الجوانب البشرية لعمليات تدقيق الهندسة الاجتماعية
في عام 2022، 74% من الخروقات الأمنية كانت بسبب التفاعلات البشرية وفقا لشركة فيريزون. لقد ألهم هذا النمط المزيد من الشركات لإجراء عمليات تدقيق الهندسة الاجتماعية حتى يتمكنوا من التحقق من الثغرات الأمنية في مناطق المستخدم. ولكن ماذا يحدث عندما تجد الثغرات ويجب عليك الرجوع إلى الأقسام المستخدمة لاتخاذ الخطوات التصحيحية؟
لا أحد يحب إخبار المستخدمين بوجود عيوب في عملياتهم التجارية، لأنه من الطبيعي أن يصبح الأشخاص دفاعيين وحتى عدائيين. وتزداد هذه الوظيفة التي لا تحسد عليها تعقيدًا لأن العديد من موظفي تكنولوجيا المعلومات، بما في ذلك مدراء تكنولوجيا المعلومات، ما زالوا يشاهدون ذلك هندسة اجتماعية عمليات التدقيق باعتبارها نفقات غير ضرورية للوقت والمال. بعد كل شيء، ألا يتم إجراء عمليات تدقيق لأمن تكنولوجيا المعلومات واختراق الشبكات ونقاط الضعف كل عام؟ أليسوا كافيين؟
الجواب القصير هو لا. يتم إجراء عمليات التدقيق العامة لأمن تكنولوجيا المعلومات، وفحص محيط الشبكة، واختبار الاختراق والضعف بشكل روتيني سنويًا كتدقيق أمني. يمكنهم فعليًا تقديم مسح 360 درجة حول مدى صمود أمان تكنولوجيا المعلومات لديك. ومع ذلك، هناك العنصر البشري الذي لا علاقة له بقوة الأمن التكنولوجي.
الخبير الأمني والهاكر الإلكتروني السابق كيفن ميتنيك، الذي توفي العام الماضي، مرة واحدة وأوضح ذلك جيدا:
“بدلاً من التوسل إلى القوة الغاشمة لمهاجمة حواجز الأمن السيبراني، فإن المهندسين الاجتماعيين هم أساتذة فن الخداع. كتب ميتنيك: “يستخدم هؤلاء المهندسون الماكرون مبادئ علم النفس البشري لبناء الثقة مع المستخدم – غالبًا ما يكون شخصًا مرتبطًا بشكل مباشر بمؤسستهم المستهدفة – مع العلم أن هذا الشخص قد يكون “داخلهم”.”
هجمات التصيدوالتي تبلغ مئات الملايين سنويًا، يمكن أن تكون على شكل رسالة بريد إلكتروني تبدو وكأنها من رئيسك في العمل أو زميلك في العمل. يرى الموظف أن هناك مرفقًا ويفتحه، ويطلق المرفق الزائف العنان لبرامج ضارة في الشبكة تنتشر من محطة عمل إلى أخرى ويصعب إيقافها.
التصيد الاحتيالي ليس النشاط البشري الوحيد الذي يمكن أن يؤدي إلى اختراق أمني. هناك سرقة متعمدة للملكية الفكرية والمعلومات، مثل قائمة العملاء التي يخرج معها الموظف. هناك أيضًا عادات أمنية سيئة بسيطة مثل مشاركة معرف المستخدم أو كلمة المرور أو ترك محطة العمل دون مراقبة لفترات طويلة من الوقت، حتى بين عشية وضحاها. تحاول إدارة الموارد البشرية وتكنولوجيا المعلومات مكافحة هذه العادات الأمنية المتساهلة من خلال تدريب الموظفين الجدد وتوفير تدريب أمني متجدد للموظفين الحاليين، ولكن لا تزال هناك ثغرات أمنية يجب سدها.
العثور على الثقوب
من وجهة نظر تكنولوجيا المعلومات، قد يبدو أن الأمن يسير على ما يرام على الجانب التكنولوجي، ولكن قد تكون هناك ثغرات في السلوك البشري.
