وزير الثقافة يلتقي نظيره الكوستاريكي في جدة    أمير حائل يعلن إقامة "منتدى حائل للاستثمار".. 17 مايو    تنمية جازان تشارك في مهرجان الحريد ال21 بجزيرة فرسان    هالة الشمس تتوهج في سماء عسير وترسم منظرًا بديعًا    الصندوق الثقافي يشارك في مهرجان بكين السينمائي الدولي    جراحة نوعية ودقيقة تنقذ مريضًا من ورم سرطاني متشعب في "تخصصي بريدة"    جيسوس: ينقصني الفوز بهذا اللقب    السياحة تشدّد على منع الحجز والتسكين في مكة المكرمة لحاملي جميع التأشيرات باستثناء تأشيرة الحج ابتداءً من 1 ذي القعدة    أسعار الذهب ترتفع وسط شكوك حول خفض تصعيد الحرب التجارية    رحلة "بنج" تمتد من الرياض وصولاً إلى الشرقية    بناءً على توجيهات ولي العهد..دعم توسعات جامعة الفيصل المستقبلية لتكون ضمن المشاريع الوطنية في الرياض    المملكة والبيئة.. من الوعي إلى الإنجاز في خدمة كوكب الأرض    الطيران المدني تُصدر تصنيف مقدِّمي خدمات النقل الجوي والمطارات لشهر مارس الماضي    مستوطنون يقتحمون المسجد الأقصى مجددًا    صدور موافقة خادم الحرمين على منح ميدالية الاستحقاق من الدرجة الثانية ل 102 مواطنٍ ومقيمٍ لتبرعهم بالدم 50 مرة    جامعة بيشة تدخل لأول مرة تصنيف التايمز الآسيوي 2025    ختام مسابقة القرآن الوزارية بالمسجد الحرام    رالي جميل 2025 ينطلق رسمياً من الأردن    1024 فعالية في مهرجان الشارقة القرائي    النصر يستضيف بطولة المربع الذهبي لكرة السلة للرجال والسيدات    تصفيات كرة الطاولة لغرب آسيا في ضيافة السعودية    أكدا على أهمية العمل البرلماني المشترك .. رئيس «الشورى»ونائبه يبحثان تعزيز العلاقات مع قطر وألمانيا    الرجيب يحتفل بزواج «إبراهيم وعبدالعزيز»    المالكي يحصد الماجستير    تكريم متقاعدي المختبر في جدة    لبنان.. الانتخابات البلدية في الجنوب والنبطية 24 مايو    الشرع: لا تهديد من أراضينا وواشنطن مطالبة برفع العقوبات    خارطة طموحة للاستدامة.."أرامكو": صفقات محلية وعالمية في صناعة وتسويق الطاقة    جامعة الفيصل تحتفي بتخريج طلاب "الدراسات العليا"    ناقش مع الدوسري تعزيز الخطاب الإعلامي المسؤول .. أمير المدينة: مهتمون بتبني مشاريع إعلامية تنموية تبرز تطور المنطقة    فصول مبكرة من الثقافة والترفيه.. قصة راديو وتلفزيون أرامكو    الجدعان مؤكداً خلال "الطاولة المستديرة" بواشنطن: المملكة بيئة محفزة للمستثمرين وشراكة القطاع الخاص    منصة توفّر خدمات الإبلاغ عن الأوقاف المجهولة والنظار المخالفين    ملك الأردن يصل جدة    أعادت الإثارة إلى منافسات الجولف العالمي: أرامكو.. شراكة إستراتيجية مع فريق آستون مارتن للسباقات    من يلو إلى روشن.. نيوم يكتب التاريخ    جيسوس يواجه الإعلام.. اليوم    وادي حنيفة.. تنمية مستدامة    إطلاق 33 كائنًا فطريًا في محمية الملك خالد    إيران تندد بالعقوبات الأميركية قبيل جولة المحادثات الثالثة    «الأدب» تدشن جناح