نقص الكوادر المؤهلة في الأمن السيبراني في الشرق الأوسط من معوّقات الرئيسية أمام تقليل أخطار هجمات سلاسل التوريد
أجرت كاسبرسكي دراسة جديدة كشفت نتائجها عن نقص الكوادر المؤهلة في مجال أمن تكنولوجيا المعلومات (44%)، وحاجة المؤسسات العالمية إلى ترتيب أولويات المهام الأمنية المختلفة لتقليل أخطار الهجمات على سلاسل التوريد واستغلال العلاقات الموثوقة (42%)، تُعد من أبرز التحديات التي أشار إليها المشاركون في الشرق الأوسط.
برزت الهجمات على سلاسل التوريد كأحد أخطر التهديدات السيبرانية التي تواجهها المؤسسات بحسب دراسة كاسبرسكي الأخيرة* عن الأخطار التي تواجهها سلاسل التوريد والعلاقات الموثوقة، إذ تعرضت واحدة من أصل ثلاث مؤسسات إلى هجمات كهذه خلال العام الماضي. وتستدعي خطورة هذه الهجمات وكثرة حدوثها الكشف عن الأسباب الرئيسية التي تعيق الشركات عن معالجة هذه الأخطار بنجاح.
وفقاً للاستطلاع، كان نقص الكوادر المؤهلة من أهم العوائق التي تحول دون تقليل أخطار سلاسل التوريد والعلاقات الموثوقة. ويحرم هذا النقص المؤسسات من القدرات اللازمة للوصول المستمر إلى الثغرات الأمنية لدى الأطراف الخارجية ومراقبتها في جميع منظوماتها. وأشار المشاركون إلى عقبات رئيسية أخرى أبرزها الحاجة إلى التوفيق بين أولويات الأمن السيبراني المتعددة والمتداخلة. ويوضح هذا الأمر معاناة الفرق الأمنية من الإرهاق والتشتت بين مهام كثيرة متزامنة، مما يؤدي إلى إهمال تهديدات سلاسل التوريد.
وبالإضافة إلى قيود الموارد، يذكر المشاركون في الاستطلاع مشكلات هيكلية أخرى: فقد أفاد 34% منهم بأنّ العقود المبرمة تفتقر إلى التزامات واضحة بخصوص أمن تكنولوجيا المعلومات. كما أشار 35% منهم إلى أنّ الموظفين غير المختصين في أمن تكنولوجيا المعلومات لا يدركون هذه الأخطار جيداً.
وعلى الصعيد العالمي، وفقاً للاستطلاع، تقر 83% من الشركات بالحاجة إلى تحسين حماية مؤسساتها من أخطار سلاسل التوريد والعلاقات الموثوقة، فيما تقتصر نسبة الشركات التي ترى إجراءاتها الأمنية الحالية فعالة على 17% فقط.
في الوقت عينه، تشير نتائج الاستطلاع إلى التشتت في الممارسات الأمنية المتبعة للتقليل من أخطار الطرف الثالث، إذ لا توجد وسيلة حماية واحدة يتبناها أكثر من 41% من المستخدمين الحاليين . ولا يتبنى إلا 39% من المشاركين تقنية المصادقة الثنائية، التي تعد أكثر إجراءات الحماية الوقائية استخداماً بينهم. بالإضافة إلى ذلك، يقتصر إجراء مراجعات دورية لأمن المعلومات عند المتعاقدين على 41% من المؤسسات المشاركة في الاستطلاع. بناء على ذلك، يفتقر ثلثا المؤسسات إلى الرصد والمراقبة المستمرة لأمن شركائها، مما يعرضها لثغرات أمنية متطورة في جميع منظوماتها.
من الجدير ذكره أنّ الشركات التي تعرضت سابقاً لهجمات سلاسل التوريد والعلاقات الموثوقة تميل إلى تبني إجراءات أمنية أكثر صرامة. أظهرت النتائج العالمية أن الجهات التي تعرّضت لحوادث في سلاسل التوريد كانت أكثر ميلاً لطلب نتائج اختبارات الاختراق (56%)، فيما تمنح الشركات المتضررة من الاختراقات الناجمة عن العلاقات الموثوقة الأولوية للتحقق من الامتثال لمعايير الصناعة (56%)، وسياسات سلاسل التوريد لدى المتعاقدين معها (53%).
