عربي English Türkçe أردو فارسى
pdf
Logo

استراتيجيات لدرء الخروقات الأمنية وتقليل أضرار سرقة البيانات

  • نيويورك: «الشرق الأوسط»
TT
TT
  • نيويورك: «الشرق الأوسط»

ما الذي سيحدث لدى وقوع أسوأ السيناريوهات التي تسرق فيها البيانات والمعلومات او تضيع من الشركات او من العاملين فيها؟..

يقول الخبراء في الشؤون المالية وفي أمن المعلومات: ان الشركات تكون في الغالب مقصرة المرة تلو الاخرى، لعدم قدرتها على حماية المعلومات المتعلقة بزبائنها، في الوقت الذي يصبح فيه المجرمون الراغبون في سرقة المعلومات أكثر حصافة وذكاء.

وسواء سرقت المعلومات الخاصة بالزبائن أو فقدت بفعل التسلل والتلصص عليها، أو لان الكومبيوتر الحضني المحمول وضع في غير مكانه، أو جرى خطف أشرطة المعلومات، أو بسبب موظف مهمل، فإن النتائج هي ذاتها، ألا وهي تعريض الزبون الى الخطر مع ضربة موجعة للشركة التي تقوم بتصريف أعماله.

وما من قطاع معني بسرقة المعلومات مثل قطاع الخدمات المالية الذي سيقوم بزيادة الانفاق على نظم وبرامج أمن تقنية المعلومات والمسائل المتعلقة بها بنسبة 12 في المائة هذا العام، وصولا الى مبلغ 1.8 مليار دولار، استنادا الى شركة «سيلينت» للاستشارات، ثم ان كيفية رد فعل الشركات لمثل هذه الخروقات الأمنية من شأنها أن تغير من الاسلوب الذي ينظر الزبائن والقطاع العام اليها، فإذا استطاعت الشركات القيام بمهمتها هذه بنجاح، تمكنت من تحويل السلبيات الى ايجابيات وحازت على احترام الزبائن وتقديرهم، لكن اذا ما أخطأت في هذه المهمة توجب على الشركات والاعمال ان تكافح باستمرار لانقاذ سمعتها من الوصمة التي حلت بها.

الاخبار الجيدة هو أن قطاع الخدمات المالية شرع في تحويل عملية التعامل مع الخروقات الأمنية الى فن قائم بذاته، بحيث يمكن لخبرته المتراكمة ان تكون دليلا لا يقدر بثمن، لاي مؤسسة أو شركة أعمال تتعامل مع معلومات حساسة عن الزبائن.

ان الاولوية بالنسبة الى أي مؤسسة تتعرض الى سرقة المعلومات، هي الاتصالات، كما يقول ستيف ليوبتكن، الشريك الاداري في «لوبتكن أند كومباني موميونيكيشنس»، التي تعمل في قطاع الاستشارات والعلاقات العامة، الذي كان يعمل سابقا كمدير للعلاقات العامة في أحد المصارف، ويضيف أن «المصارف تتردد في تقديم الكثير من المعلومات، والمهم في الامر هو حاجة جميع المصارف الى تقديم صورة أو احساس بأنه يمكن الوثوق بها، فهي بحاجة أن تكون مفتوحة ونزيهة مع الزبائن والتأكيد لهم انهم في ايد أمينة وأنه لا مانع من تقديم المزيد من المعلومات اليهم».

وليس بمقدور أحد تفهم مثل هذا الوضع كشركة «واشوفيا كوربوريشن»، التي تعرضت الى خرق أمني كبير في مايو (ايار) الماضي، عندما قام أثنان من موظفيها ببيع معلومات تتعلق بالزبائن الى فريق ثالث في ولاية نيو جيرسي، الذي يزعم انه باع هذه المعلومات الى مجموعة من الوكالات والمؤسسات القانونية. وقد اثرت عملية السرقة هذه على نحو 50 الف زبون في شركة «واشوفيا كوربوريشن»، وتوجب على المصرف هذا ان يسارع الى الاتصال بهؤلاء ومساعدتهم على حماية هوياتهم.

لكن من حسن الحظ ان المؤسسة هذه كانت مجهزة منذ سنتين بفريق خاص للاستجابة الى مثل هذه الحوادث، بعدما أنفقت الملايين لدرء مثل هذه الخروقات ووضع برامج تخطيط خاصة بها وتطوير 43 استراتيجية مختلفة لمعالجة عمليات الاحتيال ترمي جميعها الى التلطيف بسرعة من اي مشكلات يعاني منها الزبائن والموظفين بعد كل عملية اختراق. فبعد ساعات من تسجيل أي حادث تنعقد مجموعة من المديرين التنفيذيين لاستيعاب الصدمة وتطوير رد أو استجابة مناسبة، كل ذلك تحت وطأة الحملات الصحافية.

