المديرون الماليون والأمن السيبراني: أهم التهديدات وطريقة منعها

16 يناير 2025 نظرًا إلى أن الهجمات الإلكترونية تمثل خطرًا ماليًا كبيرًا على معظم المؤسسات، يلعب المديرون الماليون دورًا مهمًا في الأمن السيبراني. إنهم يعملون بشكل وثيق مع مديري المعلومات التنفيذيين (CISO) لتحديد أولويات التهديدات المحتملة بناءً على المخاطر المالية التي يتعرضون إليها، والحفاظ على الدفاعات وفقًا إلى ذلك، والمساعدة في تخفيف هذه المخاطر في نهاية المطاف.

لماذا يجب على المديرين الماليين الاهتمام بالأمن السيبراني؟
يمكن أن تكلف الهجمات الإلكترونية المؤسسات بعدة طرق. بشكل عام، بلغ متوسط تكلفة اختراق البيانات للمؤسسات في جميع أنحاء العالم 4.45 مليون دولار في عام 2023، وفقًا إلى دراسة أجرتها IBM وPonemon Institute. يتم إطلاق ما يقرب من 95% من الهجمات لتحقيق مكاسب مالية، ليس لأسباب سياسية أو اجتماعية أو شخصية، وفقًا إلى تقرير Verizon Data Breach Investigations لعام 2023.

تمثل البيانات السرية، مثل أرقام بطاقات ائتمان العملاء وكلمات مرور شبكة الموظفين الهدف المفضل. النقد من الطراز القديم جيد كذلك، الذي يتم الوصول إليه من خلال فواتير مورّدين زائفة، وعمليات الاحتيال بكشوف الرواتب، وهجمات الفدية. يعتقد ما يقرب من نصف كبار المديرين التنفيذيين أن الهجمات على المحاسبة والإدارة المالية تزداد سوءًا، وفقًا إلى دراسة أجراها Deloitte Center for Controllership في عام 2023. كما توجد تكلفة مالية للأضرار التي لحقت بسمعة المؤسسة بسبب خرق أمني.

تحظى لوائح هيئة الأوراق المالية والبورصات الأمريكية الجديدة باهتمام المديرين الماليين. اعتمدت لجنة الأوراق المالية والبورصات قواعد تلزم الشركات العامة بمنح المستثمرين معلومات "مُفيدة للقرار" حول حوادث الأمن السيبراني، إلى جانب تحديثات دورية حول برامج الأمن السيبراني الخاصة بهم. كما يبدو أن القواعد تتطلب إخطار هيئة الأوراق المالية والبورصات (SEC) في غضون أربعة أيام من تصميم الشركة على أن حادث الأمن السيبراني "مهم"، مما يعني حادثًا يعتبره معظم المستثمرين مهمًا.

تتمثل ولاية تنظيمية أخرى في القانون الفيدرالي لإدارة أمن المعلومات (FISMA)، الذي يتطلب من الوكالات الفيدرالية في الولايات المتحدة وضع وتوثيق وتنفيذ تدابير أمنية على نطاق الهيئة. يُعد الامتثال للقانون في الأساس مسؤولية المدير التنفيذي لأمن المعلومات (CISO)، لكن يجب على المديرين الماليين الحكوميين أن يضعوا في اعتبارهم متطلباتها.

النقاط الرئيسة

بصفتهم خبراء في إدارة المخاطر، يجب على المديرين الماليين العمل مع مديري المعلومات التنفيذيين لتحديد أولويات التهديدات الإلكترونية وطرق الدفاع استنادًا إلى المخاطر المالية للشركات.
لتقييم المخاطر الإلكترونية، يجب على المديرين الماليين اكتساب معرفة قوية بتقنيات الهجمات الإلكترونية بالإضافة إلى الاستراتيجيات والتقنيات المستخدمة في مكافحتها.
يساهم المديرون الماليون بشكل مُتزايد في خطط الأمن السيبراني، ومراجعة الميزانيات الأمنية، ومراقبة فعالية التجهيزات الأمنية.
شرح حول الأمن السيبراني والمديرين الماليين
لا يُعد المديرون الماليون خبراء في الأمن السيبراني، لكنهم خبراء في إدارة المخاطر. يجعلهم هذا حلفاء طبيعيين لـ CISO، المسؤول عن حماية أنظمة المؤسسة وبياناتها. يجب استشارة المديرين الماليين بشأن خطط الأمن السيبراني، مع التأكد من أنها تعكس المخاطر المالية الإجمالية للشركة. هل تحمي الأنظمة التي تعالج بيانات المؤسسة الأكثر حساسية وقيمة وتخزنها بشكل كاف؟ هل تساعد الموظفين في جميع أنحاء المؤسسة على اكتشاف رسائل البريد الإلكتروني والمكالمات وعمليات الاحتيال الوهمية الأخرى؟ بصفته أهم مراقب لإدارة المخاطر، يجب أن يكون المدير المالي واثقًا من أن مستوى المؤسسة من المخاطر الإلكترونية مقبول.