يعلق على هذه المسألة سيرجي سولداتوف، رئيس مركز العمليات الأمنية لدى كاسبرسكي: «عندما تعاني الفرق الأمنية من الإرهاق نتيجة ضغوط العمل، وتفتقر إلى العدد الكافي من الموظفين، فإنّها تضطر إلى تقديم المهام الطارئة على حساب أولويات المناعة السيبرانية المستدامة، وبهذا تتعرض المؤسسات لتهديدات سيبرانية قد تتسلل إليها خفية عبر منظومة الموردين. وللخروج من هذه الحلقة المفرغة، يحتاج القطاع إلى تبني سياسات أكثر تماسكاً واتساقاً لتخفيف تلك الأخطار؛ بدءاً بإجراء تقييمات موحدة ومعيارية للموردين وانتهاء بتعزيز الوعي بين الفرق الأمنية. ولا بد أن يصبح أمن سلسلة التوريد مسؤولية مشتركة مدعومة بآليات إلزامية عبر شبكة الأعمال كلها.»
لا تستطيع الشركات تقليل أخطار سلسلة التوريد وضمان مرونة أعمالها إلا بتطبيق تدابير احترازية شاملة على صعيد المؤسسة برمتها، واتباع نهج استراتيجي في التعامل مع الشركات، والموردين، والمتعاقدين.
توصي كاسبرسكي بالإجراءات التالية للحد من هذه الأخطار:
اعتماد خدمات الأمن المدارة. يمكن للمؤسسات التي تعاني نقصاً في الموارد المخصصة للأمن السيبراني الاستعانة بجهات خارجية. استخدم خدمات مثل حلول الاكتشاف والاستجابة المُدارة من كاسبرسكي (MDR) و/أو الاستجابة للحوادث، التي تُغطي دورة إدارة الحوادث بالكامل؛ بدءاً بتحديد التهديدات السيبرانية وانتهاء بالحماية المستمرة والمعالجة.
الاستثمار في دورات تدريبية إضافية في الأمن السيبراني. احرص على تعزيز المعرفة بالأمن السيبراني بين موظفيك عبر برامج التعلم الذاتي ذات الطابع العملي، أو الدورات التدريبية المباشرة التي تقدمها كاسبرسكي في الأمن السيبراني. وتفيد هذه البرامج التعليمية خبراء الأمن، وتساعدهم في تطوير مهاراتهم التقنية وحماية الشركات من الهجمات المعقدة.
إجراء تقييم شامل للموردين قبل إبرام أي صفقة تجارية. تحقق من سياسات الأمن السيبراني المتبعة لديهم، وراجع معلومات الحوادث الأمنية السابقة، ومدى امتثالهم لمعايير أمن المعلومات في القطاع. أما فيما يتعلق بالبرامج والخدمات السحابية، فعليك مراجعة بيانات الثغرات الأمنية واختبارات الاختراق.
تطبيق المتطلبات الأمنية التعاقدية. يجب أن تتضمن العقود مع الموردين متطلبات محددة لأمن المعلومات مثل: إجراء عمليات تدقيق أمني دورية، والتأكد من الامتثال لسياسات الأمان المعمول بها في مؤسستك وبروتوكولات الإبلاغ عن الحوادث الأمنية.
التعاون مع الموردين في المسائل الأمنية. ينبغي تعزيز مستويات الحماية عند كلا الطرفين، والتعامل معها على أنها أولوية مشتركة.
للاطلاع على مزيد من التوصيات والنتائج الأخرى الخاصة بتقليل أخطار سلاسل التوريد، يُرجى زيارة الرابط التالي: هنا.
أجرى مركز أبحاث السوق لدى كاسبرسكي هذا الاستطلاع، الذي شمل 1,714 خبيراً ومسؤولاً تقنياً مثل المديرين التنفيذيين، ونواب الرؤساء، وقادة الفرق في شركات تضم ما لا يقل عن 500 موظف. ويرجع المشاركون في الاستطلاع إلى 16 دولة هي: ألمانيا، وإسبانيا، وإيطاليا، والبرازيل، والمكسيك، وكولومبيا، وسنغافورة، والفيتنام، والصين، والهند، وإندونيسيا، والمملكة العربية السعودية، وتركيا، ومصر، ودولة الإمارات العربية المتحدة، وروسيا.
.jpeg)
.jpg)
