الهجمات الخيرية
الأمن السيبراني للجمعيات الخيرية: كيف تحمي مؤسستك غير الربحية من الهجمات الإلكترونية
الغطس العميق للهجمات الإلكترونية للجمعيات الخيرية
أهم النصائح حول إحباط عمليات اختراق البيانات وبرامج الفدية والمزيد من خبراء المعلومات
الأمن السيبراني للجمعيات الخيرية: كيف تحمي مؤسستك غير الربحية من الهجمات الإلكترونية
تتزايد الهجمات الإلكترونية التي تستهدف المؤسسات الخيرية بمعدل ينذر بالخطر حيث يستفيد مجرمو الإنترنت من مجموعات البيانات الضخمة التي تمتلكها العديد من المؤسسات غير الربحية المسجلة.
غالبًا ما تحتفظ المنظمات الخيرية ببيانات شخصية حساسة عن مؤيديها وموظفيها ، بما في ذلك أحيانًا معلومات مالية.
ومع ذلك ، فإن منع الهجمات الإلكترونية ضد المؤسسات الخيرية ليس بالأمر السهل دائمًا ، بسبب القيود المتعلقة بالوقت أو المال أو المعرفة الفنية.
ومع ذلك ، يمكن حتى لأصغر المنظمات الخيرية المساعدة في حماية أصولها الرقمية مجانًا ، وذلك بفضل العديد من الموارد المجانية المتاحة على الإنترنت.
ولكن لفهم ما تحتاجه مؤسستك الخيرية ، عليك أولاً أن تفهم سبب استهداف القطاع بشكل غير متناسب.
عمل خيري
ربما تكون أكبر مشكلة أمنية تواجهها المؤسسات الخيرية هي التهديد الذي يلوح في الأفق باستمرار لخرق البيانات.
في وقت سابق من هذا العام ، أعلنت منظمة أوكسفام أستراليا أنها تعرضت لخرق للبيانات بعد أن حصل طرف ثالث ضار على وصول غير مصرح به إلى قاعدة بيانات المؤسسة الخيرية.
لم تؤكد منظمة أوكسفام حتى الآن عدد الأفراد المحتمل تأثرهم ، لكنها أعلنت أن البيانات المسربة تضمنت الأسماء والعناوين وتواريخ الميلاد ورسائل البريد الإلكتروني وأرقام الهواتف والجنس وفي بعض الحالات سجلات التبرعات التاريخية.
اقرأ المزيد من أحدث الأخبار الأمنية حول المؤسسات الخيرية
حتى المنظمات الأكثر وعيًا بالأمان يمكن أن تقع ضحية لتسرب البيانات بسبب مخاطر فشل الطرف الثالث.
أثر هجوم فدية رفيع المستوى على خدمة قاعدة بيانات جمع التبرعات Blackbaud في عام 2020 على العديد من المؤسسات الخيرية وغير الربحية التي استخدمت النظام الأساسي لجمع المعلومات عن مؤيديها.
قال بلاكبود إن المهاجم “أزال نسخة من مجموعة فرعية من البيانات من بيئة السحاب الخاصة (السحابية الخاصة) المستضافة ذاتيًا” ، مضيفًا أنه دفع فدية لإزالة مجموعات البيانات هذه – وهي ممارسة تثير استياء خبراء المعلومات إلى حد كبير.
في حين قالت الشركة إنه ليس لديها دليل على استخدام أي بيانات لأغراض إجرامية ، إلا أنها أثرت على مؤيدي العديد من المؤسسات الخيرية في جميع أنحاء العالم ، بما في ذلك مزود علاج السرطان التابع لـ NHS The Christie ومنظمة رعاية الأطفال الأمريكية Children’s Minnesota.
غالبًا ما تمتلك المؤسسات الخيرية ثروة من بيانات المستخدم الحساسة ، وغالبًا ما تمتلك المؤسسات الخيرية ثروة من بيانات المستخدم الحساسة
“واقع حزين”
ديفيد كامينز هو نائب رئيس أوروبا والشرق الأوسط وأفريقيا في Tenable ، وهي شركة للأمن السيبراني مقرها الولايات المتحدة تعمل مع عدد من المؤسسات الخيرية الكبيرة ، بما في ذلك منظمة مساعدات عالمية.
