حسنا، اسمعني. في الستينيات والسبعينيات، بدأت المملكة المتحدة في التطور سياسة عدم التفاوض ورداً على العدد المتزايد من الحوادث الإرهابية التي تنطلق أساساً من أيرلندا الشمالية؛ على الرغم من وجود مثال آخر أكثر شهرة على عدم التفاوض حصار السفارة الإيرانية في عام 1980. وفي الولايات المتحدة، بدأ تأييد هذا الموقف في السبعينيات والثمانينيات، ومرة أخرى فيما يتعلق بالشرق الأوسط، انقسمت المصادر حول ما إذا كان الرئيس ريتشارد نيكسون أو جيمي كارتر استخدما لأول مرة العبارة الصوتية الشهيرة: “نحن لا نتفاوض” مع الإرهابيين”.
تنجح هذه المقطوعة الصوتية الشهيرة، والتي غالبًا ما يتم الاستشهاد بها، لأنها مؤثرة وواضحة ونهائية ويبدو أنها تتخذ موقفًا مبدئيًا. ومع ذلك، فإن الواقع هو أن كلا من المملكة المتحدة والولايات المتحدة يتفاوضان… عندما يناسبهما ذلك. علاوة على ذلك، أدى هذا الخطاب إلى ضياع الفرص، وخسارة الأرواح، والنفاق. أحد أوضح الأمثلة على متى أدى التفاوض مع مجموعات إرهابية محددة إلى نتيجة إيجابية هو: اتفاقية الجمعة العظيمة لعام 1998 والتي تم التوصل إليها بين حكومتي المملكة المتحدة وإيرلندا وثمانية أحزاب أو تجمعات سياسية من أيرلندا الشمالية، في أعقاب مفاوضات متعددة الأحزاب. كما لعبت حكومة الولايات المتحدة، برئاسة السيناتور جورج ميتشل، دوراً هاماً في التوسط في الاتفاق. أدى هذا الاتفاق إلى تشكيل جمعية لتقاسم السلطة لحكم أيرلندا الشمالية ومهدت الطريق أمام الجماعات شبه العسكرية لسحب أسلحتها.
للحصول على مثال عندما كان للتفاوض وعدم التفاوض نتائج مختلفة بشكل صارخ، لا نحتاج إلى النظر إلى أبعد من مصير الرهائن المحتجزين لدى أعضاء داعش سيئي السمعة الملقبين بـ “البيتلز”. وبينما لا شك أن الجماعة وحشية ومذنبة بإعدام صحفيين وعمال إغاثة بريطانيين وأمريكيين، فقد أطلقت المجموعة سراح جميع الأسرى الغربيين الآخرين بعد المفاوضات. ومقابل مبالغ مالية كبيرة.
هل دفع رسوم الفدية يحفز الجريمة؟
إحدى الحجج الرئيسية لعدم دفع الفدية، أو حتى التفاوض، هي أن مثل هذه الأنشطة تحفز الجريمة؛ مما يساهم في نموها. في كتابه، نريد التفاوض: العالم السري للاختطاف والرهائن والفدية, يتعمق جويل سايمون كثيرًا في سياسة عدم التنازلات وكيف أن الالتزام بها، بدلاً من حماية الناس عن طريق إزالة هذا التحفيز، يعرضهم فعليًا لخطر أكبر للأذى. باختصار، لم تمنع سياسة عدم تقديم التنازلات التي طال أمدها من احتجاز الرهائن البريطانيين والأمريكيين، بل أدت فقط إلى وفاتهم.
في الآونة الأخيرة تم تجديد المكالمات لجعل دفعات الفدية غير قانونية. مرة أخرى، فرضية الحجة هي أنه من خلال دفع الفدية، فإنه يحفز نمو النظام البيئي لبرامج الفدية. بالنظر إلى النقاط السابقة، يجدر النظر في السؤال الرئيسي: هل تعتقد أنه إذا لم يعد لدى المتسلل حافز مالي للاختراق، فإنه سيتوقف عن القرصنة؟
إذا كانت إجابتك لا، فيجب إيجاد آلية أخرى. إذا كانت إجابتك بنعم، فقد يفاجئك معرفة أن هناك بالفعل قوانين معمول بها تحظر دفع الفدية وبرامج الفدية لكل من كيانات المملكة المتحدة والولايات المتحدة. في الولايات المتحدة، مكتب مراقبة الأصول الأجنبية (OFAC) التابع لوزارة الخزانة لديها لوائح تحظر المعاملات، بما في ذلك دفع الفدية للأفراد أو الكيانات المدرجة في قائمة المواطنين المعينين خصيصًا (SDN). مكتب مراقبة الأصول الأجنبية أصدر استشارة في أكتوبر 2020 معالجة مدفوعات برامج الفدية على وجه التحديد. وحذرت من أن إجراء دفعة لشخص أو كيان خاضع للعقوبات يمكن أن يؤدي إلى عقوبات مدنية بموجب قانون الولايات المتحدة، بغض النظر عما إذا كان الدافع يعرف أو كان ينبغي أن يعرف أنه كان منخرطا في معاملة محظورة. في المملكة المتحدة، لوائح العقوبات السيبرانية (خروج الاتحاد الأوروبي) لعام 2020 دخل حيز التنفيذ في أواخر عام 2020 ويحظر المعاملات مع الأشخاص المحددين المتورطين في الجرائم الإلكترونية. ويشمل ذلك دفع الفدية لمهاجمي برامج الفدية. قد يؤدي عدم الامتثال إلى عقوبات جنائية، بما في ذلك السجن أو الغرامة. حتى الآن، لم أجد أي حالات تمت فيها محاكمة أي شخص لدفع فدية سواء مقابل إنسان أو لاستعادة/حماية البيانات، وهو ما يشكل في حد ذاته سابقة.
