أعداء من الداخل: كيف يمكن أن تكون عقولنا أكبر تهديد لأمننا السيبراني؟

 "هذه بديهيات" " الأمور على ما يرام" "يا رجل من سيخترقنا" "الجميع يفعل ذلك" يكثر ترديد مثل هذه العبارات بين منسوبي مختلف المنظمات. حيث أثبتت الدراسات بأن لا أحد بمنأى عن تأثير مثل هذه الأحكام والتصورات في الامتثال لسياسات #الأمن_السيبراني. وقد يسترشد بعض الأفراد بالحدس، حول سلامة موقع ما أو تصفح متجر إلكتروني معين، دون تحليل أو إيجاد مبرر منطقي مبني على الأدلة. وهذا بدوره يمكن أن يكون دليلاً على سبب وقوع الأفراد والشركات ضحية للهجمات السيبرانية على الرغم من كل التحذيرات الأمنية.

 يعتبر الباحثين أن أنماط التفكير لدينا كبشر تتبع إما النمط التجريبي \ الحدسي الذي يعتمد على اختصارات ذهنية تقودنا لبناء الأحكام والقرارات اللحظية وبالتالي تكون هذه القرارات عرضة للتحيّز الناتج عن العيوب المتأصلة في التفكير، أو تتخذ نمط آخر يدعى النمط التحليلي \ التأملي الذي يكون قائم على تحليل البيانات وتقييم الخيارات بحثًا عن الخيار الأفضل أو وفقًا لتبريرٍ ما أو منطق معين. ومع ذلك نادرًا ما تكون القرارات تحليلية أو بديهية بحتة نظرًا لأن أحكام الناس وقراراتهم تتأثر بكلتا الطريقتين والتي بدورها تفضي إلى آراء متحيزة وتصورات غير دقيقة.

ونجحت أبحاث العقود الأربعة الماضية في تحديد عدد كبير من الأساليب الاستدلالية المعرفية والتحيزات الثقافية التي تؤثر على أحكام الناس. ولأن العنصر البشري هو الحلقة الأضعف في #الأمن_السيبراني فسلوكياته وطريقة امتثاله للسياسات الأمنية تخضع لمعتقداته وتصوراته الفردية.

وهنا يجدر التساؤل حول طبيعة هذه التحيزات؟ والتي تنقسم بدورها إلى:

التحيزات المعرفية: كيف تتلاعب عقولنا بسلوكياتنا الأمنية؟

 تتقاطع هيمنة #التكنولوجيا وفرض نفوذها على تكوين أيديولوجيات البشر مع سلوكياتهم وتؤثر عليها كما تتأثر بها بطبيعة الحال. كما رصدت الدراسات العديد من التصورات المسبقة والأحكام المبنية على عدم اليقين، التي تقود إلى قرارات متحيزة تؤثر على الامتثال الموضوعي للسياسات الأمنية. وقد حدد العالمان الفسيولوجيان تفيرسكي وكانمان في ورقتهما الرائدة حول الحكم في ظل عدم اليقين، العديد من الأساليب والتحيزات المنهجية المستخدمة في صناعة القرار. كان هذا العمل بمثابة المدخل لتحديد العديد من الأساليب الاستدلالية والتحيزات الشائعة كالاستدلالات العاطفية، التحيز الراسخ، تحيز التأكيد، تحيز التوافر، التحيز للتفاؤل وتحيز الوضع الراهن وتجنب الخسارة.

الاستدلال العاطفي: ينجم هذا التأثير عن الاختصارات الذهنية التي تتسرع بإصدار الأحكام والقرارات بناءً على الانطباعات الشعورية. شملت احدى الاستطلاعات دراسة قرار شراء التأمين لساعة تحمل قيمة معنوية لدى المشاركين مقابل ساعة مماثلة لا تعني لهم شيئا من الناحية العاطفية. ووجدت الدراسة أن المشاركين كانوا على أتم الاستعداد لدفع ضعف مبلغ التأمين لتلك الساعة العزيزة مقارنةً بالتأمين على الساعة التي لا تعني لهم شيئًا معنويًا على الرغم من أنهم سيحصلون على نفس التعويض في كلتا الحالتين. تتمثل عواقب هذا التأثير في الميل إلى التقليل من تقدير المخاطر والتكاليف المرتبطة بالأمور التي يفضلها الناس نظير المبالغة في تقدير المخاطر بشأن الأمور التي لا يفضلونها.