الرياض بمعرض بوينس آيرس الدولي للكتاب    الجائزة تحمل رسالة عظيمة    كشمير: هجوم مسلح على سياح يردي 26 قتيلاً    جائزة محمد بن صالح بن سلطان تنظم ملتقى خدمات ذوي الإعاقة    تَذكُّرُ النِّعم    لا مواقع لأئمة الحرمين والخطباء في التواصل الاجتماعي    غرامة (50,000) ريال والسجن للمتأخرين عن الإبلاغ عمن انتهت تأشيرتهم    منجزاتنا ضد النسيان    التصلب الحدبي.. فهم واحتواء    نحو فتاة واعية بدينها، معتزة بوطنها: لقاء تربوي وطني لفرع الإفتاء بجازان في مؤسسة رعاية الفتيات    كشمير: تعزيزات أمنية واسعة ومطاردة منفذي هجوم بيساران    "واعي جازان" يحتفي بروّاد العطاء ويُكرّم شركاء النجاح        أمير المنطقة الشرقية يرعى حفل تخريج الدفعة ال55 من طلاب وطالبات جامعة الملك فهد للبترول والمعادن    بعد أن يرحل الحريد.. ماذا تبقى من المهرجان؟ وماذا ينتظر فرسان؟    بخبرة وكفاءة.. أطباء دله نمار ينقذون حياة سيدة خمسينية بعد توقف مفاجئ للقلب    الأمير محمد بن ناصر يرعى انطلاق ملتقى "المواطَنة الواعية" بتعليم جازان    موجبات الولادة القيصرية وعلاقتها بالحكم الروماني    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



كاسبرسكي: أهم 5 تهديدات قد تواجهها الشركات الصغيرة والمتوسطة في 2023
نشر في البلاد يوم 04 - 01 - 2023

حلل خبراء كاسبرسكي نقاط الضعف التي قد تكون لدى الشركات الصغيرة والمتوسطة وحدّدوا بعض أخطر التهديدات الرقمية التي قد تواجهها الشركات في العام 2023 والتي يجب أن يكون القائمون على تلك الشركات على دراية بها. لا سيما وأن 60% من جميع الشركات الصغيرة والمتوسطة تعرضت لهجمات رقمية على مدار العام 2022 وفقاً للإحصائيات. وقد تفقد الشركات المعلومات السرية والموارد المالية والحصص السوقية القيّمة بسبب الهجمات الرقمية، إذ تتنوّع الطرق التي يحاول المجرمون عبرها الوصول إلى أهدافهم. وتعتبر الشركات حوادث الأمن الرقمي أحد أشدّ الأزمات صعوبة. هذا، ويُعدّ قطاع الشركات الصغيرة والمتوسطة من أبرز المساهمين في الاقتصاد العالمي؛ إذ تشير منظمة التجارة العالمية إلى أن هذا القطاع يمثل أكثر من 90% من جميع الشركات في العالم.
1. تسرّب البيانات بسبب الموظفين
هناك طرق مختلفة يمكن من خلالها تسريب بيانات الشركة، وقد يحدث ذلك بشكل غير مقصود في حالات معيّنة. إذ كان العديد من الموظفين العاملين عن بُعد أثناء الجائحة يستخدموا أجهزة حواسيب الشركات لأغراض الترفيه، كممارسة ألعاب الفيديو عبر الإنترنت أو مشاهدة الأفلام أو استخدام منصات التعلّم الإلكتروني، الأمر الذي ما زال يشكّل تهديداً قد ينطوي على خسائر مالية للشركات. وبينما كانت نسبة الموظفين الذين لم يختبروا العمل عن بعد قبل العام 2020، حوالي 46%، يقول ثلثاهم الآن إنهم لن يعودوا إلى العمل من المكتب، بينما يقول الباقون إن لديهم أسبوع عمل أقصر في المكتب، وذلك في إشارة إلى أن نموذج العمل عن بُعد لن ينتهي.
