العمل عن بعد عن طريق الانترنت.. بأمان
العمل عن بعد عن طريق الانترنت.. بأمان
في مطلع هذا الأسبوع طلبت العديد من الشركات والمنظمات - خصوصاً العاملة في مجال التكنولوجيا الرقمية - من موظفيها بأن يعملوا من مكاتبهم المنزلية عن بعد لمنع تفشي وباء الفيروس التاجي (كورونا). العمل عن بعد عن طريق الانترنت ليس بظاهرة جديدة لكنه لم يتم استخدامه على نطاق واسع في المنطقة العربية كحل لضمان استمرارية العمل في حال حلول ظروف قاهرة قبل هذا الشهر. هذا الحل له نواحٍ إيجابيةٍ إضافية مثل استقطاب المواهب اليافعة التي تحبذ المرونة في تحديد مكان أو أوقات الدوام، بل وزيادة الإنتاجية أيضاً، ولا تنسى خفض انبعاث الكربون، لكنه ليس بدون محاذير أمنية رقمية. إذ أن لا شك في أن معظم المؤسسات من مختلف الأحجام أصبحت معرضة لهجمات من مختلف الأنواع المتطورة بشكل متزايد في السنوات الأخيرة. عند انتهاء أي من الهجمات عبر شبكة الانترنت تقوم الشركة المستهدفة بتحقيق موسع بعد تحليل الأسباب الجذرية لوقوع الهجوم ونجاحه. مما يدعو للأسف حقيقة، أن معظم الهجمات عادةً ما تنتج عن إهمال أو تسرع ولو كان بشكلٍ بريءٍ غير مقصودٍ في معظم الأحيان، في حين يكون البعض الآخر بسبب تآمر وتعاون موظفٍ مع القراصنة للكسب غير المشروع من طرف بعض ضعاف النفوس. أفضل حماية دوماً هو درهم وقاية كما نقول فهي خيرٌ من قنطار علاج؛ العمل عن بعد عادة ما يكون مشتبه به عند وقوع هجمة رقمية ضد البنية التحتية المعلوماتية للمؤسسة، لكن باستعمال المنطق وإتباع بعض التعليمات البسيطة يمكن أن نتعاون جميعاً لحماية مكان عملنا الرقمي ونستمتع بفوائد ومزايا العمل عن بعد:
فيديو ذات صلة
This browser does not support the video element.
- الاحتفاظ ببيانات العمل على أجهزة كمبيوتر العمل لأنها مجهزة ببرامج حماية ضد الفيروسات ومراقبة لحماية المستخدم والمعلومات المحفوظة عليها. لا تحظى معظم أجهزة الحاسوب المنزلية الممتلكة شخصيا من طرف الموظفين بنفس المستوى من الحماية والرقابة ضد الفيروسات والهجمات.
- تجنب شبكة Wi-Fi العامة؛ إذا لزم الأمر، استخدم النقاط الفعالة الشخصية Hotspot على جهازك الجوال أو عن طريق الشبكات الخاصة الافتراضية VPN لتشفير اتصال جهازك الخاص بك بشبكة الويب. شبك جهاز الكومبيوتر أو الجوال بشبكات ال Wi-Fi العامة التي عادةً ما تكون بدون كلمةِ سرٍ لحماية الاتصال عبرها يعرض المعلومات المتبادلة خلال الاتصال لخطر السرقة والتنصت من طرف مستخدمين آخرين على نفس الشبكة حيث أنها تكون غير مشفرة باستخدام برامج مراقبة الشبكات مثل Snort.
- في حال الحاجة لاستخدام الشبكات الخاصة الافتراضية ينصح باستعمال حلول معتمدة من فريق أمن المعلوماتية في الشركة قبل اللجوء للحلول العامة المتوفرة في متاجر التطبيقات إذ أنه من الرغم من قدرتها على حماية اتصال المستخدم بشبكة Wi-Fi لا تحمي أو تشفر الاتصال بعد المرور من خوادم شركة ال.VPN للعلم، إن كان هنالك تساؤل، فأن استخدام الـ VPN ليس ضد القانون في بعض الدول مثل الإمارات العربية المتحدة على شرط أن لا يتم استخدامه لارتكاب جريمة أو إخفاء نشاط غير قانوني.