التحيز الراسخ: هو التحيز الذي يتم فيه الاعتماد على الجزء الأول من المعلومات التي يتلقاها الناس كحقيقة راسخة وتكون هي بدورها منطلق بقية الأحكام أو الآراء اللاحقة المبنية على هذه الحقيقة. أفادت دراسة طريفة أُجريت على مجموعتين طلب منهم تحديد الحد الأقصى الذي يمكن ان يصل إليه طول الحيتان بعد إعطاء كل مجموعة حد تقديري مختلف. طلب من المجموعة الأولى تحديد ما إذا كان الحد الأقصى لطول الحيتان لا يزيد أو يقل عن 900 مترًا بينما طلب من المشاركين في المجموعة الأخرى تقدير طولهما بقيمة تزيد عن 20 سنتيمترًا. وبالرغم من عدم معقولية كلا القيمتين فكلا المجموعتين أعطت إجابات تتراوح بين القيمة التقديرية التي حددت بداية السؤال. فكان متوسط تقديرات المجموعة الأولى 142 مترًا بينما متوسط إجابات المجموعة الثانية فكانت21 متر. تبين الدراسة أن كلا المجموعتين تأثرت بشدة بالقيمة الأولية التي أعطيت لهم بداية السؤال. وتم إثبات تأثير هذا التحيز باستخدام سياقات مختلفة كواحد من أقوى التحيزات المعرفية المؤثرة على قرارات البشر المبدئية.  

تحيز التأكيد: يشير هذا التحيز إلى طبيعة البشر المتمثلة في الميل الواضح لتفضيل المعلومات التي تؤيد فرضياتهم الحالية وتؤكد معتقداتهم السابقة مع الإعراض عن المعلومات التي لا تتسق معها، كأن يجعل الناس معتقداتهم ونظرياتهم الخاصة معياراً يبحثون من خلاله عن تلك المعلومات التي تدعمها. تبين الأدلة التجريبية أن تحيز التأكيد واسع النطاق ويتجلى في أكثر من سياق ليشمل عدة جوانب مثل البحث الانتقائي عن المعلومات عند تبني فكرة أو أيديولوجيا معينة، والتفسير الانتقائي للأدلة الغامضة واستحضار الذكريات التي تعزز من معتقداتهم ونسيان نقيضها كتذكر عدد مرات فوز فريقهم المفضل بطريقة أكثر دقة من تذكر عدد هزائمه.

التحيز للتفاؤل: هو التحيز الذي يظهر ميل الناس للاعتقاد بأنهم أقل عرضة للتعرض للتجارب السلبية مقارنةً بالآخرين. وله أساس عصبي مرتبط بالنشاط المتزايد في أجزاء معينة بالدماغ عند تخيل الوقائع المستقبلية من زاوية إيجابية.

تحيز النفور من الخسارة: الذي يصف ميل الناس القوي لتجنب الخسائر عوضًا عن تحقيق المكاسب. كان هذا الوصف نتيجة تجربة أجراها العالمان تفيرسكي وكانمان على مجموعة من الناس حيث تم تخييرهم بين خيارين إما الربح المؤكد المقدر ب 240 دولار أو 25% واحتمالية كسب 1000 دولار أو75% من احتمالية عدم الحصول على شيء. اختار 84% من المشاركين كسب ال240 دولار على الرغم من أن مكسب الخيار الثاني أكثر من الضعف، ما يقودنا لتفسير إحجام الناس عن الاستثمار في الحفاظ على #الخصوصية_الرقمية على سبيل المثال نظرًا لتقديراتهم الحالمة بشأن احتمالية حدوث انتهاكاتها المستقبلية ومدى إدراكهم لطبيعة عواقبها.  

التحيزات الثقافية: كيف تصطدم قيمنا مع السياسات الأمنية؟

تنشأ التحيزات الثقافية من ارتباط الهياكل الاجتماعية بإدراكات الناس للمخاطر بشتى أنواعها. لذلك يفهم الناس المخاطر بشكل مختلف نتيجة التراكيب الاجتماعية التي يعيشون فيها والقيم المصاحبة لها. وهذا يشير بالضرورة إلى الدور الذي تلعبه السياقات الاجتماعية والخلفيات الثقافية في تشكيل الطريقة التي يفهم ويقيم الناس بها التهديدات المختلفة، فتعد القيم والمبادئ المجتمعية والصور النمطية مرجعية ومنطلق القرارات المتعلقة بالمخاطر.

