في 10 نوفمبر، اكتشف MeridianLink إمكانية وصول جهة تهديد إلى حساب مستخدم غير مميز، وفقًا لـ إفادة على الموقع الإلكتروني لشركة برامج الإقراض الرقمي. على الرغم من أن مثل هذا الاختراق ليس جديدًا، إلا أن مجموعة برامج الفدية التي تقف وراء الهجوم قامت بخطوة ملفتة للانتباه. قدمت ALPHV شكوى رسمية مع هيئة الأوراق المالية والبورصات الأمريكية (SEC)، باستدعاء MeridianLink لعدم الكشف عن الانتهاك.
وقع الهجوم في 7 نوفمبر/تشرين الثاني، وقامت مجموعة برامج الفدية بتسريب البيانات، بدلاً من تشفيرها، وفقًا لما ذكره موقع “the verge”. databreaches.net. أخبر أحد المطلعين على ALPHV databreaches.net أن MeridianLink كان على علم بالهجوم في اليوم الذي وقع فيه.
من غير المقرر أن تدخل قاعدة الكشف عن خرق البيانات الجديدة الصادرة عن هيئة الأوراق المالية والبورصة حيز التنفيذ حتى ديسمبر، لكن شكوى ALPHV إلى الهيئة التنظيمية قد تكون تكتيكًا جديدًا تتبناه الجهات الفاعلة في مجال التهديد مع استمرارها في مهاجمة الضحايا واستغلالهم. كيف ينبغي لقادة الأمن السيبراني وغيرهم من المديرين التنفيذيين للمؤسسات الاستعداد لهذا الاحتمال؟
شكوى هيئة الأوراق المالية والبورصات
وفي يوليو/تموز، صوتت هيئة الأوراق المالية والبورصات لصالح اعتمادها قواعد الكشف عن الأمن السيبراني الجديدة للشركات العامة. وبموجب هذه القواعد الجديدة، ستحتاج الشركات العامة إلى الكشف عن حوادث الأمن السيبراني المادية في غضون أربعة أيام من تحديد الحادث على أنه “جوهري”. تدخل القاعدة حيز التنفيذ في 18 ديسمبر.
حدث خرق MeridianLink قبل هذا الموعد النهائي. “بناءً على تحقيقاتنا حتى الآن، لم نعثر على أي دليل على الوصول غير المصرح به إلى منصات الإنتاج لدينا، وقد تسبب الحادث في الحد الأدنى من انقطاع الأعمال. إذا قررنا أن أي معلومات شخصية للمستهلك كانت متورطة في هذا الحادث، فسنقدم إخطارات، وفقًا لما يقتضيه القانون،” شاركت الشركة في بيان أرسل عبر البريد الإلكتروني.
واستنادًا إلى ما تم الكشف عنه حتى الآن، يبدو الاختراق بسيطًا نسبيًا، لكن شكوى ALPHV من هيئة الأوراق المالية والبورصة تلقي بالشركة في دائرة الضوء.
“لن تقبل هيئة الأوراق المالية والبورصة كلمة مجرم، ولكن الأضواء شديدة القسوة. “تبدو دوافع ALPHV أقل تتعلق بالفدية، بقدر ما تتعلق بوضع سابقة مرعبة”، فرحات ديكبيك، دكتوراه، رئيس قسم الأبحاث في شركة مراقبة المخاطر السيبرانية. طائرة ورقية سوداء، يقول InformationWeek عبر البريد الإلكتروني. “إن التحدي الذي يواجه MeridianLink الآن هو الإبحار في هذا الحبل المشدود من الإفصاح والتحقيق، وكل ذلك تحت المجهر العام والتنظيمي.”
ويشير ديكبيك إلى أن شكوى ALPHV المقدمة من لجنة الأوراق المالية والبورصة تشير إلى أن المجموعة قد تكون لها علاقات في الولايات المتحدة. ويوضح أن المجموعة تُظهر إتقاناً قوياً للغة الإنجليزية ومعرفة بثقافة الشركات الأمريكية. وتشير معرفتها بالنظام التنظيمي الأمريكي بشكل خاص إلى العلاقات المحتملة مع الولايات المتحدة. “يمكن أن تكون اللغة الإنجليزية الواضحة لـ ALPHV على الويب المظلم هي الذكاء الاصطناعي، ولكن استغلال قاعدة SEC السريعة الخاصة بهم؟ يقول ديكبيك: “هذا يشير إلى وجود قوات برية على الأرض”.
أ محتمل تكتيك جديد
في حين أن العلاقات الأمريكية ربما أعطت ALPHV فكرة لتقديم شكوى إلى هيئة الأوراق المالية والبورصة، إلا أن الجهات الفاعلة الأخرى في مجال التهديد يمكن أن تأخذ في الاعتبار هذا التكتيك.
“لدي مخاوف من أن الجهات الفاعلة الأخرى في مجال التهديد، التي تسير على خطى AlphV، سوف تتصل بالهيئات الإدارية وتطغى على المنظمات التي تقاتل بالفعل لفرز وابل من البيانات،” مايكل إيسبيتسكي، مدير استراتيجية الأمن السيبراني في شركة الأمن السيبراني. سيسديج“، يقول InformationWeek في مقابلة عبر البريد الإلكتروني. “وأشعر بالقلق أيضًا من أن هذا قد يصبح وسيلة أخرى لابتزاز الضحايا.”
