ما هي المخاطر الإلكترونية وأنواعها وكيفية تحديدها والتعامل معها وأمثلة عملية عليها؟
كتابة : بكه
25 يوليو 2024
المخاطر الإلكترونية هي المخاطر التي تتعرض لها المؤسسات والتي تهدد أمانها المالي وسمعتها. تشمل هذه المخاطر البرمجيات الضارة، هجمات التصيد، وسرقة كلمات السر. لمواجهة هذه التهديدات، يجب تحديد وتقييم المخاطر، وتطبيق استراتيجيات فعالة مثل التحديث المستمر وتدريب الموظفين، لضمان حماية الأنظمة وتقليل الأضرار المحتملة.
بعد زيادة الاعتماد على الإنترنت وأنظمة تكنولوجيا المعلومات في مختلف عمليات المؤسسات بكافة الصناعات تقريبًا وتعظيم دورها في زيادة كفاءة العمل؛ ازدادت أيضًا الجرائم الإلكترونية التي تُعد مصدر قلق للمؤسسات وتشكل تهديدًا على أمنها الإلكتروني، وأدت تلك الجرائم إلى تكبد المؤسسات خسائر مالية فادحة، بخلاف الأضرار التي تلحق بسمعتها، وفقدان عملائها ثقتها بها وبأنظمتها، إلى جانب العقوبات القانونية المرتبطة بالفشل في الحفاظ على الامتثال لأمن البيانات.
الأمر الذي يفرض على المؤسسات ضرورة معرفة المخاطر الإلكترونية واتخاذ الاستراتيجيات التي تقلل من حدتها، وفي هذا المقال نوضح ما هي المخاطر الإلكترونية وأنواعها وتأثيراتها السلبية وأمثلة عليها، وكيفية تحديد وإدارة المخاطر الإلكترونية.
المخاطر الإلكترونية:
تشير المخاطر الإلكترونية إلى العوامل التي تلحق الضرر بالمؤسسة من خلال تعرض أنظمة المعلومات والاتصالات الخاصة بها للتهديدات الإلكترونية التي ينتج عنها خرق بياناتها، وذلك بعد تحديد نقاط الضعف المحتملة في الأنظمة والشبكات الرقمية بالمؤسسة، وهو ما يؤدي إلى تكبدها خسائر مالية أو الاضطراب في عملياتها أو الإضرار بسمعتها نتيجة فشلها في تأمين نظامها من الوصول غير المصرح به.
ويمكن أن تتعرض المؤسسات للمخاطر الإلكترونية بعدة طرق، وهي الانتهاكات المُتعمدة من أجل الوصول غير المصرح به لنظام المعلومات الخاص بها، الانتهاكات الأمنية غير المقصودة مثل إرسال رسالة بريد إلكتروني تحتوي على معلومات حساسة بغير قصد إلى مستخدم غير مصرح به، مخاطر تكنولوجيا المعلومات التشغيلية نتيجة ضعف سلامة النظام.
وفي ظل العواقب الوخيمة التي تتعرض لها المؤسسات نتيجة المخاطر الإلكترونية؛ فلا بد من فهم تلك المخاطر ووضع الاستراتيجيات القوية التي تساعد على إدارتها ومنع حدوثها أو التقليل من نتائجها السلبية.
أنواع المخاطر الإلكترونية:
تنقسم المخاطر الإلكترونية إلى عدة أنواع رئيسية، نبرزها فيما يلي:
1- البرامج الضارة Malware
تُعد البرامج الضارة أحد أكثر المخاطر الإلكترونية شيوعًا، وهي عبارة عن البرامج التي يتم إنشائها من أجل انتهاك الشبكة من خلال ثغرة أمنية، وهو ما يؤدي إلى إلحاق الضرر بجهاز كمبيوتر أو شبكة أو خادم، وبالتالي يمكن للمتسلل التحكم في الجهاز أو الشبكة المُخترقة وقيامه بسرقة المعلومات وحذف الملفات ومنع الوصول إلى البرامج والاحتفاظ بالمعلومات من أجل الحصول على فدية.
وللبرامج الضارة عدة أشكال، منها الفيروسات والديدان وأحصنة طروادة وبرامج الفدية وبرامج التجسس، وجميعها يتم تثبيتها على أجهزة الكمبيوتر عن طريق النقر على الروابط الضارة أو رسائل البريد الإلكتروني التصيدية، مستغلة نقاط الضعف الموجودة في الشبكة.
