كيف تحمي شركتك من الـ Hacking
الخطر يأتي من الداخل، أهم النصائح لحماية شركتك من الـ Hacking
الكُل بيحاول يحمي نفسه وشركته من الخطر الخارجي، فيستخدم أحدث أنواع الـ Firewalls وينتابه الحذر من أي تهديد خارجي للنيل من أمن شركته وأجهزته وبرامجه وشبكته، ولكن لو أمعنا النظر ستجد أن الخطر الحقيقي والتهديد الحقيقي يأتي من الداخل، إما بشكل متعمد أو حتى نتيجة الجهل وعدم الدراية ببواطن أمن المعلومات والـ Security وعشان كده كلامنا كله هيكون مُنصب على فكرة: إزاي تحمي نفسك وشركتك من الـ Hacking من الداخل.
- أبرز أنواع الهجمات اللي بتم بتكون معتمدة بشكل أساسي على استراتيجية اسمها الـ Social Engineering أو الهندسة الاجتماعية، ودي ممكن تحصل من خلال التليفون أو الـ Chat أو أي وسيلة تواصل من شخص خارجي لأي حد داخل شركتك، زي مثلا إحنا شركة تأمين وحابين نقدم Offer لحضراتكم، إحنا شركة فودافون وعايزين نراجع البيانات دي معاكم، إحنا بنك كذا وياريت تبعتولنا السجل التجاري، باختصار شخص خارجي بيضحك على حد عندك من خلال انتحال صفة ما تخلي الموظف بتاعك يثق فيه ويديله بيانات أو معلومات من حقه، وعشان كده لازم توعي الموظفين بتوعك وتعرفهم إن مش أي حد يطلب بيانات أو معلومات تديلهاله وخصوصًا طبعا موظفين خدمة العملاء.
- أوراق ونفايات الشركة والفاكسات القديمة وأختام الشركة الخ من الأمور دي والأوراق اللي قد ترى إن ملهاش لازمة، بالعكس جدًا دي ممكن تكون بداية حقيقية لعملية Hacking كب
يرة، هتفيد في مرحلة الـ Information Gathering أو جمع المعلومات زي م اتكلمنا قبل كده.
- البريد الاليكتروني والإيميلات اللي ممكن تيجي للموظف ويفتحها من داخل الشركة ممكن بشكل كبير جدًا تعرض حسابه للاختراق واللي فاتحه م الشركة فيعرض شبكة الشركة كاملة للاختراق، وبرضو استخدام الـ Social Engineering هنا بيكون فعال جدًا، زي مثلا إيميل بيتكلم عن خصم كبير على Course معين في الماركتنج مثلا، والموظف يضغط على لينك الخصم، فتلاقي الـ Hacker هوب جوا قلب شركتك من خلال الموظف ده، وعشان كده ممنوع منعًا باتًا على الموظفين إنهم يتفاعلوا مع أي حاجه مش موثوقة أو حتى موثوقة إلا بعلم الإدارة.
- متسمحش بأي شكل من الأشكال إن الموظفين يعملوا أي Update لأي حاجه أو Download من أي مكان لإن الروابط دي ربما تكون ملغمة وفيها Virus أو لأي سبب تكون هيا الطريق لاختراق شركتك، ويكون فيه بس مسؤول IT أو Security هوا اللي يعمل الحجات دي.
- أسرار الشركة أو الكورسات أو الايفنتات أو أي حاجه بتحصل جوا الشركة مينفعش تكون عرضة للانتهاك من خلال الموظف، خصوصًا بقى للي بيعيش حياته كلها على الـ Social Media، فيكتب على Facebook مثلا: بناخد دلوقت كورس عن كذا، أو احنا دلوقت بنعمل كذا جوا الشركة، أو معايا دلوقت ملفات مهمة عن كذا كذا، فيه ناس كده فعلا، ولازم تحذرهم من البداية، بحيث ميكنش هوا السبب إن حد يضر شركتك بأي شكل من الأشكال.
- صلاحيات الموظفين Permissions: ياريت متديش لأي حد جوا الشركة أي صلاحيات مش من حقه أو فوق اللي هوا هيستخدمها، يعني لو عندك سايت مثلا وحد بيعمل Publish بس للمقالات ياريت متديهوش صلاحيات الـ Admin وهكذا، مهما كان الشخص ده قريب منك أو واثق فيه لإن ممكن يكون هوا الباب اللي يدخل منه الـ Hackers.
- ثقافة أمن المعلومات، العمل على تدريب الموظفين وتوعيتهم ده أمر ضروري جدًا وفعال وتدريبهم على عدم إعطاء أي معلومات عن الشركة إلا بعد التأكد من هوية الشخص اللي بيطلب المعلومات دي عشان تتجنب كُل ده، لإن الموظف الواعي هيحافظ على شركتك أو مؤسستك من الاختراق.
- فيه أدوات كتيرة جدًا هتساعدك في عملية اختبار الاختراق لازم تعتمد عليها وإن كُنت أنصح بشكل كبير في توظيف شخص مسؤول عن الـ IT جوا الشركة وتقدر تعتمد عليه في الأمور دي، بس يكون فاهم يعني مش اسم وخلاص.
- ياريت لو تعمل زي لائحة تكتب فيها صلاحيات كُل واحد وزي قوانين داخلية كده في شركتك، مثلا يحذر تحميل أي ملفات خارجية إلا بعد طلب من مسؤول الـ IT، يحذر عمل أي Update ، يحذر إدخال USB الخ من الأمور دي، وتعلقها جوا الشركة بحيث تبقى واضحة لكل الموظفين.
طبعًا في حجات كتيرة جدًا وتفاصيل أكتر بس أنا بحاول بقدر الامكان إني متكلمش في أمور غامضة أو بإسلوب ميكنش واضح للكل لإني بوجه كلامي لغير المتخصصين، وفي نفس الوقت بحاول أثير بداخلك الرغبة في البحث وإنك تدور بنفسك وتستخدم Google.
م/ محمد كمال
