لدفع أو عدم دفع؟ معضلة برامج الفدية
لذلك، تتعرض شركتك لطلب فدية. ماذا بعد؟ عادةً ما تكون وكالات إنفاذ القانون، مثل مكتب التحقيقات الفيدرالي الحذر من دفع الفدية. ولكن ليس من السهل دائمًا اتخاذ القرار النهائي، خاصة مع فترات التوقف المكلفة والبيانات الحساسة المعلقة في الميزان.
من الناحية المثالية، يجب أن يكون لدى الشركة خطة استجابة للحوادث تم التدرب عليها جيدًا، ولكن لا يزال يتعين على أصحاب المصلحة المعنيين اتخاذ القرار الصعب عندما تنتقل الاستجابة للحوادث من تمرين سطحي إلى واقع ملموس.
الرد الأولي
بمجرد تقديم طلب للحصول على برامج الفدية، يحتاج فريق الأمن السيبراني في الشركة إلى التحرك. الخطوة الأولى هي إبلاغ كل من سيشارك في الاستجابة للحادث، داخل الشركة وخارجها. تحذر هيذر كلاوسون هوجيان، الشريك المؤسس لشركة المحاماة، قائلة: “لا ينبغي أبدًا أن يعمل فريق تكنولوجيا المعلومات/الأمن في فراغ عند وقوع هذه الأحداث”. كولهان ميدوز.
سيختلف فريق كل شركة وهيكلها وخطة الاستجابة للحوادث. عادةً ما يشمل أصحاب المصلحة الداخليون رئيس أمن المعلومات وبقية فريق القيادة والمستشار العام وقادة مجموعة الأعمال المتأثرة والاتصالات. اعتمادًا على الشركة وخطورة الحادث، قد يتطلب طلب برامج الفدية أيضًا تدخلاً على مستوى مجلس الإدارة.
خارج الشركة، يحتاج موردو تكنولوجيا المعلومات والأمن السيبراني الخارجيون والمستشارون الخارجيون وشركة تأمين الأمن السيبراني إلى مقعد على الطاولة. من المحتمل أيضًا أن تحتاج القيادة إلى إبلاغ سلطات إنفاذ القانون.
يقول كلاوسون هوجيان: “سيساعدك مستشارك القانوني وشركة الاتصالات الإلكترونية الخاصة بك في تحديد الأشخاص الآخرين الذين يجب إخطارهم اعتمادًا على ما إذا كانت حادثة برنامج الفدية قد تضمنت أي أنظمة يمكن أن تؤدي إلى الوصول غير المصرح به إلى البيانات”.
بالإضافة إلى إشراك جميع اللاعبين الرئيسيين، تحتاج فرق الأمن السيبراني إلى تحديد مدى الحادث. يقول كلاوسون هوجيان: “تأكد من عزل أجهزة الكمبيوتر/الأجهزة المصابة أو فصلها تمامًا عن شبكة الشركة، لأن برامج الفدية عادةً ما تقوم بمسح الشبكة المتضررة وتحاول الانتشار أفقيًا إلى أنظمة أخرى”.
تذكر، لا داعي للذعر. إن اتخاذ إجراء سريع أمر مهم، لكن بعض الفرق ترتكب خطأ التصرف دون النظر إلى العواقب.
“لقد وجدنا أن بعض المؤسسات ستبدأ في مسح محركات الأقراص وإعادة تحميل أنظمة التشغيل، وهذا يمكن أن يمنعها من معرفة ما فعله المتسللون وما إذا كان لا يزال بإمكانهم الوصول إلى أنظمتك، ويمكن أن يعيق استعادة البيانات والتعافي من الحادث”. يشارك بالا لارسون، رئيس تجربة العملاء في شركة التأمين بيزلي.
للدفع
ليس من السهل دائمًا الإجابة على سؤال ما إذا كان يجب الدفع أم لا. كلا القرارين يأتي بعواقب.
معلومات ويك تقرير المخاطر السيبرانية والمرونة: كيف يواجه مديرو تكنولوجيا المعلومات الكوارث في عام 2023 شمل الاستطلاع 180 متخصصًا في مجال تكنولوجيا المعلومات والأمن السيبراني. ومن بين هؤلاء المشاركين، أبلغ 10% عن دفع فدية لاستعادة الملفات المشفرة في هجوم برامج الفدية. ووجد التقرير أن 33% من المشاركين يعتقدون أن الدفع كان القرار الصحيح، بينما يعتقد 39% أن الوقت سيحدد ذلك. أولئك الذين يعتقدون أنه كان القرار الخاطئ بالدفع: 2%.