والتحوط من خطر البرامج الضارة، يتطلب القيام بالآتي:
- استخدام أحدث برامج مكافحة البرامج الضارة مثل برامج مكافحة الفيروسات وجدران الحماية.
- عدم فتح الروابط أو الملفات أو مواقع الويب المشبوهة.
- المداومة على تحديث نظام التشغيل والمتصفحات بانتظام.
2- هجمات التصيد الاحتيالي Phishing
وهي من أنواع الهجمات الاجتماعية، وتحدث عندما يقوم المهاجم بانتحال شخصية ليكون جهة اتصال موثوقة، ثم يتصيد الضحايا عن طريق رسائل البريد الإلكتروني والرسائل القصيرة والهاتف ووسائل التواصل الاجتماعي، وإغرائهم بمشاركة المعلومات الحساسة مثل كلمة المرور أو أرقام الحسابات، أو يدعوهم لتنزيل ملفات ضارة تحتوي على فيروسات تخترق الأجهزة بمجرد تثبيتها.
وتتخذ هجمات التصيد الاحتيالي عدة أشكال وهي:
- صيد الرمح: من خلاله يتم استهداف أفرادًا أو منظمات معينة من أجل سرقة معلوماتهم الحساسة باستخدام رسائل البريد الإلكتروني الضارة.
- صيد الحيتان: يستهدف كبار الموظفين التنفيذيين في المؤسسة من أجل سرقة المعلومات أو الأموال.
- التصيد عبر الرسائل النصية القصيرة: إذ يتم إرسال رسائل نصية لخداع المستخدمين وجعلهم يشاركون معلوماتهم الحساسة، بعد إيهامهم بأن مصدر الرسالة هو المصرف أو إحدى خدمات الشحن.
- التصيد الصوتي: يعتمد على خداع المستخدمين بإرسال رسائل صوتية ومكالمات هاتفية لهم والإدعاء بأنها تابعة لمنظمة ذات سمعة معروفة، ودعوة المستخدمين للكشف عن معلوماتهم الخاصة.
وللوقاية من هجمات التصيد الاحتيالي، يجب القيام بالآتي:
- فحص رسائل البريد الإلكتروني المُستقبلة والتأكد من خلوها من تغييرات التنسيق والأخطاء الإملائية.
- المداومة على تحديث كلمات المرور الخاصة بالحسابات.
- استخدام شريط أدوات مكافحة التصيد الاحتيالي.
3- سرقة كلمة السر Password Theft
يتمثل هذا الخطر في قيام المتسلل باستخدام عدة برامج وأدوات تساعد على تخمين كلمة السر من أجل معرفتها وتغييرها للاستيلاء على الحساب، وبالتالي لا يتمكن صاحب الحساب من الوصول إليه، وقد يساومه المتسلل بالحصول على فدية مقابل إرجاع الحساب مرة أخرى.
يمكن الوقاية من هذا الخطر عن طريق ما يلي:
- استخدام كلمة مرور قوية تتكون من أرقام وحروف كبيرة وصغيرة ورموز.
- إجراء تحديث مستمر على كلمة المرور للحماية من أي هجوم.
- عدم استخدام كلمة سر واحدة لعدة حسابات أو مواقع.
4- الهجمات الموزعة للحرمان من الخدمة DDoS
ينطوي هذا الخطر على استخدام عدة أجهزة من عدة أنظمة في شن مجموعة من الهجمات الإلكترونية التي تستهدف الخوادم بتحميلها بشكل زائد مع حركة مرور المستخدم، وعندما لا يتمكن الخادم من التعامل مع الطلبات الواردة، يتعطل موقع الويب الذي يستضيفه أو يتعرض للإغلاق، ولا يتم السماح باستخدامه إلا بعد تلبية مطالب المهاجم.
وللوقاية من تلك الهجمات، يجب تحديد حركة المرور الضارة ووقف الوصول مع نقل الخوادم إلى وضع عدم الاتصال للصيانة.
5- هجوم الحرمان من الخدمة DoS
يختلف هذا النوع من المخاطر عن النوع السابق في أنه يعتمد على شن الهجمات من نظام واحد فقط، إذ يتم شن الهجوم من أجل استهداف الشبكة وغمرها بطلبات كاذبة من أجل تعطيل العمليات التجارية، وهو ما يحد من قدرة المستخدمين على القيام بالمهام الروتينية مثل فتح الحسابات والمواقع الإلكترونية والبريد الإلكتروني.
ولا ينتج عن هجوم الحرمان من الخدمة فقدان البيانات، وبالتالي لا تضطر المؤسسات لدفع فدية، ولكنه يتسبب في تكبد المؤسسة الوقت والمال والموارد للعودة إلى إجراء العمليات التجارية مرة أخرى.
