أسطورة الأمن السيبراني: خط دفاعك الأول ليس فريق أمن المعلومات

بكل صراحة، عندما تسمع مصطلح “الأمن السيبراني”، ما الذي يتبادر إلى ذهنك؟

لربما تخيلت فريقاً من الخبراء شديدي التركيز في غرفة مظلمة، يحدقون في شاشات تعرض نصوصاً خضراء، ويدافعون عن الشركة ضد مخترقين غامضين. نحن نميل للتعامل معهم كحراس لقلعة منيعة، بينما نحن، الموظفون العاديون، مجرد سكان نعيش بأمان داخل تلك الجدران.

هذا التصور مريح، أليس كذلك؟ لكنه في الواقع تصور خادع، ويعرّض شركاتنا للخطر.

الحقيقة هي أن أكبر الاختراقات الأمنية لا تبدأ بهجوم معقد، بل تبدأ بأشياء عادية، أشياء تبدو كجزء طبيعي من يوم عمل مزدحم:

رسالة بريد إلكتروني عاجلة: يتلقى موظف في قسم المالية رسالة تبدو مقنعة جداً من “الرئيس التنفيذي” يطلب فيها تحويلاً مالياً في اللحظة الأخيرة إلى مورد جديد. هذا هجوم تصيد احتيالي كلاسيكي وهو مايعرف ب CEO Fraud أو احتيال المدير التنفيذي، خط الدفاع الوحيد أمامه ليس جداراً نارياً، بل موظف متشكك قرر التحقق من صحة الطلب أولاً.
موعد تسليم مستعجل: فريق التسويق، تحت ضغط إطلاق موقع ترويجي جديد، يستخدم إضافة (plugin) خارجية رائعة، مثل إحدى إضافات ووردبريس (WordPress)، لإنجاز المهمة بسرعة. دون علمهم، تحتوي هذه الإضافة على ثغرة أمنية معروفة، مما يخلق باباً مفتوحاً للمهاجمين. السبب هنا لم يكن عملاً تخريبياً، بل كان قرار عمل.
“حصان طروادة” رقمي: لم يأتِ مصطلح فيروس “حصان طروادة” (Trojan Horse) من فراغ، بل من القصة القديمة. فطروادة لم تسقط بالحصار أو بالقوة، بل بقبولهم لـ “هدية” بدت رائعة من الخارج. هجمات اليوم تأتي متنكرة في هيئة ملف PDF مفيد أو أداة برمجية مجانية يقوم موظف بتحميلها بحسن نية داخل جدراننا الرقمية.
هذه التحديات ليست مجرد مشكلات ليقوم بحلها المتخصصون، بل هي تحديات تمس الشركة بأكملها. الاعتماد على فريق صغير من الخبراء لاكتشاف كل خطأ يشبه تماماً أن يكون لديك أفضل حارس مرمى في العالم، ولكن بدون أي مدافعين في الملعب. إنها استراتيجية خاسرة.

نموذج “غرفة الطوارئ” الأمني
فكّر في غرفة الطوارئ في أي مستشفى. الأطباء والممرضون هناك أبطال. إنهم خبراء لامعون يصنعون المعجزات عند وقوع أزمة، حادث سيارة، مرض مفاجئ، إصابة خطيرة. نحن بالتأكيد بحاجة إليهم.

لكنك لن تذهب إلى الطوارئ لأخذ لقاح الإنفلونزا، أو لإجراء فحص دوري، أو للحصول على نصيحة حول نظام غذائي صحي.

المشكلة أن الكثير من الشركات اليوم تتعامل مع فريق أمن المعلومات وكأنه غرفة طوارئ. يُنظر إليهم كخبراء أبطال نتصل بهم بعد أن يقع الفأس في الرأس. لكن أمن الشركة لا يُبنى على الاستجابة للأزمات، بل يُبنى على “الصحة الوقائية”. والشركة التي تعتمد فقط على غرفة الطوارئ هي شركة “غير صحية” من الأساس.

يفشل هذا النموذج لأنه يعتمد على رد الفعل فقط. طبيب الطوارئ سيخيط جرحك، لكنه لن يعود بالزمن ليمنعك من التعثر. بنفس الطريقة، يمكن لفريق الأمن المساعدة في “معالجة آثار” هجوم تصيد احتيالي اخترق أحد الحسابات، لكنهم لم يتمكنوا من منع الموظف من النقر على الرابط. إنهم يتعاملون باستمرار مع عواقب القرارات التي يتخذها الآخرون، في جميع أنحاء الشركة.

