"التقنيون" حراس أسرار الشركات الأكثر عرضة للتجنيد

اعتبار العاملين في قطاع تكنولوجيا المعلومات موظفين درجة ثانية يعرض أمن الشركات لخطر التجسس.
الأحد 2019/09/08
اطلاع على أدق التفاصيل والأسرار

واشنطن - منذ ظهور الاتصالات المشفرة والإلكترونية، كان المسؤولون عن تشغيل هذه الأنظمة في الوكالات الاستخباراتية والعسكرية والخارجية هدفا رئيسيا لعمليات التجسس. غالبا ما يتمتع هؤلاء الأفراد، الذين تطلق عليهم وزارة الخارجية الأميركية اسم “المتخصصين في إدارة المعلومات”، بحق الوصول إلى بعض المعلومات الأكثر حساسية مثل مفاتيح التشفير التي تعد سرقتها كارثية.

مع ذلك، دائما ما تتم معاملة هؤلاء الموظفين كمواطنين من الدرجة الثانية مقارنة بزملائهم الذين تلقوا تعليمهم في أشهر وأقدم جامعات الولايات المتحدة مثل هارفارد وييل، والذين يتولون المهام الدبلوماسية وتنظيم العمليات الاستخباراتية.

لكن، مقابل تجاهل شركاتهم يلقى هؤلاء المتخصصون معاملة خاصة من الجهات المنافسة والمتجسسين. ويعتبر سكوت ستيوارت، محلل قضايا الإرهاب والأمن، في مركز ستراتفور للأبحاث الأمنية الاستخباراتية، هذا التناقض خطيرا، ويعرض أمن الشركات لخطر التجسس والاختراق.

ويشير ستيوارت في أحدث تحليلاته في مجال التجسس التجاري إلى أن إحساس هؤلاء “المتخصصين في إدارة المعلومات”، والذين يطلق عليهم اسم “التقنيين”، قد يجعل من السهل استقطابهم وتجنيدهم.

يمثل التجسس تهديدا خطيرا ومستمرا للشركات. وتنظمه مجموعات واسعة من الجهات الحكومية والخاصة. توفر العديد من الشركات تدريبات على كيفية الوقاية من التهديدات السيبرانية مثل التصيد الاحتيالي، وهو محاولة الحصول على المعلومات الحساسة مثل كلمات المرور وبيانات بطاقات الائتمان. لكنها لا تقدم أي تدريب لمساعدة موظفيها على فهم وتحديد محاولات تجنيدهم.

سكوت ستيوارت: إذا كان المدير يقدر أهمية بيانات شركته الحساسة، فعليه تحديد هوية الأشخاص الذين يحملون مفاتيحها وتقديرهم ومراقبتهم
سكوت ستيوارت: إذا كان المدير يقدر أهمية بيانات شركته الحساسة، فعليه تحديد هوية الأشخاص الذين يحملون مفاتيحها وتقديرهم ومراقبتهم

ويتحدث ستيوارت عن مخاطر تجاهل الموظف في مجال تكنولوجيا المعلومات قائلا إنه مثل موظفي الاتصالات وكتّاب الشفرات، يحتفظ الموظفون في قطاع تكنولوجيا المعلومات بالمعلومات التي تريدها الجهات الخبيثة.

وغالبا ما يتم تجاهل قيمتهم مقارنة بأولئك الذين يصممون أو يصنعون أو يبيعون منتجا أساسيا للشركة. كما تنقل العديد من الشركات مكاتب العاملين في تكنولوجيا المعلومات إلى الأقسام المعزولة من المبنى، أو إلى فروع أخرى.