ويتوقع ديكبيك أيضًا أن هذا النوع من التلاعب التنظيمي يمكن أن يصبح تكتيكًا منتظمًا في قواعد اللعبة الخاصة بالمهاجمين السيبرانيين.
“تظهر مجموعات برامج الفدية أنها تستطيع ضرب الأماكن التي تضرها: السمعة والتنظيم. نحن بحاجة إلى الاستعداد لزاوية الهجوم الجديدة هذه. عندما يتقدمون بطلب إلى لجنة الأوراق المالية والبورصة، فإنهم يفقدون الظلال التي يختبئون خلفها، لكن الضرر قد حدث بالفعل. “يجب على القادة الآن ألا يتوقعوا الانتهاكات فحسب، بل يجب أن يتوقعوا أيضًا التداعيات القانونية التي ستترتب على ذلك في أعقاب ذلك. لقد تغيرت قواعد الاشتباك.”
دانا سيمبركوف، كبير مسؤولي المخاطر والخصوصية وأمن المعلومات في افيبوينت، يؤكد على أهمية الشفافية في أعقاب هجوم مثل الهجوم على MeridianLink. “إن أفضل الممارسات هنا، لأي شركة، هي التواصل المستمر والشفاف والمتوافق مع جميع أصحاب المصلحة المعنيين (العملاء والموظفين والشركاء والمستثمرين والصحفيين والمحللين وما إلى ذلك)”، كما تقول لـ InformationWeek عبر البريد الإلكتروني.
التحضير لقواعد الكشف عن المخالفات الخاصة بلجنة الأوراق المالية والبورصات
تدخل القاعدة حيز التنفيذ في أقل من شهر. هل ستكون الشركات العامة مستعدة لمتطلبات الإبلاغ والطريقة المحتملة التي يمكن للجهات الفاعلة في مجال التهديد استخدامها كسلاح؟
أكثر من نصف المديرين التنفيذيين في الشركات العامة (53٪) شملهم الاستطلاع في أ استطلاع ديلويت أبلغوا أن منظماتهم كانت تخطط لقواعد هيئة الأوراق المالية والبورصات الجديدة.
“يختلف مدى استعداد الشركات العامة لقواعد الإفصاح عن المخالفات الخاصة بهيئة الأوراق المالية والبورصة بشكل كبير عبر مشهد الشركة،” قال أرييل بارنز، المدير التنفيذي للعمليات والمؤسس المشارك لـ معيتيقة، شركة الاستجابة للحوادث السحابية، تشارك عبر البريد الإلكتروني.
وبينما تستعد الشركات، كانت مسألة “الأهمية المادية” بمثابة نقطة مثيرة للقلق. يقول إسبيتسكي: “نحن، مجتمع الأمن السيبراني الأوسع، لا تزال لدينا مخاوف كبيرة بشأن معايير قياس مدى أهمية الحوادث السيبرانية وتنسيق الاتصالات الفعالة في الوقت المناسب بين القيادة التنفيذية ومجالس الإدارة”.
جيك ويليامز، عضو هيئة التدريس في أبحاث إيانس ويؤكد أحد القراصنة السابقين في وكالة الأمن القومي الأمريكية (NSA)، على أهمية مناقشة قيادة المؤسسة لعتبات الأهمية النسبية. ويقول في مقابلة عبر البريد الإلكتروني: “إن العديد من المؤسسات العامة التي أعمل معها اليوم تعمل بعتبة مادية أعلى بكثير لأحداث الأمن السيبراني مما ينبغي على الأرجح”. “بالطبع، نحن جميعًا نخمن حتى يبدأ التنفيذ التنظيمي.”
يشير بارنز إلى أن قدرة المؤسسة على التحقيق بسرعة في حوادث الأمن السيبراني ستكون مهمة نظرًا لتركيز هيئة الأوراق المالية والبورصة على الكشف في الوقت المناسب. “ابدأ بتحديد العمليات والإجراءات الخاصة بالكشف عن الاختراقات، ثم اختبرها من خلال تمارين الطاولة. ويوصي بتحديد أي فجوات أو نقاط ضعف في إجراءاتك وإجراء التحسينات. “يضمن هذا النهج التكراري أن برنامجك يتطور باستمرار ويصبح أكثر فعالية.”
سيحتاج قادة الأمن السيبراني أيضًا إلى التفكير في البعد الإضافي المتمثل في الجهات الفاعلة التهديدية التي تستفيد من لوائح هيئة الأوراق المالية والبورصات الخاصة بالدعاية.
يقول إسبيتسكي: “وبالمثل، قد يحتاج قادة الأمن السيبراني – الذين يفضلون عمومًا إبقاء مؤسساتهم بعيدًا عن الصفحة الأولى للأخبار المتعلقة بهذه القضايا – إلى إعادة فحص عمليات العلاقات العامة والاتصالات الخاصة بالأزمات الخاصة بالأحداث الأمنية”.
تؤكد احتمالية الإضرار بالسمعة والغرامات التنظيمية الناجمة عن قواعد هيئة الأوراق المالية والبورصة الجديدة ونشاط الجهات التهديدية على أهمية الأمن السيبراني كأولوية على مستوى المؤسسة. يقول سيمبركوف: “هذا الحدث مع ALPHV هو تذكير بأن سياسة الأمن السيبراني والإبلاغ عن الحوادث هي مهمة متعددة الوظائف لكل مؤسسة – غالبًا ما يتم نقل الامتثال إلى فرق التكنولوجيا والأمن”.
