في زمن تتسارع فيه وتيرة التحول الرقمي وتتشابك فيه الهجمات الإلكترونية بقدر غير مسبوق، لم يَعد الأمن السيبراني خيارًا تقنيًا يُدار في غرف أقسام تقنية المعلومات فحسب، بل أصبح ركيزة أساسية لضمان استمرارية الأعمال وحماية الأصول الحيوية. ومع ذلك، كشفت دراسة حديثة أجرتها كاسبرسكي في الشرق الأوسط وتركيا وأفريقيا عن فجوة معرفية مقلقة داخل بيئات العمل في السعودية.
فقد كشفت الدراسة، التي حملت عنوان: (الأمن السيبراني في أماكن العمل: سلوكيات الموظفين ومعارفهم)، والتي أُعلنت نتائجها في معرض بلاك هات 2025 في الرياض، أن نصف الموظفين فقط في المملكة العربية السعودية تلقوا تدريبًا على مواجهة التهديدات الرقمية.
وتكتسب هذه النتائج أهمية مضاعفة في ظل حقيقة أنّ الخطأ البشري ما زال سببًا رئيسيًا لمعظم الاختراقات السيبرانية، مما يجعل الاستثمار في تدريب الموظفين ليس خيارًا تكميليًا، بل جزءًا أساسيًا من بنية الدفاع الرقمي لأي مؤسسة.
الهندسة الاجتماعية.. استغلال العامل النفسي:
لم تَعُد الهجمات الإلكترونية تستهدف نقاط الضعف في الكود البرمجي فحسب، بل تُصمَّم اليوم لتجاوز الدفاعات الرقمية عبر استغلال علم النفس البشري، فأساليب الهندسة الاجتماعية، وفي مقدمتها رسائل التصيد الاحتيالي، تعتمد على خداع الموظفين واستغلال ثقتهم الطبيعية أو استعجالهم لاتخاذ قرارات غير صحيحة، تدفعهم لمشاركة بيانات حساسة أو تنفيذ معاملات احتيالية دون إدراك.
وقد أظهرت دراسة كاسبرسكي أن نحو 45.5% من العاملين واجهوا خلال العام الماضي رسائل احتيالية انتحلت صفة مؤسساتهم أو زملائهم أو شركائهم من الموردين، والمثير للقلق أن 16% منهم عانوا عواقب وخيمة ومباشرة بعد هذه الاتصالات الخادعة.
ولا تتوقف المخاطر عند هذا الحد، إذ تشمل المشكلات الأمنية الأخرى المرتبطة بالعنصر البشري: كلمات المرور المخترقة، وتسريب البيانات الحساسة، واستخدام أنظمة أو تطبيقات غير محدثة، والاعتماد على أجهزة غير مؤمنة أو غير مُشفّرة.
التدريب هو خط الدفاع الأول:
يمكن تحصين المنظومة الدفاعية بالكامل وتجنب الهجمات السيبرانية الناجمة عن الخطأ البشري عبر الاستثمار الفعّال في التدريب الملائم ونشر الوعي الأمني. فقد أقر 14% من المشاركين في استطلاع الرأي الذي أجرته كاسبرسكي، بارتكابهم أخطاءً تقنية بسبب ضعف معرفتهم بأساسيات الأمن السيبراني.
وفي الوقت ذاته، تظهر الإحصاءات أن التدريب من أقوى الوسائل وأكثرها فعالية لتحسين مستوى الوعي الأمني بين الموظفين غير المختصين في تكنولوجيا المعلومات؛ فقد فضّله 62% من الموظفين على البدائل الأخرى مثل القصص التوعوية الإرشادية (23%) أو الإشارة إلى المسؤولية القانونية (44%).
وتؤكد هذه النتائج أن التدريب الممنهج على الأمن السيبراني لم يَعد مجرد خيار، بل أصبح عنصرًا حاسمًا، يجب إدراجه كركيزة أساسية في منظومة الدفاع الإستراتيجية لأي مؤسسة.