- يمكنك استخدام جهزك الشخصي إن كان مكان عملك يوفر للموظفين بوابة رقمية Portal لاستخدام تطبيقات والوصول الآمن إلى معلومات الشركة عن طريق اتصال مشفر عن طريق المتصفح كما هو الحال مع Microsoft Office365 أو Google G-Suite أو Citrix مثلاً.
- تشفير البيانات الحساسة على جهازك وخصوصاً قبل إرسالها عن طريق البريد الإلكتروني.
- المواظبة على استراتيجية نسخ احتياطي لجميع البيانات الحساسة Backup بشكل يومي على الأقل للتمكن من استردادها لا قدّر الله ان تعرضت للمحو عن طريق الخطأ أو الوقوع ضحية لهجوم طلب فدية أو سرقة جهازك أو تعطل القرص الصلب.
- قم بتأمين مكتبك المنزلي بالتزامك احترازات كقفل الباب لحماية جهاز الكومبيوتر ولا تترك الجهاز في صندوق السيارة أيضاً. قد يدهشك مقدار الغرامات في حال تعرض الجهاز للسرقة إن كان يحتوي معلومات عن عملاء الشركة خصوصاً إن كانت ملفات وبيانات طبية أو مالية للشركة غير مشفرة ولا تتفاجأ ان كلفك هذا وظيفتك.
- لا تستعمل أي أقراص الإبهام مجهولة المصدر USB memory stick. يستخدم القراصنة تقنية كلاسيكية تتمثل بإسقاط أو إهداء عدد كبير من أقراص الإبهام ذات السعة الكبيرة بعد زرع برنامج خبيث بالقرب من شركة ما يأملون في اختراقها. للأسف فمن المحتمل جداً بشكل مدهش أن يلتقط موظفٌ من الشركة المستهدفة عن غير قصد أحد تلك أقراص الإبهام ويستخدمه بشكل غير متوقع بل وأن يحاول فتح ملفات متروكة من دون أن يعلم أنه سهّل عمل القراصنة في إطلاق هجوم. لهذا السبب تقوم العديد من الشركات بتعطيل مداخل اليو أس بي USBعلى أجهزة الموظفين بالذات لتجنب إمكانية حصول هذا السيناريو.
- استخدم مانع بيانات USB عند الشحن في محطة شحن الهاتف العام.
إذا كنت بحاجة إلى شحن هاتفك في مكان عام كالمطار على سبيل المثال وكان الخيار الوحيد هو منفذ USB غير معروف، فإن الإجراء الحكيم هو حماية الجهاز باستخدام مانع بيانات USB Data Blocker لمنع تبادل البيانات والحماية من البرامج الضارة. يسمح هذا النوع من حماية USB للجهاز بالاتصال بالطاقة دون تعريض دبابيس البيانات داخل جهازك؛ إنه يسمح بربط أسلاك الطاقة، ولكن ليس البيانات.
