كيف تحمي شركتك من الاحتيال الإلكتروني؟ تحذيرات المهندس محمد الحارثي وخطة وقائية عملية

في تسجيل صوتي مصوَّب، حذّر المهندس محمد الحارثي، خبير تكنولوجيا المعلومات والاتصالات، من تزايد هجمات التصيّد والاحتيال الإلكتروني التي تستهدف الشركات عبر رسائل بريد إلكتروني تبدو رسمية. شدّد الحارثي على أنَّ أغلب الاختراقات تبدأ من نقطة ضعف بشرية داخل المؤسسة، وأن وعي الموظفين بأبسط قواعد الأمن السيبراني يمكن أن يوقف خسائر مالية فادحة.

كيف يبدأ الهجوم؟

يبدأ الهجوم غالبًا بإرسال بريد إلكتروني يطلب معلومات أو مستندات عن عميل متعامل مع الشركة. يشرح الحارثي أن المخترقين “يفكّرون بطريقة مختلفة”: هم يراهنون على أن موظفي الشركة لا يملكون الوعي الكافي بأمن المعلومات. بالتالي، ينجح هجوم التصيد إذا استجاب الموظف لطلب مزيف دون التحقق من مصدره.

أوضح الحارثي أمثلة واقعية لشركات خسرت مبالغ كبيرة بسبب استجابة موظف واحد لبريد مزوَّر. لذلك، فإن الفحص البسيط للدومين (domain) وبيانات الراسل وفحص المستندات المرفقة قبل اتخاذ أي إجراء يمكن أن يمنع الخسارة.

الضعف البشري: النقطة الأضعف في أي منظومة

“أضعف نقطة في أي منظومة هي العنصر البشري”، يردف الحارثي. لهذا وجّه نصيحة عملية: كل موظف داخل الشركة يجب أن يمتلك وعيًا متدرجًا بالأمن السيبراني يتناسب مع دوره ومسؤولياته. الموظف المالي يحتاج وعيًا مختلفًا عن موظف الدعم الفني أو موظف العلاقات العامة.

عليه، يجب أن تكون برامج التدريب على الأمن السيبراني موجهة حسب الوظائف. التدريب المنتظم يقلل احتمالات الخطأ الذي يؤدي إلى اختراق الاتصالات أو تسريب بيانات حساسة أو خسارة مالية أو فقدان الاتصال بالأنظمة.

أهمية التصميم المعماري الأمني (البناء الهيكلي)

قدّم الحارثي تشبيهًا مبسطًا مفاده أن بناء منظومة رقمية مشابه لبناء عمارة: قبل أن تبدأ بالبناء تعرف أساسات الأرض وعدد الطوابق الممكن إنشاؤها. لذا فإن خطوة تحديد البنية الهيكلية للمنظومة الرقمية أمر محوري.

باختصار: عليك أن تعرف من سيتعامل مع الأنظمة، وما نوع الخدمات المقدمة، وهل هناك معاملات مع جهات خارجية أم أن المنظومة مقتصرة على العمل الداخلي فقط. بناءً على ذلك تُصمم ضوابط الدخول، وتُحدد مداخل ومخارج البيانات، وتُنشئ قواعد لتصفية الرسائل المريبة.

مداخل الجُرْم والهجمات: الثغرات الصغيرة تسبب خسائر كبيرة

أكد الحارثي أن المخترقين يبحثون عن ثغرات بسيطة جدًا في النظام. ثمّ استغلال تلك الثغرات يقود لاحقًا إلى اختراقات تكلف الشركات ملايين الدولارات. لذلك ينبغي وضع سياسات صارمة لإدارة تحديثات الأنظمة، واستخدام آليات المصادقة المتعددة العوامل، وتقييد صلاحيات الوصول بحسب الحاجة الحقيقية فقط.

حماية البيانات الشخصية جزء لا يتجزأ من أمن المؤسسة

أشار الحارثي إلى أن حماية بيانات الموظفين والعملاء ليست أمرًا منفصلًا عن حماية أنظمة الشركة. بمعنى آخر، أي تسريب لمعلومات شخصية قد يتيح للمهاجمين مدخلًا لهم لشن هجمات أكبر. لذلك يجب أن تكون إجراءات حماية البيانات الشخصية موحدة مع إجراءات أمن المعلومات المؤسسية.

توصيات عملية سريعة (طبقها اليوم)

1. درّب الموظفين على التعرف إلى رسائل التصيّد وفحص الدومين قبل الاستجابة.

2. طبق المصادقة متعددة العوامل على الحسابات الحيوية.

3. راجع صلاحيات الوصول بانتظام وقلّصها قدر الإمكان.

4. حدّث الأنظمة والبرمجيات فور ظهور تحديث أمني.

5. نفّذ عمليات اختبار اختراق دورية لتحديد الثغرات قبل المهاجمين.

6. ضع خطة استجابة للحوادث تتضمن التواصل القانوني والمالي والتقني.

خاتمة

خلاصة كلام المهندس محمد الحارثي واضحة: الهجمات الإلكترونية ليست مسألة “إن” فحسب بل “متى”، والأمر الأهم أن يكون داخل شركتك وعيٌ أمنيٌ حقيقي وخريطة بنيوية آمنة. اتباع قواعد بسيطة ومنهجية يقلل كثيرًا من مخاطر الاختراقات والخسائر المالية.