خمس نصائح أساسية لتقوية الأمن السيبراني في المؤسسات التعليمية

مقال ضيف بقلم: فويتشيك باجدا، مدير القطاع العام لدى أمازون ويب سيرفيسز في الشرق الأوسط وإفريقيا

نعيش اليوم في عالم رقمي بشكل واسع، وأصبحت تواجه المؤسسات التعليمية في ظل هذه الرقمنة تهديدات أمنية سيبرانية أكثر تعقيداً. ويتعين على هذه المؤسسات الاعتماد على جمع البيانات الحساسة والحفاظ عليها للقيام بمهامها الأساسية بشكل فعال، لذلك يجب أن تكون حماية هذه البيانات أولوية قصوى لديها، وخاصةً مع استمرار المدارس في التحول الرقمي لتقديم ابتكارات وقدرات جديدة لطلابها ومعلميها ورُعاتها.

ووجدت دراسة أجرتها شركة MalwareBytes في تقريرها السنوي عن حالة البرامج الضارة لعام 2024 أن هجمات برامج الفدية المعروفة زادت بنسبة 68% في عام 2023، وفي العام الماضي كانت هناك زيادة بنسبة 70% في قطاع التعليم، مما يجعل عام 2023 “أسوأ عام لهجمات برامج الفدية على الإطلاق في مجال التعليم“. وتم اختيار “الأمن السيبراني ككفاءة أساسية” من جديد كأولوية قصوى في قائمة EduCause Top-10، والتي تحدد القضايا الأكثر أهمية التي تؤثر على المدارس والجامعات كل عام. ومن الضروري أن تتخذ المؤسسات التعليمية اليوم تدابير قوية لتعزيز الأمن السيبراني والمساعدة في التخفيف من التهديدات السيبرانية.

في ما يلي خمس نصائح أساسية يتعيّن على جميع المؤسسات التعليمية اتباعها لتعزيز الأمن السيبراني بشكل يومي:

إنشاء سياسة أمنية موثقة

تساعد هذه الخطوة في ضمان معرفة جميع الموظفين ببنودها وامتلاكهم لنقطة مرجعية واضحة لأي استفسارات، حيث تعتبر أفضل نقطة بداية للمؤسسات التعليمية هي وضع سياسة بسيطة للأمن السيبراني. ويجب أن تحدد هذه السياسة بوضوح توقعات وواجب جميع الموظفين للالتزام بالمعايير الجماعية المطلوبة لتعزيز الأمن السيبراني. ويتعيّن نشر السياسة بوضوح في جميع أنحاء المؤسسة وتسهيل الوصول إليها عبر الأنظمة الداخلية. ولا بدّ أن تتضمن السياسة النصائح الأربع التالية كإجراءات لجميع الموظفين.

اشتراط إدخال بيانات تعريف فريدة لجميع عمليات تسجيل الدخول

هو أمر نعتبره جميعاً أمراً مفروغاً منه في حياتنا الشخصية ولكنه ضروري لإبعاد الجهات السيئة المحتملة، وخاصةً عند التعامل مع البيانات الحساسة أو السرية. ويجب إلزام الموظفين باستخدام بيانات اعتماد فريدة لجميع عمليات تسجيل الدخول المتعلقة بالعمل مع وجود قواعد محددة تساعد في ضمان قوة كلمات المرور، سواء من حيث الطول أو التعقيد. وهذا يعني أن الجهات السيئة لن تتمكن من فتح الأبواب المتعددة في شبكة المؤسسة التعليمية عبر اختراق مجموعة واحدة من بيانات التعريف.

الحد من أذونات وامتيازات المسؤولين عن نظام وشبكة المؤسسة التعليمية

من المهم طبعاً أن يكون لديكم حقوق خاصة بنظام تقنية المعلومات ليتمكن موظفوكم من العمل بشكل فعال. لكن يتعيّن على المؤسسات أن تتذكر أن منح العديد من الحقوق أو الامتيازات للعديد من الموظفين يزيد من مخاطر الأمن السيبراني. والممارسة الأفضل التي يمكن اتباعها في هذه الحالة هي التأكد من أن جميع الموظفين يتلقون الامتيازات الضرورية فقط بما يخص دورهم الوظيفي. بدايةً، يتعيّن على المؤسسات تدقيق الامتيازات الحالية وإنشاء نظام لتوثيق أي أذونات جديدة وإجراء مراجعات منتظمة لأذونات الوصول. ويمكن للمؤسسات التعليمية استخدام الخدمات السحابية مثل IAM وCognito لإدارة ومراقبة حقوق الوصول بسهولة.

