تدخلات الشرطة الهولندية تعطل بنجاح حوالي نصف فدية المجموعات التي يستهدفونها ، وفقا لبحوث الدكتوراه في جامعة ترينتي.
أجراها توم ميورس، التي أمضت أربع سنوات مضمنة مع فرق الإنترنت الهولندية للشرطة ، كشفت الدراسة أنه حتى عندما يستمر المجرمون بعد التدخل ، فإنهم عادة ما يفعلون ذلك على نطاق أصغر ، ويستهدفون عددًا أقل من الضحايا وأقل وضوحًا.
يقدم البحث نظرة نادرة على فعالية إنفاذ القانون ضد رانسومواري. بينما يشير التصور العام إلى أن الشرطة لها تأثير محدود على الجريمة الإلكترونيةتوضح النتائج أن التدخلات المستهدفة تسفر عن نتائج قابلة للقياس عند دعمها بجمع البيانات المنهجية.
جمع البيانات المركزية
يبرز النهج الهولندي دوليًا بسبب الجمع المنهجي ومركزية فدية ذكاء. أمضت Meurs ستة أشهر في تجميع بيانات شاملة من قضايا الشرطة عبر هولندا ، مما يخلق موقفًا فريدًا من ذكاءات حققه عدد قليل من الدول الأخرى.
لقد تحدثت مع زملاء من بلجيكا ولوكسمبورغ وألمانيا. وقال ميورز: “الشيء الصعب في رانسومبرز هو أن المعلومات غالباً ما تنتشر عبر أنظمة الشرطة المختلفة”. “ما يجعلنا فريدة من نوعها نسبيًا في هولندا هو تكريس أبحاث الدكتوراه لهذه المسألة وإنشاء قاعدة بيانات أكثر توحيدًا للهجمات.”
يوفر جمع البيانات المركزي هذا فوائد متعددة. يساعد في بناء موقف ذكاء أقوى على عدد صغير نسبيًا من المجموعات الإجرامية المسؤولة عن معظم الهجمات. عندما تصبح عمليات فك التشفير متاحة أو تدخلات أخرى إلى جانب الاعتقالات ، يمكن للسلطات تحديد الضحايا الذين قد يستفيدون بسهولة أكبر.
فعالية التدخل
قام البحث بتقييم خمس استراتيجيات للتدخل: اعتقال الأفراد المتصلين بشبكات الفدية ، وفرض عقوبات ، وإتاحة الفكريات ، وإنزال مواقع التسرب ، وتجميد أصول العملة المشفرة.
ومن اللافت للنظر ، أن هذه التدخلات تُظهر إزاحة محدودة للجريمة ، مما يشير إلى أن المجرمين غالباً ما لا يتحولون ببساطة إلى طرق مختلفة بعد الاضطراب. هذا يتوافق مع نظرية الاختيار العقلاني ، التي تشير إلى جعل الأنشطة الإجرامية أقل جاذبية يمكن أن تقلل من حدوثها.
وقال ميورز: “تشير البيانات إلى أنه عندما تجعل الأنشطة الإجرامية أقل ربحية أو أكثر خطورة ، فإنك تميل إلى رؤية انخفاض في هذه الأنشطة”. “يبدو أن التدخلات التي درستها تؤثر على عمليات الفدية بثلاث طرق: تقليل الأرباح ، أو زيادة الجهد المطلوب لتنفيذ الهجمات ، أو زيادة خطر الاكتشاف.”
قياس مقياس المشكلة
يوفر البحث بيانات كمية عن حوادث الفدية في هولندا. بالنسبة للشركات الكبيرة ، تقدر المخاطر السنوية المتمثلة في هجوم الفدية بنسبة 1.3 ٪ ، بينما بالنسبة للشركات المتوسطة الحجم ، فإنه حوالي 0.6 ٪. تشير البيانات إلى أنه يتم اكتشاف 40 ٪ فقط من الهجمات على هذه المنظمات.
تشير البيانات إلى أنه عندما تجعل الأنشطة الإجرامية أقل ربحية أو أكثر خطورة ، فإنك تميل إلى رؤية انخفاض في هذه الأنشطة
توم ميورس ، جامعة تونتينت
يختلف التأثير المالي اختلافًا كبيرًا ، حيث يكلف متوسط الهجوم الضحايا حوالي 514000 يورو. الحوادث التي تنطوي على ترشيح البيانات – الابتزاز المزدوج – إظهار تكاليف أعلى بكثير ، بمتوسط 2.1 مليون يورو.
فيما يتعلق بشكل خاص هو الوضع للشركات الصغيرة. تشير أبحاث Meurs إلى أنها ضحية بشكل متكرر أكثر من حيث المطلقة ، ومع ذلك فهي أقل عرضة للإبلاغ عن حوادث للشرطة ، أو إشراك شركات الاستجابة للحوادث ، أو المثول على مواقع التسرب.
قالت ميورس: “غالبًا ما تجد الشركات الصغيرة صعوبة في التعامل مع الشرطة لأنهم يعتقدون ،” أنا شركة صغيرة تعرضت للهجوم ، ماذا ستفعل الشرطة من أجلي؟ ” “غالبًا ما تكون شركات الاستجابة للحوادث باهظة الثمن ، لذلك لا يمكنها تحمل ذلك. ونادراً ما يظهرون على مواقع التسرب لأن المهاجمين يستهدفون في المقام الأول الشركات الأكبر لبناء سمعتهم. ”
تعقيدات النسخ الاحتياطي وتأثيرات التأمين
على الرغم من أن النصيحة القياسية للمنظمات كانت منذ فترة طويلة “تقوم بنسخ احتياطية جيدة ولا تدفع” ، فإن أبحاث Meurs تكشف عن حقائق أكثر تعقيدًا. يستهدف المجرمون الآن أنظمة النسخ الاحتياطي بشكل روتيني أولاً ، مما يجعل استراتيجيات النسخ الاحتياطي التقليدية غير كافية.