عيوب جعل دفع الفدية غير قانوني
إن جعل دفعات برامج الفدية غير قانونية له أيضًا آثار سلبية إضافية. من المحتمل أن ينخفض الإبلاغ عن الحوادث، مما قد يعرض أصحاب البيانات لمخاطر لا يعرفونها. فهو يجرم المنظمات المتضررة مما قد يعرضها لمزيد من الغرامات بالإضافة إلى المبلغ المدفوع، وأي غرامات أو عقوبات من الهيئات التنظيمية، وتكلفة التحقيق، والتعافي، والرسوم القانونية، وما إلى ذلك. ولكن الأهم من ذلك بالنسبة لي كمستجيب للحوادث، أنه يزيل أداة قيمة من ترسانتنا. إذا علمت الجهات التهديدية أن المنظمات لا تستطيع دفع فدية، فلن يكون هناك حافز لهم للتفاوض. التفاوض لا يقتصر فقط على تحديد السعر. في الواقع، ليس من الضروري أن تؤدي المفاوضات إلى الدفع. ويمكن استخدامه كآلية للحصول على معلومات استخباراتية عن جهة التهديد، والدخول، والمدة، والوصول إلى البيانات، وكآلية للمماطلة لشراء الوقت للمنظمات للتحقيق والقضاء والمعالجة والتعافي.
وسواء كانت فعالة أم لا، فإن الهدف العام للاقتراحات الخاصة بجعل دفع الفدية غير قانوني هو تقليل عدد وتأثير الهجمات السيبرانية. ولكن هناك صناعة الأمن السيبراني بأكملها تحاول تحقيق نفس الهدف. الاقتراح هو مجرد أداة واحدة غير فنية وغير متعلقة بالأمن، تركز على المشكلة في وقت متأخر جدًا من اللعبة. لا أحد يعتقد أنه سيدفع فدية، لأنهم لا يرون أنها شيء يجب عليهم التعامل معه، لذلك لا يهتمون إذا كان غير قانوني أم لا. لم تؤثر الإجراءات العقابية إلا على الشركات الموجودة في المحصلة النهائية من الميزانيات العمومية، حيث يرى كبار المسؤولين تكلفة الأمن السيبراني، وليس التأثير على الأفراد المتأثرين به.
لقد كان هناك تعليق من قبل البعض بأن التعليم والتدريب لا يصلان إلى المستخدمين بشكل واضح، وأن الحلول الأمنية غير كافية. ومع ذلك، كلاهما في الواقع جزء من ثقافة الشركة. إذا فشلت هذه الأمور، فذلك بسبب الفشل في ثقافة الشركة. والثقافة تبدأ من الأعلى.
كيفية تحسين ثقافة الشركة
إذن، ما هو الحل؟ حسنًا، لا يوجد شيء واحد يمكنه إصلاح كل شيء، ولكن إليك ثلاث نقاط أعتقد أنها يمكن أن تحرك المؤشر في اتجاه إيجابي:
تغيير ثقافة الشركة عن طريق نقل الأمن السيبراني بعيدًا عن كونه رقمًا في جدول البيانات: جعل ومحاسبة مجالس الإدارة والمديرين التنفيذيين مسؤولين عن ضمان أمن البيانات من خلال الغرامات الشخصية، وحظر المكافآت، ومنعهم من الاحتفاظ بمستوى من المسؤولية. منصبه لفترة من الوقت، أو حتى السجن. علاوة على ذلك، يجب أن يشمل ذلك فترة استدعاء، وهي فترة زمنية يمكن خلالها تغريمهم أو تحميلهم المسؤولية والمساءلة في حالة تأثر المنظمة التي يشغلون فيها هذا المنصب بحادث سيبراني. إن جعل المدير التنفيذي يستثمر شخصيًا في أمن البيانات التي تحتفظ بها المنظمة سوف يغير الثقافة داخل المنظمة.