وفي حين أن مستوى الأمن الرقمي بعد الجائحة واعتماد نموذج العمل عن بعد في الشركات قد تحسَّن، تظلّ أجهزة الحاسوب المؤسسية المستخدمة لأغراض الترفيه إحدى أهم طرق الوصول الأولي إلى شبكات الشركات. وعند بحث المستخدمين عن مصادر بديلة لتنزيل حلقات مسلسل تلفزيوني أو فيلم جديد، يواجهون أنواعاً مختلفة من البرمجيات الخبيثة، بينها التروجانات وبرمجيات التجسس والمنافذ الخلفية وبرمجيات الإعلانات. ووفقاً لإحصائيات كاسبرسكي، فإن 35% من المستخدمين الذين واجهوا تهديدات تتخفّى بهيئة منصات البثّ قد تأثروا بالتروجانات، التي إذا استطاعت الوصول إلى حاسوب مؤسسي فسيكون بوسعها اختراق شبكة الشركة وسرقة المعلومات الحساسة كأسرار تطوير الأعمال والبيانات الشخصية للموظفين.
وهناك ميول، من ناحية أخرى، لإلقاء اللوم على الموظفين السابقين في احتمال تسرّب البيانات؛ إذ لم يعرب سوى نصف قادة الشركات الذين شملهم استطلاع حديث أجرته كاسبرسكي، عن اطمئنانهم إلى أن الموظفين السابقين باتوا لا يستطيعون الوصول إلى بيانات الشركة المخزنة في الخدمات السحابية أو لا يمكنهم استخدام حسابات الشركة. ومع أن الموظفين السابقين قد لا يتذكرون أنه كان بإمكانهم الوصول إلى موارد معينة، فإن الفحوص الروتينية الذي تُجريها الجهات التنظيمية قد تكشف عن أن أشخاصاً غير مصرّح لهم بالوصول إلى الموارد المؤسسية لديهم في الواقع أحد حقوق الوصول، ما قد يؤدي إلى إيقاع غرامات على الشركات.
2. هجمات DDoS
غالباً ما يُشار إلى هجمات الشبكات الموزعة باعتبارها "هجمات حرمان من الخدمة الموزعة" (DDoS). ويستفيد هذا النوع من الهجمات من السعة المطبّقة على أي مورد شبكي، مثل البنية التحتية الخاصة بموقع الشركة على الويب. ويرسِل هجوم DDoS طلبات متعدّدة إلى مورد الويب الذي تمّت مهاجمته، بهدف تجاوز سعة موقع الويب وقدرته على معالجة الطلبات المتعدّدة، وبالتالي منعه من العمل بشكل صحيح.
ويختار المهاجمون مصادر مختلفة لشنّ هجماتهم على مؤسسات مثل البنوك والمؤسسات الإعلامية وشركات التجزئة، وكلها تتأثر كثيراً بهجمات DDoS. واستهدف مجرمو الإنترنت حديثاً خدمة توصيل الطعام الألمانية Takeaway.com (Lieferando.de)، مطالبين بدفع عملتي بيتكوين (حوالي 11,000 دولار) لوقف التدفق الهائل للبيانات على موقع الخدمة. كذلك تميل هجمات DDoS التي تستهدف متاجر التجزئة الإلكترونية إلى الارتفاع خلال مواسم الأعياد التي تشهد ارتفاع نشاط التسوّق.
وهناك أيضاً توجّه متزايد نحو استهداف شركات الألعاب، فقد تعرضت مراكز البيانات الخاصة بلعبة Final Fantasy 14 في أمريكا الشمالية للهجوم في أوائل أغسطس، تسببت للاعبين في مشكلات بالاتصال وتسجيل الدخول ومشاركة البيانات. كذلك استُهدفت ألعاب شركة "بليزارد" Blizzard، Call of Duty وWorld of Warcraft وOverwatch وHearthstone وDiablo: Immortal بهجمات DDoS.
هذا، ولا يجري الإبلاغ عن العديد من هجمات DDoS، نظراً لأن مبالغ التعويضات التي تدفعها الشركات لوقف الهجمات غالباً لا تكون ضخمة.