تقول شركة KPMG، إحدى الشركات التي تقدم خدمات تدقيق الهندسة الاجتماعية، إن عمليات التدقيق هذه تهدف إلى “تقييم مستوى الوعي الأمني الموظفين.” يتكون تدقيق الهندسة الاجتماعية من جمع المعلومات، واختبار ما إذا كان يمكن تنفيذ الأنشطة داخل حرم المؤسسة دون تصريح، وانتحال هوية الأطراف في المكالمات الهاتفية، وفحص صناديق النفايات، وفحوصات التصيد الاحتيالي، وإحضار الملفات المصابة واختبار الأمان، وفحص حاملات البيانات المكتبية. .
تجدر الإشارة إلى أن العديد من أنشطة التدقيق هذه تتعلق بالتفتيش المادي على المباني، ولا تتضمن تكنولوجيا المعلومات بشكل مباشر. ومع ذلك، عادةً ما تكون تكنولوجيا المعلومات هي التي تتعاقد على عمليات التدقيق، ويُنظر إليها على أنها “قائد” التدقيق.
سد الثقوب
عند اكتشاف ثغرات أمنية في الهندسة الاجتماعية، يتم توثيق النتائج وسرد الأقسام التي تم العثور على الثغرات فيها.
لا أحد يحب أن يكون في هذه القوائم، ولكن إذا كان كذلك، فلا بد من اتخاذ الإجراءات التصحيحية، ويجب أن يقوم شخص ما بإبلاغه والعمل معه. هذا هو المكان الذي يمكن أن ينشأ فيه الاستياء والدفاع والمشاعر العدائية. ومن المهم لقسم تكنولوجيا المعلومات والآخرين الذين يتحملون المسؤولية الرئيسية عن إدارة عمليات التدقيق هذه أن يضعوا ذلك في الاعتبار.
ما هي الخطوات التي يمكنك اتخاذها؟
أولاً، لا تعد عمليات تدقيق الهندسة الاجتماعية مسؤولية تكنولوجيا المعلومات فقط. هناك وزن متساو تقريبًا بين قضايا تكنولوجيا المعلومات وقضايا المرافق و/أو الموارد البشرية التي تظهر في عمليات تدقيق الهندسة الاجتماعية. من منظور تنسيق المشروع، هذا يعني أن المرافق وتكنولوجيا المعلومات والموارد البشرية وربما مجالات أخرى في الشركة، مثل مجموعة تدقيق منفصلة أو مجموعة تنظيمية، يجب أن تتعاون في عمليات التدقيق هذه. كفريق تعاوني، يجب عليهم أيضًا مقابلة المستخدمين في أي قسم يُشار إليه بتراخي الممارسات الأمنية. إذا قررت الشركة تشكيل لجنة توجيهية لمراجعة الهندسة الاجتماعية، فمن الذكي أيضًا أن يكون هناك مقعدين في اللجنة مخصصين لمديري المستخدمين النهائيين، الذين سيتناوبون سنويًا خارج هذه المناصب حتى يكون لدى جميع أقسام المستخدمين في الشركة فرصة للمشاركة.
ثانيًا، يجب أن تكون عمليات تدقيق الهندسة الاجتماعية جزءًا من نسيج السلامة الروتينية للشركة. نظرًا لأن عادات المستخدم تعد مصدرًا رئيسيًا للانتهاكات الأمنية للشركة، فمن الصعب الجدال ضد فكرة جعل عمليات تدقيق الهندسة الاجتماعية إلزامية وتنفيذها على أساس كل سنتين. إذا كانت عمليات تدقيق الهندسة الاجتماعية إلزامية، فإنها تبدأ في التوافق مع الإستراتيجية العامة للشركة مع أنشطة السلامة الأخرى، مثل الأداء الروتيني لتدريبات مكافحة الحرائق والزلازل.
