أظهر تقرير حديث صادر عن كاسبرسكي بعنوان "سبل تقليل خسائر المنشآت في حوادث اختراق البيانات"، أن المنشآت التي تعتمد في عملها على أنظمة تقنية قديمة يمكن إذا تعرضت لحادث اختراق للبيانات أن تتكبّد خسائر مالية أعلى بنسبة 47%، مقارنةً بالمنشآت التي تحرص على تحديث أنظمتها في الوقت المناسب. ويصبح الفرق أوضح لدى المنشآت الصغيرة والمتوسطة، حيث يمكن أن يصل إلى 54%. وتشيع مشكلات البرمجيات القديمة وغير المصحّحة لدى المنشآت التي يجب أن تحرص على التعامل معها وحلّها، نظرًا لأن ما يقرب من نصف المنشآت (47%) تستخدم على الأقلّ شكلاً واحدًا من أشكال التقنيات القديمة في بنيتها التحتية.

ولا يمكن تفادي مسألة وجود الثغرات الأمنية في البرمجيات، لكن التصحيح المنتظم وتنزيل التحديثات يمكن أن يقلل كثيرًا من مخاطر استغلال المجرمين لتلك الثغرات. ولذا يُنصح المستخدمون دائمًا بتثبيت أحدث إصدارات البرمجيات بمجرد إتاحتها من الجهة المطوّرة، حتى وإن كانت عملية تنزيل هذه التحديثات وتثبيتها صعبة أو تستغرق وقتًا طويلًا في بعض الأحيان.

ووجدت دراسة كاسبرسكي، التي وُضع التقرير بناء عليها، أن على المنشآت الاهتمام بتجديد البرمجيات والاستعداد للاستثمار في التحديثات التقنية ومنحها الأولوية، لأن الالتزام بهذا الأمر يمكن أن يوفر عليها المال على المدى الطويل، لا سيما وأن 47% من المنشآت تستخدم على الأقلّ شكلاً واحدًا من أشكال التقنيات القديمة في بنيتها التحتية، وفق الدراسة.

إذا حدث اختراق للبيانات، فإن المنشآت التي لديها أي شكل من أشكال التقنيات القديمة، كأنظمة التشغيل غير المصحّحة والبرمجيات القديمة والأجهزة المحمولة التي لم تعد تحظى بدعم المنتجين، يمكن أن تتكبد خسائر مالية إضافية بمتوسط 425 ألف دولار، ما يؤدي إلى خسائر إجمالية تصل في المتوسط إلى 1.225 مليون دولار. ويزيد هذا الرقم بنسبة 47% عن التكلفة التي تتكبدها المنشآت ذات التقنيات المحدثة بالكامل (836 ألف دولار في المتوسط) في حال وقوع حادث اختراق للبيانات. أما المنشآت الصغيرة والمتوسطة، فيمكن أن تخسر 40 ألف دولار إضافية. وترتفع التكلفة الإجمالية إلى 114 ألف دولار، أي ما يزيد بنسبة 54% عن الشركات التي تتمتع بوجود التحديثات المطلوبة في تقنياتها وبرمجياتها (74 ألف دولار).


متوسط تكلفة حادث اختراق البيانات بحسب مدى حداثة التقنيات أو قِدمها لدى المنشأة

وتشمل الأسباب التي قدمتها المنشآت لعدم تحديث التقنيات، عدم توافق التحديثات مع التطبيقات الداخلية (48%)، والذي كان السبب الأكثر شيوعًا، والذي ربما يُعدّ مهمًا للمنشآت التي تعمل على تطوير برمجياتها داخليًا لتلبية احتياجاتها الخاصة، أو عند استخدام تطبيقات محددة ذات دعم محدود. وتبدو الأسباب الأخرى أكثر واقعية وتتضمن غالبًا رفض الموظفين العمل مع الإصدارات الجديدة من البرمجيات التي يستخدمونها (48%)، وفي بعض الحالات، لا يجري تحديث التقنيات لأنها مملوكة من مديرين تنفيذيين كبار (34%).

وقال سيرجي مارتسينكيان رئيس تسويق المنتجات التجارية لدى كاسبرسكي، إن تكبّد المنشآت أية تكاليف إضافية يُعدّ أمرًا "بالغ الحساسية" لا سيما في الظروف الراهنة، مشيرًا إلى عدم استقرار الوضع الاقتصادي العالمي بسبب الجائحة، وسط توقعات بانخفاض الاستثمارات في حلول تقنية المعلومات والأمن الرقمي، وأضاف: "أردنا لهذا السبب في تقرير "اقتصادات أمن تقنية المعلومات" لهذا العام استكشاف السبل الكفيلة بتقليل العبء عن المنشآت في حالة وقوع حادث يمسّ الأمن الرقمي. ويقدّم التقرير أسبابًا وجيهة حول أهمية التعامل مع مسألة البرمجيات القديمة، وحتى إن كان من المستحيل حلّها بين عشية وضحاها، تظلّ هناك بعض التدابير للتخفيف من المخاطر. ولا يمكن للشركات توفير المال فحسب، وإنما أيضًا تجنّب العواقب المحتملة الأخرى، وهو أمر بالغ الأهمية لأية شركة".

وتوصي كاسبرسكي اتباع التدابير التالية من أجل توفير المال وتقليل مخاطر اختراق البيانات نتيجة الثغرات البرمجية:
• الحرص على استخدام المنشأة أحدث إصدارات أنظمة التشغيل والتطبيقات، مع تفعيل مزايا التحديث التلقائي بحيث تكون البرمجيات محدثة دائمًا.
• إذا لم يكن من الممكن تحديث البرمجيات، فعلى المنشآت الحرص على معالجة ناقل الهجوم هذا من خلال الفصل الذكي للعُقَد المعرضة للخطر عن بقية الشبكة، مع اتباع إجراءات أخرى.
• تفعيل ميزة تقييم الثغرات الأمنية وإدارة التصحيحات في الحلّ الأمني الخاص بحماية النقاط الطرفية. ويمكن أن يؤدي ذلك تلقائيًا إلى القضاء على الثغرات الأمنية في برمجيات البنية التحتية وتصحيحها بشكل استباقي، وتنزيل التحديثات البرمجية الأساسية.
• من المهم تعزيز الوعي الأمني ​​ومهارات الأمن الرقمي العملية لدى مديري تقنية المعلومات، المعنيين مباشرة بتحديثات البنية التحتية لتقنية المعلومات. يمكن أن تساعد الدورة التدريبية المخصصة لأمن تقنية المعلومات عبر الإنترنت، في تعزيز هذا الجانب.
• من المهم دائمًا الحرص على حماية أنظمة تقنية المعلومات أو أنظمة التقنيات التشغيلية الحيوية، بغض النظر عن أية تحديثات برمجية متاحة. ما يعني أهمية تفعيل النشاط الذي يحدّده الغرض من النظام. ويدعم KasperskyOS نموذج "المناعة الرقمية" هذا ويمكن استخدامه لبناء أنظمة تقنية مصممة لتكون آمنة.

يشكّل تقرير كاسبرسكي المعنون بـ "سبل تقليل خسائر المنشآت في حوادث اختراق البيانات"، الجزء الثاني من سلسلة اقتصاديات أمن تقنية المعلومات للعام 2020. ويمكن العودة إلى الجزء الأول المعنون بـ "ضبط الاستثمارات: مواءمة موازنات تقنية المعلومات مع أولويات الأمن المتغيرة"، على صفحة الويب Kaspersky IT Security Calculator.