"نحن لا نرى الأشياء كما هي.. نحن نراها كما نحن"   أناييس نين - Anaïs Nin

استنادًا إلى نظرية السلوك المخطط Theory of Planned Behavior، فقد لوحظ بأن دافع أو نية شخصٍ ما لأداء سلوك مرغوب، تتأثر جزئيًا بمعتقداته حول تأييد هذا الفعل من عدمه من قبل القدوات أو أصحاب القرار. فعلى سبيل المثال، قد يتردد الفرد في منع أو تخفيف أو حتى الإبلاغ عن #هجوم_سيبراني إذا كان تصوّره عن ردة الفعل سلبية أو خوفاً من الحكم القاسي على موقفه من قِبل محيطه.

أيضًا يتأثر الامتثال للسياسات الأمنية بعوامل تعود إلى مسافة السلطة كثقافة وطنية. وقد تؤثر ثقافة الموظف الوطنية  بشكل كبير على سلوك مشاركته للبيانات وامتثاله للسياسات، حيث أظهرت الدراسة التي أجراها الباحثين مكالني وبينسن حول "#الأمن_السيبراني كظاهرة اجتماعية" أن الأفراد من البلدان ذات المؤشر الأقل لمسافة السلطة، هم أكثر عرضة لانتهاك السياسات الأمنية مقارنةً بثقافات البلدان التي تتمتع بمؤشر سلطة أعلى، إذ يبدي أفرادها الاحترام للسلطة وللتشريعات الصادرة منها.

وإلى جانب مؤشر السلطة، ناقشت الدراسة مؤشر الفردانية بصفته عامل مؤثر أيضًا على الامتثال الأمني من عدمه، فالأفراد المنتمون لبلدان تسودها الطبيعة الفردانية أقل عرضة للمشاركة غير المقصودة للمعلومات الشخصية والسرية على عكس الثقافات التي يرى فيها الأفراد أنفسهم كجزء من مجموعة.

 وقائع وتحديات: كيف تواجه المنظمات شبح التحيزات؟

"تعتبر مقاومة التغيير والاعتقاد بأن السياسات الأمنية ليست سوى عبء يعرقل سير المهامهم الوظيفية كظاهرة تؤرق مسؤولي #الأمن_السيبراني"، هذا ما لاحظه المهندس عبدالله الدوخي من خلال عمله كمدير لإدارة #الأمن_السيبراني في العديد من القطاعات، والذي أكد ضمن مقابلة مع سايبرأكس على "وجود العديد من الثقافات الخاطئة، مثل طلب المراعاة والاستثناء أو الإعفاء من تطبيق بعض السياسات من قِبل بعض الأقسام والتي هي بدورها تنم عن تصورات غير مكتملة أو ثقافة غير كافية لأهمية التعاون مع قسم #الأمن_السيبراني وضرورة دمج سياساته". 

وأشار م. الدوخي أيضًا إلى بعض العوامل المساهمة في انتشار الممارسات الأمنية الخاطئة مثل "عدم فعالية برامج التوعية وفشلها في تغطية جميع احتياجات الفئة المستهدفة، إما بسبب سوء التنسيق وضعف التواصل مع الأقسام التي تسهل من نشر المبادرات التوعوية لكافة المنسوبين أو عدم إيمان الإدارات العليا بأهميتها".

وبعد عقودِ من العمل في التحول الرقمي وأقسام الحوكمة والإلتزام في #الأمن_السيبراني أوضح الخبير في #الأمن_السيبراني عدلي الشريف بأن الفهم المحدود لماهية وأهمية هذا المجال والاعتقاد بأنه خاص ببعض الأقسام دون أخرى أو سياساته "تُعنى بحماية بعض الأصول دون غيرها وتُعد من أكبر التحديات الفريدة التي تواجه المنظمات، حيث يقاسي مسؤولي #الأمن_السيبراني شكلاَ من أشكال المقاومة من قِبل بعض الأقسام التي تعتقد باستقلاليتها وعدم تقاطع مسؤولياتها مع مسؤوليات قسم #الأمن_السيبراني".

