تقييم مخاطر التّهديدات الرّقميّة

 يُطلعنا هذا القسم على سُبل تحديد المخاطر وإجراء تحليل المخاطر خطوة بخطوة ومعرفة العوامل الّتي ينبغي لنا أخذها بعين الاعتبار.

المُخرجات:

باستكمال هذا الفصل واتباع إرشاداته سنتمكّن من:

• التعرّف على الأمن السيبراني
• والتّمييز بين التهديد، ومواطن الضعف، والمخاطر؛
• والوعي بدائرة التّهديدات؛
• وفهم الأصول والجهات الفاعلة في سياق الأمن السّيبراني والقدرة على تحديدهما؛
• وحساب المخاطر واحتمالية وقوعها وخطورتها بالنّسبة لعملنا؛
• والإلمام باستراتيجيات تخفيف المخاطر على اختلافاتها والقدرة على تطبيقها؛
• والتخطيط للحماية وإعداد خطط طوارئ؛
• تحديد مختلف المخاطر الكامنة بمحيط التّشغيل وبيئته:

بالإضافة لما سبق، يعرّفنا هذا الفصل على مختلف العوامل التي قد تؤثر على سلامتنا.الأمن السيبراني | تقييمات المخاطر عبر الإنترنت

تعد عمليّة تقييم المخاطر في مجال الأمن السيبراني عاملًا حاسمًا في تحديد الثغرات الكامنة في بنية الأمان التّحتيّة كما في التّوزيع الاستراتيجي للموارد لتخفيف المخاطر المحتملة. 

تُمِّد تقييمات المخاطر السّيبرانيّة مؤسّسات المجتمع المدني، والصحفيين/ات، والمدافعين/ات عن حقوق الإنسان بنظرة ثاقبة على وضعهم الأمني بتمكينها لهم من تحديد نقاط الضعف والثّغرات التي يمكن استغلالها من المتربصين، وبالتّالي استباق المخاطر بتخصيص الموارد اللّازمة لمواجهتها ضمن إطار أمان أقوى وأكثر مَرَانة.

تُشكّل تطبيقات الويب غالبًا هدفًا للتهديدات السيبرانية لما تنطوي عليه من مواطن ضعف متأصلة في بُناها. في هذا السّياق، تُساعد تقييمات المخاطر الشّاملة المُحاكة خِصِّصًا لتطبيقات الويب على فهم المخاطر التي تواجهها هذه التّطبيقات وتُمكِّن تنفيذ الاستراتيجيات التّخفيفيّة المنشودة، كما تُعزّز هذه الخطوة من أمان تطبيقات الويب بتقييم ومعالجة ما يتربص بها من مخاطر، عدا ما لها من أثر في الحد من الوصول غير المصرّح به وانتهاكات البيانات والأنشطة الخبيثة الأخرى.

بإيجاز، تعتبر تقييمات المخاطر السيبرانية عاملًا حاسمًا في تشكيل المشهد الرّقمي، لما تؤدّيه من وظيفة استباقية تُحدِّد مواطن الضّعف، وتُسهم في تخصيص الموارد بكفاءة، وتخفيف المخاطر المحتملة. بتعبير آخر تؤدّي هذه التّقييمات دورًا أساسيًا في تقوية تدابير الأمان والحماية من التهديدات السيبرانية ضمن إطار تطبيقات الويب والحضور الرّقمي والمتصل بالإنترنت.

التّهديدات، مواطن الضّعف والمخاطر

يمكن تعريف الفروق بين التّهديدات، ومواطن الضّعف، والمخاطر كما يلي:

تُعرّف مواطن الضّعف بأنها أي نقطة ضعف في نظام، أو عمليّة، أو طريقة عمل منظمة أو فرد، بأي أنها بمثابة انكشافنا على الهجمات والأضرار. بعبارة أخرى هي عيوب أو نقاط ضعف في النظام التي يمكن إصلاحها بمُجرّد تحديدها. تشمل هذه المواطن قدرتنا على منع هذا الضّعف أو التقليل منه. إذا كانت قدرتنا على التعامل مع هذه المواطن أكبر من حجم الضعف نفسه، فلا تُعْتَبَر بالضرورة نقطة ضعف؛ أمّا إن فاقت مواطن الضّعف قدرتنا على التعامل معها، فلا مناص من اعتبارها عيوبًا بالنظام لا بدّ لنا من تصويبها.

