القسم الثاني – الثورة الرقمية (الجزء الثالث)
الوحدة الاقتصادية
سلاسل التوريد:
تُشكّل سلاسل التوريد تحديًا آخر أمام الشركات في مجال الأمن السيبراني، سواء من خلال وصول الأطراف الثالثة إلى الأنظمة، أو الهجمات التصيّدية (Phishing) التي تبدأ من جانب المورّدين وتنتقل آثارها إلى الشركات.
ورغم أن العديد من المؤسسات تدرك وجود مخاطر أمنية سيبرانية من خلال سلسلة التوريد، فإن بعض المؤسسات، ولا سيّما الشركات الصغيرة، غالبًا ما تفتقر إلى إجراءات رسمية لإدارة هذه المخاطر.
ووفقًا لاستطلاع حول خروقات الأمن السيبراني، أفاد 11٪ فقط من الشركات بأنهم يقومون بتقييم المخاطر الناشئة عن مورّديهم المباشرين، بينما قال 6٪ فقط إنهم يراعون المخاطر عبر سلسلة التوريد بأكملها.
أما فيما يتعلق بمخاطر المورّدين، فقد أظهر الاستطلاع أن المؤسسات تتعامل مع هذه المخاطر بطرق متعددة، تشمل أساليب رسمية مثل العقود، والحصول على شهادات اعتماد خارجية (مثل ISO 27001)، وتوثيق تدفقات البيانات، والاجتماعات مع المورّدين.
ومع ذلك، هناك أيضًا أساليب غير رسمية، كإرسال رسائل بريد إلكتروني للمورّدين من حين لآخر للاستفسار عن تدابيرهم في مجال الأمن السيبراني.
التحقق من الاعتماد والتأمين السيبراني:
على نطاق أوسع، أظهرت الأبحاث التي نشرتها غرف التجارة البريطانية في عام 2022 أن أكثر من نصف الشركات تعتقد أن أنظمتها التقنية (IT) أصبحت أكثر عرضة للهجمات بعد زيادة العمل عن بُعد خلال جائحة كورونا.
علاوةً على ذلك، صرّح أربعة أخماس الشركات بأنها لا تمتلك في الوقت الحالي تدابير أمنية سيبرانية موثوقة للحماية من الهجمات.
وهذا الأمر، إلى جانب التوجه نحو العمل عن بُعد، يبرز أهمية وجود إجراءات أمن سيبراني مناسبة لضمان مرونة واستدامة الشركات في مواجهة المخاطر.
ومع ذلك، أظهر الاستطلاع أن 8٪ فقط من الشركات و5٪ من الجمعيات الخيرية يمتلكون وثائق تأمين متخصصة في الأمن السيبراني.
وترتفع هذه النسبة بين الشركات الكبرى، لكنها لا تزال منخفضة؛ إذ إن 25٪ من الشركات المتوسطة و26٪ من الشركات الكبيرة فقط يمتلكون مثل هذا التأمين.
شهادة ISO 27001:
رغم ذلك، هناك مخاوف بشأن برامج الاعتماد الرسمية، ومن أبرزها ISO 27001، وهو معيار لإدارة أمن المعلومات يوفّر إطارًا لكيفية إدارة المؤسسات للمخاطر المرتبطة بتهديدات أمن المعلومات، بما في ذلك السياسات والإجراءات وتدريب الموظفين.
ويُعد الحصول على شهادة ISO 27001 معترفًا به عالميًا، ويدلّ على أن أنظمة المؤسسة تتوافق مع أفضل الممارسات الأمنية.
تُستخدم شهادة ISO 27001 من قبل العديد من الشركات والمنظمات العامة كمعيار رئيسي للأمن السيبراني وللتأهيل كمورّدين مناسبين في عقود المشتريات.
ويمكن أن يساعد الحصول على هذه الشهادة الشركات الصغيرة والمتوسطة على الاستفادة من فرص تجارية أكبر والنمو.
ورغم أنها ليست مكلفة للغاية، فإنها تتطلب موارد وجهدًا إداريًا كبيرًا لتطوير السياسات، وتدريب الموظفين، وتنظيم عمليات المراجعة الداخلية.
التوصيات:
ينبغي للحكومة تنفيذ برنامج لرفع الوعي وتعزيز مشاركة الشركات في مجال الأمن السيبراني، ولا سيّما الشركات الصغيرة، ويشمل ذلك ما يلي:
-
تحسين إمكانية وصول الشركات وموظفيها إلى دورات تدريبية معتمدة من الحكومة في الأمن السيبراني.
-
دعم الشركات في إجراء تقييمات لمخاطر الأمن السيبراني، بما في ذلك عبر سلسلة التوريد.
-
مساعدة الشركات على فهم كيفية الإبلاغ عن الاختراقات أو الحوادث السيبرانية.
-
دعم الشركات في الحصول على اعتماد ISO 27001.