وبالتالي، غالبا ما يعزلون جسديا واجتماعيا وثقافيا عن بقية موظفي الشركة، مما قد يؤدي إلى غضبهم واستيائهم وضعف طاقاتهم المعنوية. ويجعلهم هذا عرضة لمجموعة متنوعة من أساليب عمليات استقطاب الذكاء البشري عبر تكتيكات مثل الرشاوى. وغالبا ما يخدع الذين يحملون الرغبة في جني المال أو تكوين الصداقات أو العلاقات العاطفية أو الذين يرغبون في تأكيد أهميتهم وترميم كبريائهم.

يتمتع الموظفون الذين يحصلون على رواتب لا تتناسب مع أهميتهم بإمكانية الوصول إلى الاتصالات والتطبيقات والبيانات التي تحتوي على أكثر المعلومات الحساسة الخاصة المتعلقة بالملكية والأسرار التجارية القيّمة.

وبالتالي، قد يتسبب أي شخص يعمل في قسم تكنولوجيا المعلومات في أضرار كبيرة للشركة التي يعمل بها. كما يمكن للجهة التي تنجح في تجنيده أن تمتلك نظام تكنولوجيا المعلومات الذي تعتمده الشركة كاملة وخاصة إذا كان قادرا على زرع برامج ضارة للتجسس أو تزويد المنافسين بتعليمات حول كيفية إبقاء أنشطتهم بعيدا عن الرادار.

وينقل ستيوارت عن دراسة استقصائية حديثة شملت نحو 500 متخصص في أمن تكنولوجيا المعلومات أجرتها شركة الأمن السيبراني غوروكول، أن 24 بالمئة من الذين تم استطلاع أرائهم أنهم مستعدون لسرقة المعلومات من شركتهم التي يعملون بها لمساعدتهم في شغل وظيفة مع المنافسين. وكان هؤلاء من الموظفين المسؤولين عن الأمن السيبراني. وعلى الرغم من أن هذا الرقم قد يبدو صادما، فهو ليس غريبا بسبب ظروف العمل التي غالبا ما تفرض عليهم. في الواقع، لا يصعب تحديد الرابط بين معاناتهم ونجاح تجنيدهم ضد الذين لا يقدرونهم.

ولفت ستيوارت إلى أنه لا يجنّد جميع موظفي تكنولوجيا المعلومات الخائنين. أحيانا، يتطوع البعض ويبيعون معلومات الشركات التي يعملون فيها إلى طرف قد يعبّر عن اهتمامه بها. وقد يكون إدوارد سنودن المثال الأكثر شهرة على ذلك. فهو موظف سابق في الاستخبارات الأميركية، وسرّب مواد سرية من وكالة الأمن القومي إلى الصحافة.

وشملت المواد معلومات عن مشروع تجسس يمكّن الاستخبارات الأميركية من الدخول إلى أنظمة مثل مايكروسوفت وغوغل وفيسبوك لجمع المعلومات. كما كشفت التسريبات أيضا أن الوكالة كانت تتجسس على اتصالات عشرات الملايين من المواطنين.

الاعتراف بأهمية الموظفين

تتطلب بعض الوضعيات أحيانا اتخاذ تدابير قاسية. ويقول ستيوارت إنه كلما أسيئت معاملة الموظفين المهتمين بتكنولوجيا المعلومات، زاد احتمال ردهم الكارثي. ويمكن أن يجتهدوا ويبحثوا عن طرف منافس لبيع المعلومات مقابل المال الذي لا يجنونه من منصبهم.

وبالتالي، قد تكمن أهم طريقة لتخفيف هذا التهديد في تغيير ثقافة الشركات لجعل العاملين في مجال تكنولوجيا المعلومات يشعرون بالأهمية التي يمثلونها داخل هيكل مؤسساتهم.

وتعتبر الشركات التي تعزز البيئة التي تقدّر فيها مساهمات جميع موظفيها وتحسسهم بأهميتهم الأكثر قدرة على بناء حس الولاء للمؤسسة من تلك التي تتجاهل ذلك. كحد أدنى، يجب تزويد الموظفين التقنيين بفرص الترقيات والزيادات والمكافآت نفسها التي يتمتع بها الموظفون الآخرون. وبالمثل، ينبغي الاعتراف بجهودهم عندما يتقنون عملهم.