أمّا التّهديد، فهو أي شيء يعرّض ناسنا وأشيائنا للخطر، أو يعيق عملنا، أو يسفر عن ضروبٍ أخرى من الضّرر (نحو الإضرار بالسّمعة)، يُعزى هذا النّوع من التّهديدات إلى شخص آخر يُمكننا تحديده لكن لا يقع ضمن نطاق سيطرتنا وتحكمنا.

تُشير المخاطر إلى مآل استغلال تهديد لأحد مواطن الضّعف، بعبارة أخرى: مواطن الضعف + التهديد = المخاطر

تنطوي المخاطر على احتمالية حدوث أمر ذي أثر ما على ناسنا، وأشيائنا، ومنظمتنا، أو عملنا.

تعريف المخاطر

يوسّع تعريف المخاطر الّذي وضعته المنظّمة الدّوليّة للتوحيد القياسي مفهوم المخاطر من دائرة إمكانية الإضرار أو التّسبب بخسارة إلى إحداث "التباس في أهداف المنظّمة،" ما يتعدّى السّلبيات ليشمل الآثار الإيجابيّة أيضًا (المنظّمة الدّولية للتوحيد القياسي، 3100:2009). بصيغة أخرى، يدمج هذا التّعريف مفهوم "الفرصة" ضمن بوتقة المخاطر.

يمكن تقسيم المخاطر التي يواجهها أي شخص إلى ثلاثة أنواع بناءً على:

• الهوية (الملف الشخصي): من العمر، والجنس، والمؤشرات الدّينية، والعرق، والميول الجنسيّة، إلخ.
• والمهنة: مثل الصحفيين/ات، والناشطين/ات، والعاملين/ات في المجال الإنساني.
• البيئات الشخصيّة والمهنيّة: نحو المواقع الجغرافيّة المعرضة للكوارث الطبيعيّة، والاضطرابات والقلاقل المدنية، والعداء تجاه الصحفيين/ات.

في عالم الأمن السيبراني، تبرز الضرورة المُلحة لتقييم المخاطر المتعلقة بشبكات الاتصال وأنظمة الأمان وكشف نقاط الضعف.

تعتمد معظم المنظمات التّعريفات التّالية:

التهديد هو خطر أو مصدر محتمل للأذى أو الخسارة؛

المخاطر هي احتماليات وآثار التّعرّض للتهديد؛

إدارة المخاطر هي نظام موضوعي لتوقع المخاطر وتقييمها والتأهب لها بهدف الحد من آثارها.

تقييم المخاطر

تُعد التقييمات المتواترة لمخاطر الأمان السيبراني ضرورة لا غنىً عنها لتحديد الأصول الأكثر عرضة للتهديدات، وتقييم الخسائر المحتملة التي قد تتمخض عن استغلال هذه المخاطر، عدا تحديد أولويات تدابير تخفيف آثار المخاطر الأكثر إحاطة برسالة المنظمة.

يشكّل تقييم المخاطر عملية لا بدّ من فريق لإكمال دائرتها، أي أكثر من شخص. تتضمن هذه العملية تحديد الأهداف، والتعرف على المخاطر، وتقييمها، وتطوير الأهداف، ورصد المخاطر وتحقيق الأهداف والتواصل بشأنها. في ذات السياق، يقدّم تقييم المخاطر نظرة ثاقبة على المخاطر التي قد تتعرض لها منظّماتنا، وبرامجنا، والأهم من ذلك، الأشخاص عند تواجدهم في موقع محدد. يعتبر تقييم المخاطر الأمنية جزءًا لا يتجزأ من تصميم وتنفيذ البرامج والحضور المستدامين على الإنترنت، عدا أنّه الخطوة الأولى في رحلة إعداد تدابير الأمان والسلامة الرّقميّة الضروريّة لمنظّماتنا.

من المهم تذكر أن هذا الأداة تستخدم لإثراء صناعة القرارات واتخاذها، فضلًا عن إدماج المعلومات المستقاة من تحليل سياق منظماتنا ومناطق عملها، تلك الخطوة المهمّة في إجراء تقييم شامل لمخاطر الأمان.

على الرغم من أهمية دور مديري الأمان والنقاط المركزية في قيادة عملية تقييم المخاطر، يظل من الضروري أن تشمل هذه العملية طواقم الإدارة العليا وأصحاب المصلحة المحليين، وبخاصة فرق البرامج، لجمع أكبر قدر ممكن من المعلومات وتعدد الآراء حيال المخاطر المتنوعة التي تحيط بالموظفين في بيئة عملهم. يفضي هذا النهج التشاركي إلى تقييم شامل ومتكيف، يمكن أن يسهم في تحديد الإجراءات الواجب اتخاذها للقضاء على المخاطر أو تخفيفها أو السيطرة عليها، وتحديد الأولويات بناءً على درجة تأثير هذه المخاطر واحتمالية وقوعها.