وبطبيعة الحال، لا أحد يحب المشاركة في أي من هذه التدريبات أو الأنشطة لأنها تعطل العمليات اليومية. ومع ذلك، إذا كانت هذه الأنشطة جزءًا لا يتجزأ من استراتيجية السلامة للشركة، فمن المقبول أنها ضرورية. وفي هذا السياق، ينبغي النظر إلى تدقيق الهندسة الاجتماعية باعتباره “فحصًا أمنيًا” مطلوبًا يتم إجراؤه بانتظام ويدعمه بجدية الرئيس التنفيذي وآخرون على المستوى التنفيذي.
ثالثاً، لابد من التركيز على المشاكل الأمنية، وليس على الأفراد. حتى مع التعاون بين الإدارات ودعم C-suite، لا يمكن للعديد من مديري المستخدمين والمستخدمين إلا أن يشعروا بالشخصية تجاه الاستشهاد بهم بسبب ثغرة أمنية. وبالتالي، من المهم التركيز على المشكلات التي تحتاج إلى حل، وليس على الأشخاص الذين ربما تسببوا في حدوثها.
إذا تم العثور على حامل مكتب أو سلة مهملات تحمل مسودات مستندات حساسة يمكن لأي شخص أخذها، فيمكن تركيب آلة التقطيع لمعالجة المشكلة. إذا تُركت محطة العمل دون مراقبة و”مفتوحة” طوال الليل، فيمكن لقسم تكنولوجيا المعلومات نشر إجراء يقوم تلقائيًا بتسجيل الخروج من محطة العمل بعد 15 دقيقة من وقت الخمول.
كلاهما طريقتان لحل المشكلات تتجنب صفعة أيدي المستخدمين الفرديين، في حين أنها تشير أيضًا إلى المستخدمين بمكان وجود الثغرات الأمنية.
رابعًا، استخدم أكبر عدد ممكن من الإصلاحات الأمنية غير التدخلية. يتحسن تعاون المستخدم كلما أمكنك تقليل تعطيل العمليات اليومية والعمليات التجارية. وفي كثير من الحالات، يمكن القيام بذلك بطريقة غير جراحية،
على سبيل المثال، إذا كان قفص الخادم غير آمن في منطقة التصنيع، فيمكن تثبيت إدخال شارة ونظام قفل مزود بكاميرا للمراقبة لمزيد من الأمان. إذا تُركت محطات العمل دون مراقبة لفترات طويلة من الوقت، فيمكن لقسم تكنولوجيا المعلومات أتمتة عملية مراقبتها وإيقاف تشغيلها بعد 15 دقيقة من وقت الخمول. إذا كان لدى عدد كبير جدًا من المستخدمين إمكانية الوصول إلى بعض الملفات المشتركة على الشبكة التي تحتوي على معلومات قد تكون حساسة، فيمكن إنشاء شبكة ذات ثقة معدومة مع حدود أمنية حول هذه الملفات الحساسة بحيث لا يتمكن سوى الأشخاص المصرح لهم باستخدامها.
في جميع الحالات، يجب أن يكون الهدف هو الحفاظ على الإجراءات غير التدخلية في العمليات التجارية للمستخدم قدر الإمكان.
افكار اخيرة
تهتم مجالس الإدارة والرؤساء التنفيذيون وأصحاب المصلحة في الشركات وشركاء الأعمال والعملاء جميعًا بمسؤولية الشركات. أحد الجوانب الحاسمة لهذه المسؤولية هو حماية معلومات الشركة وأصولها المادية.
وهذا هو المكان الذي يتناسب فيه تدقيق الهندسة الاجتماعية مع تركيزه على المسؤولية البشرية عن ممارسات الأعمال الآمنة. على الرغم من أن عمليات تدقيق الهندسة الاجتماعية ليست إلزامية بعد بالنسبة للعديد من منظمي الصناعة، إلا أنها قد تكون كذلك في المستقبل.
ليس من السابق لأوانه بالنسبة لقسم تكنولوجيا المعلومات أن يفكر في أفضل طريقة لإدارة عمليات التدقيق هذه، وما هي أفضل الأساليب لضمان إمكانية إصلاح نقاط الضعف البشرية والثغرات الأمنية.