يتمتع المديرون الماليون أيضًا بالتزامات إعداد تقارير تنظيمية تشمل الأمن السيبراني. فهم يشاركون بشكل وثيق في الامتثال للقواعد التي وضعتها هيئة الأوراق المالية والبورصات الأمريكية، واللائحة العامة لحماية البيانات في الاتحاد الأوروبي، وقانون خصوصية المستهلك في كاليفورنيا، من بين أمور أخرى. يتعاون المديرون الماليون مع المستشارين العامين والمدققين الداخليين ومديري أمن المعلومات وغيرهم لضمان الامتثال. يواجهون أسئلة من مجلس الإدارة حول الإفصاح عن أي حوادث إلكترونية، إلى جانب الإفصاح السنوي لإدارة المخاطر الإلكترونية والاستراتيجية والحوكمة.

في السعي لتحقيق الامتثال، يجب على المديرين الماليين موازنة عدد من العوامل الرئيسة. على سبيل المثال، تتطلب "SEC" الكشف عن أي "حوادث مادية"، والتي يعتبرها المستثمرون مهمة. بطبيعة الحال، يستخدم المديرون الماليون التدابير المالية لتحديد ما هو مادي وما يجب الكشف عنه نتيجة لذلك، لكن يجب عليهم أيضًا النظر في عوامل أكثر نوعية مثل التأثير الخاص بالسمعة، حتى هجوم بسيط على معلومات العميل.

أهم خمسة مخاطر على الأمن السيبراني للمديرين الماليين
في عالم الأعمال الأول عبر الإنترنت، يتوسع "ناقل التهديد" المتاح للمهاجمين الإلكترونيين مع طرح الشركات للتطبيقات بشكل أسرع ولعدد أكبر من المستخدمين أكثر من أي وقت مضى. تدمج الشركات أيضًا التطبيقات بشكل متزايد مع الأنظمة من الموردين والشركاء وغيرها من الأطراف الخارجية.

بغض النظر عن البيئات التي يستهدفونها، يختبر المهاجمون دائمًا طُرقًا جديدة للتهرب من الدفاعات الإلكترونية. لا يحتاج المديرون الماليون إلى فهم كل الفروق التقنية الدقيقة، لكن يجب عليهم فهم التقنيات الأكثر فعالية للمهاجمين. تمثل العديد من الهجمات تطورات جديدة حول الأنواع الرئيسة الخمسة التالية.

1. اختراق البريد الإلكتروني للأعمال
يمثل اختراق البريد الإلكتروني للأعمال (BEC) هجوم إلكتروني يستخدم البريد الإلكتروني للتلاعب بالأشخاص. على سبيل المثال، يحاول المهاجمون خداع المتلقي لإرسال الأموال عبر طلب احتيالي لتحويل الأموال أو فاتورة بائع زائفة. تستهدف عمليات اختراق البريد الإلكتروني للأعمال (BEC) هذه عادةً فِرق المحاسبة والإدارة المالية والمشتريات وكشوف الرواتب. يمثل "BEC" نوع من هجوم التصيد الاحتيالي. تحاول عمليات الاحتيال الأخرى خداع المتلقين للكشف عن كلمات المرور، أو توفير أرقام بطاقات الائتمان، أو النقر على روابط البرامج الضارة.

أفادت شركة Unnormal Security، وهي شركة أمان للبريد الإلكتروني، أنه في النصف الأول من عام 2023، زادت هجمات "BEC" بنسبة 55% خلال النصف الأول من عام 2022.

