يستخدم العديد من غير التقنيين مصطلحات الأمن السيبراني ومصطلحات تكنولوجيا المعلومات الأخرى أثناء المحادثات غير الرسمية، وتعد مصطلحات إدارة المخاطر والضعف من أكثر المصطلحات التي يساء فهمها في مجال الأمن السيبراني اليوم، حيث يتم مزج العديد من مصطلحات الخطر والتهديد والضعف، ويستخدمونها بالتبادل وتشويشها، وقد يؤدي الخلط بين هذه المصطلحات إلى إرباك قدرتك على فهم آلية عمل عمليات وبرامج وأدوات إدارة الثغرات الأمنية.

 كل مصطلح للأمن السيبراني له معناه الخاص وأهميته وقابليته للتطبيق، وسنحاول هنا شرح الفرق بين الخطر والتهديد والضعف ولماذا لا ينبغي استخدام هذه المصطلحات بالتبادل.

الخطر مقابل التهديد مقابل الضعف

لتبسيط الأمور قبل التعمق أكثر، ففي الأمن السيبراني الخطر ليس سوى احتمال خسارة أو تلف محتمل للبيانات والمعدات والأصول المادية والرقمية الأخرى بسبب تهديد سيبراني أو مادي. التهديد من ناحية أخرى هو احتمال حدوث أمر غير مرغوب فيه يمكن أن يكون له عواقب سلبية، وبالنسبة للشركات يمكن أن تشمل مثل هذه الأحداث اضطرابات العمل والانتهاكات الأمنية الناجمة عن استغلال ثغرة أمنية وما إلى ذلك.

وبالنسب للثغرة الأمنية فهي فجوة أمنية يمكن أن تسمح لقراصنة الإنترنت بتجاوز أي معايير أمان تحددها شركة أو فرد لحماية المعلومات أو البيانات الحساسة والأصول الرقمية الأخرى. يمكن أن يكون لدى المؤسسة ثغرات أمنية في بنيتها التحتية الرقمية والشبكات والأجهزة وأنظمة الأمان والتطبيقات وغير ذلك مما يمكن أن تعرض المؤسسة للعديد من التهديدات.

باختصار، يمكن أن يؤدي التهديد الذي يستغل ثغرة أمنية في البنية التحتية التنظيمية إلى مخاطر الإضرار بأصول مؤسستك.

دعنا نتعمق قليلاً ونحلل الفرق بين الخطر والتهديد والضعف.

ما هي المخاطر؟

يتم تعريف المخاطر على أنها احتمال خسارة أو ضرر محتمل للأصول بسبب تهديد يستغل ثغرة أمنية. يتم احتساب المخاطر من خلال: المخاطر = التهديد × الضعف.

تتضمن أمثلة مخاطر الأمن السيبراني للشركات الناتجة عن استغلال الثغرات الأمنية ما يلي:

• اضطرابات الأعمال
• الخسارة المالية
• اختراق الأمن السيبراني
• فقدان السمعة
• الآثار القانونية
• فقدان البيانات أو سرقتها وما إلى ذلك.

في بيئة الأعمال فإن المخاطر هي أي شيء يمكن أن يضر بأصولك التنظيمية ويسبب شكلاً من أشكال الخسارة، وتستفيد الشركات من برامج إدارة المخاطر وغالباً ما تجري تقييمات للمخاطر لتحديد ومنع المخاطر المحتملة على سلامة الأعمال واستدامتها.

ما هو التهديد؟

التهديد هو قدرة الحادث على التأثير سلبًا على الأنظمة التنظيمية والأصول الأخرى، ويمكن تصنيف التهديدات إلى ثلاث فئات تشمل:

• التهديدات الخارجية: مثل الهجمات السيبرانية أو برامج التجسس أو البرمجيات الضارة أو مجموعات القرصنة أو تصرفات إنتقامية لموظف غاضب.
• التهديدات الداخلية: مثل الموظفين ذوي النوايا الخبيثة والموظفين عن طريق الخطأ في تنزيل البرامج الضارة في الأنظمة التنظيمية، والموظفين الذين يكشفون المعلومات الهامة في رسائل البريد الإلكتروني المخادعة، والموظفين الذين يسيئون استخدام امتيازاتهم وبيانات اعتمادهم.
• التهديدات الطبيعية: مثل الحرائق والفيضانات والأعاصير والزلازل وما إلى ذلك.

تواجه الشركات اليوم مجموعة من التهديدات الأمنية التي تشمل برامج الفدية والتصيد الاحتيالي وهجمات DDoS والبرمجيات الضارة وما إلى ذلك، ومن الشائع بين المؤسسات أن تستثمر في تقييمات التهديدات السيبرانية من أجل فهم أفضل لأماكن استثمار جهود الكشف والوقاية والعلاج.

ما هو الضعف أو الثغرة الأمنية؟

الضعف الأمني هو  ثغرة أمنية أو خطأ أو عنصر غير محمي يسمح لقراصنة الإنترنت بالحصول على وصول غير مصرح به إلى بياناتك التنظيمية أو أجهزتك أو الأصول الأخرى، ويمكن للمؤسسة الكشف عن نقاط الضعف المعروفة وغير المعروفة الموجودة في بنيتها التحتية التنظيمية والتي يمكن أن تؤدي إلى مخاطر الاختراقات الأمنية وغيرها من المضاعفات.

تشمل الأسباب الشائعة لنقاط الضعف ما يلي:

• تدابير أمنية غير كافية
• عدم تحديث الأنظمة والتطبيقات بانتظام
• استخدام أجهزة وبرامج منخفضة الجودة
• الافتقار إلى السياسات والإجراءات الأمنية

تجري الشركات تقييمات منتظمة لمخاطر الضعف لتحديد نقاط الضعف الأمنية المحتملة الموجودة في الأنظمة التنظيمية والشبكات والأجهزة والمعدات وما إلى ذلك. يمكن أن يسمح تحديد الثغرات الأمنية في الوقت المناسب لشركتك بتصحيح العيوب الأمنية المحتملة وتجنب مجموعة من المخاطر الأمنية والعواقب السلبية المصاحبة لها.

تختلف التهديدات ونقاط الضعف والمخاطر وغالبًا ما تكون مترابطة عندما تتعلق بالأمن السيبراني، وتستثمر المنظمات في جميع أنحاء العالم بكثافة في العناصر الثلاثة، ومن المهم فهم الفرق بينهم لمعرفة أهمية وإمكانية تطبيق كل مصطلح.