حفظ نسخة احتياطية من الأنظمة على السحابة

يُعدّ استخدام النسخ الاحتياطي السحابي خطوة أساسية للتأكد من تأمين البيانات في المؤسسة وإمكانية استردادها وسهولة الوصول إليها في حالة قيام الجهات الخبيثة بانتهاك المعلومات المخزنة محلياً. وتوفر النسخ الاحتياطية السحابية مرونة أكبر، بحيث لا يمكن للجهات الخبيثة حذف هذه البيانات بسهولة. حيث يمكن للمؤسسات التعليمية الاعتماد على خدمات التخزين الاحتياطي الرائدة، مثل AWS Backup، للحصول على خدمات النسخ الاحتياطي السحابية الأصلية لمخازن البيانات الرئيسية لدى المؤسسات التعليمية، مثل المجلدات وقواعد البيانات وأنظمة الملفات. إذ يُعدّ النسخ الاحتياطي السحابي ضرورة حاسمة لجميع المؤسسات التعليمية.

نشر ثقافة عدم اللوم

تعتبر عملية التأكيد على كل هذه التوصيات ثقافة بحد ذاتها. ويجب أن تكون ثقافة الأمن السيبراني في المؤسسة قائمة على الشمولية والمساحة الآمنة، وتجنب أي لوم للموظفين عندما تسوء الأمور. وأصبحت اختبارات التصيد الاحتيالي وطرق التدريب الأمني ​​الأكثر تقليدية قديمة وغير فعالة وربما تشكل مشكلة لعلاقات الموظفين ومعنوياتهم. ويتعيّن على المؤسسات بدلاً من ذلك، التركيز على تعزيز الوعي وتحسين التدريب السلوكي لتشجيع التغيّرات الإيجابية بين قاعدة موظفيها والمساعدة في تعزيز الأمن السيبراني الجماعي.

لم يعد الأمن السيبراني المعزز مجرد أمر “جيد في حال وجوده” بالنسبة لمؤسسات التعليم، فقد ازداد التعلّم عبر الإنترنت بشكل كبير، حيث تسهل التكنولوجيا الحديثة الاتصالات والتفاعل بين المعلمين والطلاب، مما يفتح بدوره الباب أمام الجهات السيئة لتنفيذ هجماتها. ففي يناير 2023، على سبيل المثال، تم تسريب بيانات سرية من 14 مدرسة في المملكة المتحدة عبر الإنترنت بعد أن رفضت المؤسسات تلبية مطالب الفدية التي طالب بها القراصنة في أعقاب الهجمات التي وقعت خلال عام 2022. وشملت المعلومات المسربة معلومات عن الاحتياجات التعليمية الخاصة للأطفال ونسخ لجوازات سفر التلاميذ وجداول رواتب الموظفين وتفاصيل العقود.

وتستطيع المؤسسات التعليمية أن تساعد في التخفيف من حدة العديد من هذه المخاطر من خلال اتباع المبادئ التوجيهية الخمسة المذكورة أعلاه. وإن وضع هذه المبادئ موضع التنفيذ، إلى جانب دعم الإدارة القوي للاستثمار في الأمن السيبراني وتعزيز “ثقافة الأمن” الواضحة واعتمادها على نطاق واسع بين الموظفين، من شأنه أن يساعد أي مؤسسة تعليمية على تعزيز قدراتها في مجال الأمن السيبراني ضد التهديدات المستقبلية.

يقول أورلاندو سكوت كاولي، مدير الأمن في القطاع العام لمنطقة أوروبا والشرق الأوسط وأفريقيا لدى أمازون ويب سيرفيسز، في هذا السياق: «إذا كنت تريد حقاً قيادة مسار التغيير، فانظر إلى فريقك الإداري. لا يتعلق الأمن السيبراني بالتقنيات المتطورة فقط، فهو يبدأ من القمة. ويجب أن تمتلك الإدارة ثقافة الأمن السيبراني الواضحة وتعزز نشرها في كافة أنحاء المؤسسة.»