- انتبه من خطر "التصيد" Phishingعن طريق التحقق من مصدر رسالة بريد الكتروني؛ من المهم جداً ان يقوم الموظف بالتحقق من أي وصلات تصله عن طريق البريد الالكتروني للتأكد من خلوها من برامج قرصنة قبل الضغط عليها و إن كانت تظهر مألوفة الشكل أو من مصدر مألوف لأن القراصنة يأملوا أن يتسرع الموظف بالضغط عليها مما سيتسبب بإطلاق هجوم عن طريق سرقة كلمة سر الدخول أو الانتقال الى أجهزة الموظفين الآخرين و خوادم الشركة على نفس الشبكة يلي ذلك استكشاف ثم اختطاف ملفات و قواعد الشركة البيانية الثمينة عن طريق تشفيرها بكلمة سر و المطالبة بفدية باهظة مقابل كلمة سر التشفير مما يتسبب بتعطيل عمل المؤسسة نهائياً ريثما يتم استرجاع الملفات من نسخة احتياطية غير متأثرة بالهجوم أو دفع الفدية. تستطيع بعض البرامج المتطورة مثل Malwarebytes أو Carbon Black حماية جهاز الموظف والخوادم من مثل هذه الهجمات المتطورة Malware Attacks لكن الحذر واجب لتجنب سيناريو مؤلم وباهظ التكلفة. للأسف يظن البعض أن مجرد استخدام مضادات الفيروس وتشفير ملفات وبيانات الشركة كافٍ لدحض مثل هذا الهجوم المتطور لكن في الحقيقة يمكن تشفير ملفات مشفرة مسبقاً مرة أخرى لاتخاذها كرهينة لابتزاز المؤسسات. كما ذكرت سابقاً يجب التأني والتأكد من مصدر أي رسالة بريد الكتروني قبل الثقة بمحتواها رغم أنها تبدو مألوفة من مصدر مألوف وتشبه رسائل سابقة من حيث المحتوى والنسق لأن القراصنة يستطيعون بسهولة شراء نطاق مع اسم مشابه جدا لنطاق الشركة ثم يقومون ببناءِ موقعٍ يبدو مشابهاً لموقع الشركة أو بوابتها الرقمية أو موقع شركات تتعامل مع المنظمة كالموردين لاستدراج الموظفين لإدخال اسم المستخدم وكلمة سر الدخول اللذان سيسهلان الهجوم.
- لا بد من إطلاق واستخدام آلية للتوقيع الرقمي بدل من حمل ملفات ورقية إلى المنزل لما يعرضها لخطر التلف أو السرقة أو الضياع ولتجنب الخروج خارج المنزل لملاحقة الموافقات.
إضفاء الطابع الرسمي على العمل من المنزل وسياسات العمل عن بعد:
في حين أن التقنيات والسياسات الجيدة تساعد، فإن الحقيقة هي أن الموظفين الذين يرفعون أداء الشركة عن طريق العمل عن بعد هم أيضاً مصدر خطر رئيسي على أمن الشركة رغم وجود النية الطيبة عند الغالبية الساحقة منهم. يمكن أن يساعد العمل بشكلٍ عام من المنزل وسياسات العمل عن بُعد على استخدام الكمبيوتر والإنترنت في حماية الشركة، ويمكن فرض وتطبيق هذه السياسات باستخدام كلٍ من ضوابط فنية وإدارية صارمة.
نأمل أن تساعد هذه النصائح الموظفين على العمل بأمان مع أجهزة الشركة والمعلومات بغض النظر عن مكان عملهم. بالنسبة إلى مديري التكنولوجيا المعلومات وأمن المعلومات، يمكن دمج هذه النصائح بسهولة في كتيب سياسات الموظف والأمن السيبراني الرسمية.
الموظفون هم أعظم أصول الشركة، ولكنهم أيضًا مصدر أخطر مشاكلها الأمنية. لذا نوصي بتدريبهم على هذه النصائح والسياسات خصوصاً عند انضمام موظفين جدد إلى الشركة، وأن يتم التذكير بها أثناء حملات تدريبات التوعية الأمنية الرقمية المتكررة، وخاصة عندما بعد أن تقوم الشركات بتحديث سياساتها الأمنية دورياً.
هذه المشاركة من قبل السيد فراس أبرص Firas Abras خبير ريادي في استراتيجية التحولات الرقمية عن طريق تجنيد التقنيات الناشئة كالذكاء الاصطناعي والبيانات الكبيرة وأنظمة الفيديو والسحاب والأمن السيبراني. فراس يقيم في دبي ويغطي بشغف منطقة الشرق الأوسط. عمل سابقاً كمدير تنفيذي للمعلوماتية لمنطقة الشرق الأوسط وأفريقيا في شركة Cisco Systems وكاستشاري في تصميم وإدارة برامج إطلاق خدمات سحابية والفيديو في الولايات المتحدة في كل من شركة Dell وDeloitte Consulting وSAIC. قاد فراس في شركة Cisco بين عامي ٢٠٠٧ و٢٠١١ أضخم إطلاق ناجح لخدمة التواصل بالفيديو العالي الجودة Cisco TelePresence في تاريخ البشرية آنذاك.
يرحب فراس بمتابعته على موقع Twitter @firasabras وعلى موقع LinkedIn