6- برامج الفدية Ransomware
وهي عبارة عن مجموعة من البرامج الضارة التي تثبت نفسها على النظام أو الشبكة، ومن ثم تقوم بتشفير الملفات الموجودة حتى تمنع المستخدم من الوصول إليها، ويتم مساومة المستخدم بدفع فدية مقابل فك التشفير، وفي حال عدم الدفع؛ يمكن أن يقوم المهاجم بحذف تلك الملفات أو نشر البيانات الخاصة عبر الإنترنت.
ويمكن الوقاية من هذا الخطر عن طريق المداومة على تحديث مضادات الفيروسات وتجنب النقر على الروابط الضارة، إذ يصعب إزالة تلك البرامج بعد تثبيتها.
7- هجوم الرجل في الوسط MITM
يُشار إلى هذا الهجوم أيضًا باسم هجوم التنصت، وهو الذي يحدث عندما يكون هناك اتصالًا بين العميل والمضيف، ثم يقوم المهاجم باختطاف الجلسة عن طريق التخفي في عنوان IP مخادع، ثم يقوم بفصل العميل وسرقة البيانات المهمة.
ويمكن منع هذا الهجوم من خلال استخدام التشفير على الأجهزة، مع عدم استخدام أي شبكة من شبكات Wi-Fi العامة.
8- حقن SQL
يُعرف هذا النوع من المخاطر باسم حقن لغة الاستعلام المنظمة، ويستخدمه المتسللون في الهجوم على مواقع الويب التي تعتمد على بيانات العملاء، إذ يتم حقن رمز ضار في مربع بحث ضعيف على موقع الويب، ومن ثم يكشف الخادم عن المعلومات المهمة، فيقوم المتسلل بالتحكم في الجداول الموجودة في قواعد البيانات سواء بالتحرير أو الحذف.
وللوقاية من هذا الخطر، يمكن القيام بالآتي:
- استخدام جدران حماية التطبيقات للكشف عن الطلبات غير المرغوبة.
- التحقق من صحة البيانات المقدمة من المستخدمين.
9- اختطاف التشفير Cryptojacking
في هذا الهجوم الخاص بالعملات المشفرة، تتم إصابة النظام غير المحمي ببرامج ضارة تجبره على إجراء تعدين التشفير، حتى يكسب المهاجم عملة مشفرة، ويُنفذ الهجوم عن طريق الفيروسات أو الإعلانات عبر الإنترنت التي تستخدم رمز JavaScript.
يمكن تجنب خطر اختطاف التشفير عن طريق ما يلي:
- إجراء تحديثات دورية منتظمة للبرنامج وجميع تطبيقات الأمان.
- تثبيت حاجز إعلاني لمنع الهجوم عن طريق الإعلانات عبر الإنترنت، على أن يكون الحاجز مزود بملحقات تعمل على تحديد وحظر نصوص تعدين التشفير.
- تدريب الموظفين على التوعية بالتشفير حتى يستطيعوا اكتشاف تهديدات هذا الخطر.
10- هجوم ثقب الري Watering Hole Attack
يستهدف هجوم ثقب الري مجموعة من مواقع الويب التي تستخدمها المؤسسة بشكل متكرر، إذ يتم تحديدها عن طريق مراقبتها أو من خلال تخمينها، ومن ثم يقوم المهاجمون بإصابتها ببرامج ضارة تصيب أنظمة الضحايا، وذلك من أجل الحصول على المعلومات الشخصية للمستخدم.
ويمكن منع هذا الهجوم عن طريق القيام بالآتي:
- استخدام مضادات الفيروسات والتي يمكنها التعرف على النصوص الخطرة.
- استخدام VPN وميزة التصفح الخاصة بالمتصفح، من أجل إخفاء الأنشطة عبر الإنترنت.
- التأكد من تصحيحات الأمان الخاصة بالنظام بصورة دورية.
أمثلة على المخاطر الإلكترونية:
تتعدد الحوادث الواقعية للمخاطر الإلكترونية التي تعرضت لها كبرى الشركات العالمية، ومن أبرزها ما يلي:
مثال 1
في عام 2022، تعرضت شركة الاتصالات الرقمية Cisco لسلسلة من هجمات التصيد الصوتي المتطورة، والتي مكنت المهاجم من الوصول إلى حساب أحد الموظفين على Google، ومن ثم حاول المهاجم البقاء في شبكة الشركة لأطول وقت ممكن، إلى أن تمكن فريق الأمان بالشركة من إزالة المهاجم من الشبكة، ولم تتأثر العمليات التجارية في الشركة بهذا الهجوم.
