ال رابطة شركات التأمين البريطانية (أبي)، جمعية وسطاء التأمين البريطانيين (بيبا) و الرابطة الدولية للاكتتاب (IUA) انضمت إلى المركز الوطني للأمن السيبراني (NCSC) في تحالف يهدف إلى تشديد الأساليب المتبعة تجاه مدفوعات برامج الفدية وخفض حجم هذه المدفوعات التي تقدمها المنظمات البريطانية.
تم إطلاقه في يوم افتتاح المؤتمر السنوي لـ NCSC سايبر المملكة المتحدة مهرجان، فإن التحالف مدعوم بالتوجيه الذي نشأ فيه ورقة بحثية من المعهد الملكي للخدمات المتحدة (RUSI). نُشرت في عام 2023. كما أنها “تتناول التوصيات بقوة”. اللجنة البرلمانية المشتركة المعنية باستراتيجية الأمن الوطني (JCNSS) ديسمبر الماضي.
وهو يحدد سلسلة من التوصيات لتمكين المؤسسات والأطراف الثالثة المرتبطة بها من اتخاذ قرارات مدروسة بشكل أفضل في حالة وقوعهم ضحية لهجوم برامج الفدية، مما يساعد على تقليل التعطيل الناتج عن الحادث والتكاليف المرتبطة به.
تتضمن بعض الاعتبارات الواردة في هذا التقرير الحاجة إلى إجراء تقييمات شاملة لتأثيرات الأعمال، واتباع بروتوكولات إعداد التقارير المناسبة، والوصول إلى مصادر الدعم المناسبة. قالت JCNSS سابقًا أن قطاع التأمين لديه دور رئيسي يلعبه فيما يتعلق بدعم الضحايا، ويمكنه أيضًا أن يعمل كمنظم للاستجابة للحوادث السيبرانية في بعض الحالات.
قالت فيليسيتي أوزوالد، الرئيس التنفيذي المؤقت لشركة NCSC: “من المشجع حقًا أن نرى جميع أركان صناعة التأمين تتحد لدعم المنظمات المتضررة بتوجيهات تساعدهم على فهم خياراتهم بشكل أفضل وتقليل الضرر والتعطيل لأعمالهم”.
“إن NCSC لا تشجع أو تؤيد أو تتغاضى عن دفع الفدية، ومن المفاهيم الخاطئة الخطيرة أن القيام بذلك سيؤدي إلى انتهاء الحادث أو تحرير الضحايا من أي مشاكل مستقبلية. في الواقع، كل فدية يتم دفعها تشير إلى المجرمين بأن هذه الهجمات تؤتي ثمارها وتستحق القيام بها.
وقالت: “تعد هذه المبادرة المشتركة بين القطاعات خطوة تالية ممتازة في إحباط نموذج أعمال الفدية: نحن فخورون بدعم العمل الذي سيؤدي إلى إفراغ محافظ مجرمي الإنترنت وزيادة مرونة المنظمات البريطانية”.
قال ميرفين سكيت، مدير بوليصة التأمين العامة في ABI، “يسعدنا العمل مع NCSC وBIBA وIUA على تعزيز المرونة السيبرانية ودعم العملاء المتأثرين بهجمات برامج الفدية”.
“بعد إطلاق موقعنا أداة السلامة السيبرانية بالنسبة للشركات الصغيرة والمتوسطة العام الماضي، يعد هذا التوجيه التعاوني خطوة إيجابية أخرى نحو معالجة الجرائم الإلكترونية في جميع أنحاء المملكة المتحدة، ونحن نتطلع إلى مواصلة العمل مع NCSC لتحقيق هذا الهدف المشترك.
وأضاف شاون وورال، نائب رئيس قسم التأمين العام في BIBA: “يفخر BIBA بالعمل مع ABI وIUA وNCSC على هذه التوجيهات المهمة. ويمكن أن يساعد الشركات على تشكيل استجابتها لواحد من أكبر المخاطر التي تهدد قدرة مؤسساتها على التجارة: هجوم برامج الفدية.
وقالت هيلين دالزيل، مديرة السياسة العامة في IUA: “إن دفع الفدية ردًا على الهجمات السيبرانية يتجه نحو الانخفاض على مستوى العالم. تدرك الشركات أن هناك خيارات بديلة، ويوضح هذا التوجيه أيضًا كيف يمكن للشركات تحسين مرونتها التشغيلية لمقاومة المطالب الإجرامية.
راغو نانداكومارا، رئيس حلول الصناعة في إليوميووأشاد بالتوجيهات الجديدة وقال إنه يؤيد تماما الأهداف التي تكمن وراءها.
“وفي الوقت نفسه، نحتاج أيضًا إلى رؤية المزيد من الإرشادات لمساعدة الشركات على بناء المرونة واحتواء الهجمات. وقال نانداكومارا: “في أغلب الأحيان، تكون خطط التعافي غير كافية أو لم يتم اختبارها بشكل صحيح، مما يجعلها غير قابلة للتطبيق عند وقوع حادث حقيقي”.
“ونتيجة لذلك، لم يعد أمام المنظمات خيار سوى دفع الفدية لاستعادة مستويات العمليات والإنتاجية في أسرع وقت ممكن. يجب على NCSC تشجيع الشركات على تبني عقلية “افتراض الهجوم”. وهذا لا يعني الاعتراف بالهزيمة، بل يركز بدلاً من ذلك على الاستعداد للرد بفعالية على أي حادث سيبراني وبناء القدرة على الصمود.
لا تدفع الفدية
مع بقاء برامج الفدية أكبر تهديد إلكتروني يومي يواجه المؤسسات في المملكة المتحدة – حتى مع الأخذ في الاعتبار تأثير الإجراءات الناجحة ضد العصابات الإلكترونية البارزة مثل لوكبيت – تواصل NCSC تثبيط دفع الفدية بقوة.
إن الاستسلام لمطالب المجرمين الإلكترونيين لا يضمن النهاية السريعة للحادث ولا إزالة البرامج الضارة من الأنظمة المخترقة. ومع ذلك، ما يفعله هو تحفيز مجرمي الإنترنت على الاستمرار في مهاجمة ضحايا جدد وتوسيع عملياتهم، وكما رأينا كثيرًا مع LockBit، حتى عندما يتم الدفع مقابل حذف البيانات المسروقة، فإن المهاجمين سيتمسكون بها بشكل عام.
ومع أخذ ذلك في الاعتبار، فإن العديد من خبراء الأمن السيبراني يتجهون بشكل متزايد إلى فكرة حظر المدفوعات بشكل كامل. الكتابة في مجلة Computer Weekly مؤخرًاآلان ليسكا المستقبل المسجلقال: “لا يوجد شيء آخر نقوم به – على الأقل نحن على استعداد للقيام به – يجدي نفعاً… هل هي فكرة جيدة؟ لا، هل سيكون أي شخص سعيدًا بكيفية تنفيذه؟ لا…ولكن في نهاية المطاف، قد يكون هذا هو الخيار الأقل سوءًا المتاح لنا.
