الغوص العميق في الأمن السيبراني: ما هو BYOD وتسعة مخاطر أمنية

Alex Popa

By Alex Popa . 19 يناير 2024

صحفي الأمن السيبراني

Miklos Zoltan

Fact-Checked this

سياسة جلب جهازك الخاص (BYOD) هي سياسة تتيح للموظفين استخدام أجهزتهم الخاصة (الهواتف، الحواسيب المحمولة، إلخ) في العمل أو عن بُعد. ووفقًا لموقع “Cybersecurity Insiders”، حوالي 82% من المنظمات تطبق سياسة BYOD.

بينما تجعل هذه السياسة الموظفين أكثر كفاءة وتعزز معنوياتهم وتوفر المال للشركة، هناك العديد من المخاطر الأمنية المرتبطة بسياسة BYOD.

إليكم ملخص سريع للمخاطر:

  • إصابة الجهاز بالبرامج الضارة
  • الخلط بين الاستخدام الشخصي والعملي
  • فقدان الجهاز أو سرقته
  • استخدام شبكة واي-فاي غير آمنة
  • قلة الوعي بالأمن السيبراني والإهمال
  • الوصول غير المصرح به إلى البيانات الحساسة
  • عدم وجود تحديثات الأمان والبرامج
  • تقنية المعلومات الخفية
  • الإهمال في الالتزام بسياسات الأمن

هذه المخاطر الأمنية التسع الكبرى يمكن أن تضر بأعمالك بشكل جدي إذا سمحت بسياسة BYOD دون إجراء فحوصات منتظمة.

فيما يلي، سأتحدث بمزيد من التفصيل عن كل مخطر أمني وأقترح بعض الحلول. استمروا في القراءة!

إصابة الجهاز بالبرمجيات الخبيثة

Image showing a cyber spider crawling on a circuit board

أكبر مخاطر سياسات جلب جهازك الخاص (BYOD) هي الإصابة بالبرمجيات الخبيثة. يميل الموظفون إلى الإهمال في الاهتمام بأمان أجهزتهم الشخصية ولا يعيرون الكثير من الانتباه إلى التطبيقات التي يقومون بتثبيتها.

قد يقومون بتحميل ملفات PDF، وتثبيت الألعاب وتطبيقات أخرى للاستخدام الشخصي، وقد تكون العديد من هذه التطبيقات مصابة ببرمجيات خبيثة.

بما أن الجهاز يحتوي أيضًا على بيانات الشركة، ستحصل البرمجيات الخبيثة على الوصول إليها، مما يتسبب في خرق البيانات.

والأكثر من ذلك، عندما يأتي الموظف إلى العمل ويربط جهازه بشبكة الشركة، ستنتشر البرمجيات الخبيثة في الشبكة بأكملها، مما يؤدي إلى أزمة.

هناك عدة أنواع من البرمجيات الخبيثة، تشمل:

  • الفيروسات
  • طروادة
  • أدوات التصيد الاحتيالي
  • مسجلات الضغطات
  • البرمجيات الإعلانية
  • الديدان
  • برمجيات التجسس
  • برمجيات الفدية
  • البرمجيات الخبيثة بدون ملف

الأسوأ من ذلك كل شيء على الإنترنت يمكن أن يكون مصابًا بأي من هذه البرمجيات الخبيثة. كل ما تحتاجه هو لحظة تقصير في الحكم عند الوصول إلى موقع غريب أو تحميل تطبيق وسيصاب جهازك.
كصاحب عمل، ليس لديك تقريبًا أي تحكم في كيفية استخدام الموظف لجهازه الشخصي في المنزل.

لذلك، لا تعرف إذا كان جهازهم مصابًا أم لا.

