العادات الخاطئة في استخدام كلمات المرور في مكان العمل تُعرض المنظمات للهجمات الإلكترونية

كانت مسألة اتباع الممارسات السليمة في استخدام كلمات المرور في مكان العمل تمثل تهديدًا للأمن السيبراني للمنظمات حتى قبل جائحة كوفيد-19. عندما أجبرت جائحة كوفيد-19 المنظمات عالمياً على نشر القوى العاملة عن بُعد بسرعة وأمان، بدأت الفرق في الاتصال بموارد المنظمات عن بُعد، في بيئات لا تقع تحت تحكم جهات العمل، واضطروا إلى استخدام أجهزتهم الخاصة في الكثير من الأوقات.

أعرب المشاركون في تقرير صادر عن معهد Ponemon بعنوان "الأمن السيبراني في عصر العمل عن بعد: تقرير المخاطر العالمية، بتكليف من Keeper Security" في عام 2020، عن قلقهم البالغ بشأن أمان كلمات المرور في مؤسساتهم:

• قال 60% من المشاركين إن مؤسساتهم تعرضت لهجوم إلكتروني في آخر 12 شهراً.
• أكثر من 50% من هذه الهجمات تضمنت حالات سرقة بيانات اعتماد.
• تسببت سرقة أصول تكنولوجيا المعلومات في أضرار بقيمة 5 ملايين دولار أو أكثر تعرض لها 25% من الشركات.

دفع الوباء المنظمات إلى نشر مجموعة من التقنيات الجديدة بسرعة للحفاظ على تواصل الموظفين وتعاونهم وعملهم عن بُعد. وكان على الموظفين التسجيل في المزيد من الحسابات عبر الإنترنت، بدءاً من Zoom وGoogle Workspace وصولاً إلى Slack، ومن ثم كان عليهم تتبع المزيد من كلمات المرور.

تساءلت Keeper عن مدى التغير الذي طرأ على أمان كلمات المرور منذ انتقال الشركات إلى بيئات العمل عن بُعد. وهل كان الموظفون عن بُعد يتبعون ممارسات فُضلى بسيطة لتأمين كلمات مرورهم، أم أنهم وقعوا فريسة لما يُعرف باسم "إرهاق كلمات المرور" وانخرطوا في عادات سيئة تؤدي إلى مخاطر كبيرة تتعلق بالأمن السيبراني؟ ولهذا السبب أجرت Keeper، بالشراكة مع Pollfish، استبيان "الممارسات السيئة في استخدام كلمات المرور في أماكن العمل".

بينما استطلع معهد Ponemon آراء القادة التنظيميين، قررنا الذهاب مباشرة إلى الموظفين لإجراء هذا الاستبيان، واستفسرنا من 1000 موظف من العاملين بدوام كامل في الولايات المتحدة حول عاداتهم في استخدام كلمات المرور. تم الانتهاء من هذا الاستبيان في فبراير 2021، وتألف فقط من الأفراد الذين استخدموا كلمات المرور لتسجيل الدخول إلى الحسابات المتعلقة بالعمل عبر الإنترنت

وفيما يلي أهم النتائج التي خلص إليها الاستبيان. ويمكن أيضاً الاطلاع على البيانات الكاملة هنا.

النتيجة 1: يقوم الموظفون في الولايات المتحدة بتتبع بيانات اعتماد تسجيل الدخول الخاصة بهم وتخزينها بشكل غير آمن

وجد الاستبيان الذي أجريناه أن الموظفين في الولايات المتحدة لا يتبعون أفضل الممارسات عند تخزين كلمات المرور المتعلقة بالعمل وتتبعها، مما يعرض جهات عملهم لمخاطر كبيرة تتعلق بالأمن السيبراني

• اعترف أكثر من نصف المشاركين (57%) بتدوين كلمات المرور المتعلقة بالعمل عبر الإنترنت على "ملاحظات لاصقة"، واعترف الثلثان (67%) بأنهم فقدوا هذه الملاحظات. بالإضافة إلى أن ذلك يؤدي إلى ترك معلومات الشركة الحساسة على مرأى لأي شخص آخر يعيش في المنزل أو يزوره، فهو أيضاً يضر بالكفاءة التنظيمية. ففقدان الملاحظات اللاصقة يعني فقدان كلمات المرور، وبالتالي يلجأ المستخدمون إلى مكتب المساعدة لإعادة تعيين كلمات المرور المذكورة.
• يقوم 62% من المشاركين بتخزين بيانات اعتماد تسجيل الدخول في دفتر ملاحظات أو دفتر يوميات، وتقول الغالبية العظمى (82%) إنهم يحتفظون بدفاتر الملاحظات هذه بجوار أجهزة عملهم أو بالقرب منها، وبذلك يمكن لأي شخص آخر يعيش في منزلهم أو يزوره الوصول إليها.