قال كامينز لصحيفة ديلي سويغ: “الحقيقة المحزنة هي أن مجرمي الإنترنت من المرجح أن يستهدفوا القطاع الثالث مثل أي قطاع آخر”.
كشف تقرير صادر عن وزارة الثقافة والإعلام والرياضة في المملكة المتحدة أن 26٪ من المؤسسات الخيرية تعرضت لخرق أو هجوم إلكتروني في عام 2020.
“من تحليل Tenable الخاص للاختراقات الإلكترونية في عام 2020 ، لا تزال الثغرات الأمنية المعروفة هي المنهجية المفضلة للمهاجمين.
“هذا هو السبب في أن التوجيه الذي نقدمه لعملائنا ، بما في ذلك عدد من المنظمات الخيرية ، هو أن الحصول على الأساسيات بشكل صحيح سيحبط الغالبية العظمى من التهديدات الإلكترونية.”
اقرأ المزيد للجمعيات الخيرية ، والعاملين في مجال تكنولوجيا المعلومات الذين يتعرضون للخداع بسهولة أكبر من خلال هجمات التصيد – دراسة
استشهد Cummins بوعي المستخدم ، واكتشاف البرامج الضارة ، والنسخ الاحتياطي للنظام باعتبارها دفاعات رئيسية ضد مجرمي الإنترنت ، على الرغم من أنه أشار إلى أن “الطريقة الأكثر فعالية” هي إنشاء ممارسات الصحة الإلكترونية الأساسية التي يمكن لجميع الموظفين اتباعها.
“يتطلب هذا من المؤسسات أن تأخذ نظرة شاملة على بنيتها التحتية ، وتحديد الأصول والأنظمة الضرورية للعمل ، وتحديد الثغرات الأمنية الموجودة داخل هذه المجالات الأساسية التي يتم استغلالها بشكل نشط ، وتحديث هذه الأنظمة لإصلاح هذه العيوب أولاً” ، شركة Cummins مضاف.
“جنبًا إلى جنب ، يجب التركيز أيضًا على تأمين الحسابات – الموظفين ومقاولي الخدمة والعاملين المؤقتين وحسابات الأنظمة وغيرها – ووصولهم إلى الأنظمة والأذونات عبرها.”
استثمر في التدريب
إن Cyber Helpline هي مؤسسة خيرية مقرها المملكة المتحدة يديرها متطوعون يقدمون المشورة للمواطنين بشأن القضايا الأمنية التي تتراوح من هجمات التصيد إلى المطاردة الإلكترونية.
لضمان قدرة المؤسسة الخيرية على تقديم أفضل النصائح وحماية نفسها من الهجمات ، قال مديرها لصحيفة The Daily Swig إنها استثمرت في منصة للتعلم الإلكتروني لتقديم تدريب محدث / كما تجري محادثات منتظمة مع خبراء الأمن السيبراني لتقديمها. أمثلة من الحياة الواقعية لما يمكن أن تبدو عليه حادثة أمنية.
أخبر مارك بيلجروف ، رئيس الاستشارات السيبرانية في Exponential ‐ e ومؤسس ومدير خط المساعدة السيبراني The Daily Swig أنه من الضروري أن يحصل المتطوعون على التدريب الضروري على الاستجابة للحوادث.
قال: “بعبارة أخرى ، التأكد من فهمهم للفروق التقنية لمشهد التهديد الرقمي. بمجرد أن يكون لديهم هذه المعرفة في
المكان ، سيكونون قادرين على تقديم أعلى مستوى من الدعم للضحايا الذين نعمل معهم “.
وأضاف بيلغروف: “بهذه الطريقة ، يطور متطوعونا رؤية شاملة لأحدث التطورات عبر مشهد التهديدات فور حدوثها.”
وقعت منظمة أوكسفام أستراليا ضحية لخرق بيانات في وقت سابق من هذا العام ، وقعت أوكسفام أستراليا ضحية لخرق بيانات في وقت سابق من هذا العام
لا تفوت مؤسسة خيرية لحقوق الإنسان تقود حملة للقضاء على تطبيقات Android التي تنتهك الخصوصية
في السنوات الأخيرة ، أصدرت وكالات الأمن الحكومية حول العالم موارد مجانية للجمعيات الخيرية والشركات الصغيرة تحتوي على نصائح عملية حول منع الهجمات السيبرانية والاستجابة لها.
