إن الاعتقاد العام بأن الاختراق السيبراني هو مسألة “إذا” وليس “متى” يعني أن جميع المؤسسات من المحتمل أن تواجه احتمالًا غير مرحب به للغاية للإصابة بالعدوى من خلال برامج الفدية، مع عدم إصدار البيانات المهمة والقدرات التشغيلية إلا بعد الدفع للمهاجم.
يتطلب التعامل مع هجوم برامج الفدية من المؤسسة تقييم قيمة الأصول المصادرة وتحديد مسار العمل الأكثر قابلية للتطبيق للحد من التكلفة والمساعدة في التعافي السريع.
قبل النظر في ما إذا كان ينبغي حظر دفعات برامج الفدية، من المفيد أن نعترف بالسبب الذي قد يدفع إحدى المنظمات إلى دفع الفدية في المقام الأول. في كثير من الأحيان، قد يبدو الدفع هو أسرع طريقة لحل الحادث؛ يتم استرداد البيانات بشكل أسرع بحيث يمكن استئناف العمليات العادية بأقل قدر ممكن من الانقطاع. بالإضافة إلى ذلك، قد تكون التكلفة الإجمالية للدفع للمتسللين أقل من الخطوات الأخرى المطلوبة للتعافي؛ على سبيل المثال، قد تؤدي فترات التوقف الطويلة في انتظار استعادة النسخ الاحتياطية إلى استنزاف الأموال بشكل أكبر، بينما بالنسبة لأولئك الذين لا يحتفظون بنسخ احتياطية، فإن احتمال الاضطرار إلى إعادة البناء من الصفر قد لا يكون قابلاً للتطبيق.
مع أخذ هذه الأسباب العملية في الاعتبار، لماذا قد يكون من المنطقي حظر مدفوعات برامج الفدية؟
قضية حظر مدفوعات برامج الفدية
وحتى عندما تقوم إحدى المنظمات بدفع الطلب، ليس هناك ما يضمن أن المهاجمين سيحترمون جانبهم من الصفقة، مما يعني أن الضحايا قد لا يستعيدون الوصول إلى بياناتهم على الإطلاق (في مارس من هذا العام، على سبيل المثال، اختفت مجموعة الجرائم الإلكترونية ALPHV/BlackCat بعد أن جمعت 22 مليون دولار من شركة رعاية صحية أمريكية). والاحتمال الآخر هو أن يتم إصدار البيانات مرة أخرى إلى الشركة، لكن المهاجمين يحتفظون بنسخة يمكنهم بيعها لمن يدفع أعلى سعر، وبالتالي يعرضون معلومات التعريف الشخصية (PII) والملكية الفكرية للخطر.
بالإضافة إلى ذلك، تشير الأدلة إلى أن دفع الفدية لا يحمي المنظمات من الاستهداف مرة أخرى، بل إنه يزيد من احتمالية حدوث ذلك. أ دراسة عالمية حديثة وذكرت أن 78% من المنظمات التي دفعت فدية تعرضت لهجوم آخر، مع مطالبة 63% منها بدفع المزيد في المرة الثانية.
يمكن للجدول الزمني الضيق المطلوب لدفع الفدية والعودة إلى العمل كالمعتاد أن يقلل من احتمالية تورط الضحايا في إنفاذ القانون، مما يجعل تحقيقات الشرطة وتوجيه الاتهامات ضد المجرمين نادرة. كما يمكن أن يؤدي التهديد بإلحاق الضرر بالسمعة إلى ردع الشركات عن الكشف عن حادثة ما، الأمر الذي له تأثير أوسع يتمثل في إعاقة قدرة القطاع السيبراني على التعلم، ومواجهة الهجمات المستقبلية. يؤدي هذا إلى إدامة الدورة الحالية لسلوكيات برامج الفدية؛ إن تجاهل المنظمات لفرصة دعم الجهود الأوسع لمكافحة الجرائم الإلكترونية يعرضها (وغيرها) لمزيد من المخاطر في المستقبل.