أصبح استخدام القلم والورقة لتتبع كلمات المرور أكثر إشكالية في عالم العمل عن بعد. يقول معظم العاملين (66%) إنهم على الأرجح يكتبون كلمات المرور المتعلقة بالعمل عند العمل من المنزل أكثر مما يفعلون أثناء العمل في المكتب.

حتى عند استخدام الأساليب الرقمية لتتبع كلمات المرور الخاصة بهم وتخزينها، ينخرط الموظفون الأمريكيون في ممارسات أمنية سيئة فيما يتعلق بكلمات المرور.

• يحفظ ما يقرب من نصف المشاركين (49%) كلمات المرور المتعلقة بالعمل في مستند في السحابة.
• يقول أكثر من النصف بقليل (51%) إنهم يحفظون حالياً كلمات المرور هذه في مستند محفوظ على الكمبيوتر الخاص بهم.
• يحفظ 55% كلمات المرور المتعلقة بالعمل على هواتفهم.

تخزين كلمات المرور في ملفات غير مشفرة أمر خطير للغاية. كل ما يحتاجه مجرمو الإنترنت هو اختراق مساحة التخزين السحابية أو الكمبيوتر أو الهاتف المحمول، ومن ثم يمكنهم الوصول إلى جميع كلمات المرور الخاصة بالموظف.

النتيجة 2: يقوم الموظفون في الولايات المتحدة بإنشاء كلمات مرور ضعيفة ويسهل تخمينها

تتكون كلمة المرور القوية، العشوائية من سلسلة عشوائية من الأحرف الكبيرة والصغيرة، والأرقام، والأحرف الخاصة. ومع ذلك، اعترف العديد من المشاركين باستخدام كلمات مرور تحتوي على تفاصيل شخصية، والتي يمكن لمجرمي الإنترنت العثور عليها بسهولة على قنوات التواصل الاجتماعي.

• استخدم أكثر من ثلث المشاركين (37%) اسم جهة العمل في كلمة مرور متعلقة بالعمل.
• أكثر من الثلث (34%) استخدموا أسماء أشخاص مهمين بالنسبة لهم أو تواريخ ميلادهم.
• ما يقرب من الثلث (31%) استخدموا أسماء أطفالهم أو تواريخ ميلادهم.

أصبحت إعادة استخدام كلمة المرور بين الحسابات الشخصية والحسابات المتعلقة بالعمل خطراً كبيراً على الأمن السيبراني للشركات، حيث اعترف 44% من المشاركين بإعادة استخدام كلمات المرور عبر الحسابات الشخصية والحسابات المتعلقة بالعمل واعترف 53% بالاحتفاظ بالحسابات الشخصية المحمية بكلمات مرور على أجهزة عملهم.

النتيجة 3: يشارك الموظفون في الولايات المتحدة كلمات المرور المتعلقة بالعمل مع أطراف غير مصرح لها

لا يتوخى العديد من الموظفين في الولايات المتحدة الحذر بشأن الأشخاص الذين يشاركون معهم كلمات المرور المتعلقة بالعمل. هذا يعرض المنظمات لخطر الاختراق إذا انتهى الأمر بوقوع كلمات المرور هذه في أيدي شخص مهمل أو لديه نوايا خبيثة.

• على مدار العام الماضي، شارك 14% من المشاركين كلمات المرور المتعلقة بالعمل مع شركاء حياتهم أو أزواجهم.
• شارك 11% من المشاركين كلمات المرور المتعلقة بالعمل مع فرد آخر من أفراد العائلة.

حتى في حالة عدم وجود عمليات اختراق للبيانات، يمكن أن يتم اتهام بعض جهات العمل بعدم الامتثال وتوقيع غرامات بقيمة كبيرة للغاية عليها إذا ما اكتُشف أن أطرافاً غير مصرح لها قد اطلعت على بيانات محمية بموجب الامتثال.

النتيجة 4: لا تقوم جهات العمل بالولايات المتحدة بدورها لضمان التأكد من مشاركة كلمات المرور بشكل آمن و/أو مع الأطراف المصرح لها فقط

وجد الاستبيان الذي أجريناه أن كلمات المرور المشتركة في مكان العمل شائعة.