ويفسر الشريف أن "ذلك يعود لكون مفهوم #الأمن_السيبراني لا يزال جديد ومبهم حتى على الصعيد العالمي، كما يقع على عاتق المتخصصين إلزامية تكثيف الجهود لتبسيطه وإيصاله بالشكل المطلوب".

ويذكر الشريف أيضًا أن "عدم استيعاب المخاطر المرتبطة بالفضاء الرقمي هو بدوره خطر كامن ينعكس على معظم الممارسات الخاطئة بين المستخدمين"، مشدداً على أن "المستخدمين لم يتجرعوا حتى الآن مرارة #الانتهاكات_السيبرانية ولم يشهدوا على عواقبها الوخيمة. وبالطبع لا يصح بأن يكون الاستشهاد بالحوادث السيبرانية هي الطريقة الوحيدة لإقناع المستخدمين بوجود المخاطر ولابد من الأساليب التي تحسن تفنيد المخاطر لهم كخطوة استباقية عن طريق التخطيط المنهجي لبرامج التوعية بالأمن السيبراني".

وبدوره قال المهندس محمد كردي مسؤول برنامج التوعية في أحد المراكز الوطنية إن "السرية والنزاهة والتوافر هي ركائز #الأمن_السيبراني ويجب إضافة ركيزة رابعة هي التوعية" وذلك لإبراز أهمية التوعية الحاسمة في الامتثال الفعال لسياسات #الأمن_السيبراني، مشيراً إلى أن "البرامج التوعوية الفعالة تتطلب الترفيه وتفعيل عنصر المشاركة الممتعة واستخدام أساليب الترغيب بدلاً من الترهيب حتى لا تؤدي إلى نتائج سلبية قد تتسبب بما يسمى ب"التكنوفوبيا"".

واستشهد المهندس كردي بالأثر المثمر لدور البرنامج التوعوي الذي يراعي هذه النقاط المذكورة "بمساهمته برفع مستوى الوعي في المركز بنسبة 25% في العام الماضي".

وفي سياق إقناع أصحاب القرار بأهمية التوعية تتطرق المهندسة أسماء اليمني مديرة إدارة #الأمن_السيبراني في المؤسسة العامة للتدريب التقني والمهني بأنه "لابدّ من الإستشهاد بالحوادث السيبرانية التي سبق وأن دقت نواقيس الخطر كهجوم شمعون الشهير عام 2017 والذي ساهم في التأثير على المنظمات ودفعها لتعزيز أمنها السيبراني، إضافة إلى استخدام الأدلة الملموسة كالإحصائيات المتعلقة بحملات #التصيد_الإحتيالي الإختبارية ونتائج الإستعانة بنظام التوعية الإلكتروني الشامل والمبادرات التوعوية المختلفة وأثرها في رفع مستوى وعي منسوبي المنظمات والتقليل من مخاطر الهجمات. وهذا بدوره يبيّن الأثر الملموس لجهود فرق #الأمن_السيبراني ويساهم في دعم اتخاذ القرارات ومبادرات وبرامج #التوعية_السيبرانية".

وأضافت المهندسة أسماء بأن "استخدام المصطلحات العلمية المفرط في الحملات التوعوية يؤدي إلى استقبالها بالعقل اللاواعي دون فهمها السليم وبالتالي ابتذالها، مما يستدعي الحاجة لتبسيط مفاهيم #الأمن_السيبراني باللهجة العاميّة حتى تصل إلى مختلف فئات المجتمع بالشكل المطلوب".

أخيرًا يجب أن ندرك كمسؤولين، ضرورة تفعيل برامج التوعية بالأمن السيبراني بهدف معالجة افتراض "لماذا يفشل المستخدمين في تبني الممارسات الآمنة" مع الأخذ بالاعتبار الأسباب المحتملة، مثل ضعف إدراكهم للمخاطر أو عدم فهمهم لآثار الانتهاكات الأمنية أو نقص المعرفة بكيفية تطبيق السياسات الأمنية، وذلك بأساليب لا تكتفي فقط بالتدريب والتعليم وإنما التوافق مع الطريقة التي يتخذ بها الفرد القرار ومراعاة العوامل التي يتأثر بها.