التي تطبق مبدأ الثقة المعدومة المحدد بالمحتوى عبر جميع الإدارات وجميع البيانات الحساسة التي يتم الوصول إليها وإرسالها ومشاركتها ونقلها إلى أطراف ثالثة”. رئيس العمليات في Kiteworks.
“لا يمكن القيام بذلك بشكل تدريجي، بل يتطلب تتبعًا وتحكمًا موحدًا على مستوى المستخدمين الفرديين. ويسلط التقرير الضوء أيضًا على كيفية استخدام المؤسسات لأطر الأمن السيبراني مثل نيست CSF [the National Institute of Standards and Technology’s Cyber Security Framework] لإدارة مخاطر الأمان والامتثال الخاصة بهم.
وأضاف: “يؤكد هذا الاتجاه الذي اتخذته Kiteworks لمواءمة شبكة المحتوى الخاص لدينا مع NIST CSF، مما يخلق حوكمة أكثر شمولاً لإدارة الحقوق الرقمية”.
أدوات كثيرة جدًا
ويبدو أن جزءًا كبيرًا من المشكلة يكمن في عدد الأنظمة والأدوات التي تستخدمها المؤسسات لتتبع ومراقبة وتأمين اتصالاتها مع أطراف ثالثة، حيث قال 84% من المشاركين أنهم استخدموا أكثر من أربع من هذه الخدمات، وقال 85% إنهم يستخدمون أكثر من أربع خدمات من هذا القبيل. واجهت أربع عمليات استغلال حساسة لاتصالات المحتوى الحساس خلال الـ 12 شهرًا الماضية.
يمكن لنسبة أقل قليلاً من المشاركين، حوالي 75%، الاعتراف بأنهم بحاجة إلى مستوى معين من التحسين في كيفية قياس المخاطر المتعلقة بمشاركة المحتوى الحساس.
وعلى الجانب الآخر من هذه العملة، وجد الاستطلاع أن أقل من 25% من المشاركين قالوا إنهم أداروا أو قيدوا وصول الطرف الثالث إلى بياناتهم الحساسة.
لذلك، قالت Kiteworks، إن المؤسسات بحاجة إلى “تجديد” عندما يتعلق الأمر بإدارة الحقوق الرقمية، وقد وافق 42% من المشاركين على أنهم بحاجة إلى نهج جديد تمامًا، أو على الأقل تحسين كبير، في هذا المجال.
على وجه الخصوص، أراد المشاركون القدرة على استخدام سياسات الامتثال والأمن على مستوى المستخدم أو الدور أو فئة المحتوى، بدلاً من السماح للأفراد بتصنيف كل أصل يدويًا أثناء تقدمهم.
PII مصدر القلق الأكبر
عندما طُلب من المشاركين تقييم نوع المحتوى الحساس الذي يشكل أعلى مستويات الامتثال والمخاطر الأمنية، لم يكن من المستغرب أن يقول المشاركون إن معلومات التعريف الشخصية (PII) كانت على رأس الفاتورة، على الملكية الفكرية (IP)، والوثائق القانونية، والمعلومات المتعلقة بعمليات الدمج والاستحواذ، المستندات المالية وأنواع أخرى من المحتوى.
قالت شركة Kiteworks إن هذا القلق يمكن أن يرتبط ارتباطًا وثيقًا بالقائمة المتزايدة باستمرار من قوانين ولوائح خصوصية البيانات، بدءًا من اللائحة العامة لحماية البيانات (GDPR) في أوروبا والمملكة المتحدة، إلى النهج الأكثر تدريجيًا الذي يتم اعتماده في الولايات المتحدة. تدخل القوانين حيز التنفيذ الآن في كولورادو وكونيتيكت ويوتا وفيرجينيا، وتخطط أربع ولايات أخرى لتنفيذ مثل هذه التوجيهات في العامين المقبلين.
عند سؤالهم عن قنوات الاتصال التي تشكل أكبر خطر، حدد المشاركون البريد الإلكتروني ونماذج الويب باعتبارها الأكثر خطورة. ومع ذلك، وجدت Kiteworks هنا مواقف مختلفة عبر القطاعات، حيث أصبحت المنظمات العاملة في مجال الطاقة والمرافق أكثر اهتمامًا بخدمات مشاركة الملفات المملوكة، وشعرت مؤسسات الخدمات المالية بالقلق بشأن نماذج الويب، ويُنظر إلى البريد الإلكتروني على أنه أكبر خطر في التكنولوجيا والأمن والدفاع.
يميل المشاركون إلى الاتفاق على أن الاستضافة السحابية متعددة المستأجرين لمثل هذه الأدوات كانت مصدر قلق كبير، نظرًا لقدرة الجهات الفاعلة في مجال التهديد على استغلال تطبيق أو مجموعة بيانات واحدة والانتقال أفقيًا إلى مستأجرين آخرين.
أربع خطوات لتقليل المخاطر
تلخيصًا لتقريرها المطول، حددت Kiteworks أربع خطوات يمكن للمؤسسات أن تحاول اتخاذها الآن لتقليل المخاطر المتعلقة بمشاركة البيانات:
- اتباع نهج أكثر شمولية تجاه الامتثال – خاصة بالنسبة لتلك الموجودة في الولايات المتحدة، حيث يُنصح المنظمات بعدم التركيز على نهج مربع الاختيار تجاه الدول الفردية، بل إنشاء أفضل الممارسات العالمية التي تلتزم بها جميعًا، مثل تلك التي حددها NIST CSF;
- اتباع نهج أكثر شمولية لكيفية تصنيف المؤسسات للبيانات، والقيام بذلك بطريقة أكثر تفصيلاً وجعل هذه الصوامع متاحة بسهولة لأولئك الذين يحتاجون حقًا إلى الوصول إليها، مع تأمينها للجميع؛
- وبعد هذه الخطوة، هناك حاجة إلى إدخال تحسينات على ممارسات إدارة المخاطر الداخلية للحماية من الإفصاحات الخبيثة والعرضية بحسن نية؛
- أخيرًا، من خلال تفعيل إجراءات حماية إلكترونية أكثر شمولاً، حيث تدرك العصابات الإجرامية والتهديدات المستمرة المتقدمة التابعة للدولة على حد سواء قيمة المحتوى الحساس وتكثف استهدافها للأدوات المستخدمة لمشاركتها، سيصبح فهم الميزات الأمنية لهذه الأدوات وفحصها أكثر أهمية من أي وقت مضى.