وينصح ستيوارت بضرورة الاستماع إلى ما يقوله هؤلاء الموظفون وأخذه على محمل الجد، فهم الأعين الساهرة على أمن ا​لشركة. ويحمل الموظفون في قسم تكنولوجيا المعلومات، على وجه الخصوص، فكرة أفضل عن نقاط الضعف الموجودة في شبكة الشركة. وعندما يتجاهل المدراء مخاوف هؤلاء الموظفين ولا يبدون اهتماما بمعالجتها، سيشعر هؤلاء بالإحباط وستزرع بذرة الانتقام داخل بعضهم.

في الواقع، حدث هذا الأمر أكثر من مرة، حيث أقدم بعض الموظفين العاملين بقسم تكنولوجيا المعلومات على مهاجمة الشركة التي كانوا يعملون فيها عبر ثغرة أمنية كانوا قد أعلموا عنها دون أن يستمع الآخرون إليهم. غالبا ما يتجاهل المدراء الموظفين التقنيين، ولا يلتجئون إليهم سوى في حالات قليلة عندما لا تشتغل أحد البرامج أو الحواسيب كما يجب. ولكنهم لا يفهمون أن الأمور غالبا ما تعمل كما يرام بفضل عملهم الشاق. بذلك، لا يجب أن يبقى الاهتمام الذي يوجه إليهم مقتصرا على الأعطال.

مراقبة المراقب

يعني التعامل مع موظفي قسم تكنولوجيا المعلومات مثل بقية أعضاء الفريق إخضاعهم لنفس الإجراءات الأمنية التي يبرمجونها بأنفسهم في أغلب الأحيان. ولكن، في حين يقوم الموظفون التقنيون بمراقبة الآخرين، إلا أنهم غالبا ما يكونون معفيين من المراقبة. ينطبق الأمر نفسه على التدابير الأمنية، مثل تعطيل منافذ وحدة الذاكرة الفلاشية التي يمكن استخدامها لتنزيل المعلومات.

يعدّ تحديد المعلومات الهامة وتنفيذ سياسات صارمة تحميها إجراءات يجب اتخاذها. فبنفس الطريقة التي تضمن فيها الشركات للموظفين إمكانية الوصول إلى المعلومات المطلوبة لمهامهم، يجب أن تضع نفس الحدود على التقنيين. بكلمات أخرى، يجب مراقبة المراقبين. هل يحتاج كل موظف تقني إلى الوصول إلى جميع معلومات الشركة وأسرارها.

ويخلص ستيوارت بضرورة التركيز على أهمية التدريب، حيث توفر معظم الشركات اليوم تدريبات لموظفيها لمساعدتهم على التصدي لمحاولات الخداع الإلكتروني، ولكنها تهمل خطر عمليات تجنيد الذكاء البشري. ويجب أن يكون كل موظف في الشركة، بما في ذلك التقنيون، واعين بالعلامات التي يحاول شخص ما توظيفها لاستدراجهم، وكيفية الإبلاغ عن هذا النشاط.

غالبا ما يخلط مدراء الشركات بين دور حماية الأنظمة التكنولوجية والمعلومات ودور “الصيانة”، ويرون الموظف التقني مثل العامل الكهربائي والسباك. لكنهم في الحقيقة حراس إلكترونيون يتعاملون مع المعلومات التي تمكّن من مواصلة الأعمال التجارية اليومية، وحتى قدرة الشركات على المنافسة في السوق. وبالتالي، يجب أن يعاملوا بطريقة تعكس أهميتهم. بكلمات أبسط، إذا كان المدير يقدر أهمية بيانات شركته الحساسة، فيجب عليه تحديد هوية الأشخاص الذين يحملون مفاتيحها وتقديرهم ومراقبتهم في نفس الوقت.

7