مثال 2
في عام 2023، تعرضت منصة Mailchimp لتسويق البريد الإلكتروني والرسائل الإخبارية لهجوم إلكتروني بعدما استخدم أحد المتسللين هجمات الهندسة الاجتماعية والتي مكنته من الوصول إلى إحدى الأدوات التي تستخدمها المنصة لإدارة حسابات المستخدمين ودعم العملاء، ثم الوصول إلى البيانات الموجودة في 133 حساب، وقد نتج عن هذا الهجوم الكشف عن أسماء العملاء وعناوين البريد الإلكتروني.
مثال 3
في عام 2022، أخطأ موظف في شركة طيران بيجاسوس في تكوين إعدادات الأمان بإحدى قواعد بيانات الشركة، وهو ما أدى إلى الكشف عن بيانات 23 مليون ملف تحتوي على مخططات طيران ومواد ملاحة ومعلومات شخصية للطاقم، وأصبحت تلك البيانات متاحة للرؤية والتعديل للجمهور.
خطوات تحديد وإدارة المخاطر الإلكترونية:
حتى تتمكن المؤسسات من حماية أنظمتها وشبكتها من أي هجوم إلكتروني؛ يتعين عليها تحديد وإدارة المخاطر الإلكترونية، من خلال تنفيذ الآتي:
1- تحديد المخاطر الإلكترونية
من أجل تحديد جميع المخاطر الإلكترونية المُحتملة التي قد تواجهها المؤسسة، يجب تحديد جميع الأصول التي يمكن أن تتأثر بأي تهديد إلكتروني، والتي تشمل النظم وقواعد البيانات والعمليات والتطبيقات والمرافق المادية، مع الوضع في الاعتبار مصادر الهجوم سواء كانت داخلية أو خارجية.
كما تتضمن هذه الخطوة تصنيف الأصول على أساس أهميتها بالنسبة للمؤسسة من أجل تحديد مستوى الحماية الذي يتطلبه كل أصل.
وبخلاف ما سبق، لا بد من تحديد جميع المخاطر والتهديدات مع جميع الأحداث التي يمكن أن تحدث والتي تساعد على تحقيق كل خطر وهي تتمثل في نقاط الضعف في الأصول مثل كلمات المرور الضعيفة والبرامج غير المحدثة، ثم تقييم البيانات التي جرى جمعها من أجل بناء مؤشرات المخاطر الرئيسية للتهديدات الإلكترونية الأكثر إلحاحًا.
2- تقييم المخاطر الإلكترونية
الهدف من هذه الخطوة هو تحديد أولويات المخاطر الإلكترونية والتي تتطلب أكبر قدر من الاهتمام، وتُحدد أولوية كل خطر بناءً على تقييم أثره المالي والتشغيلي وتأثيره المُحتمل على السُمعة، واحتمالية حدوثه.
ووفقًا لعملية تقييم المخاطر الإلكترونية، يتم تصنيفها بناءً على النتائج إلى مستويات مرتفعة ومتوسطة ومنخفضة.
3- إدارة المخاطر الإلكترونية
بعد تقييم المخاطر، تأتي خطوة التصدي لها باختيار الاستراتيجية المناسبة لإدارة كل خطر من بين الاستراتيجيات التالية:
- تجنب المخاطر: عن طريق الامتناع عن القيام بأي أنشطة تتسبب في حدوثها.
- نقل المخاطر: عن طريق الاستعانة بطرف ثالث لنقل تداعيات المخاطر إليه.
- الحد من المخاطر: إذ يتم اتخاذ التدابير اللازمة التي تقلل من احتمالية حدوث الخطر أو آثاره السلبية، مثل تحسين أمان النظم أو تحديث البرامج.
- قبول المخاطر: وهي الاستراتيجية الأنسب إذا كانت تكلفة إجراءات التخفيف من المخاطر مرتفعة.
4- المراقبة والمراجعة
بعد اختيار استراتيجية إدارة المخاطر الإلكترونية، لا بد من إجراء مراقبة مستمرة لبيئة المخاطر الإلكترونية للمؤسسة، والتحقق من أن التدابير المُتخذة فعالة وتعمل بكفاءة، وذلك عن طريق مراقبة جميع الأصول للكشف عن أي تهديد محتمل.
وتتضمن هذه الخطوة أيضًا إجراء تحديثات مستمرة على الاستراتيجية حتى تواكب التهديدات الجديدة والتغيرات التي تطرأ على بيئة عمل المؤسسة.