• أفاد ما يقرب من نصف المشاركين (46%) أن شركاتهم تشارك كلمات المرور للحسابات التي تُستخدم من قبل عدة أشخاص.
• ولقد شارك ما يزيد علي الثلث (34%) كلمات المرور المتعلقة بالعمل مع زملائهم في نفس الفريق.
• شارك ما يقرب من الثلث (32%) كلمات المرور المتعلقة بالعمل مع مديريهم.
• شارك 19% كلمات المرور الخاصة بهم مع فريقهم التنفيذي.

إن أفضل ما ينبغي فعله هو إعطاء كل مستخدم كلمة مرور فريدة لكل حساب أو تطبيق متعلق بالعمل، والذي يمكن فعله عملياً من خلال استخدام منصة لإدارة كلمات المرور للمؤسسات. وتكون مشاركة كلمات المرور في مكان العمل آمنة إذا تمت مشاركة كلمات المرور بشكل آمن، وإذا اقتصرت مشاركة كلمات المرور فقط على الأطراف المصرّح لها.

تشير نتائج استبيانا إلى أن العديد من جهات العمل بالولايات المتحدة لا يمارسون استراتيجيات تخفيف المخاطر للمساعدة في ضمان مشاركة آمنة لكلمات المرور.

• أفاد غالبية المشاركين (62%) بمشاركة كلمة مرور متعلقة بالعمل عبر رسالة نصية أو بريد إلكتروني، والتي يمكن أن يعترضها مجرمو الإنترنت أثناء نقلها.
• اعترف ما يقرب من ثلث المشاركين (32%) بالوصول إلى حساب تابع لجهة عمل سابقة عبر الإنترنت، مما يشير إلى أن العديد من جهات العمل لا تعطّل حسابات الموظفين عند تركهم الشركة.

الخلاصة

إن اعتماد وتنفيذ منصة لإدارة كلمات المرور المؤسسية مثل Keeper Enterprise من شأنه أن يعالج الممارسات الخاطئة في إدارة كلمة المرور التي كشف عنها هذا الاستبيان. كما أن تشفير كلمات المرور القائم على منهج صفر المعرفة وإطار مبدأ انعدام الثقة من Keeper يوفر إدارة متقدمة لكلمات المرور، والمشاركة الآمنة، وغير ذلك من القدرات الأمنية.

يتمتع مسؤولو تكنولوجيا المعلومات وقادتها بالقدرة على الاطلاع على معلومات وافية وتحكم كامل في ممارسات كلمات مرور الموظفين، بما في ذلك:

• نموذج أمن حصري وخاص قائم على مبدأ صفر المعرفة ونظام إطار مبدأ انعدام الثقة؛ ويتم تشفير جميع البيانات التي يتم نقلها والمخزنة؛ ولا يمكن لموظفي Keeper Security أو أي طرف خارجي الاطلاع عليها.
• النشر سريع على جميع الأجهزة، من دون الحاجة إلى معدات مسبقة أو تكاليف تثبيت.
• إعداد شخصي ودعم وتدريب على مدار الساعة طوال أيام الأسبوع من أخصائي دعم متخصص.
• دعم التحكم في الوصول القائم على الدور، والمصادقة الثنائية، والتدقيق، والإبلاغ عن الأحداث، ومعايير الامتثال المتعددة، بما في ذلك قانون قابلية نقل ومساءلة التأمين الصحي العام (HIPAA)، واتفاقية معالجة البيانات (DPA)، والهيئة التنظيمية للصناعة المالية (FINRA)، واللائحة العامة لحماية البيانات (GDPR).
• تزويد مجلدات مشتركة ومجلدات فرعية وكلمات مرور آمنة للفرق.
• المصادقة بواسطة تسجيل الدخول الأحادي (SAML 2.0)
• تمكين الوصول للخزينة من دون إنترنت عندما يكون تسجيل دخول الأحادي غير متوفر.
• تزويد الخزائن بشكل ديناميكي عبر SCIM.
• الإعداد للتوفر العالي (HA).
• مصادقة متقدم ثنائية/متعدد العوامل.
• مزامنةActive Directory وبروتوكول LDP.
• تزويد SCIM وAzure AD.
• واجهات برمجة التطبيقات للمطورين لتدوير كلمات المرور والتكامل الخلفي.