أصدرت المديرية العامة لأمن _نظم المعلومات_ التابعة لإدارة الدفاع الوطني، مذكرة تقدم فيها بعض التدابير الأمنية الواجب اتخاذها لتفادي المخاطر السيبرانية المرتبطة بالعمل عن بُعد في المملكة، المعتمد على نطاق واسع بعد تطبيق حالة الطوارئ الصحية.

وقالت المديرية، في المذكرة الصادرة بتاريخ 3 أبريل الجاري، إن الأزمة الصحية العالمية فرضت حجراً صحياً وحدًّا من تنقلات المواطنين؛ وهو ما دفع الإدارات والمقاولات والجماعات إلى اعتماد العمل عن بُعد، لضمان استمرار الأنشطة الأساسية الممكنة.

و جاء في المذكرة أن عدم ضبط العمل عن بُعد يمكن أن يزيد من المخاطر الأمنية للمؤسسات سالفة الذكر، وقد يعرض نشاطها لخطر مواجهة الجرائم الإلكترونية التي ضاعفت جهودها خلال السنوات الأخيرة.

و حسب خبراء إدارة الدفاع الوطني، فإن هذا اللجوء غير المسبوق إلى العمل من المنازل يعرض الإدارات و المقاولات لمخاطر و هجمات رقمية تبقى أهدافها الرئيسية هي سرقة أو تغيير البيانات و استهداف نظم المعلومات الخاصة بها.

و بهدف تحقيق الاهداف سالفة الذكر، يتم استعمال وسيلة التصيد (phishing) عن طريق إرسال رسائل احتيالية عن طريق البريد الإلكتروني أو SMS أو عبر الدردشة بهدف سرقة المعلومات الشخصية بانتحال صفة هوية موثوق بها أو الإعلان عن إصابة الجهاز بشفرة ضارة وجب التعامل معها.

أما الطريقة الثانية التي يستعملها المخترقون فهي اللجوء إلى تجاوز آليات الوصول إلى نظم المعلومات، و يستغلون في هذا الصدد غياب تدابير أمنية مناسبة.

و لمواجهة هذه الأخطار، قدمت المديرية تدابير وقائية عديدة وجب الالتزام بها، من بينها ضرورة استخدام الوسائل و الآليات المناسبة للعمل عن بُعد، و تأمين الربط عن بُعد مع نظم المعلومات الداخلية من خلال استعمال شبكة افتراضية خاصة (VPN)، و اعتماد الدخول المزدوج للحماية من سرقة الهوية.

كما يدعو خبراء الدفاع الوطني إلى تعزيز سياسة كلمات المرور، حيث يجب أن تكون طويلة بما فيه الكفاية و معقدة على كل جهاز أو خدمة، إضافة إلى تنزيل التحديثات الأمنية على جميع المعدات والأنظمة المرتبطة بالأنترنيت، والعمل على حفظ البيانات بشكل دوري لتفادي ضياعها في حالة وقوع هجوم إلكتروني مثل Ransomware.

و ورد ضمن التوصيات ضرورة مراقبة نشاط الوصول الخارجي والأنظمة الحساسة؛ وهو ما يسمح من الكشف عن أي نشاط غير طبيعي، يمكن أن يكون علامة على هجوم إلكتروني، مثل اتصال مشبوه من مستخدم غير معروف أو رفع امتيازات مستخدم معروف أو حجم غير معتاد لتنزيل المعلومات.

و يبقى التحسيس دائماً من التدابير الموصى بها من أجل رفع مستوى وعي العاملين عن بُعد وتقديم الدعم لهم وإعطائهم تعليمات واضحة حول ما يمكنهم و ما لا يمكنهم القيام به و اطلاعهم على المخاطر الأمنية المرتبطة بالعمل عن بُعد، و لفت انتباههم إلى الاستخدام الحصري لآليات العمل عن بُعد لأغراض مهنية.

و مطلوب أيضاً من العاملين عن بُعد أن يستخدموا بروتوكولا آمن (WPA2) و كلمات مرور قوية لحماية شبكة “الويفي” المنزلية و الإبلاغ المنتظم عن أي حادث مشبوه إلى مسؤول حماية أنظمة المعلومات في الهيئة التي يشتغلون بها.