لم تعد أقسام تقنية المعلومات والمالية والأقسام التشغيلية هي الوحيدة المستهدفة من قبل مجرمي الإنترنت، بل عكف المجرمون على البحث عن الثغرات في الشركات المستهدفة، خاصة في الأقسام الأقل أمانا في محاولة منهم للوصول إلى البيانات المهمة، التي تدر لهم كسبا ماليا، ففي خضم جائحة كورونا، وجد مختصو الموارد البشرية حول العالم أنفسهم في دوامة كبيرة ناجمة عن التغيرات الجذرية التي أحدثتها الجائحة في طبيعة عمل الموظفين، ومن ذلك كثرة الإجازات وزيادة وتيرة العمل عن بعد، ما أثر تأثيرا واضحا في طرق العمل التقليدية التي تتبعها الموارد البشرية، وأدى هذا النشاط إلى استهداف المجرمين لأقسام الموارد البشرية للحصول على بيانات الموظفين الشخصية.
ويشكل ذلك تحديا آخر يحتاج ممثلو الموارد البشرية إلى التغلب عليه. ونظرا للحاجة إلى مزيد من التعيينات الوظيفية، فإن أجهزة الحاسوب الخاصة بموظفي الموارد البشرية تبقى معرضة لخطر الهجمات الرقمية، وذلك لسهولة الوصول إليها واتصالها بمجموعة واسعة من الأفراد، كما أن تفاصيل الاتصال الخاصة بهؤلاء الموظفين في الأغلب ما تكون متاحة على موقع الويب ومنصات الشبكات المهنية، مثل LinkedIn، التابعة للشركة.
ويعد موظفو الموارد البشرية، من ناحية أخرى، جهات اتصال عالية القيمة، باعتبار أن أقسام الموارد البشرية وصية على معلومات الشركة القيمة، إذ يتمتعون بحق الوصول إلى الأصول الفكرية للشركة ويتعهدون بحمايتها، فضلا عن معلومات الموظفين في جميع المستويات، وتعد جميع هذه الأصول والمعلومات بيانات قيمة للمهاجمين الرقميين.
ويستخدم المجرمون ثلاث طرق يعتمدون عليها للوصول وتنفيذ هجماتهم على مختصي الموارد البشرية، التي تتركز في هجمات البريد الوارد، حيث يخترق مجرمو الإنترنت محيط أمن الشركة عن طريق إرسال بريد إلكتروني إلى الموظف يحتوي على مرفق أو رابط خبيث، يمكن أن يؤدي فتحه إلى إطلاق فيروس قد يكون بوسعه تنزيل ملفات خبيثة، إلى جانب الوصول إلى البيانات الشخصية، حيث يستطيع موظفو الموارد البشرية الوصول إلى جميع بيانات الموظفين، لذا فإن اختراق موظف الموارد البشرية عبر بريده الإلكتروني يسهل وصول المهاجمين إلى بيانات موظفي الشركة، واختراق البريد الإلكتروني، فإذ اخترق حساب بريد إلكتروني لأحد كبار الموظفين، يصبح بوسع المخترقين إرسال رسائل بريد إلكتروني إلى زملاء الموظف المخترق حسابه، يطلبون فيها تحويل أموال أو إرسال معلومات سرية.
وأكد آرا أراكليان مدير الموارد البشرية لمنطقة الشرق الأوسط وتركيا وإفريقيا لدى “كاسبرسكي”، أن الموظفين هم “خط الدفاع الأول” في أي مؤسسة، لكنه قال إن ورقة بحثية لـ”كاسبرسكي” حول التدريب على التوعية بالأمن الرقمي، كانت أظهرت أن أكثر من 80 في المائة من جميع الحوادث الرقمية نجمت عن أخطاء بشرية، وأضاف، “هذا السبب مدعاة لأن تسعى الشركات والمؤسسات لبناء ثقافة لما يمكن وصفه بالجاهزية الرقمية، من خلال تنفيذ حلول متخصصة بالتدريب”.
ويوصي آرا أراكليان باتباع تدابير لتقليل احتمالية اختراق مجرمي الإنترنت لأقسام الموارد البشرية، تتركز في تطبيق الإجراءات الأمنية التي تركز على الموظف، مثل إشراك الموظفين وتدريبهم على الحماية من الهجمات الرقمية، وتحديد أنواع الملفات التي يمكن أن تستخدم في محاولات الاختراق، التي قد تبدو كأنها ملفات سيرة ذاتية ونماذج من الأعمال السابقة، وتثبيت التحديثات البرمجية بانتظام والحرص على أن تظل الحماية من الفيروسات نشطة دائما، ثم عزل حواسيب موظفي الموارد البشرية على شبكة فرعية منفصلة، لينحصر التهديد ولا ينتشر إذا ما تعرض أحدها للاختراق، إضافة إلى تخزين البيانات الشخصية على خادم آخر، لا على حواسيب قسم الموارد البشرية، وتطبيق سياسة كلمات مرور صارمة وسهلة المتابعة.