ومثل هذا الامر ليس سهلا دائما لكون أن كل حادث هو فريد من نوعه، وغالبا ما يصعب تحديد تداعياته.. «فقد تسمع نقدا بأننا لم نقم بإبلاغ اصحاب الامر حالما علمنا بالامر، ويكون الجواب عادة أن المعلومات لم تظهر فورا لنا» كما يقول برين كاكجنلي، مدير دائرة المفقودات في «واشوفيا»، الذي تابع قائلا «من الصعب تقرير اي هي المعلومات التي تسربت، وعلينا أن نقيم العواقب المحتملة وما يمكن فعله ازاء المعلومات المفقودة.. فالاسم مفقود، أو العنوان، أو رقم الضمان الاجتماعي، لذلك يجري التعامل مع كل واحد منها بشكل مختلف، فإذا برز رقم بطاقة على موقع على الإنترنت من شأنه التعامل معه بأسلوب مختلف».

وفي كثير من الحالات يعني الاختراق الأمني، انه يتوجب على المصرف الاتصال بالضحايا من الزبائن بأي وسيلة ممكنة لتقديم يد العون لهم، وفي بعض الحالات يتوجب اصدار أرقام حسابات جديدة أو بطاقات مصرفية. كما يقوم مصرف «واشوفيا» بتأمين وقاية مجانية لهويات زبائنه، أو مجموعة متنوعة من المساعدات لمكافحة أعمال الغش والاحتيال. ويتوجب على الشركة حتى ارغام كبار موظفيها على اجراء مكالمات مع الزبائن لشرح الموقف لهم بالتفصيل.

ومن المهم ايضا تثقيف الموظفين داخل المؤسسات في الامور المتعلقة بالخروقات الأمنية. فعلى الموظف الذي يتصل بالزبون أن يكون على معرفة بأسرع وقت ممكن بطبيعة الخرق الأمني وما تقوم به مؤسسته لمساعدته. وأسوأ سيناريو يمكن تصوره في هذا الخصوص قيام أحد الضحايا من الزبائن بالاتصال بالموظف ليحصل منه على معلومات مبهمة، أو غير صحيحة، ليفقد بعدها ثقته بالمؤسسة.

ويتوجب أن تكون هناك اتصالات جيدة داخل المؤسسة قبل الاتصال بالزبون، كما يقول جون كارلستون كبير المديرين في «بي تي اس» BTS وهو اتحاد لا يتوخى الربح مؤلف من 100 مدير تنفيذي ينتمون الى أكبر مؤسسات الخدمات المالية في البلاد. وتقوم العديد من المؤسسات بتجارب لاختبار استراتيجيات ردود الفعل لاستيعاب خروقات تسرب المعلومات تماما مثل ما يفعلون ازاء تهديدات أخرى تتعرض لها الاعمال التجارية. وقد قامت «بي تي اس» اخيرا، لمساعدة الصناعة على حماية معلوماتها، بنشر كتيب حول أفضل الاجراءات الممكنة في هذا الصدد التي شملت مقطعا عن الادراك الأمني وبرامج تدريبية.

وإجمالا، تقوم شركات الخدمات المالية بعمل جيد بتبليغ الزبائن بالانذارات الأمنية، على حد قول جونثان بين، المحلل الرئيسي لقضايا الأمن والتعرف على الهويات في «فوريستر ريسيرتش» في ولاية بنسلفانيا. فقد امتدح بين جهود «ويلس فارغو» في الاتصال بالزبائن مرات عديدة عن طريق قنوات متعددة لتقديم الخدمات لهم في أعقاب الخرق الأمني الذي حصل في عام 2004، «وهذا مخالف جدا لما قامت به مؤسسات مثل «كارد سيستمس» و«تشويس بوينت»، التي أنكرت حجم هذه المشكلة وحاولت تفادي ابلاغ الزبائن، ولم تقدم أي مساعدة لهم» على حد قول بين.

ان السكوت والانكار هما اسوأ الامور التي تقوم بها الشركات في زمن مواقع الـ «بلوغ» (مدونات الإنترنت) والاتصالات في الزمن الواقعي كما يقول ليوبتكن. وغالبا فإن القرار في التستر على الحوادث هو من صنع المحامين الراغبين في حماية الشركات من التبعات القانونية التي تتعرض لها رغم حاجتها في حماية صيتها وسمعتها.

ويضيف انه «ما لم يتم لاتصال بالزبائن بشكل علني ومكشوف، فإن طرفا آخر سيقوم بذلك نيابة عنا، وهذا قد لا تكون الرسالة التي نرغب في اسماعها الى الزبائن». وهذا ما يشمل مواقع «البلوغ» التي لها غالبا جدول أعمال مضاد للشركات أي التي يتقصى متابها اخبار الشركات واخطاءها، كذلك الاشخاص المتمسكين بحقوق الخصوصية الذي لا يتطابق جدول أعمالهم مع حاجات الشركات. من هنا يتوجب على المؤسسات التفكير في كل هذه الامور وموازنتها ضد السكوت والتستر لان عدم الاستجابة الى حاجات الناس في الحصول على المعلومات يعني حجز ذاتها في زاوية ضيقة».