الحلول

  • فرض تثبيت حلول مكافحة البرمجيات الخبيثة على أجهزة الموظفين. سيساعد هذا في تنبيههم حول أي تطبيقات أو مواقع مشبوهة، مما يمنع إصابة الجهاز بالبرمجيات الخبيثة
  • فحص جميع التطبيقات التي قام الموظفون بتثبيتها على أجهزتهم الشخصية عند القدوم إلى العمل. إجراء فحوصات أمان للتأكد من عدم وجود خطر الإصابة بالبرمجيات الخبيثة
  • تطبيق سياسات استخدام صارمة لمنع الموظفين من استخدام أجهزتهم الشخصية بحرية دون مراعاة مخاطر الأمن السيبراني (مثلاً، منع الموظفين من تثبيت الألعاب أو التطبيقات غير الخاصة بالعمل على أجهزتهم)
  • إجراء فحوصات روتينية منتظمة على أجهزة BYOD للتأكد من عدم تثبيت تطبيقات غير متوقعة أو أنها لم تصب بالبرمجيات الخبيثة

خلط الاستخدام الشخصي والمهني

صورة تُظهر خريطة جغرافية سيبرانية محاطة بأجهزة الكمبيوتر
عند تطبيق سياسة BYOD، من المحتم لأن الموظفين سيقومون بخلط الاستخدام الشخصي والمهني على أجهزتهم.

هذا يخلق نقاط ضعف أمنية لأن البيانات الشركاتية ستُخزن على أجهزة تُستخدم في أنشطة غير آمنة مثل التسوق عبر الإنترنت.

من الصعب جدًا السيطرة على أجهزة الموظفين لأنك لن تعرف كيف يستخدمونها في المنزل.

وهذا ما قد يحدث نتيجة لذلك:

  • يقوم الموظف بإعارة الجهاز لصديق، مما يعرض البيانات الحساسة للخطر
  • يتصل الجهاز بشبكة واي-فاي غير آمنة
  • يصل الموظف إلى موقع ويب مُصاب، مما يعرض البيانات الحساسة للخطر
  • يقوم الموظف بتحميل ملف مُصاب، مما يؤدي إلى الوصول إلى البيانات الشركاتية الخاصة على الجهاز

من الصعب للغاية السيطرة على هذه الأمور. تشكل سياسة BYOD مخاطر أمنية سيبرانية كبيرة وليست سهلة الاجتناب.

الحلول

  • فصل بين الاستخدام الشخصي والمهني للتأكد من أن المستخدم لا يؤثر على البيانات العملية عند استخدام الجهاز لاحتياجات شخصية. يمكن تحقيق ذلك من خلال تشفير البيانات، ونظام أمان بلا ثقة، ومبدأ أقل صلاحية
  • فرض استخدام شبكة VPN لمنع اعتراض الاتصالات الخبيث عند توصيل الجهاز بشبكة واي-فاي غير آمنة
  • قطع الوصول إلى التطبيقات والبيانات العملية عند مغادرة الموظف لمنع أي وصول غير مصرح به أو خرق للبيانات في حالة إهمال الموظف
  • فرض الوعي الأمني لتجنب الإهمال واللامبالاة في الاستخدام الشخصي في المنزل

فقدان أو سرقة الجهاز

صورة هاتف يُظهر شاشة أمان
إن احتمالية فقدان الموظف لجهازه الشخصي أعلى بكثير مقارنةً بجهاز العمل.

تُظهر إحدى الدراسات أن 68% من خروقات البيانات الصحية نتجت عن فقدان أو سرقة جهاز موظف.

هذا يحدث لأن الجهاز الشخصي أكثر عرضة للسرقة أو الفقدان بسبب طريقة ومكان وزمان استخدامه.

يُستخدم جهاز العمل فقط في العمل، بينما يُستخدم الجهاز الشخصي في كل مكان يذهب إليه المستخدم.

أي شخص يتواصل مع المستخدم قد يسرق أو يصل إلى جهازه ويحصل على بيانات الشركة الحساسة.

