أظهرت دراسة حديثة أجرتها شركة «كاسبرسكي» في منطقة الشرق الأوسط وتركيا وأفريقيا، ونُشرت نتائجها خلال معرض «بلاك هات 2025» في الرياض، واقعاً جديداً في بيئات العمل السعودية.
فقد كشف الاستطلاع، الذي حمل عنوان «الأمن السيبراني في أماكن العمل: سلوكيات الموظفين ومعارفهم»، أن نصف الموظفين فقط في المملكة تلقّوا أي نوع من التدريب المتعلق بالتهديدات الرقمية، على الرغم من أن الأخطاء البشرية ما زالت تمثل المدخل الأبرز لمعظم الحوادث السيبرانية.
وتشير هذه النتائج بوضوح إلى اتساع فجوة الوعي الأمني، وحاجة المؤسسات إلى بناء منظومة تدريبية أكثر صرامة وشمولاً لمختلف مستويات الموظفين.
تكتيكات تتجاوز الدفاعات التقنية
تُظهر البيانات أن المهاجمين باتوا يعتمدون بشكل متزايد على الأساليب المستهدفة التي تستغل الجانب النفسي للأفراد، وعلى رأسها «الهندسة الاجتماعية».
فعمليات التصيّد الاحتيالي ورسائل الانتحال المصممة بعناية قادرة على خداع الموظفين ودفعهم للإفصاح عن معلومات حساسة أو تنفيذ إجراءات مالية مشبوهة.
وقد أفاد 45.5 في المائة من المشاركين بأنهم تلقوا رسائل احتيالية من جهات تنتحل صفة مؤسساتهم أو شركائهم خلال العام الماضي، فيما تعرّض 16 في المائة منهم لتبعات مباشرة جراء هذه الرسائل.
وتشمل صور المخاطر الأخرى المرتبطة بالعنصر البشري كلمات المرور المخترقة، وتسريب البيانات الحساسة، وعدم تحديث الأنظمة والتطبيقات، واستخدام أجهزة غير مؤمنة أو غير مُشفّرة.
التدريب... خط الدفاع الأول
ورغم خطورة هذه السلوكيات، يؤكد الاستطلاع أن الحد منها ممكن بدرجة كبيرة عبر برامج تدريب موجهة ومستمرة.
فقد اعترف 14 في المائة من المشاركين بأنهم ارتكبوا أخطاء تقنية نتيجة نقص الوعي الأمني، بينما أشار 62 في المائة من الموظفين غير المتخصصين إلى أن التدريب يعدّ الوسيلة الأكثر فاعلية لتعزيز وعيهم، مقارنة بوسائل أخرى مثل القصص الإرشادية أو التذكير بالمسؤولية القانونية.
ويبرز هذا التوجه أهمية بناء برامج تدريبية متكاملة تشكل جزءاً أساسياً من الدفاع المؤسسي ضد الهجمات.
وعند سؤال الموظفين عن المجالات التدريبية الأكثر أهمية لهم، جاءت حماية البيانات السرية في صدارة الاهتمامات بنسبة 43.5 في المائة، تلتها إدارة الحسابات وكلمات المرور (38 في المائة)، وأمن المواقع الإلكترونية (36.5 في المائة).
كما برزت موضوعات أخرى مثل أمن استخدام الشبكات الاجتماعية وتطبيقات المراسلة، وأمن الأجهزة المحمولة، والبريد الإلكتروني، والعمل عن بُعد، وحتى أمن استخدام خدمات الذكاء الاصطناعي التوليدي.
واللافت أن ربع المشاركين تقريباً أبدوا رغبتهم في تلقي جميع أنواع التدريب المتاحة، ما يعكس حاجة ملحة إلى تعليم شامل في الأمن السيبراني.
تدريب عملي ومتجدد
توضح النتائج أن الموظفين مستعدون لاكتساب المهارات الأمنية، لكن يُشترط أن تكون البرامج التدريبية ذات طابع عملي وتفاعلي، وأن تُصمَّم بما يتناسب مع أدوار الموظفين ومستوى خبراتهم الرقمية. كما ينبغي تحديث المحتوى بانتظام ليتوافق مع تطور التهديدات.
ويؤدي تبني هذا النهج إلى ترسيخ ممارسات يومية مسؤولة لدى الموظفين، وتحويلهم من نقطة ضعف محتملة إلى عنصر دفاعي فاعل داخل المؤسسة، قادر على اتخاذ قرارات أمنية واعية وصد محاولات الاحتيال قبل تصعيدها.
وفي هذا السياق، يؤكد محمد هاشم، المدير العام لـ«كاسبرسكي» في السعودية والبحرين، أن الأمن السيبراني «مسؤولية مشتركة تتجاوز حدود أقسام تقنية المعلومات».
ويشير إلى أن بناء مؤسسة قوية يتطلب تمكين جميع الموظفين من الإدارة العليا إلى المتدربين من فهم المخاطر الرقمية والتصرف بوعي عند مواجهتها، وتحويلهم إلى شركاء حقيقيين في حماية البيانات.
تقوية دفاعات المؤسسات
ولتقوية دفاعاتها، تنصح «كاسبرسكي» أن تعتمد المؤسسات نهجاً متكاملاً يجمع بين التكنولوجيا والمهارات البشرية واستخدام حلول مراقبة وحماية متقدمة مثل سلسلة «Kaspersky Next» وتوفير برامج تدريبية مستمرة مثل منصة «كاسبرسكي» للتوعية الأمنية الآلية، إضافة إلى وضع سياسات واضحة تغطي كلمات المرور وتثبيت البرمجيات وتجزئة الشبكات.
وفي الوقت نفسه، يساعد تعزيز ثقافة الإبلاغ عن الأنشطة المشبوهة ومكافأة السلوكيات الأمنية الجيدة في خلق بيئة عمل أكثر يقظة واستعداداً.
يذكر أن هذا الاستطلاع أُجري في عام 2025 بواسطة وكالة «Toluna»، وشمل 2,800 موظف وصاحب عمل في سبع دول، بينها السعودية والإمارات ومصر، ما يقدم صورة إقليمية شاملة حول مستوى الوعي والتحديات المرتبطة بالأمن السيبراني في أماكن العمل.
