بقلم : تامر عودة

      المدير الإقليمي في الشرق الأوسط لدى شركة "سنتينل وان"

في ظل خوف 90 % من الموظفين في دولة الإمارات العربية المتحدة عن العودة إلى وظائفهم بسبب المخاوف المحيطة بجائحة "كوفيد-19"، شهدت ساحة العمل تحولاً كبيراً نحو التركيز على ممارسات العمل من المنزل، حيث تمّ استثمار العديد من تقنيات العمل عن بُعد بهدف تسهيل عملية تبني واعتماد بيئة العمل الجديدة هذه. ومع انتشار الكثير من تطبيقات المحادثة ومنصات البث المرئي المباشر، لم تشكل خطوة الانتقال إلى العمل من المنزل تحدياً كبيراً بالنسبة للشركات والموظفين على حدٍ سواء. إلا أن استخدام هذه الأنظمة ينطوي بالدرجة الأولى على مشاركتها المخاوف المرتبطة بالخصوصية والأمان.

وخلال الشهرين الماضيين، أصبحت التكنولوجيا والأمن الإلكتروني، المرتبطان بممارسات العمل عن بُعد، الأولوية القصوى بالنسبة لبيئات العمل؛ حيث بدأ تصميم منصات الأمن الإلكتروني (بدءاً من الجهاز الطرفي وصولاً إلى الخادم وأعباء العمل السحابية) حالياً لتواكب متطلبات العالم الجديد، الذي تتلاشى فيه حدود المواقع الجغرافية.

الأمر الذي شكل نقطة استغلال من قبل قراصنة الإنترنت لممارسات العمل عن بُعد، كونهم يدركون بأن الموظفين لن يتمكنوا من فتح وتأكيد سلامة قنوات اتصالاتهم بشكل شخصي. وبالتالي، تبرز على الساحة مستويات عالية من مخاطر التعرض للخسائر المالية بسبب الجرائم الإلكترونية، التي تستهدف محتويات البريد الإلكتروني للشركات، والتي يتفقدها الموظفون من منازلهم. وتشكل رسائل البريد الإلكتروني الاحتيالية بحد ذاتها تهديداً عاماً لكل الموظفين، سواءً كانوا يعملون في المكتب أو عن بُعد، إلا أن الأمر يصبح أكثر صعوبةً بالنسبة للموظفين الذين لم يعتادوا بعد على ممارسات العمل من المنزل، وباتوا يتعاملون حالياً مع زيادة ملحوظة في تلقي رسائل البريد الإلكتروني وغيرها من الاتصالات النصية، فلم يعد من السهل عليهم التفريق بين الرسائل الحقيقية، والرسائل الاحتيالية.

أما عندما يتعلق الأمر بالوصول إلى شبكة الشركة، فإننا نلحظ ارتفاعاً في نسب تعرض الموظفين لمخاطر كبيرة، بما فيها الوصول غير المصرح به، وتسرب البيانات. كما تمثل الاستعانة بشركات توريد خدمات الإنترنت المنزلية ISPs وخدمات الشبكات اللاسلكية العامة Wi-Fi ساحة استهداف تتخطى نطاق سيطرة أعضاء فريق تقنية المعلومات أو الفريق الأمني.

إضافةً لما سبق، ونظراً لقدرة الهجمات الإلكترونية على الاستهداف سواءً كانت متصلة، أو غير متصلة، بشبكة الإنترنت، فمن الأهمية بمكان تمتع تقنيات الأمن الإلكتروني بالقدرة على العمل دون الاتصال بشبكة الإنترنت، وعلى امتداد الكثير من الأجهزة التي يستخدمها الموظفون في المنزل.

ومن الأهمية بمكان أيضاً الانتباه إلى أن عدم عمل الموظفين في المكتب لا يعني بالضرورة عدم تنقلهم أو عملهم في الأماكن العامة. وعند قيامهم بذلك، فإنهم يُعرّضون أنفسهم لمخاطر أكبر قد تصل إلى فقدان أجهزتهم المحمولة، وكل البيانات المخزنة عليها.

أفضل الممارسات المطبقة للموظفين العاملين من المنزل:

ترتبط ممارسات العمل من المنزل بمجموعة من المزايا والتحديات الخطيرة، لكن يجب ألا تؤثر التحديات المتعلقة بالأمن الإلكتروني على مستوى إنتاجية الموظفين العاملين من المنزل. وفي الوقت ذاته، ينبغي على الموظفين إدراك حجم التحديات الأمنية الإضافية الملقاة على عاتقهم إزاء عملهم عن بُعد، حيث يتوجب عليهم التسلح بالمعرفة الكافية للتغلب على هذه التحديات.