الحلول

  • تدريب الموظفين على استخدام كلمات المرور والأمان البيومتري على أجهزتهم لتجنب الوصول غير المصرح به في حال فقدان الجهاز أو سرقته
  • تدريب الموظفين على الإبلاغ عن جهاز مسروق/مفقود فورًا لإلغاء أوراق اعتماد الوصول الخاصة به وتجنب خرق البيانات
  • تشفير البيانات العملية على جهاز الموظف بحيث لا يمكن الوصول إليها خارج بيئة العمل

استخدام شبكات واي-فاي غير آمنة

Image of a Wi-Fi network surrounded by data files

هذا يستحق مكانه الخاص في القائمة بسبب مدى خطورة واي-فاي على أمان البيانات على أجهزة الموظفين.

شبكات واي-فاي العامة هي من أسوأ مخاطر الأمن السيبراني بسبب مدى ضعفها أمام التلاعب الخارجي.

هجمات “الرجل في المنتصف” فعالة للغاية في اختراق اتصالات واي-فاي وإصابة الأجهزة المتصلة.

أماكن واي-فاي الوهمية أكثر شيوعًا مما تعتقد، ومن السهل جدًا الوقوع في فخها إذا لم تتمكن من التمييز بين شبكة واي-فاي خبيثة وأخرى شرعية.

نوع آخر من هجمات واي-فاي هو التجسس، حيث يستغل المخترقون نقاط الوصول غير المشفرة أو المزيفة لاختراق الأجهزة المتصلة بشبكات واي-فاي العامة. وبما أن معظم شبكات واي-فاي العامة غير مشفرة، فإن المخاطر حقيقية للغاية.

الحلول

  • توجيه الموظفين لعدم استخدام شبكات واي-فاي العامة لتجنب مخاطر الأمن السيبراني الكبرى مباشرة
  • إلزام استخدام شبكات VPN لجميع الموظفين، مما يوفر الحماية ضد هجمات واي-فاي
  • تعزيز الوعي بالأمن السيبراني، خاصةً بشأن استخدام واي-فاي العام أثناء التنقل
  • تشفير البيانات الشركاتية على الجهاز لمنع الوصول غير المصرح به حتى لو تم اختراق الجهاز بعد استخدام شبكة واي-فاي عامة

نقص الوعي بالأمن السيبراني والإهمال

Image of a computer set on a table, with code behind it

وفقًا لتقرير تحقيقات خرق البيانات لعام 2023 الصادر عن شركة فيرايزون، 74% من جميع خروقات البيانات شملت العنصر البشري.

عندما يقولون “العنصر البشري“، يقصدون موظفي الشركة الذين ارتكبوا خطأً، أو أهملوا، أو تصرفوا بجهل. الهندسة الاجتماعية، باختصار.

الإهمال ونقص الوعي بالأمن السيبراني يمكن أن يؤدي إلى كارثة لأي شركة تعمل على الويب.

عدد لا يحصى من الهجمات السيبرانية يتم تسهيلها من خلال العنصر البشري. البرمجيات الخبيثة، التصيد الاحتيالي، الديدان، برمجيات الفدية، أيا كانت، ستجد شخصًا مذنبًا بالإهمال.

إليك كيف قد يبدو ذلك:

  • تحميل مرفق تصيد من بريد إلكتروني مزيف
  • تثبيت تطبيق مصاب من متجر Play، مما يؤدي إلى اكتشاف بيانات حساسة على الجهاز
  • زيارة موقع ويب مصاب، مما يؤدي إلى تحميل برمجية فدية على جهازك، والتي تنتهي بإصابة قاعدة بيانات الشركة
  • استخدام شبكة واي-فاي غير آمنة بدون VPN والوقوع ضحية لهجوم “الرجل في المنتصف”
  • سرقة جهازك، مما يؤدي إلى الكشف عن بيانات الشركة الحساسة

الإهمال، عدم الاهتمام، الكسل، اللامبالاة، كل هذه مشكلات للموظفين الذين لديهم وصول إلى بيانات حساسة.
عندما يأتون بأجهزتهم الخاصة إلى المكتب، يصبح مجموعة كاملة من سيناريوهات الهجوم واقعًا وعليك الاستعداد لها.