لا شك أن دفع الفدية يزيد الزيت على النار؛ وكلما زاد عدد الشركات التي تستجيب لمطالب المهاجمين، زاد حجم سوق برامج الفدية، مما يزيد من حافز الجهات الخبيثة لاتباع هذا الطريق. ومن الممكن أن يؤدي حظر المدفوعات تماما إلى إزالة الحافز المالي الذي يدفع مجرمي الإنترنت إلى شن هجمات ببرامج الفدية، في حين أن العديد من البلدان التي تحرض على الحظر من الممكن أن تشجع التعاون الدولي في معالجة هذه المشكلة العالمية.
تجدر الإشارة أيضًا إلى أنه بمجرد دفع أموال الفدية، يمكن استخدامها لتمويل منظمات إجرامية متورطة في أنشطة غير مشروعة مختلفة تتجاوز برامج الفدية؛ ومن الممكن أن يؤدي حظر المدفوعات إلى تعطيل تدفقات التمويل هذه وإعاقة عملياتها، مما يؤدي بدوره إلى حماية الشركات من الارتباط بالأنشطة غير القانونية والمجرمين المعروفين.
لماذا قد لا يكون الحظر فعالا
كما هو مذكور أعلاه، يمكن أن يؤدي عدم دفع الفدية إلى زيادة تكاليف الشركة، مما يزيد من وقت التوقف عن العمل ويؤخر العودة إلى القدرة التشغيلية. كلا العاملين الرئيسيين يقدمان حجة قوية (من منظور الأعمال) ضد تنفيذ الحظر.
على الرغم من أن العنصر المالي هو الذي يتصدر عناوين الأخبار عادةً، إلا أن هناك مهاجمين هدفهم الرئيسي هو التسبب في أقصى قدر من الاضطراب للمؤسسة أو البيئة الأوسع (على سبيل المثال، إتلاف البنية التحتية الحيوية أو الانخراط في “القرصنة الإلكترونية”). تعتبر الأموال فائدة ثانوية، مما يعني أن حظر المدفوعات قد يوفر نفوذًا محدودًا من حيث وقف الهجمات.
ما إذا كان الحظر سيمنع الأشخاص بالفعل من سداد المدفوعات هو اعتبار آخر. ويتمثل أحد المخاطر في أن العملية برمتها تتم تحت الأرض مع تحويل الأموال سرا وخوف الضحايا من الإبلاغ عن الهجمات، في حين يستهدف المتسللون المؤسسات الأقل قدرة على تحمل فترات التوقف عن العمل مثل المستشفيات والمدارس والشركات الصغيرة والمتوسطة.
علاوة على كل هذه النقاط، فإن الواقع هو أن فرض حظر على مدفوعات برامج الفدية سيكون أمرًا صعبًا، لا سيما في ضوء استخدام العملات المشفرة التي يمكن أن تسهل المدفوعات المجهولة.
بالإضافة إلى ذلك، فإن أي فترة انتقالية قبل سريان الحظر ستتطلب إطار دعم وطني صارم لضحايا برامج الفدية لمنع الشركات من أن تجد نفسها فجأة غير قادرة على تصحيح وضعها بسرعة. وإلى أن يتم طرح مسار استجابة “رسمي” قابل للتطبيق وواضح ويعمل بالسرعة الكافية للشركات، فقد يستمر الكثيرون ببساطة في تولي الأمور بأيديهم.
ما هي البدائل؟
سواء تم حظر دفع برامج الفدية أم لا، تحتاج المؤسسات إلى معرفة كيفية حماية نفسها وإدارة المخاطر. يجب أن يكون وضع استراتيجيات لمنع الانتهاكات في المقام الأول ركيزة أساسية في عمليات كل منظمة، ويجب تعزيزها بخطط التخفيف والاستجابة، في حالة حدوث الأسوأ.