5- بناء ثقافة الوعي بالمخاطر الإلكترونية
يتعين على المؤسسة إرساء ثقافة الوعي بالمخاطر الإلكترونية في جميع أقسامها، عن طريق تدريب الموظفين على التعرف على أي تهديد إلكتروني وكيفية التعامل معه، إلى جانب تعيين وإبلاغ استراتيجية إدارة تكنولوجيا المعلومات والمخاطر الإلكترونية على مستوى المؤسسة، والتأكد من مشاركة الجميع في المعلومات بانتظام.
تعلم إدارة المخاطر واحصل على شهادة معتمدة فيها:
يمكنك الاعتماد على بكه للتعليم في الالتحاق بدورات تدريبية في إدارة المخاطر، تؤهلك للالتحاق بالاختبار والحصول على شهادة مهنية مُعتمدة في هذا المجال، بما يساعد على إعطائك الأفضلية عند التقدم لمختلف الوظائف، حيث تقدم منصة بكه، العديد من الدورات التدريبية المُعتمدة في مجال إدارة المشاريع، ومنها دورات في إدارة المخاطر.
إذا كنت تسعى لمعرفة أساسيات إدارة المخاطر وكيفية حماية الأنظمة من المخاطر الإلكترونية، يمكنك الالتحاق بدورات بكه في إدارة المخاطر والتي تؤهلك للحصول على شهادة مُعتمدة مُعترف بها عالميًا في هذا المجال، وتتمثل تلك الدورات فيما يلي:
انضم إلينا في دورة MoR® التأسيسية واكتسب المعرفة الشاملة والمهارات اللازمة لتحديد وتقييم ومراقبة المخاطر بفاعلية، وتطبيق إطار عمل MoR لتحقيق أهدافك الاستراتيجية.
تطمح إلى أن تكون "صانع القرار" الذي يقود المشاريع نحو بر الأمان؟
سجل الآن في دورة إدارة المخاطر الاحترافية PMI-RMP® وتعلم كيف تتقن فن إدارة المخاطر في المشاريع، وتتجنب العقبات، وتحقق النجاح المنشود.
لكن يبقى السؤال، لماذا أختار بكه؟
في بكه، نؤمن بأن طريقك للنجاح يبدأ باختيار الشريك التعليمي المناسب. نحن لسنا مجرد مؤسسة تدريبية، بل نحن حاضنة لمهاراتك وطموحاتك بسجل حافل من الإنجازات والنجاحات.
انضم إلى عائلة بكه
كن جزءًا من مجتمعنا المتنامي من المتعلمين الطموحين والمحترفين في مجال إدارة المشاريع.
استثمر في مستقبلك المهني معنا، واختر من باقة دورات إدارة المشاريع ما يناسبك احتياجاتك وأهدافك.
اقرأ بروشور خاص وشامل عن تعلم إدارة المخاطر الاحترافية.
الخاتمة:
تزايد الاعتماد على الإنترنت والتكنولوجيا في المؤسسات أدى إلى تصاعد المخاطر الإلكترونية، التي تشكل تهديدًا خطيرًا على الأمان الرقمي وقد تؤدي إلى خسائر مالية ضخمة، تضرر السمعة وفقدان ثقة العملاء، إلى جانب العقوبات القانونية. المخاطر الإلكترونية تشمل مجموعة من التهديدات مثل البرمجيات الضارة، هجمات التصيد الاحتيالي، سرقة كلمات السر، وهجمات الحرمان من الخدمة، والتي تؤثر سلبًا على الأنظمة والبيانات.
لإدارة هذه المخاطر، يجب على المؤسسات تحديد وتقييم المخاطر الإلكترونية بشكل مستمر، وتطبيق استراتيجيات فعالة مثل تجنب المخاطر، نقلها، أو الحد منها. بالإضافة إلى ذلك، يتعين على المؤسسات مراقبة بيئة المخاطر وبناء ثقافة الوعي الأمني بين الموظفين. التدريب على إدارة المخاطر الإلكترونية من خلال دورات معتمدة يساعد في تعزيز قدرات الأفراد والمؤسسات في مواجهة هذه التهديدات بشكل فعال.
وختامًا، فقد باتت إدارة المخاطر الإلكترونية من قِبل المؤسسات ضرورة لا غنى عنها في ظل الهجمات الإلكترونية المتزايدة والتي قد تكلف المؤسسات الكثير من الخسائر التي لا يمكن تعويضها.