الحلول

  • تعليم الموظفين عن الهجمات السيبرانية ومنفذي التهديدات. يجب أن يعرف الموظفون عن أنواع الهجمات السيبرانية المختلفة، والمخاطر المرتبطة بالتصفح عبر الإنترنت، وكيفية التعرف على الاحتيال، وكيفية التعامل مع الهجمات، وما لا يجب فعله أثناء التواجد على الإنترنت
  • إجراء فحوصات دورية وفرض قواعد أمنية صارمة. لا تريد أن يكون موظفوك مهملين أو غير مهتمين بأمان البيانات الشركاتية. التدريب الأمني أمر واحد لكن الفحوصات الدورية هي الطريقة للحفاظ على انتباه ووعي الموظفين

الوصول غير المصرح به إلى البيانات الحساسة

صورة لقفل يقع في منظر أمني سيبراني
عند الحديث عن BYOD، فإن أحد أعلى المخاطر هو وصول شخص ما إلى البيانات الحساسة دون إذن.

قد يعني هذا السرقة، ولكن قد يعني أيضًا استخدام جهاز الموظف دون علمه.

بما أن الموظفين سيأخذون أجهزتهم إلى المنزل، قد يفتح شخص ذو نوايا سيئة هذه الأجهزة، يصل إلى البيانات الحساسة، ويكشفها.

هناك أيضًا خطر سرقة الجهاز من قبل شخص ذو نوايا سيئة. قد ينتهي الأمر بذلك إلى خرق للبيانات إذا لم يتم تأمين الجهاز بشكل صحيح.

بالنظر إلى أن 79% من الأمريكيين يحتفظون بهواتفهم الذكية معهم لمدة 22/24 ساعة في اليوم، فمن الواضح كيف أن خطر سرقة البيانات أمر مهم يجب الأخذ في الاعتبار.

فقدان الجهاز أيضًا احتمال وارد. يجب أن تأخذ في الاعتبار خطأ الإنسان والإهمال عند تطبيق BYOD في شركتك.

الحلول

  • كلمات مرور قوية لجميع أجهزة العمل. تأكد من أن موظفيك يستخدمون كلمات مرور قوية لأجهزتهم. ideal يجب أن يضعوا كلمة مرور أخرى على ملفات ومجلدات الشركة
  • التحقق البيومتري سيقلل من هذا الخطر بشكل أكبر، مما يضمن أن من يحصل على الجهاز لا يمكنه استخدامه
  • أنظمة المصادقة الثنائية (2FA) مطبقة بحيث حتى لو حصل شخص ما على الجهاز، لا يمكنه الوصول إلى البيانات الحساسة بدون الرمز الصحيح لـ 2FA (أو المفتاح الفعلي)
  • الإبلاغ الفوري عن فقدان/سرقة الجهاز بحيث يمكن للمسؤولين إلغاء أي رموز وصول على الجهاز التي قد يستخدمها طرف ثالث للوصول إلى قواعد بيانات الشركة

فقدان التحديثات الأمنية وبرمجيات التصحيح

Image of a device set on a table

سبب آخر يجعل BYOD قد يشكل خطرًا أمنيًا جديًا هو أن الموظفين قد لا يكونون محدثين بأحدث تحديثات الأمان وبرمجيات التصحيح.

نحن جميعًا نعلم أن معظم الناس يميلون إلى الإهمال بشأن أجهزتهم الشخصية. الأمر كله يتعلق بالراحة.

لكن هذه الراحة تأخذ ثمنًا كبيرًا على الأمن الشخصي (والشركاتي) عندما لا تقوم بتثبيت أحدث التحديثات الأمنية.

