في إطار حرصها على تعزيز أمن المعلومات، كشف مصدر مسؤول في هيئة أسواق المال، لـ «الجريدة»، أن الهيئة تتبنى أعلى وأدق معايير الهندسة الاجتماعية المادية (physical social engineering) لمنع الاختراقات الأمنية، التي تعتمد على التفاعل المباشر مع الأفراد داخل بيئة العمل، ويستخدم من خلالها التلاعب النفسي والتكتيكات الخادعة لاختراق أمن المؤسسة.

وقال المصدر، إنه يمكن تأكيد أن الهيئة محصّنة ضد تلك الممارسات، مشيراً إلى تحولات سيكولوجية ونفسية باتت محور سلوك حديث للقراصنة والمحتالين، حيث يستغل المهاجمون في هذا النوع من الهجمات نقاط الضعف البشرية للدخول إلى المناطق المحظورة، أو الحصول على المعلومات الحساسة، وقد ينتحلون شخصيات مختلفة ويستخدمون أساليب متعددة، كالتسلل أو التخفي أو التلاعب لخداع الموظفين ودفعهم لخرق بروتوكولات الأمان.

3 شهادات «آيزو»

وأضاف المصدر: بما يعكس التزامها الراسخ بمعايير الجودة والأمان العالمية، أعلنت الهيئة حصولها على 3 شهادات «آيزو» مرموقة، هي: ISO 27001 لأمن المعلومات، وISO 22301 لاستمرارية الأعمال، وISO 20000-1 للخدمات التكنولوجية، وتعكس هذه الشهادات نجاح الهيئة في تطبيق أفضل الممارسات الدولية بإدارة أمن المعلومات وضمان استمرارية الأعمال وتقديم خدمات تكنولوجية عالية الجودة.

وعن الدوافع وراء تبنّي هذه السياسات الجديدة في أمن المعلومات، صرح المصدر بأن «حماية أمن المعلومات والبيانات في الهيئة تمثّل أولوية قصوى بالنسبة لنا، حيث يشهد العالم اليوم تزايداً ملحوظاً في الهجمات الإلكترونية، بما في ذلك هجمات الهندسة الاجتماعية، التي تستغل الثغرات البشرية لاختراق الأنظمة، لذلك ارتأينا ضرورة تعزيز إجراءاتنا الأمنية من خلال تبنّي سياسات جديدة تركز على الجانب المادي للهندسة الاجتماعية، بهدف منع أي محاولات تسلل أو اختراق قد تستهدف مقر الهيئة أو بياناتها.

وبين المصدر أبرز ملامح هذه السياسات، التي تركز على عدة محاور أساسية، منها:

• التدريب والتوعية: نقوم بتنظيم دورات تدريب منتظمة لموظفينا لتعريفهم بمخاطر الهندسة الاجتماعية المادية، وكيفية التعرف على أساليبها، واتخاذ الاحتياطات اللازمة لمنع وقوعهم ضحية لهذه الهجمات.

• التحقق من الهوية: تشمل السياسات تطبيق إجراءات صارمة للتحقق من هوية جميع الأفراد الذين يدخلون مقر الهيئة، سواء كانوا موظفين أو زواراً أو مورّدين.

• مراقبة الدخول والخروج: قمنا بتعزيز إجراءات مراقبة الدخول والخروج من مقر الهيئة، بما في ذلك استخدام أحدث التقنيات، مثل كاميرات المراقبة وأنظمة التحكم في الوصول.

• تقييد الوصول إلى المناطق الحساسة: تم تقييد الوصول إلى المناطق الحساسة داخل مقر الهيئة، مثل غرفة الخوادم وغرفة البيانات، للموظفين المصرّح لهم فقط.

وفي سياق متصل، أفاد المصدر بأن هذه السياسات تسهم في رفع مستوى الوعي الأمني لدى موظفي الهيئة، وتجعلهم أكثر قدرة على التعرف إلى أساليب الهندسة الاجتماعية المادية التي قد يستخدمها المهاجمون. كما أن إجراءات التحقق من الهوية ومراقبة الدخول والخروج تساعد في منع أي شخص غير مصرح له من الدخول إلى مقر الهيئة. وإضافة إلى ذلك، فإن تقييد الوصول إلى المناطق الحساسة يقلل من فرص المهاجمين في الوصول إلى المعلومات أو الأصول القيمة.

وقدّم المصدر بعض الأمثلة على التدريبات التي تجريها الهيئة لموظفيها في هذا السياق:

• تمارين محاكاة: نقوم بمحاكاة هجمات الهندسة الاجتماعية المادية لإعطاء موظفينا فرصة لتطبيق ما تعلموه في مواقف واقعية.

• اختبارات التصيد الاحتيالي: نرسل رسائل بريد إلكتروني مزيفة إلى موظفينا لاختبار مدى قدرتهم على التعرف إلى رسائل التصيد الاحتيالي وعدم الوقوع ضحية لها.

• ورش عمل تفاعلية: ننظم ورش عمل تفاعلية لمناقشة مختلف مواضيع أمن المعلومات، بما في ذلك الهندسة الاجتماعية المادية.

• نشر مواد توعية: ننشر مواد توعية على موظفينا، لتعريفهم بمخاطر الهندسة الاجتماعية المادية وكيفية الحماية منها.

وأشار المصدر إلى أن الهيئة تعاقدت مع شركة عالمية مرموقة في مجال الهندسة الاجتماعية المادية لتحديد الثغرات في المنظومة الأمنية البشرية بالهيئة، وتوعية موظفيها بالأساليب التي يتبعها المهاجمون في اختراق الحواجز الأمنية، كتزوير الهويات، واستغلال مداخل المقر غير المحكمة الإغلاق، أو استخدام بطاقات الهوية المتروكة فوق أسطح المكاتب، وغيرها من الثغرات التي قد يتسلل منها المهاجمون.

وعن رسالة الهيئة للمستثمرين فيما يتعلق بحماية بياناتهم ومعلوماتهم، أكد المصدر أن الهيئة تبذل قصارى جهدها لحماية بياناتهم ومعلوماتهم. وأنها تعمل باستمرار على تطوير إجراءاتها الأمنية وتحديث سياساتها لمواكبة أحدث التطورات في مجال أمن المعلومات، كما تحث جميع المستثمرين على توخّي الحذر واتخاذ الاحتياطات اللازمة لحماية أنفسهم من هجمات الهندسة الاجتماعية، وغيرها من الهجمات الإلكترونية.