أهم المواضيع التدريبية المطلوبة في الأمن السيبراني:
عندما أتيحت الفرصة للمشاركين لاختيار مواضيع تدريبية، جاءت أولوياتهم لتعكس المخاطر اليومية التي يواجهونها:
|
موضوع التدريب |
نسبة الطلب |
|
حماية بيانات العمل السرية |
43.5% |
|
أمان الحسابات وكلمات المرور |
38% |
|
المواقع الإلكترونية والإنترنت |
36.5% |
|
استخدام الشبكات الاجتماعية وتطبيقات المراسلة |
32% |
|
الأجهزة المحمولة |
31.5% |
|
البريد الإلكتروني |
29% |
|
العمل من بُعد |
24% |
|
التعامل مع خدمات الذكاء الاصطناعي التوليدي |
16.5% |
بالإضافة إلى ذلك؛ يفضل ربع المشاركين تقريبًا (25%) الخضوع لـجميع التدريبات المذكورة، مما يؤكد الطلب الواسع على التعليم الشامل للأمن السيبراني.
الأمن السيبراني مسؤولية جماعية:
توضح نتائج الدراسة أن الموظفين يمتلكون الاستعداد الكامل لتحسين مهاراتهم في الأمن السيبراني، ومع ذلك لا يكمن النجاح في التدريب فقط، بل في وجود برامج تدريبية منظمة ومحكمة تُقدَّم وفق منهجية تراعي اختلاف الأدوار الوظيفية ومستويات المعرفة التقنية. فالتدريب الفعّال يجب أن يكون مستمرًا، وعمليًا، وتفاعليًا، ليترسخ كجزء من الممارسات اليومية للموظفين، ويساعدهم في استيعاب المفاهيم وتطبيقها بثقة.
وعندما تتبنى المؤسسات هذا الشكل من التعلم المُتخصص، فإنها تلبي جميع احتياجاتها الدفاعية، وتغرس عقلية (الأمن أولًا) بين موظفيها، وهكذا يتحول الموظفون بفضل هذا الاستثمار من ثغرات محتملة إلى مجموعة من الحراس اليقظين، الذين يستطيعون اتخاذ قرارات أمنية واعية وكذلك التعامل مع التهديدات بذكاء واستباقية.
ويؤكد محمد هاشم، المدير العام لشركة كاسبرسكي في المملكة العربية السعودية والبحرين، الأهمية البالغة لعدم حصر الأمن السيبراني في قسم تقنية المعلومات وحده، قائلًا: “لا ينبغي حصر الأمن السيبراني في قسم تقنية المعلومات وحده؛ فالفهم المشترك للمخاطر الرقمية يجب أن يشمل الجميع،بدءًا من الإدارة العليا ووصولًا إلى المتدربين، لما لذلك من أهمية بالغة. إن بناء مؤسسة قوية يتطلّب تمكين كل موظف من المعرفة اللازمة لاكتشاف محاولات الاحتيال، وتجنّب الأخطاء الجسيمة، والتحوّل إلى حارس أمين لبيانات الشركة”.
كيفية تعزيز جاهزية المؤسسات في السعودية:
أوصت كاسبرسكي المؤسسات باتخاذ خطوات عملية لتعزيز قدراتها الدفاعية، ومن أبرزها:
- تطبيق حلول فعالة للمراقبة والأمن السيبراني، مثل سلسلة منتجات Kaspersky Next.
- توفير برامج تدريبية وتوعوية للموظفين عن الأمن السيبراني. فعلى سبيل المثال، تساعد منصة كاسبرسكي للتوعية الأمنية الآلية أقسام تكنولوجيا المعلومات والموارد البشرية في تزويد الموظفين بمهارات عملية في مجال الأمن السيبراني.
- تطبيق سياسات أمنية للموظفين تشمل استخدام كلمات المرور، وتثبيت البرامج، وتجزئة الشبكة.
- تكريس ثقافة الأمن عبر تشجيع الموظفين على الإبلاغ عن الأنشطة المشبوهة، ومكافأة السلوكيات الأمنية الاستباقية لتعزيز السلوكيات والعادات الجيدة بينهم.