الابتعاد عن النقد اللاذع المتمثل في التعامل مع الجهات التهديدية. لا يمكنك التحدث فقط مع الأشخاص الذين تحبهم والذين يتفقون معك. إن القيام بذلك يتركك منغلقًا على وجهة نظر مستقطبة للغاية وأقل اطلاعًا وتعليمًا مما يمكن أن تكون عليه. هذا ليس وضعًا رائعًا لتكون فيه أثناء الأزمة. في كتابه، لا تقسم الفرق أبدًايستشهد كريس فوس – كبير المفاوضين الدوليين السابقين في مجال الرهائن لدى مكتب التحقيقات الفيدرالي (وهو المسمى الوظيفي الذي يُظهر حقاً أن الولايات المتحدة تتفاوض مع الإرهابيين) بحالات عديدة حيث أدت المفاوضات إلى نتائج مفيدة للطرف الذي يبدو أن خصمه يملك كل الأوراق؛ حيث أدت المفاوضات إلى جمع المعلومات الاستخبارية وتعطيل الجريمة المنظمة على نطاق أوسع؛ حيث أدى مجرد الاستماع إليهم، أو بالأحرى الاستماع إليهم، إلى تخلي محتجزي الرهائن عن أهدافهم الأولية.
استهداف درب المال
أخيرًا، إذا كنت تريد حقًا استهداف الأنظمة المالية للجهات الفاعلة في مجال التهديد، فاجعل من الصعب على الجهات التي تهدد التهديد استخدام/إنفاق الأصول المشفرة التي يتلقونها. إن blockchain عبارة عن دفتر أستاذ مفتوح حيث يمكن تتبع المعاملات ونسب المحافظ إلى مجموعات التهديد. مفهوم براهين المعرفة الصفرية يمكن استخدام (ZKPs) في نظام لتتبع وتصنيف مدى موثوقية معاملات العملة المشفرة. يمكن لوكالات إنفاذ القانون أو شركات الأمن السيبراني الاحتفاظ بقاعدة بيانات للمحافظ السيئة المعروفة المرتبطة بالجرائم السيبرانية وبرامج الفدية. يمكن تسجيل كل معاملة بناءً على ما إذا كانت تتضمن هذه المحافظ السيئة. على سبيل المثال، المعاملة التي تتضمن فقط محافظ جيدة معروفة تحصل على درجة عالية، في حين أن المعاملة التي تتضمن محفظة سيئة معروفة تحصل على درجة منخفضة. مع مرور الوقت، يمكن تعيين درجة الجدارة بالثقة للمحافظ الجديدة أو غيرها بناءً على درجات معاملاتها.
وبدلاً من الكشف علناً عن المحافظ السيئة، يمكن لهذه المنظمات استخدام ZKPs لإثبات أنها تعرف أن المحفظة سيئة دون الكشف عن ماذا تعرف أو لماذا أو كيف تعرف. وهذا يحافظ على مستوى من الخصوصية لأصحاب المحفظة، فضلاً عن ذكاء المنظمة، مع السماح بتسجيل المعاملات. هذا النهج، على الرغم من كونه سجلًا مغلقًا، يجعل من الصعب أيضًا على الجهات التهديدية محاولة التلاعب بالسجل أو التسجيل.
يمكن أن يساعد هذا النظام في تثبيط المعاملات مع المحافظ السيئة المعروفة وتحفيز المعاملات مع المحافظ الجيدة المعروفة. سيتطلب مثل هذا الحل تصميمًا وإشرافًا دقيقًا لضمان عدم إساءة استخدامه أو التلاعب به، وللتأكد من أنه يحترم حقوق الخصوصية، ولكنه قد يساعد أيضًا في اعتماد العملات المشفرة اللامركزية لأغراض مشروعة.
مارك كننغهام-ديكي هو المستشار الرئيسي للاستجابة للحوادث في شركة النصاب السيبراني. يتمتع بخبرة تزيد عن 20 عامًا في صناعة التكنولوجيا، بما في ذلك أكثر من 10 سنوات من العمل في الأدوار الفنية لإنفاذ القانون وغيرها من المنظمات الممولة من الحكومة. يحمل مارك درجة الماجستير في الأمن المتقدم والطب الشرعي الرقمي ودرجة البكالوريوس (مع مرتبة الشرف) في علوم الكمبيوتر.