على مستوى عال، تبدأ الحجة ضد الدفع بالرسالة التي ترسلها. برامج الفدية مربحة. إن سداد المبلغ المطلوب يحفز مجرمي الإنترنت على مواصلة حملات الابتزاز. على مستوى الشركة الفردية، يأتي قرار الدفع مصحوبًا بخطر عدم التزام عصابة برامج الفدية بوعودها. قد يأخذون الدفع ولا يرسلون أبدًا مفتاح فك تشفير صالحًا. وقد يواصلون المضي قدمًا في نشر البيانات المسروقة.
أ تقرير 2023 عن اتجاهات برامج الفدية وجدت شركة البرمجيات Veeam أن 19% من المؤسسات التي دفعت فدية لم تتمكن من استعادة البيانات.
يقول لافون بيرك، نائب الرئيس لشؤون الأمن والمرونة وقانون تكنولوجيا المعلومات: “يجب أيضًا تضمين احتمال الخسارة الكاملة لدفع الفدية إلى جانب التكلفة المتبقية للبيانات واستعادة النظام في حساب المخاطر عند النظر في سداد أي دفعات”. في شركة التكنولوجيا تقنيات ديل.
إذا كان الدفع سيؤدي إلى ضرر أقل من الرفض، فقد تستنتج الشركة أن الدفع هو الخيار الأفضل. “إذا كان كل شيء مقفلاً و/أو مشفرًا، خاصة بالنسبة لمؤسسة تعتمد بشكل وثيق على بياناتها لتحقيق النجاح التشغيلي، مثل مستشفى أو مؤسسة تعليمية، فقد يكون التعافي من وقت التوقف عن العمل شبه مستحيل”، كما يقول شيلي ما، قائد الاستجابة للحوادث في مجال الإنترنت. شركة التأمين الائتلاف.
تعد حادثة Colonial Pipeline في عام 2021 واحدة من أكثر الأمثلة شهرة على اختيار ضحية برامج الفدية الدفع. دفعت الشركة أ فدية قدرها 4.4 مليون دولار لاستعادة عمليات خطوط أنابيب الوقود. (قامت وزارة العدل بذلك استرداد ما يقرب من 2.3 مليون دولار المدفوعة إلى DarkSide، المجموعة المسؤولة عن هجوم برامج الفدية.)
إذا قرر فريق الشركة أن الدفع هو الخيار الصحيح، فمن المهم فهم التداعيات التنظيمية. إن دفع الفدية ليس أمرًا غير قانوني ما لم تقم إحدى المنظمات بدفع مبلغ إلى جهة تهديد في مكتب مراقبة الأصول الأجنبية (OFAC) قائمة العقوبات.
يقول بيرك: “قبل إجراء الدفع، يجب على الشركة التشاور مع الطب الشرعي الخارجي، ومفاوضات الفدية والمستشار القانوني، وكذلك مع سلطات إنفاذ القانون المعمول بها، لضمان أفضل عدم قيامها بدفع أموال إلى كيان معروف خاضع للعقوبات”.
ستكون شركة التأمين السيبراني التابعة للشركة لاعباً حاسماً في عملية صنع القرار. ومن الممكن أن يكونوا هم من يدفع طلب الفدية، اعتمادًا على تغطية الشركة. يوضح ما أن شركات التأمين يمكنها دفع فدية نيابة عن العملاء. “بعض وثائق التأمين الأخرى سوف تعوض العملاء بعد لقد دفعوا، مما تسبب في عبء مالي مباشر أكثر على حامل البوليصة في بداية الحادث.
ويشير بيرك إلى أن الفدية يمكن أن تكون مصحوبة أيضًا بتكلفة عملية التفاوض وزيادة أقساط التأمين السيبراني.
إن العمل مع مفاوضي الفدية قد يمنح فرق القيادة وقتًا إضافيًا للإجابة على الأسئلة التي ستساعدهم في اتخاذ قرار بشأن أفضل مسار للعمل، وفقًا لما ذكره لارسون.