في حالة الاستجابة للطوارئ، قد يكون من الصعب إجراء تحليل وتقييم شاملين للسياق ولمخاطر الأمان لتحديد التهديدات المحيطة بمنظمتنا، لما تقتضيه هاتان العمليتان من بحث ووقت كاف في بيئة العمل.

في خضم استجابة منظمتنا لحدث طارئ، يمكننا البدء بإجراء تقييم سريع لمخاطر الأمان خلال المراحل الأولية للتأهب أو عند تطوير برنامج جديد. يتبع ذلك دمج نتائج هذا التقييم في استراتيجية البرنامج الشاملة وتصميمه. مع مرور الوقت وتوفر مزيد من المعلومات، يمكننا تعزيز التحليل وتحديثه باستمرار.

يُمكن إجراء تقييمات مخاطر الأمان في أي مرحلة باعتبارها جزءًا لا يتجزأ من عملية التقييم الأوسع للبرامج. تتضمن هذه التقييمات ثلاث خطوات أساسية: أولًا، تحديد التهديدات ثانيًا، تقييمها، ثالثًا، تطوير استراتيجيات فعّالة للتخفيف من المخاطر وآثارها.

1. تحديد الأهداف	2. تحديد التهديدات	3. التقييم	4. التطوير	5. الرّصد والمتابعة والتغطية التّقريريّة
ما هي أهداف المشروع أو البرنامج أو الحملة، قبل وبعد تحقيقها؟	تحديد التهديدات التي تواجه منظّمتنا، وكوادرها، ومجتمعها	تقييم التهديدات وتحليل مستوى المخاطر في منظمتنا (مواطن ضعفها)، وتحديد الأولويات، ومستوى الإقدام على المخاطرة والاستراتيجيّة ذات الصّلة.	تطوير استراتيجيات لتقليل المخاطر المحيطة بمنظّمتنا ومواطن ضعفها من خلال التخفيف من المخاطر.	ينبغي ألّا نتوقف عن تحسينها وتعقبها، ورصدها بالتّقارير، ومشاركتها، ووتيرة مشاركتها ومراجعتها وأطرها الزّمنيّة.

الخطوة الأولى: تحديد الأهداف

الخطوة الثّانية: تحديد التهديدات

ينطوي العمل في بيئات تحفها المخاطر على تهديدات قد تلحق الضرر بنا قبل حتى بدء أي عمليات من قبل منظماتنا. تتنوع هذه المخاطر التي قد تؤثر سلبًا على قدرة منظماتنا في تقديم برامجها.

تشمل الخطوة الثانية من عملية تقييم مخاطر الأمان تحديد مجموعة واسعة من التهديدات ضمن السياق الذي تنشط فيه منظمتنا، والتي قد تشكل خطرًا على مكونات البرمجيات والأجهزة الداعمة لعملياتنا، وبالتالي على مواردنا البشرية.

في عصرنا الرقمي، تستلزم شبكات الاتصال، أجهزة التوجيه، والمفاتيح، وقواعد البيانات، وموارد الخوادم، والتطبيقات الخارجية وغيرها، جهدًا دقيقًا لتحديد التهديدات. يُعد إجراء تقييم المخاطر خطوة جوهريّة في تحديد وجرد جميع الأصول، سواء كانت خارجية أو داخلية، بما في ذلك أجهزة الشبكة. يمكن لكل من هذه الأصول أن تشكل خطرًا على أماننا، وبعضها يحمل درجة خطورة أعلى من غيرها. يهدف تحديد التهديدات في الأمن السيبراني إلى الوصول إلى فهم دقيق لجميع الأصول المعلوماتية الحيوية وتحديد الأخطاء البشرية المحتملة في المناطق التي تكون فيها هذه الأخطاء مرجحة، مما يمكننا من التخفيف من هذه المخاطر والتوعية بها.

الخطوة الثّالثة: تقييم التهديدات

بعد تحديد أنواع التهديدات التي قد تواجهها منظمتنا، سواء في البيئة التشغيلية أو في حضورها على الإنترنت، تأتي الخطوة التالية في عملية تقييم مخاطر الأمان، وهي تقييم كل تهديد وتصنيف مستوى المخاطر الذي يمثله للمنظمة. سيمكننا هذا التقييم الدقيق من تحديد الأولويات وتطوير تدابير ملائمة للتخفيف من المخاطر. يتضمن تقييم التهديدات المحتملة للمنظمة فحص كل تهديد بعناية وتحديد مدى تأثيره والعواقب المحتملة له.

