- مع تصاعد هجمات القوة الغاشمة، تعمل 80% من الشركات دون استخدام نُهج لكلمات المرور
- خبراء الحماية الإلكترونية يحذرون من عمليات الاختراق في عام 2021 والتي على أهبة الاستعداد للكشف عن البيانات أكثر من أي وقت مضى
كتب : محمد الخولي
أصدرت شركة " Acronis " ، العالمية المتخصصة في مجال الحماية الإلكترونية، اليوم تحذيرًا، استنادًا إلى أبحاثهم حول اتجاهات الهجمات الإلكترونية وممارسات الأعمال الحالية، حيث تواجه المؤسسات حول العالم حاليًا مخاطر عالمية متعلقة بخصوصية المعلومات وأمنها. أعلنت الشركة النتائج التي توصلت إليها في "يوم خصوصية البيانات العالمي" لتنبيه المؤسسات إلى ضرورة اتخاذ إجراء فوري لتجنب الهجمات المكلفة.
كشفت أحدث الأبحاث التي أجراها خبراء الحماية الإلكترونية في الشبكة العالمية لمراكز عمليات الحماية الإلكترونية في Acronis (CPOCs) أن 80٪ من الشركات ليس لديها نُهج محددة لوضع كلمات المرور. وأن ما بين 15-20٪ من كلمات المرور المستخدمة في بيئة الأعمال تتضمن اسم الشركة، مما يسهل اختراقها. توضح هنا اثنان من عمليات الاختراق المعروفة والحديثة هذه المشكلة: قبل اختراق شركةOrion ، تم تحذير شركة SolarWinds من أن أحد خوادم التحديث لديها كلمة مرور معروفة للعامة وهي "solarwinds123" بينما تم اختراق حسابTwitter الخاص بالرئيس السابق "دونالد ترامب" لأن كلمة المرور كانت "maga2020!".
من بين المؤسسات التي تم تطبيق نُهج وضع كلمات المرور بها، وجد الباحثون أن العديد منها يعتمد على كلمات المرور الافتراضية - وما يصل إلى 50٪ منها مصنفة على أنها ضعيفة.
يعرف المهاجمون أن ممارسات كلمات المرور الضعيفة منتشرة على نطاق واسع، ومع وجود العديد من الموظفين الذين يعملون من المنزل نتيجة لوباء فايروس كورونا COVID-19، استهدف مجرمو الإنترنت الأنظمة الأقل أمانًا لهؤلاء العاملين عن بُعد. لاحظ محللو شركة Acronis زيادة كبيرة في عدد هجمات القوة الغاشمة خلال عام 2020 ووجدوا أن هجمات حشو كلمات المرور كانت ثاني أكثر الهجمات الإلكترونية استخدامًا في العام الماضي، بعد التصيد الاحتيالي مباشرة.
"أدى الاندفاع المفاجئ للعمل عن بُعد أثناء الوباء إلى زيادة الاعتماد على الحلول المستندة إلى السحابة،" هذا ما وضحه كانديد ويست، نائب رئيس قسم أبحاث الحماية الإلكترونية في Acronis. "ومع ذلك، أثناء إجراء هذا الانتقال، لم تركز العديد من الشركات على متطلبات الحماية الإلكترونية وحماية البيانات بشكل صحيح. الآن، تدرك هذه الشركات أن ضمان خصوصية البيانات هو جزء حاسم من استراتيجية شاملة للحماية الإلكترونية - استراتيجية تتضمن الحماية الإلكترونية وحماية البيانات - وهي بحاجة إلى سن إجراءات وقائية أقوى للعاملين عن بُعد ".
المخاطر المالية والتي تمس السمعة
بينما يدرك مجتمع الأعمال أن هناك حاجة إلى حماية إلكترونية أفضل لضمان خصوصية بياناتهم وبيانات عملائهم، فإن الوعي بين المستخدمين الرقميين لا يزال متأخرًا. ذكر في أحد التقارير أن 48٪ من الموظفين يقرون بأنهم أقل عرضة لاتباع ممارسات البيانات الآمنة عند العمل من المنزل.
عادات إنشاء كلمات المرور الضعيفة إلى جانب عادات الحماية الإلكترونية المتراخية من العاملين عن بُعد هما من بين الأسباب التي تجعل محللي مراكز عمليات الحماية الإلكترونية في Acronis (CPOCs) يتوقعون أن يرتفع التأثير المالي لسرقة البيانات في عام 2021، حيث يمكن للكيانات السيئة الوصول بسهولة إلى بيانات الشركة القيمة وسرقتها. الاتجاه مشابه للاتجاه الذي نشهده الآن بين مهاجمي برامج الفدية الضارة، الذين يسرقون بيانات ملكية أو بيانات محرجة ثم يهددون بنشرها إذا لم يدفع الضحية. في العام الماضي، حددت Acronis أكثر من 1000 شركة حول العالم شهدت تسربًا للبيانات بعد هجوم برامج الفدية الضارة.
تطبيق متطلبات مصادقة أكثر صرامة
لتجنب وقت التعطل المكلف، والضرر الكبير الذي يمس بالسمعة في السوق، والغرامات التنظيمية الباهظة التي يمكن أن تنتج عن خرق البيانات، يجب على المؤسسات تعزيز متطلبات المصادقة اللازمة للوصول إلى بيانات الشركة.
توصي Acronis وخبراء الحماية الإلكترونية الآخرون بأفضل الممارسات التالية:
· يجب أن تكون المصادقة متعددة العوامل (MFA)، التي تتطلب من المستخدمين إكمال طريقتين أو أكثر من طرق التحقق للوصول إلى شبكة الشركة أو النظام أو VPN، هي المعيار لجميع المؤسسات. من خلال الجمع بين كلمات المرور وطريقة تحقق إضافية، مثل مسح بصمة الإصبع ضوئيًا أو رقم التعريف الشخصي العشوائي من تطبيق الهاتف، تظل المؤسسة محمية إذا خمن المهاجم كلمة مرور المستخدم أو اخترقها.
· يجب اعتماد نموذج انعدام الثقة لضمان أمن البيانات وخصوصيتها. يتعين على جميع المستخدمين، سواء كانوا يعملون عن بُعد أو يعملون داخل شبكة الشركة، مصادقة أنفسهم وإثبات تفويضهم والتحقق من أمانهم باستمرار للوصول إلى بيانات وأنظمة الشركة واستخدامها.
· تساعد تحليلات سلوك المستخدم والكيان، أو المعروفة باسم UEBA، في أتمتة حماية المؤسسة. من خلال مراقبة النشاط الطبيعي للمستخدمين باستخدام الذكاء الاصطناعي والتحليل الإحصائي، يمكن للنظام التعرف على السلوك الذي ينحرف عن الأنماط العادية - لا سيما تلك التي تشير إلى حدوث خرق وأن سرقة البيانات جارية.
بينما في يوم خصوصية البيانات العالمي لعام 2021 هو فرصة مثالية للفت الانتباه إلى مخاطر خصوصية البيانات، فقد حدد الباحثون في مراكز عمليات الحماية الإلكترونية في Acronis (CPOCs) اتجاهات المخاطر الإلكترونية الإضافية من شأنها أن تتحدى مسؤولي النظام ومقدمي الخدمات المُدارة (MSPs) ومتخصصي الحماية الإلكترونية خلال العام المقبل. التحليل الكامل متاح حاليًا في تقرير المخاطر الإلكترونية من Acronis الذي تم إصداره مؤخرًا.