“الصحة التنظيمية” الحقيقية — وبالتالي الأمن السيبراني — تنبع من العادات والخيارات اليومية التي يتخذها الجميع. إنه نظام “الصحة العامة” للشركة. ويتمثل في فريق المالية الذي يمارس “النظافة الرقمية” الجيدة بالتحقق من طلبات الدفع، ويتمثل في فريق التسويق الذي يختار أدوات “صحية” وآمنة منذ البداية. إنها ثقافة يشعر فيها كل فرد بأنه “طبيب العائلة” لقسمه، يسهر على سلامة بيئة عمله.

عندما يمارس الجميع الرعاية الوقائية، تظل غرفة الطوارئ موجودة للحالات الطارئة الفعلية، لكنها لا تعود تمثل خطة الرعاية الصحية بأكملها. والشركة التي لا تعيش في وضع أزمة مستمر هي شركة قادرة على الازدهار حقاً.

من الطوارئ إلى خطة الحصانة: الحلول الاستباقية
إذن، كيف نتخلى عن نموذج “غرفة الطوارئ” القائم على رد الفعل؟

بأن نبدأ بالتفكير بعقلية مسؤول في “الصحة العامة”، لا بعقلية “جرّاح طوارئ”. الهدف هو وضع “خطة حصانة” شاملة للشركة تجعل الخيارات الآمنة هي الخيارات الأسهل والطبيعية للجميع. المسألة لا تتعلق بإضافة المزيد من القواعد، بل بتغيير بيئة العمل نفسها.

1. اجعل الخيار “الصحي” هو الخيار الأسهل 
الكافتيريا التي تضع السلطات والفواكه الطازجة في مقدمة الصف تبيع منها أكثر من تلك التي تخبئها في الزاوية. هذا المبدأ ينطبق تماماً على الأمن. يجب أن نصمم عملياتنا وأدواتنا الداخلية ك “الكافتيريا الرقمية” الخاصة بنا، بحيث يكون الخيار الأكثر أماناً هو أيضاً الخيار الأسهل.

هذه ليست مجرد نظرية. ففي أواخر العقد الأول من القرن الحادي والعشرين، تعرضت جوجل لهجوم سيبراني معقد عُرف باسم “عملية أورورا” (Operation Aurora) [1]. أثبت الهجوم أنه حتى مع وجود جدران قوية مثل VPN، فإن اختراق جهاز موظف واحد يمكن أن يعرض “القلعة” بأكملها للخطر.

لم يكن حل جوجل هو بناء جدران أعلى فحسب، بل كان حلاً ثورياً. رداً على الهجوم، ابتكروا ما أصبح أول تطبيق عالمي ضخم لشبكة “انعدام الثقة” (Zero-Trust)، وأطلقوا عليه داخلياً اسم BeyondCorp. في هذا النموذج، قرروا عدم الثقة بأي أحد افتراضياً، حتى الموظفين داخل الشبكة. يجب التحقق من هوية كل شخص وكل جهاز عند كل إجراء. كان هذا تحولاً جذرياً، بمثابة إنشاء “طريق مرصوف” جديد وأكثر أماناً ليعمل عليه الجميع.

2. ترسيخ ثقافة “الرأي الثاني” 
قبل أي جراحة دقيقة، يشجع الطبيب الجيد مريضه على أخذ “رأي ثانٍ”. هذه ليست علامة ضعف أو عدم ثقة، بل هي دليل على الحرص لضمان أفضل نتيجة وتجنب نقاط الفشل الفردية. هذا المنطق بعينه يجب أن يكون جزءاً أصيلاً من ثقافة عملنا.

والأمر يتجاوز بكثير مجرد قيام مطور بمراجعة كود زميله:

للقسم المالي: يجب أن يكون إلزامياً أن يتطلب أي مبلغ مالي كبير موافقة من شخص ثانٍ.
للتسويق: يجب مراجعة أي حملة إعلانية كبرى أو بيان صحفي من قبل القسم القانوني.
للموارد البشرية: يجب أن يؤد