3. سلاسل التوريد
عادةً ما يعني التعرّض للهجوم من خلال سلسلة توريد أن الخدمة أو البرمجية اللذين تستخدمهما الشركة قد أصبحا من البرمجيات الخبيثة. هذه هي الهجمات التي تصل من خلال بائعي الشركة أو مورديها، كالمؤسسات المالية وشركاء الخدمات اللوجستية وحتى خدمات توصيل الطعام. وقد تختلف مثل هذه الإجراءات في تعقيدها أو قدرتها على التدمير.
فعلى سبيل المثال، استخدم مهاجمون البرمجية الخبيثة ExPetr (المعروفة أيضاً بالاسم NotPetya) لاختراق نظام التحديث التلقائي لبرمجية المحاسبة M.E.Doc، وإجبارها على إيصال برمجية الفدية هذه إلى جميع عملائها، ما تسبّب في خسائر بالملايين في أوساط الشركات الكبيرة والصغيرة على السواء.
وتشمل الأمثلة الأخرى CCleaner، أحد أشهر برمجيات تنظيف سجلات الأنظمة، والمستخدم على نطاق واسع من المستخدمين المنزليين ومسؤولي الأنظمة. ففي مرحلة ما، اخترق المهاجمون بيئة التحويل البرمجي للمطور، وزوّدوا العديد من الإصدارات بمنفذ خلفي، وتم توزيع الإصدارات المخترقة من المواقع الرسمية للشركة على مدار شهر كامل، وتم تنزيلها 2.27 مليون مرة، وحاول أكثر من 1.65 مليون نسخة من البرمجيات الخبيثة الاتصال بخوادم المجرمين.
كذلك لفتت الانتباه حوادث DiceyF، التي وقعت في جنوب شرق آسيا، واستهدفت مشغلاً لكازينو إلكتروني ومنصة لدعم العملاء، واللذين تعرضا للهجوم بأسلوب The Ocean 11.
4. البرمجيات الخبيثة
إذا نزّل أحدهم ملفات من مصادر غير رسمية، فعليه التأكّد من أن هذه الملفات لا تسبب أي ضرر. وقد أصبحت أدوات التشفير التي تلاحق بيانات الشركات وأموالها، وحتى المعلومات الشخصية لمالكيها، من أبرز التهديدات. ويُشار إلى أن أكثر من ربع الشركات الصغيرة والمتوسطة تختار استخدام البرمجيات المقرصنة أو غير المرخصة لخفض التكاليف، والتي قد تتضمن بعض الملفات الخبيثة أو غير المرغوب فيها التي تستغل أجهزة الحاسوب والشبكات المؤسسية.
كذلك، يجب أن يكون أصحاب الشركات على دراية بوسطاء الوصول، نظراً لأن مثل هذه الطبقات من المجموعات سوف تُلحِق أضراراً بالشركات الصغيرة والمتوسطة، بطرق متنوعة، في العام 2023. ويشمل وسطاء أو عملاء الوصول غير القانوني برمجيات التشفير وأدوات سرقة كلمات المرور المصرفية وبرمجيات الفدية وأدوات سرقة ملفات تعريف الارتباط والبرمجيات الخبيثة الأخرى. وتشمل الأمثلة العديدة البرمجية الخبيثة Emotet، التي تسرق بيانات اعتماد الدخول إلى الحسابات المصرفية وتستهدف المؤسسات في جميع أنحاء العالم. كذلك تُعدّ DeathStalker مجموعة أخرى تستهدف الشركات الصغيرة والمتوسطة في قطاعات القانون والمال والسفر. وتتمثل الأهداف الرئيسة للمجموعة بسرقة المعلومات السرية المتعلقة بالنزاعات القانونية المتعلقة بمسؤولين كبار وأصول مالية كبيرة، والمعلومات التجارية التنافسية، بالإضافة إلى الرؤى حول عمليات الدمج والاستحواذ.
