وجدت دراسة حديثة أن الشركات معرضة بشكل متزايد لخطر الحوادث السيبرانية بسبب لجوء بعض موظفيها إلى استخدام منتجات تكنولوجية غير مصرّح بها دون علم أقسام تكنولوجيا المعلومات، وسط التوجه المتزايد نحو توزيع القوى العاملة جغرافياً. وفق بحث أجرته شركة كاسبرسكي، تعرضت 71% في المملكة العربية السعودية من الشركات لحوادث سيبرانية في العامين الماضيين، وكان 9% منها بسبب استخدام منتجات تكنولوجية غير مصرح بها.
أظهرت دراسة حديثة لكاسبرسكي أنه خلال العامين الماضيين، عانت 11% من الشركات عالمياً من حوادث سيبرانية بسبب استخدام الموظفين لمنتجات تكنولوجية غير مصرح بها دون علم أقسام تكنولوجيا المعلومات في تلك الشركات. يمكن أن تتنوع عواقب استخدام التكنولوجيا غير المصرح بها من حيث مستوى الخطورة، ولكن خطورتها دائماً موجودة، سواء كان ذلك تسرّباً لبيانات سرية أو ضرراً ملموساً على الشركات.
ما هي تكنولوجيا المعلومات غير المصرح بها؟
تعد تكنولوجيا المعلومات غير المصرح بها جزءاً من البنية التحتية التقنية للشركة لكنها تقع خارج مجال سيطرة أقسام تكنولوجيا المعلومات وأمن المعلومات، ومنها التطبيقات، والأجهزة، والخدمات السحابية العامة، وما إلى ذلك، ولكن لا يتم استخدامها ضمن سياسات أمن المعلومات في الشركة. يمكن أن يؤدي نشر وتشغيل تكنولوجيا المعلومات غير المصرح بها إلى تبعات سلبية خطيرة على الشركات. وقد عثرت دراسة كاسبرسكي على العديد من الحالات التي كشفت أن صناعة تكنولوجيا المعلومات كانت الأكثر تضرراً، حيث تعرضت لنسبة 16% من جميع الحوادث السيبرانية الناتجة عن الاستخدام غير المصرح به لتكنولوجيا المعلومات في عامي 2022 و2023. وكانت القطاعات الأخرى المتضررة من المشكلة هي البنية التحتية الحيوية ومؤسسات النقل والخدمات اللوجستية، التي شهدت 13% من جميع تلك الحوادث السيبرانية.
تثبت عمليات اختراق شركة Okta الأخيرة بوضوح مخاطر استخدام تكنولوجيا المعلومات غير المصرح بها. فهذا العام، أعطى أحد موظفي الشركة (الذي كان يستخدم حسابه الشخصي على جوجل على جهاز مملوك للشركة) مصادر التهديد وصولاً غير مصرح به إلى نظام دعم العملاء التابع لشركة Okta عن غير قصد. مما مكّنهم من اختراق ملفات تحتوي على معرّفات الجلسات، التي يمكن استخدامها لشن الهجمات. استمرت هذه الحادثة السيبرانية لمدة 20 يوماً وأثرت على 134 من عملاء الشركة وفقاً لتقرير Okta.
تحديد تكنولوجيا المعلومات غير المصرح بها
إذاً، كيف يمكن التعرف على تكنولوجيا المعلومات غير المصرح بها؟ يمكن أن تكون تكنولوجيا المعلومات غير المصرح بها تطبيقات غير مصدّقة مثبتة على حواسيب الموظفين، أو وحدات تخزين، أو هواتف محمولة، أو حواسيب محمولة غير مسجلة، وما إلى ذلك.
ولكن يوجد أيضاً بعض الخيارات الأقل وضوحاً مثل الأجهزة المهجورة المتبقية بعد تحديث أو إعادة تنظيم البنية التحتية التقنية للشركات. إذ يمكن أن يستخدم الموظفون هذه الأجهزة «خفية»، مما يكوّن نقاط ضعف ستصبح جزءاً من بنية الشركة التحتية عاجلاً أم آجلاً.
كما يحدث غالباً، يمكن لمتخصصي تكنولوجيا المعلومات والمبرمجين أن يطوروا برامج مخصصة لتحسين العمل داخل فرق/أقسام شركاتهم، أو لحل المشكلات الداخلية، مما يجعل العمل أسرع وأكثر كفاءة. ومع ذلك، فهم لا يطلبون دائماً التصريح لاستخدام هذه البرامج من قسم أمن المعلومات، وقد ينتج عن ذلك عواقب وخيمة.
قال «أليكسي فوفك»، رئيس قسم أمن المعلومات لدى كاسبرسكي: «يعتقد الموظفون الذين يستخدمون التطبيقات، أو الأجهزة، أو الخدمات السحابية التي لم يصرّح لها قسم تكنولوجيا المعلومات أنه إذا كانت منتجات تكنولوجيا المعلومات هذه تأتي من مزودين موثوقين، فبالتأكيد هي محمية وآمنة. ومع ذلك، يستخدم مزودو المنتجات الخارجيون ما يسمى «نموذج المسؤولية المشتركة» في «شروطهم وأحكامهم». وينص هذا النموذج على أنه بمجرد الموافقة على الشروط والأحكام، يؤكد المستخدمون أنهم سيقومون بإجراء تحديثات منتظمة لهذه المنتجات وأنهم يتحملون المسؤولية عن الحوادث المتعلقة باستخدامها (بما في ذلك تسرّب بيانات الشركة). ولكن في نهاية المطاف، تحتاج الشركات إلى استخدام أدوات للتحكم في تكنولوجيا المعلومات غير المصرح بها عندما يستخدمها الموظفون. لذا يوفر حلّا Kaspersky Endpoint Security for Business وKaspersky Endpoint Security Cloud هذا التحكم مع ميزات تحكم في التطبيقات، والمواقع الإلكترونية، والأجهزة التي تحد من استخدام التطبيقات، والمواقع الإلكترونية، والأجهزة الطرفية غير المصرح لها. بالطبع، سيظل قسم أمن المعلومات بحاجة إلى إجراء عمليات فحص منتظمة لشبكة شركتهم الداخلية لتجنب الاستخدام غير المصرح به للأجهزة، والخدمات، والتطبيقات غير الخاضعة للرقابة وغير الآمنة.»
بشكل عام، يعد موضوع الاستخدام المنتشر لتكنولوجيا المعلومات غير المصرح بها موضوعاً معقداً لأن العديد من الشركات لا توثّق أي عقوبات سيتم تنفيذها على الموظفين نتيجة مخالفتهم سياسات تكنولوجيا المعلومات في هذا الشأن. علاوة على ذلك، من المفترض أن تصبح تكنولوجيا المعلومات غير المصرح بها واحدة من أكبر التهديدات لأمن الشركات السيبراني بحلول عام 2025. على الجانب المشرق، دوافع الموظفين لاستخدام تكنولوجيا المعلومات غير المصرح بها ليست خبيثة دائماً، بل تكون على العكس من ذلك في كثير من الأحيان. حيث يستخدمها الموظفون في كثير من الحالات كخيار لتوسيع وظائف المنتجات التي يستخدمونها في العمل لأنهم يعتقدون أن مجموعة البرامج المسموح بها غير كافية، أو أنهم ببساطة يفضلون استخدام البرنامج المألوف من حواسيبهم.
توصي كاسبرسكي بما يلي للتقليل من مخاطر استخدام تكنولوجيا المعلومات غير المصرح بها في الشركات:
-انتهى-