ومن ثمّ، يجب على الموظفين الحرص على استخدام الأجهزة المدعومة بتقنيات تشفير الأقراص الصلبة بالكامل، كي لا تصبح البيانات المخزنة على الجهاز في متناول اللصوص في حال فقدان أو سرقة الجهاز. بعد ذلك، ينبغي عليهم الاستعانة بآلية قوية ومتميزة لوضع كلمات المرور الخاصة بالدخول إلى الجهاز المحمول، حيث يجب أن يتطلب الدخول إلى جميع الحسابات الموجودة على الجهاز إدخال بيانات اعتماد فريدة من نوعها لتسجيل الدخول، كما يجب تقييد حسابات المستخدمين العادية بوضع امتيازات خاصة بالمستخدمين غير المسئولين.

علاوةً على ذلك، يتوجب على الموظفين أيضاً تسجيل الخروج عندما لا يكون النظام قيد الاستخدام، حتى لو كانوا يعملون من المنزل، إلى جانب ضرورة استخدام شاشات توقف مدعومة بكلمات مرور.

أما عند الدخول إلى شبكات الشركة عن بُعد، سيواجه الموظف مخاطر أكبر متعلقة بالدخول غير المصرح به وتسريب البيانات. فقد يلجأ الموظفون إلى تطبيق سلوك غير معتادين عليه في المكتب، على غرار مشاركة الجهاز مع غيرهم من أفراد الأسرة، أو استخدام الجهاز ذاته للأنشطة الشخصية والمهنية معاً. بالإضافة إلى ما سبق، تمثل الاستعانة بشركات توريد خدمات الإنترنت المنزلية ISPs وخدمات الشبكات اللاسلكية العامة Wi-Fi ساحة استهداف تتخطى نطاق سيطرة أعضاء فريق تقنية المعلومات أو الفريق الأمني.

لكن بإمكان الموظفين الاستعانة بالشبكة الافتراضية الخاصة VPN من أجل الوصول عن بُعد إلى شبكات وسيرفرات المؤسسة، حيث توفر الشبكة الافتراضية الخاصة قناة اتصال مباشرة كما لو كان الجهاز العامل عن بُعد موصولاً بشبكة المؤسسة المحلية LAN. كما أنه لا يمكن التجسس على قنوات الاتصال المشفرة المقدمة من قبل شركات توريد خدمات الإنترنت المنزلية ISPs، فهي قادرة على صد الهجمات الوسيطة MITM.

تنجم كبرى الخسائر المالية نتيجة الجرائم الإلكترونية التي يتم ارتكابها بواسطة البريد الإلكتروني للشركات (BEC/EAC)، حيث تستولي أو تحتال الجهات المهاجمة على حساب المدير العام أو المدير التنفيذي، ومن ثم تستخدم هاذ الحساب من أجل توجيه أوامر لباقي الموظفين عبر رسائل البريد الإلكتروني بضرورة إجراء تحويلات مصرفية إلكترونية إلى حساب خارجي، وذلك بحجة دفع فاتورة الهاتف. لذا، تشكل الأعداد المتنامية من الموظفين العاملين عن بُعد فرصاً ثمينة للاحتيال بواسطة البريد الإلكتروني للشركات (BEC/EAC)، التي تستند عملية الاحتيال فيها على الاتصالات التي لم تتم المصادقة عليها وتأكيدها بشكل شخصي أبداً.

إلا أنه بإمكان الموظفين تقييد عدد الأشخاص المصرح لهم بإجراء التحويلات المصرفية الخارجية الجديدة، والتأكد من أن كل طلبات التحويل الجديدة تخضع لعملية مصادقة ثانوية، إلى جانب الحد من استخدام تقنيات البث المرئي عن بُعد (مثل "سكايب" (Skype)، و "زووم" (Zoom)، وما شابه ذلك)، وذلك بهدف ضمان تدفق طلبات المعاملات المالية من الموظف المسئول الحقيقي (مدير الموظفين).

بالنتيجة، لا يجب أن تؤثر ممارسات العمل عن بُعد على مستوى إنتاجية الموظف أو أمنه أثناء العمل، فالكثير من المؤسسات تتحلى بالخبرة الكافية لدعم ممارسات العمل عن بُعد ضمن نطاق معيّن. لكن التحدي الناتج عن التفشي المستمر لجائحة "كوفيد-19" يتمثل في تبني المؤسسات لمنهجية واسعة النطاق وسريعة من أجل الانتقال إلى تطبيق ممارسات العمل عن بُعد، بحيث تشمل كل الموظفين المعتادين على العمل في المكتب، ولم يتلقوا طلبات العمل والمهام المختلفة من قبل في المنزل، فعندما نضطر إلى كسر الروتين، غالباً ما تقع إجراءات الأمن والحماية ضحية مبكرة لهذا التغيير. لذا، ينبغي أن يعزز الموظفون من جاهزيتهم لمواجهة التحديات الأمنية الإضافية الناجمة عن العمل عن بُعد، وذلك في حال طُلب منهم العمل من المنزل خلال الفترة الحالية التي نشهدها نتيجة استمرار الجائحة.