يزداد تشجيع الجهات الحكومية والشركات في الشرق الأوسط موظفيها على العمل من المنزل في محاولة لإبطاء انتشار وباء كورونا المستجدّ، لكن تبقى هناك مخاطر رقمية تجب مراعاتها فيما يتعلق بهذا التغيير الذي من شأنه الحدّ من سرعة انتشار المرض. وقد عرض خبراء شركة كاسبرسكي المخاوف المتعلقة بأمن العمل عن بُعد وأسدَوا نصائحهم بشأنها.
ويجري في العادة التعامل مع عملية نقل الموظفين للعمل خارج مكاتبهم في إطار عملية إعداد شاملة، فمجرد أخذ أجهزة الشركة خارج البنية التحتية لشبكة الشركة وتوصيلها بشبكات إنترنت أخرى، يعني زيادة المخاطر التي تتهدد بيانات الشركة وعملياتها. لذلك وجب أن تتضمّن عملية الإعداد الشاملة لهذا التغيير النظر في الحيثيات الأمنية لمسألة التحويل العاجل لأعداد كبيرة من الموظفين من مقار العمل إلى المنازل.
وقال ماهر يموت، باحث أمني أول في كاسبرسكي، إن العديد من المؤسسات والشركات اعتمدت السماح لموظفيها بالعمل المنتظم من المنزل، مشيرًا إلى أن النتائج جاءت إيجابية وأن الموظف العامل من منزله لن يخشى أية مخاطر إذا كانت جهة العمل اتبعت نهجًا شاملًا فيما يتعلق بالأمن الرقمي، وأضاف: “ثمّة خطران رئيسان يتهددان شبكات الشركات المتعلقة المتصلة بالمكتب المنزلي؛ استخدام الموظفين أجهزة غير محمية عند الاتصال بشبكة الشركة، والاتصال عبر شبكات لاسلكية وشبكات بيانات غير آمنة، لا سيما لدى الموظفين الذين يعملون من أجهزتهم الشخصية”.
ويشير خبير الأمن الرقمي إلى أن أفضل الممارسات تتمثل باستخدام أجهزة خاصة بجهة العمل بدلاً من الأجهزة الشخصية، مشددًا على أن أكبر خطأ قد ترتكبه جهات العمل هو “عدم إيلاء أمن الجهاز الشخصي الخاص بالموظف أي اهتمام وتجاهل حقيقة أنه قد يكون مدخلًا لهجوم رقمي”.
ومضى يموت إلى القول: “عملنا قبل عام في تقييم حوادث رقمية ووجدنا أن ثلثها بدأ من أجهزة الموظفين الشخصية؛ فقد جرى في 34% من الحالات تنزيل ملف خبيث من بريد إلكتروني أو موقع ويب تخريبي عبر أجهزة الموظفين، لذا، فكلما زاد احتمال إصابة الأجهزة المرتبطة بجهة العمل، زادت معه مخاطر إصابة البنية التحتية في تلك الجهة. وبالرغم من أن الغالبية العظمى من التهديدات التي نراها ليست موجّهة، فإنها تأتي من الهجمات الجماعية التي تعتمد على الأخطاء البشرية أو الثغرات في البرمجيات غير المحدّثة، ما يعني إمكانية التنبؤ بحدوثها وبالتالي يمكن منعها”.
ويوصي الخبير الأمني جهات العمل باتباع التدابير الأساسية التالية للتقليل من المخاطر الأمنية:
• إتاحة شبكة افتراضية خاصة VPN لتأمين اتصال جميع الموظفين العاملين عن بُعد بشبكات الشركة، وحماية حركة البيانات.
• الحرص على حماية جميع أجهزة الشركة، بما فيها الهواتف المحمولة وأجهزة الحاسوب المحمولة، ببرمجيات أمنية مناسبة، والسماح بخيارات مثل مسح البيانات من الأجهزة المفقودة أو المسروقة، وفصل البيانات الشخصية عن بيانات العمل، مع تقييد أنواع التطبيقات التي يمكن تثبيتها على هذه الأجهزة.
• التأكد من تنفيذ التحديثات الخاصة بأنظمة التشغيل والتطبيقات.
• تقييد امتيازات الوصول لدى الموظفين المتصلين بشبكة الشركة، استنادًا إلى مبادئ “الحاجة إلى المعرفة” و”أقل الامتيازات”.
• تذكير زملاء العمل بقواعد الأمن الرقمي الأساسية، المتمثلة في عدم النقر على الروابط في رسائل البريد الإلكتروني الواردة من مجهولين، واستخدم كلمات مرور قوية، وما إلى ذلك، والتأكد من أن الموظفين على دراية بمخاطر التجاوب مع الرسائل غير المرغوب فيها. كما أن من الضروري الاتفاق على قواعد لتأمين العمل، مثل قصر طرح الأسئلة على قنوات الدردشة المحمية، وإجراء المكالمات الجماعية عبر قنوات الاتصال المؤمنة.