إليك ما قد يحدث في هذه الحالة:

  • استغلال ثغرة يوم الصفر التي تم اكتشافها حديثًا (والتي لا تعرف عنها) قد يمكن المخترقين من التسلل إلى هاتفك وسرقة البيانات الحساسة
  • قد يؤثر هجوم سيبراني حديث يدمر نوع نظام التشغيل الخاص بك عليك لأنك لم تقم بتثبيت أحدث تحديث أمني
  • العديد من ثغرات النظام قد تفتح جهازك لهجمات من طرف ثالث ذو نوايا خبيثة

خارج المكتب، قد يكون الموظفون أقل ميلاً لاتباع احتياطات الأمان والاعتناء بقدر ما يفعلون في المكتب.
ومع ذلك، هذا مهم للغاية، إن لم يكن أكثر، من أجل حماية البيانات الشركاتية على الجهاز.

الحلول

  • إجراء فحوصات منتظمة على أحدث إصدار من نظام التشغيل لأجهزة موظفيك للتأكد من أنهم يستخدمون أحدث برمجيات وتحديثات الأمان
  • التأكيد على أهمية تثبيت تحديثات الأمان والبرمجيات لموظفيك حتى يغيروا عقليتهم من البداية. تجاهل ذلك قد يكون له عواقب وخيمة على عملك

تكنولوجيا المعلومات الخفية

Image of a laptop surrounded by locks

تحدث تكنولوجيا المعلومات الخفية عندما يستخدم الموظفون أجهزة غير مصرح بها أو يقومون بتثبيت برمجيات غير مصرح بها على أجهزة العمل دون إعلام فريق تكنولوجيا المعلومات بذلك.

حوالي 80% من العمال يعترفون بأنهم يستخدمون تطبيقات SaaS التي لا يعرف عنها قسم تكنولوجيا المعلومات.

قد تكون الأسباب متعددة، ولكن في معظم الحالات، يدعي العمال أن الإبلاغ عن كل شيء لقسم تكنولوجيا المعلومات سيبطئ سير العمل.

بينما قد يكون هذا صحيحًا، يجب ألا يتم تجاهل المخاطر الأمنية التي تشكلها تكنولوجيا المعلومات الخفية.

الموظفون ليسوا خبراء أمن، لذلك يمكن أن يُدخلوا مخاطر أمنية جديدة من خلال استخدام برمجيات أو أجهزة غير موافق عليها.

بعض هذه التطبيقات قد تكون معايير الأمان فيها ضعيفة، أو لا تحتوي على تشفير، وحتى قد تحتوي على ثغرات أمنية.

الحلول

  • التأكيد على أن الأجهزة أو البرمجيات غير المصرح بها ممنوعة حتى لا ينخرط الموظفون في استخدام تكنولوجيا المعلومات الخفية. يجب توضيح المخاطر الأمنية من البداية والتشدد في تطبيق اللوائح
  • محاولة توفير جميع الأدوات المتعلقة بالعمل للموظفين حتى لا يضطروا إلى استخدام تكنولوجيا المعلومات الخفية. غالبًا ما يحدث هذا بسبب تضييع قسم تكنولوجيا المعلومات الوقت في الموافقة على أداة يحتاجها الموظفون لأداء عملهم
  • تطبيق آلية اكتشاف أمني أفضل للأجهزة أو البرمجيات غير المصرح بها حتى يمكنك اكتشافها مبكرًا

الإهمال في مراعاة سياسات الأمن

صورة تُظهر شبكة مترابطة من النقاط
بعض الموظفين سيكونون ببساطة غير مدركين أو مهملين ولا مبالين بشأن سياسات الأمن التي قمت بوضعها.