“يحاول مجرمو الإنترنت دائمًا حذف النسخ الاحتياطية لأنهم يعرفون ما إذا كانت الشركة تستطيع استرداد مع النسخ الاحتياطيةوقال “إنهم أقل عرضة للدفع”. “لهذا السبب أؤكد أن النسخ الاحتياطية لحادث الإنترنت تختلف اختلافًا أساسيًا عن النسخ الاحتياطية المصممة للحماية من برامج الفدية.”
وجد أبحاثه أن معظم الشركات تدفع الفدية. “فقط حوالي خمسة من أصل 100 منظمة لديها قدرات استرداد النسخ الاحتياطي الوظيفية. وقال ميورز “45 ٪ الأخرى دفعت ، لأنهم حقا ليس لديهم خيار الاسترداد القابل للتطبيق”. هذا الاكتشاف يتحدى فعالية المقترحات ل حظر مدفوعات الفدية.
وقال ميورز: “إذا تم حظر المدفوعات ، فستواجه هذه الشركات إما دفعًا على أي حال وربما تواجه العقوبات ، أو فقدان البنية التحتية بالكامل لتكنولوجيا المعلومات وربما تواجه الإفلاس”. “من منظور التكلفة المجتمعية ، من المحتمل أن يسبب هذا الحظر ضررًا أكثر من النفع.”
يكشف البحث أيضًا عن ذلك التأمين السيبراني، على الرغم من ضروري لإدارة المخاطر ، يخلق حوافز ضارة. ووجدت أن الشركات ذات التأمين السيبراني تدفع فدية 2.7 مرة بشكل متكرر ، وحتى 5.5 مرات أكثر في حالة التخلص من البيانات. قال ميورز إن المجرمين يبحثون غالبًا عن وثائق بوليصة التأمين داخل الشبكات لمعايرة مطالبهم وفقًا لذلك.
مبادرات للشركات الصغيرة
تعمل السلطات الهولندية على معالجة النقطة العمياء المهمة حول إيذاء الأعمال الصغيرة. تركز إحدى المبادرات على تقليل حواجز التقارير من خلال خيارات الإبلاغ عبر الإنترنت.
“تركز الشرطة بشكل متزايد على تدابير مضادة أوسع ، وليس فقط الاعتقالات” ، أشار ميورز. على سبيل المثال ، تعرضت مجموعة من مجموعة Ransomware للخطر بطريقة سمحت باسترداد حوالي 200 مفتاح ، مما يعني أن الضحايا يمكنهم استعادة الوصول إلى ملفاتهم دون الدفع. لكن لا يمكننا سوى توفير مفاتيح للضحايا الذين قدموا تقارير “.
هذا يمثل النهج الهولندي المتمثل في الجمع بين الخبرة الفنية والمساعدة العملية للضحايا – ولكن هذا يعتمد على المضي قدمًا في الضحايا.
يستمر Ransomware في التطور ، مع مراقبة Meurs عدة اتجاهات. نظرًا لأن المزيد من الشركات تعمل على تحسين استراتيجيات النسخ الاحتياطي الخاصة بها ، يركز المجرمون بشكل متزايد على سرقة البيانات على أنها رافعة المالية. بالإضافة إلى ذلك ، فإن مجموعات الفدية الضخمة التي يضم 100 مجرم يعملون معًا بسبب الصراعات الداخلية.
“أتوقع أنه على المدى القصير ، ستحاول العديد من مجموعات Ransomware الطيران تحت الرادار من خلال كونها أصغر” ، كما تنبأ Meurs. “سوف يستهدفون الشركات الكبيرة التي تدفع مبالغ كبيرة ، لكنها ستعمل بشكل أكثر سهولة.”
بالنسبة للمنظمات ، لا يزال فهم البنية التحتية لتكنولوجيا المعلومات حاسمة. “الشركات التي تعاني من مشاكل في كثير من الأحيان لا تعرف البنية التحتية لتكنولوجيا المعلومات بشكل جيد” ، لاحظ ميورز. “ربما قاموا بتغيير مقدمي خدمات تكنولوجيا المعلومات ثلاث مرات وليس لديهم أي فكرة أنه لا يزال هناك خادم في مكان ما في الخارج يعمل على تشغيل برامج عفا عليها الزمن ، والتي غالبًا ما توفر نقاط دخول للمجرمين.”
من خلال الجمع بين الأبحاث المدمجة والذكاء المركزي واستراتيجيات التدخل المتنوعة ، يقدم النهج الهولندي دروسًا قيمة للبلدان الأخرى. مع نضوج هذا النموذج ، يواصل إنفاذ القانون الهولندي تحسين طرق تعطيل النظام الإيكولوجي للفدية.
في حين أن التهديد يتطور بشكل مستمر ، فإن الرسالة من وحدات الجريمة السيبرانية الهولندية واضحة: التقارير الحوادث ، حتى أن القضايا الصغيرة التي تبدو على ما يبدو في صورة الاستخبارات التي تتيح تعطيلًا فعالًا لهذه الشبكات الإجرامية.