التحليل وتحديد الأولويات. .

تتباين التهديدات والمخاطر باختلاف سياقات التشغيل وتشمل عوامل مثل الموقع الجغرافي، وضعف الكوادر، والحضور في الفضاء الرّقمي والملف العام. عند العمل في موقع جديد، حري بنا الاستفادة من البيانات المستخلصة من تدخلات سابقة ومعلومات من المصادر المحلية لتحديد التهديدات المحتملة. كما يجب أن نأخذ في الاعتبار كيف يمكن أن يتغير مستوى الأمان لكل تهديد وفقًا للسياقات المختلفة.

يعتمد اختبار الاختراق على استخدام تقنيات تشابه تلك التي يستخدمها المخترقون لتحديد مدى صعوبة أو سهولة استغلال الثغرات الأمنية في نظامنا. بمجرد إتمام الفحوصات الدقيقة واختبار الاختراق، سنحصل على تقرير مفصل يبرز جميع الثغرات التي حُدِّدَت، مع توفير معلومات إضافية لكل ثغرة. يمثل هذا التقرير مصدرًا 

قيمًا يساعدنا في تحديد الأولويات ومعالجة الثغرات الأمنية المكتشفة، مما يسهم في تحسين الأمان الشامل لأنظمتنا.

بعد تقييم التهديدات التي تواجه منظماتنا، تأتي الخطوة التالية التي تتمثل في تصنيف كل تهديد لتحديد مستوى المخاطرة المرتبطة به. يعتمد تصنيف المخاطر على مزيج من احتمالية وقوع الحادث وشدة تأثيره. نستخدم طرقًا متنوعة لتصنيف المخاطر، مثل استخدام مقياس مرقم من 1 إلى 5 أو الترميز بالألوان، لإظهار مستويات مخاطر الأمان من منخفضة جدًا إلى عالية جدًا. في هذا الإطار، يُعد استخدام المعلومات المستقاة من تقارير الحوادث الأمان السابقة أمرًا مهمًا لدعم تصنيفاتنا. نظرًا لأن التقييم يكون ذاتيًا، فإن الحصول على دعم من خبراء خارجيين أو على الأقل إجراء مناقشات داخل الفريق يُعد بمثابة تحقق من واقعية التصنيفات. أمّا لتقدير الاحتمالية، فمن المفيد التحقق من وقوع المخاطرة المحددة في منظمات مماثلة أو كيفية تقييمه تلك المنظّمات لاحتمالية تحقّق المخاطرة. في إطار عملنا مع مستويات المخاطر ومصفوفة المخاطر، يُوصى بمراجعة التصنيفات بانتظام.

الخطوة الرّابعة: تخفيف المخاطر

يُعد تطوير تدابير التخفيف، أو العلاج والتّحكّم، خطوة ضروريّة لضمان أن منظمتنا قد بذلت كل ما يُعقل من جهد لتقليل المخاطر قبل الشروع في استخدام كوادرها، ومواردها، وسمعتها في أي إجراءات؛ لما يمثل ذلك من عامل جوهري في إطار واجب العناية الذي نتحمله.

من النادر القضاء على المخاطر قضاءً تامًّا، لكن يمكن لمنظمتنا اتخاذ خطوات محددة لتقليص تعرضها لها. مع أخذ مدخلات أصحاب المصلحة في الحسبان لتوسيع فهم المخاطر، تظهر أيضًا الفائدة المضافة في تحديد التدابير التي يمكن اتخاذها للتخفيف من المخاطر، وتلك التي أثبتت فعاليتها، والإجراءات التي لم تنجح في الماضي. يجب أن تركز هذه التدابير أو "تدابير التخفيف" على الوقاية (لتقليل احتمالية تحقّق الخطر) والتخفيف (من الأثر في حالة وقوع الخطر)، ربما من خلال التجنب، والردع، أو الحماية، أو كل هذه الخيارات أو بعضها.

من المفيد أخذ هذه الإرشادات بعين الاعتبار لتطوير تدابير تخفيف مخاطر الأمان الّتي قد تساور منظّمتنا:

علينا أن نضمن توافق تدابير التخفيف مع استراتيجيتنا الشاملة لإدارة مخاطر الأمان. الهدف الأساسي من إدارة مخاطر الأمان هو تمكين منظمتنا ومواردنا البشرية من الاستمرار في المشاركة وتنفيذ البرامج على الرغم من مستويات المخاطر. لذا، يتعين علينا ضمان التطابق بين تدابير التخفيف واستراتيجية إدارة مخاطر الأمان المرعية لدى منظمتنا، سواء كانت قائمة على القبول، أو الحماية، أو الردع. 