يعد التعليم وتدريب الموظفين أمرًا بالغ الأهمية هنا أيضًا. ولابد من الاعتراف بالتصيد الاحتيالي بجميع أشكاله، ولكن يجب أيضًا أن يكون هناك تقدير أوسع لعناصر المخاطر البشرية، مثل الثقافة التنظيمية، وكيفية مكافحتها من خلال التدريب المصمم والضوابط الإجرائية.
العنصر البشري يتعزز بالتكنولوجيا. على سبيل المثال، فإن الاتجاه المستمر للعمل عن بعد والمختلط يجعل الموظفين يعتمدون بشكل كبير على أجهزة الكمبيوتر المحمولة والأجهزة المحمولة، حيث يمكنهم تخزين المعلومات المهمة محليًا. يمكن أن يؤدي الجمع بين التدريب المناسب والضوابط الفنية ذات الصلة إلى منع وقوع حوادث كبيرة، في هذه الحالة من خلال أشياء مثل المصادقة متعددة العوامل (MFA) أو نظام إدارة الأجهزة المحمولة (MDM).
يعد الالتزام بالنسخ الاحتياطي للبيانات أيضًا أمرًا أساسيًا للمرونة في مواجهة الهجوم. تقرير واحد لعام 2023 يضع وفورات في رسوم الاسترداد بمبلغ 1 مليون دولار بالنسبة للشركات التي استخدمت النسخ الاحتياطية مقارنة بتلك التي لم تتخذ هذه الخطوة الضرورية، مما يجعل ذلك أحد الاعتبارات المهمة أثناء استمرارية الأعمال والتخطيط للتعافي من الكوارث.
تشمل الدفاعات التكنولوجية الأخرى الذكاء الاصطناعي، الذي يتمتع بإمكانات هائلة لاكتشاف هجمات برامج الفدية وإيقافها قبل حدوثها. يمكن للآلات تحليل البيانات بسرعة والعثور على الأنماط التي قد يفوتها البشر. على سبيل المثال، يمكن أن يتضمن عملاء البريد الإلكتروني القدرة على إجراء عمليات فحص أولية لعناوين البريد الإلكتروني والروابط المضمنة لتحديد أي روابط تبدو مشبوهة.
بالابتعاد عن التكنولوجيا، يمكن أن يؤدي التعاون بين الوكالات الحكومية وهيئات إنفاذ القانون وخبراء الأمن السيبراني والشركات المتضررة إلى إنتاج إطار عمل أكثر ترابطًا لمكافحة برامج الفدية. غالبًا ما تمنع ثقافة الخوف والحفاظ على الذات الحالية الشركات من مناقشة انتهاكاتها و”نقاط ضعفها” علنًا، لكن هذا التواصل يحمل المفتاح لفتح قدر أكبر من المرونة والتفاهم عبر القطاع. وقد اعتمد هذا النهج من قبل المكتبة البريطانيةوالتي قدمت تفاصيل مستفيضة عن الاختراق الذي تعرضت له في خريف عام 2023؛ تهدف الشفافية الكاملة إلى تزويد المنظمات الأخرى برؤية تساعدها على تجنب نفس المصير.
هناك حاجة إلى أدوات متعددة
هناك حجج صحيحة على جانبي المناقشة حول ما إذا كان سيتم حظر مدفوعات برامج الفدية أم لا. ويتطلب منع نمو قطاع الجرائم السيبرانية وقف دورة الهجوم والدفع من خلال مزيج من تعزيز الدفاعات السيبرانية التنظيمية وقطع الحوافز المالية للمهاجمين. وهذا ليس بأي حال من الأحوال الطريق السهل للمضي قدمًا لأي عمل تجاري؛ إن النجاح الحقيقي في هذا المجال سوف يحتاج إلى رؤية طويلة الأمد للانتصار على الألم القصير الأمد، الأمر الذي يتطلب نهجاً مشتركاً يتضمن المدخلات القانونية، والتعليم، والتكنولوجيا، والتعاون الصناعي.