5. الهندسة الاجتماعية
نقلت العديد من الشركات كثيراً من مهام عملها إلى الإنترنت، منذ اندلاع الجائحة، وتعلّمت استخدام أدوات تشاركية جديدة. وشهدت باقة Microsoft Office 365 استخداماً متزايداً بكثير، فلم يكن من المفاجئ أن تزداد محاولات التصيّد التي تستهدف حسابات مستخدمي هذه الباقة. ويلجأ المحتالون إلى حيل مختلفة لحثّ المستخدمين في الشركات على إدخال كلمات المرور الخاصة بهم على موقع ويب تم تصميمه ليبدو مثل إحدى صفحات مايكروسوفت Microsoft الخاصة بتسجيل الدخول.
وكشفت كاسبرسكي عن العديد من الطرق الجديدة التي يحاول بها محتالو التصيّد خداع أصحاب الشركات، وبعضها شديد التعقيد، إذ تقلّد خدمات تقديم القروض الشخصية أو التوصيل، عبر موقع ويب مزيف أو إرسال رسائل بريد إلكتروني بمستندات محاسبية مزيفة. كذلك يتنكر بعض المهاجمين في هيئة منصات رسمية عبر الإنترنت لجني الأموال من ضحاياهم، كخدمات تحويل الأموال الشهيرة، مثل Wise Transfer.
واكتشف خبراء كاسبرسكي خطراً آخر تمثّل في رابطٍ يؤدي إلى صفحة مترجمة باستخدام خدمة ترجمة جوجل Google Translate. ويستخدم المهاجمون ترجمة Google لتجاوز آليات الأمن الرقمي، زاعمين أن المرفق في رسالة البريد الإلكتروني نوع من مستندات الدفع المتاحة حصرياً للمستلم، والتي يجب دراستها من أجل "العرض التقديمي والمدفوعات اللاحقة المتعلقة باجتماع التعاقد"، على سبيل المثال. ويشير الرابط إلى موقع تمت ترجمته بواسطة خدمة الترجمة من Google. لكنه يؤدي إلى موقع وهمي أطلقه المهاجمون لسرقة الأموال من ضحاياهم.
وسيحاول مجرمو الإنترنت الوصول إلى ضحاياهم باستخدام كل وسيلة ممكنة، عبر البرمجيات غير المرخصة أو مواقع التصيّد أو رسائل البريد الإلكتروني أو اختراق الشبكات المؤسسية أو حتى عبر هجمات DDoS ضخمة. لكن دراسة استطلاعية حديثة أجرتها كاسبرسكي أظهرت أن 41% فقط من الشركات الصغيرة والمتوسطة لديها خطة للوقاية من الأزمات، ما يجعل الاهتمام بالأمن الرقمي وفهم التحديات المتصلة بمعالجة حوادث الأمن التقني توجهاً جيداً يؤمل في أن يؤدي إلى اتخاذ الشركات تدابير وقائية موثوق بها.
وتوصي كاسبرسكي الشركات باتباع التدابير التالية للحماية من الهجمات الرقمية:
تنفيذ سياسة قوية لكلمات المرور، تتطلب استخدام كلمة مرور قياسية مكونة من ثمانية أحرف على الأقل بينها على الأقلّ رقم وحرف كبير وحرف صغير ورمز خاص، مع الحرص على تغيير كلمات المرور إذا كان هناك أي شك في اختراقها أو تسربها. ويمكن وضع هذا النهج موضع التنفيذ دون بذل أي جهد، باستخدام حل أمني يتضمن أداة لإدارة كلمات مرور إدارة شاملة.
عدم تجاهل التحديثات من موردي البرمجيات والأجهزة، إذ تتضمّن عادة تصحيحات للثغرات الأمنية بجانب المزايا والتحسينات الجديدة على واجهة الاستخدام.
الحفاظ على مستوى عالٍ من الوعي الأمني بين الموظفين، من خلال تشجيعهم على التعرف على التهديدات الحالية وطرق حماية حياتهم الشخصية والمهنية والحصول على دورات مجانية في هذا المجال. ويُعدّ تنظيم برامج تدريب شاملة وفعالة للموظفين بالتعاون مع جهات خارجية، طريقة جيدة لتوفير الوقت والجهد على أقسام تقنية المعلومات، وضمان الحصول على نتائج جيدة.


انقر هنا لقراءة الخبر من مصدره.