2. هجوم على سلسلة التوريد
كما يوحي المصطلح، تستهدف هجمات سلسلة التوريد شيئًا تشتريه الشركة من البائعين، ويكون عادةً برنامجًا. من خلال استغلال الثغرة الأمنية في برنامج، يمكن للمهاجم الحصول على وصول خلفي إلى العديد من الشركات التي تستخدم البرنامج. يكتسب المهاجم حق الوصول إلى الشبكات الخاصة، بما في ذلك الملكية الفكرية وبيانات العملاء وأصول المعلومات الأخرى.

3. قاعدة بيانات مكشوفة بشكل عام
تمثل قاعدة البيانات المكشوفة للجمهور قاعدة بيانات تدعم موقعًا أو تطبيقًا عامًا ولا تحميها تدابير أمنية مثل طلب بيانات اعتماد المستخدم أو التكوين الآمن أو إعدادات الأمان المناسبة أو الإشراف على نشر قواعد البيانات—مما يجعلها سهل الوصول إليها. ساهم ارتفاع العمل عن بُعد أثناء وباء كوفيد-19 في زيادة البيانات غير الآمنة والهجمات الناتجة. في عام 2023، كشفت شركة الأمن ومقرها سنغافورة Group IB عما يقرب من 400،000 قاعدة بيانات من هذا القبيل على شبكة الإنترنت المفتوحة. عند معرفة المشكلة، استغرق مالكو قواعد البيانات في المتوسط 170 يومًا لإصلاحها، مما أدى إلى مخاطرة انتهاكات البيانات ومتابعة الهجمات على الموظفين أو العملاء. في دراسة أجرتها شركة Kroll عام 2022، قالت 53% من المؤسسات إن الهجمات على قواعد البيانات المكشوفة أدت إلى اختراق الشبكة.

4. تهديدات جهات داخلية
تمثل الجهة الداخلية موظف أو موظف سابق أو مقاول أو بائع أو طرف آخر يمكن أن يشكل وصوله الخاص إلى أنظمة الشركة وشبكاتها تهديدًا أمنيًا. تنقسم الجهات الداخلية إلى فئتين: تلك التي تتصرف عمدًا لإسقاط أنظمة الشركة وسرقة بياناتها وتلك التي تسبب فجوة أمنية عن غير قصد لأنها تفتقر إلى التدريب الأمني أو ببساطة تفشل في اتباع الإجراءات. ارتفع متوسط التكلفة الإجمالية لمؤسسة ما لحادث تهديد داخلي من 15.4 مليون دولار في عام 2022 إلى 16.2 مليون دولار في العام الماضي، وفقًا إلى لبحث أجراه مورد تكنولوجيا المعلومات DTEX Systems وPonemon Institute، استنادًا إلى عينة من المؤسسات في مختلف الصناعات وبأحجام مختلفة.

5. برامج الفدية
تُعد برامج الفدية نوع من البرامج الخبيثة التي يستخدمها المهاجمون لتشفير بيانات الشركة، ويتم تقديمها غالبًا عن طريق البرامج المخترقة أو رسائل البريد الإلكتروني الزائفة، ومن ثم؛ طلب فدية مالية لإزالة التشفير. عند تنشيط برامج الفدية، لا يمكن للموظفين الوصول إلى الأنظمة والبيانات الرئيسة، ولا يمكنهم العمل، وتتوقف العمليات حتى تدفع المؤسسة الفدية المطلوبة ويتم إرجاع الوصول إلى الوضع الطبيعي. تقرر بعض الشركات أن دفع الفدية أقل تكلفة من وقت التوقف التشغيلي، خاصةً إذا كان التأمين الإلكتروني يغطي بعض الخسائر. مع ذلك، لا يوجد ضمان بأن المهاجمين بمجرد الدفع لهم، يوفرون مفتاح فك تشفير لتحرير البيانات. بلغ متوسط دفع الفدية في عام 2023 1.54 مليون دولار، وفقًا إلى مقدم خدمات الأمان Sophos. في أكتوبر الماضي، تعهدت مبادرة مكافحة برامج الفدية، وهي مجموعة من المؤسسات الحكومية التي تقودها الولايات المتحدة في 50 دولة، بأنها لن تدفع فدية إلى مجرمي الإنترنت.