كما ينبغي تحديد الأولويات لهذه التدابير بناءً على تقييم المخاطر، مع التركيز على نتائج تقييم مخاطر الأمان، معتمدين على تحليل دقيق لكل تهديد من حيث احتماليته وتأثيره وكيفية ترابطهما مع تصنيف مستوى مخاطر الأمان. فمثلًا، إذا أشار تقييم المخاطر إلى أن التهديد معين غير محتمل ولكنه سيكون ذا تأثير شديد إذا وقع، فإن التدابير التي تركز فقط على تقليل الاحتمالية لن تُسهم بفعالية في تقليل وطأة المخاطر الكلية.

يهدف وضع تدابير الوقاية الفعالة إلى تقليل احتمالية تحقق التهديد، من الضروري لمنظمتنا تحديد الإجراءات الوقائية التي يمكن اعتمادها لمنع أو خفض احتمالية وقوع التهديد. 

بالمثل، يجب علينا تحديد تدابير الاستجابة التي تعزز استعداد منظمتنا وقدرتها على التعامل مع التهديدات بما يساعد في تخفيف آثارها. يُعتبر وضع تدابير الاستجابة أمرًا حيويًا خاصةً في التعامل مع التهديدات غير القابلة للوقاية مثل الكوارث الطبيعية، أو تداعي البنية التحتية، أو التحديات السياسية. مثال 

على ذلك تطوير أنظمة التحذير المبكر أو استخدام المؤشرات الموثوقة للإشارة إلى تصاعد مثل هذا الضّرب من المخاطر.

فيما يلي بعض المؤشرات الشائعة الّتي تدل على وقوع خرق في الأمان السيبراني:

سجلات خادم الويب التي تُظهر استخدام أداة فحص الثغرات

تهديد من مجموعة يشير إلى أن هجومًا سيبرانيًا وشيكًا (برمجيات الفدية)

نشاط مستخدم/ـة غير عادي

قفل حسابات المستخدمين/ات بشكل غير متوقع

تنبيهات من برمجيات مكافحة الفيروسات/البرمجيات الخبيثة

انحراف غير عادي عن تدفقات حركة الشبكة النموذجية

تغييرات في التكوين لا يمكن تتبعها إلى تحديثات معروفة

تطوير تدابير التخفيف بالتعاون مع منظمات شريكة

إذا كانت منظمتنا تعمل بشراكة مع منظمات محلية أو دولية لتنفيذ المشاريع، أو تختار العمل مع منظمة محلية كوسيلة لتقليل تعرضها للمخاطر، فمن المهم التعرف معًا على المخاطر التي قد تؤثر على كلتا المنظمتين وإيجاد طرق لتخفيف هذه المخاطر معًا.

تحديد المستوى المقبول من المخاطر المترسبة

بعد تطبيق التدابير المناسبة للسيطرة على المخاطر المحددة في تقييم مخاطر الأمان الخاص بنا أو تقليلها، سيظل هناك بعض المخاطر التي تبقى والتي تسمى بـالمخاطرة المتبقية أو المترسبة. من المهم لمنظمتنا تحديد ما إذا كان مستوى المخاطرة المتبقية مقبولًا ولن يحول دون تمكن منظمتنا من تحقيق أهدافها وتقديم برامجها بأمان.

*يلقي الفصل الأوّل| التهديدات الرّقمية: المؤشّرات، والوقاية، والاستجابة، نظرة عامة على التهديدات المغطاة في هذا الدليل.

الخطوة الخامسة: الرّصد والمتابعة والتواصل

من خلال تأسيس ممارسة راسخة لإجراء تقييمات المخاطر بانتظام، ترتقي منظمتنا إلى مستوى أكثر تقدمًا في استعدادها للتعامل بكفاءة مع حوادث الأمان السيبراني. يساهم هذا النهج في تعميق فهم أهمية الاستثمار في تدابير الأمان السيبراني والفوائد الملموسة لاستثمارات مثل تقييمات الثغرات واختبار الاختراق. مع وجود فهم واضح للخسائر المحتملة المرتبطة بمخاطر الأمان، يصبح تخصيص الموارد اللازمة للتخفيف من هذه المخاطر قرارًا أوضح وأكثر استنارة، مما يؤدي إلى تبني منهج استباقي ومتين في حماية الأصول الرقمية لمنظمتنا.