لا لدفع
ماذا يحدث إذا اختارت الشركة عدم الدفع؟ قد يتم اتخاذ هذا القرار عندما يكون لدى الشركة نسخ احتياطية كافية دون اتصال بالإنترنت لاستعادة أنظمتها. يقول ما: “إن الحصول على نسخ احتياطية قوية موجودة في السحابة وغير متصلة بالإنترنت تمامًا يعد أمرًا بالغ الأهمية لنجاح التعافي وتقليل وقت التوقف عن العمل قدر الإمكان”.
قد تتمكن الشركات أيضًا من فك تشفير البيانات التي تم فديةها باستخدام أدوات مجانية ومتاحة للعامة.
ويضيف بيرك: “يختار الضحايا أيضًا بشكل متزايد عدم الدفع في المواقف التي يكون فيها الخطر الأساسي لعدم الدفع هو نشر البيانات، حيث أن الدفع لا ينفي التزامات الإبلاغ عن الانتهاك، أو العقوبات التنظيمية المحتملة الناتجة عن سرقة البيانات الأساسية”.
في حين أن اختيار عدم الدفع يعني أن الشركة لن تضطر إلى تحمل تكلفة الفدية أو المخاطرة بانتهاك عقوبات مكتب مراقبة الأصول الأجنبية، إلا أنه لا تزال هناك عواقب.
حتى لو تمكنت الشركات من استعادة البيانات المشفرة، فقد تكون هذه عملية مرهقة وتستغرق وقتًا طويلاً وتؤثر على العمليات التجارية، وفقًا لبورك. بالإضافة إلى ذلك، من المرجح أن تفي عصابات برامج الفدية بتهديداتها بحذف و/أو نشر البيانات. يمكن أن يكون التوقف عن العمل وإلحاق الضرر بالسمعة مكلفًا.
وفقًا لبورك، فإن رفض الدفع قد يدفع الجهات التهديدية إلى زيادة الضغط لابتزاز الفدية. “يمكن أن تشمل هذه التقنيات هجمات رفض الخدمة الموزعة (DDoS) على شبكة الشركة، والتهديدات المباشرة للإدارة أو الأفراد الآخرين في الشركة، والتسريبات البطيئة للمعلومات المسروقة لجذب انتباه وسائل الإعلام، والتهديد بالاتصال بالمنظمين بشأن الهجوم و/ أو الاتصال بالعملاء أو الأفراد الآخرين الذين سُرقت معلوماتهم لممارسة المزيد من ضغوط الدفع.
يأتي الدفع أو عدم الدفع مع اعتبارات تنظيمية. تحتاج فرق الاستجابة للحوادث إلى فهم جميع الالتزامات التنظيمية لشركاتهم لتجنب مضاعفة تكلفة حادث برامج الفدية مع الغرامات.
“تحتاج المنظمات إلى فهم تعرضها القانوني والتنظيمي قبل يتلقون طلب فدية. يقول روبرت هيوز، كبير مسؤولي أمن المعلومات في شركة للأمن السيبراني: “إنهم بحاجة إلى مراعاة كل قانون”. آر إس إيه.
استعادة
إن اتخاذ قرار بالدفع أم لا هو مجرد خطوة واحدة من الرحلة الشاقة من خلال الاستجابة لبرامج الفدية. بمجرد أن يتم الاختيار، يجب أن يواجه فريق الاستجابة للحوادث احتمالية التعافي.
إذا دفعت شركة ما واستلمت مفتاح فك التشفير من عصابة برامج الفدية، فيجب فحص هذا المفتاح بواسطة الطب الشرعي للتأكد من أنه لا يأتي مع برامج ضارة أو أي تعليمات برمجية ضارة أخرى، وفقًا لبورك. وتقول: “تختلف أدوات فك التشفير بشكل كبير من حيث سهولة الاستخدام والوقت اللازم لاستعادة البيانات”. “إن التعامل مع خبراء مثل الطب الشرعي أو شركات التفاوض الذين لديهم خبرة سابقة مع جهة التهديد يمكن أن يؤدي في كثير من الأحيان إلى زيادة سرعة ونجاح فك التشفير بشكل كبير.”
يمكن أن يكون فك التشفير عملية طويلة. وقد يستغرق الأمر من 12 إلى 15 ساعة لكل تيرابايت من البيانات، وفقًا لما ذكره لارسون.