قد يحدث هذا لعدة أسباب مثل:

  • المشاكل الشخصية
  • الثقة المفرطة في تجنب المخاطر الأمنية دون الالتزام باللوائح الصارمة
  • عدم الاهتمام

أي من هذه الأسباب مشكلة كبيرة لأمن شركتك. يجب التعامل معها في أقرب وقت ممكن.

الحلول

  • اكتشاف سبب إهمال الموظفين ومحاولة حل هذه المشكلة. شرح لهم الأثر المحتمل لخرق البيانات والعواقب المحتملة إذا كانوا مسؤولين عنه
  • فصل الموظفين الذين يكونون مهملين باستمرار. من الأفضل التخلي عن موظف يكون مهملًا باستمرار ولا يستطيع الالتزام بالقواعد

هل سياسة BYOD تستحق العناء في النهاية؟

لسياسات BYOD بعض الفوائد الواضحة التي يجب أن تعرفها:

  • تكاليف أولية أقل بكثير للأجهزة المقدمة للموظفين. بما أنهم يأتون بأجهزتهم الخاصة إلى العمل، ستوفر في هذه المصاريف
  • تحسين إنتاجية الموظفين بسبب اعتيادهم على أجهزتهم الخاصة
  • زيادة رضا الموظفين لأنهم يجلبون عنصراً من الألفة إلى العمل ولا يضطرون للتعامل مع جهازين شخصي وعمل في نفس الوقت
  • تحقيق قدر أكبر من الحركة لأن الموظفين يكونون متاحين دائمًا، حتى خلال أوقات راحتهم الرسمية. يجب أن يعزز هذا الاستجابة والتفاعل
  • مرونة أكبر في الوصول إلى موارد الشركة من أي مكان، مما يزيد من الروح المعنوية للموظفين وتفاعلهم وولائهم

هذه هي الفوائد الرئيسية لسياسات جلب جهازك الخاص للشركة وموظفيها.
لكني وصفت أيضًا المخاطر الأمنية أعلاه. هناك احتمال لخرق أمني كارثي ينتظر الحدوث إذا تم استغلال سياسات BYOD بشكل سيء ومُخادع.

ستحتاج إلى وضع بعض القواعد الأساسية عند تطبيق BYOD. فحوصات الأمان، والوعي بالأمن السيبراني، والتشجيع النشط على تجنب الإهمال الأمني وتكنولوجيا المعلومات الخفية، كلها خطوات ضرورية نحو بيئة BYOD صحية.

ليس من المستحيل تحقيق ذلك، على أية حال. مع الأدوات والتخطيط الصحيح، يمكن أن تعزز BYOD أداء عملك بشكل كبير.

تابعوا المزيد من المحتوى الخاص بالأمن السيبراني في PrivacyAffairs!

المصادر

BitGlassتقرير أمان BYOD 2021
Privacy Affairsلماذا يُعتبر التصيد الاحتيالي شائعًا وكيف تحمي نفسك ضده؟
Perception Pointأمان BYOD: التهديدات، التدابير الأمنية وأفضل الممارسات
Privacy Affairsالغوص العميق في الأمن السيبراني: ما هو مبدأ أقل صلاحية؟
Kiteworksالأجهزة المحمولة المفقودة والمسروقة هي السبب الرئيسي لخروقات بيانات الرعاية الصحية
Forbesالمخاطر الحقيقية لشبكات واي-فاي العامة: إحصاءات رئيسية وبيانات استخدام
Verizonتقرير تحقيقات خرق البيانات 2023
Privacy Affairsفن الخداع السيبراني: الهندسة الاجتماعية في الأمن السيبراني
Privacy Affairsالغوص العميق في الأمن السيبراني: 18 نوعًا من الهجمات السيبرانية وطرق الوقاية
Leftronicإحصاءات استخدام الهواتف الذكية: حول العالم في 2023
Track21 إحصائية لإدارة تكنولوجيا المعلومات الخفية يجب أن تعرفها
Jumpcloudفوائد BYOD للأعمال

Leave a Comment