نشر المركز الوطني للأمن السيبراني (NCSC) في المملكة المتحدة دليل المؤسسات الخيرية الصغيرة الخاص به ، كما يقدم أيضًا نصائح مجانية عبر الإنترنت للقطاع العام على موقعه على الويب.
في أستراليا ، تتضمن مجموعة أدوات الحوكمة دليلًا لما يجب البحث عنه وأداة تقييم.
بالنسبة للجمعيات الخيرية التي تتخذ من الولايات المتحدة مقراً لها ، يوجد لدى US-CERT دليل شامل على موقعه على الويب يقدم نصائح أمنية للمستخدمين غير التقنيين.
أهم النصائح لتحسين الوضع الأمني للمؤسسة الخيرية
تواصلت صحيفة The Daily Swig مع خبراء في مجال أمن المعلومات من ذوي الخبرة في مجال الأعمال الخيرية وسألتهم عن النصيحة التي يقدمونها لمساعدة المؤسسات غير الربحية على تأمين بياناتها.
قال جافاد مالك ، مدافع عن الوعي الأمني في KnowBe4: “النصيحة الأولى وربما الأكثر أهمية ستكون من منظور غير تقني ، وهو النظر إلى الثقافة التنظيمية. يتضمن ذلك الاستثمار في الوعي الأمني حتى يتمكن الأشخاص من اتخاذ قرارات أفضل بشأن المخاطر ، حتى لو لم تكن الأدوات الأكثر تعقيدًا متاحة دائمًا.
“النصيحة الثانية ستكون إدارة أوراق الاعتماد. يمكن أن يتضمن ذلك تنفيذ مصادقة متعددة العوامل ، أو إدارة الوصول إلى الامتيازات ، أو تزويد الموظفين بمديري كلمات المرور.
“النصيحة الثالثة ستكون البقاء على اطلاع دائم بالتصحيحات الحرجة ، خاصة للأنظمة التي تواجه الجمهور والتي يمكن الوصول إليها.”
قال برايان هيغينز ، أخصائي الأمن في شركة كومباريتيك ، والذي عمل كأمين لمؤسسة خيرية: “أضف الأمن السيبراني إلى سجل مخاطر مؤسستك الخيرية في أقرب وقت ممكن واجعله عنصرًا دائمًا على جدول أعمال مجلس الإدارة. سيضمن ذلك مناقشة الموضوع بانتظام على مستوى رفيع واتخاذ القرار وتخصيص الموارد.
“تنفيذ بروتوكول النسخ الاحتياطي للبيانات العادية والمناسبة للمخاطر. تعد Ransomware واحدة من أكثر الأساليب الإجرامية شيوعًا هذه الأيام ، لذلك من الضروري أن تكون قادرًا على الحفاظ على العمليات في حالة وقوع شبكتك ضحية.
“تدريب جميع موظفيك على الوعي الأمني. ليس من الجيد التأكد من أن المديرين يفهمون التصيد الاحتيالي إذا كان عمال النظافة لا يعرفون مدى خطورة توصيل USB الذي يعثرون عليه على الأرض! “
لا يزال الأمن السيبراني ذو الصلة يمثل مشكلة رئيسية للمنظمات غير الربحية
قال نيام مولدون ، مسؤول حماية البيانات العالمية في OneLogin ، إنه من المهم فهم المخاطر التي تواجهها المؤسسة الخيرية من خلال تتبع أصولها ومن يمكنه الوصول إليها وكيفية مراقبتها.
من أجل حماية المؤسسات الخيرية من الهجمات والانتهاكات ، قدم مُولدون القائمة التالية لأفضل الممارسات:
قم بإجراء تدقيق للعدد الإجمالي للأجهزة والأنظمة المدارة
تخلص بشكل آمن من الأجهزة غير المستخدمة و / أو القديمة
تقييد الوصول إلى الآخرين على أساس الحاجة إلى المعرفة
قم بتعطيل Bluetooth و GPS كلما أمكن ذلك
قم بتطبيق كافة التحديثات والتصحيحات فور توفرها
قالت: “اعرف ما لديك ، واعرف مكانه ، واعرف قيمته ، وحدد كيفية حمايته”.