ستحتاج المؤسسات التي تمضي قدمًا دون الدفع إلى استكشاف وسائل بديلة لفك التشفير أو الاعتماد على النسخ الاحتياطية الخاصة بها. ولكن يجب إكمال هذه العملية بحذر. يقول بيرك: “يجب توخي الحذر لفحص بيانات النسخ الاحتياطي للتأكد من أنها لا تحتوي على برامج ضارة أو أدوات تهديد يمكن أن تسمح بهجوم لاحق”.
بغض النظر عما إذا كانت الشركة تدفع أم لا، فإن فهم كيفية حدوث الهجوم أمر حيوي للتعافي. يؤكد كلاوسون هوجيان على أهمية إجراء تحليل السبب الجذري لتحديد متغير برنامج الفدية وتحديد سبب نجاح الهجوم.
تحتاج فرق القيادة أيضًا إلى التشاور مع شركة تأمين الأمن السيبراني والمستشار القانوني للتأكد من أنهم يعرفون متى وكيف يتم الكشف عن الهجوم.
يقول ما: “تغادر البيانات الدقيقة باب المؤسسة (على سبيل المثال، لقد تم تسريبها)، ويتعين على الشركات إخطار عملائها ومورديها وأي أطراف أخرى متأثرة حتى لو كانت جاهزة للعمل بشكل كامل بالفعل”.
قد تختار المؤسسات العمل مع شركة علاقات عامة لتوجيه الرسائل بشأن الانتهاك والمعالجة والجهود المبذولة لمنع وقوع حوادث مستقبلية.
يقول بيرك: “ضع في اعتبارك أنه بعد هجوم برنامج الفدية، سيتم تذكر المنظمة بمدى استجابتها للحادث والتعافي منه”.
الاستعداد للهجوم القادم
إن النجاة من أي هجوم من برامج الفدية قد يؤدي إلى تنفس الصعداء بشكل جماعي، لكنه درس يجب أن نتذكره. ويحذر بيرك قائلاً: “لا توجد منظمة محصنة ضد المرة القادمة”.
في أعقاب هجوم برنامج الفدية، اقضِ بعض الوقت في تقييم ما نجح في خطة الاستجابة للحادث وما يمكن تحسينه. إذا لم يكن لدى المنظمة خطة جاهزة أو برنامج كافٍ لاستعادة البيانات، فيجب عليها تطوير بروتوكولات الاستجابة للحوادث والنسخ الاحتياطية غير القابلة للتغيير.
ويشدد هيوز على أهمية إعطاء الأولوية للهوية عندما تدرس المنظمة كيفية تعزيز أمنها. قامت مجموعة برامج الفدية التي تقف وراء هجوم Colonial Pipeline بالاستفادة من أ كلمة المرور المخترقة ليسمح لك بالدخول. يقول هيوز: “كان Colonial Pipeline هو السيناريو الأسوأ، ولكنه ليس حالة متطرفة: حيث يستهدف مجرمو الإنترنت الهوية أكثر من أي عنصر آخر في سطح الهجوم”.
ويؤكد على أهمية المصادقة متعددة العوامل وقدرات حوكمة الهوية وإدارتها في حماية المؤسسات من هذه الأنواع من الهجمات.
سوف تبحث الجهات التهديدية دائمًا عن طرق لاستغلال نقاط الضعف. الدفاع ضد هذه التهديدات يتطلب التحسين المستمر. وفي أعقاب هجوم برامج الفدية، يعد هذا التحسين أمرًا حيويًا لبناء مستقبل أكثر مرونة وللتغلب على التدقيق التنظيمي. ويشير بيرك إلى أن الجهات التنظيمية ترغب في رؤية المؤسسات تظهر تحسينات بعد وقوع حادث ما.
يقول لارسون: “من الصعب تجنب أن يُنظر إليك كضحية بعد الهجوم، ومع ذلك، مع المساعدة المناسبة، يمكن للمنظمة أن تخرج مستعدة بشكل أفضل مما كانت عليه قبل مواجهة التحدي”.
ماذا تقرأ بعد ذلك:
تكلفة هجوم برامج الفدية، الجزء الأول: الفدية
المدير التنفيذي السابق لشركة Uber Sullivan يتحدث عن إشراك المجتمع الأمني