ملخص: يمر عالم الأمن السيبراني بحقبة غير مسبوقة شهدت ارتفاع معدلات هجمات برامج الفدية الخبيثة بنسبة 150% خلال عام 2020، وتزايدت على نحو أسرع في عام 2021. ويقول معظم لجان التدقيق والإدارة العليا المنوط بها اتخاذ القرارات الفاصلة بشأن الهجمات الإلكترونية إنهم لم يتخيلوا أنهم سيناقشون يوماً إمكانية دفع الفدية للمخترقين (الهكرز) الذين يهاجمون المواقع الإلكترونية للشركات ومقدار هذه الفدية الواجب دفعها. وتستطيع شركتك تقليل المخاطر والاستعداد على نحو أفضل لأي سيناريوهات غير متصوَّرة، وذلك بالاستعداد الجيد، والحفاظ على سلامة الأمن السيبراني، ووضع خطط مسبقة.
زادت الهجمات الإلكترونية على نحو كبير خلال العام الماضي في ظل تطبيق سياسة العمل عن بُعد. فقد شهدنا وقوع المزيد من الهجمات بكل أنواعها، لكن العنوان الرئيسي لعام 2020 كان هجمات الفدية التي ارتفعت بنسبة 150% مقارنة بالعام السابق له. وارتفعت المبالغ التي دفعها ضحايا هذه الهجمات أكثر من 300% في عام 2020.
وشهد عام 2021 زيادة ملحوظة في هذا النشاط، مع وقوع هجمات عنيفة تطالب بالفدية وموجهة ضد البنية التحتية الحيوية والشركات الخاصة والبلديات، حتى باتت تتصدر عناوين الأخبار يومياً. كما ارتفعت مبالغ الفدية المطلوب دفعها كثيراً هذا العام، حتى إن بعض طلبات الفدية وصل إلى عشرات الملايين من الدولارات. وغدت الهجمات أكثر تعقيداً في ظل تهديد مصادر بالاستيلاء على بيانات الشركة الحساسة واحتجازها رهينة مقابل دفع الفدية.
من يقف وراء تزايد الهجمات في الآونة الأخيرة؟ وكيف يجب أن تستجيب الشركات لهذه المخاطر المتزايدة؟ سأوضح في هذه المقالة كيف تطورت هجمات برامج الفدية الخبيثة والإجراءات التي يمكن اتخاذها من قِبَل الشركات الآن لحماية نفسها.
كيف تغيرت هجمات برامج الفدية الخبيثة؟
قبل بضع سنوات فقط، كانت غالبية هجمات الفدية تنطوي على نشر برامج الفدية الخبيثة. وكان المخترقون يصلون إلى البيانات الحساسة من خلال إرسال بريد إلكتروني احتيالي ينشر البرمجيات الضارة عند نقر الموظف على الرابط المرفق دون قصد. وعندئذٍ تقوم البرمجيات الضارة بتشفير خوادم الشركة، ثم يعرض المبتز تقديم مفاتيح فك التشفير مقابل الحصول على فدية لم تكن تتجاوز عادةً بضع عشرات أو مئات الآلاف من الدولارات.
ولم يكن ممثلو التهديد يستطيعون الوصول في كثير من الأحيان إلى معلومات الشركة، وفي بعض الأحيان لم يكونوا يعرفون الشركة التي ستكون الهدف النهائي من الأساس. وكانوا يكتفون بالبحث عن أنظمة يستطيعون استغلالها وينتظرون يوم الدفع. وبمجرد تلقّيهم الفدية بعملة "بيتكوين" أو غيرها من العملات المشفرة، يرسل المخترقون (الهكرز) مفاتيح فك التشفير للوصول إلى الخوادم، بل كانوا يتعهدون بعدم استهداف الشركة مرة أخرى.
لكن قواعد اللعبة تغيرت مؤخراً، وتحولت برامج الفدية إلى نشاط تجاري ضخم لأولئك الذين يرتكبون هذه الجرائم. وقد أجرت شركة "هيسكوكس إل تي دي" (Hiscox, Ltd)، استقصاءً شمل أكثر من 6,000 شركة، وتوصلت من خلاله إلى أن 43% من هذه الشركات قد تعرضت لهجوم إلكتروني خلال عام 2020، بزيادة تبلغ 38% مقارنة بالعام السابق له، وكان واحدٌ من كل 6 هجمات يهدف إلى الحصول على فدية. وفي عام 2020، ارتفعت مبالغ الفدية المطلوبة إلى ملايين الدولارات، وفي نهاية عام 2020 وحتى عام 2021، شهدنا وصول بعض طلبات الفدية إلى عشرات الملايين من الدولارات.
وبالإضافة إلى ارتفاع مبالغ الفدية المطلوب دفعها، فقد تغيرت المنهجية المتبعة من قِبَل المخترقين (الهكرز). إذ أصبحت الهجمات تركز على سرقة معلومات الشركة، وكلما كانت المعلومات أكثر حساسية، كان ذلك أفضل للمخترقين. ويجري هؤلاء المخترقون أبحاثاً دقيقة، علماً بأنهم يشكّلون في الغالب منظمات إجرامية شديدة التنظيم في أوروبا الشرقية وغيرها من الأماكن. حيث يواصلون إجراء الأبحاث اللازمة حتى يفهموا الصورة المالية للشركة والقطاع الذي تعمل فيه وكيفية استغلال الشركة المستهدفة إلى أقصى حدٍّ ممكن. وبالإضافة إلى نشر البرمجيات الضارة لتشفير أنظمة الشركة التي تستهدف أيضاً أنظمة النسخ الاحتياطي الموجودة، تستطلع مصادر التهديد ملفات الشركة إلى أن تتمكن في نهاية المطاف من سرقة أكبر كمٍّ ممكن من البيانات تقدر كميتها بالتيرابايت في كثير من الحالات.
ثم يرسل مصدر التهديد إنذاراً "بالدفع وإلا"، حيث يتصل بالشركة لابتزازها، ويطلب منها الدفع بعملة مشفرة ومن ثم الحصول على مفاتيح فك التشفير والحفاظ على خصوصية بيانات الشركة. ويتم تحذير الشركة بأنها إذا قررت عدم الدفع، فسيتم نشر معلوماتها الحساسة على الشبكة المظلمة على "جدار العار" إلى جانب غيرها من الشركات التي تم اختراقها ولم تدفع الفدية المقررة. وبمقدور الصحفيين الذين يراقبون الشبكة المظلمة التقاط هذه المعلومات ونشر أنباء الهجوم على نطاق أوسع، ما يتسبب أحياناً في تلويث سمعة الشركة أو الكشف عن أسرار الملكية الفكرية أو غيرها من المعلومات السرية القيمة، بما في ذلك بيانات العملاء والموظفين.
وهكذا تجد الشركة نفسها بين المطرقة والسندان، فإما أن تدفع ملايين الدولارات فديةً لعصابة من المجرمين أو يتم فضح معلوماتها السرية ذات الطبيعة الحساسة والقيمة.
ويبدو أن اللصوص في هذه المنظومة الإجرامية ليسوا مجردين من كل "معاني الشرف". إذ يعتمد هؤلاء المبتزون على ثقة الشركات بأنها إذا دفعت الفدية المطلوبة، فسيتم إتلاف جميع نسخ الملفات المسروقة وتوفير مفاتيح فك التشفير. ويفي المهاجمون بوعودهم. في الواقع، تحرص بعض هذه المنظمات على خدمة عملائها والسهر على راحتهم، فهي تقبل، على سبيل المثال، دفع الفدية بالعملة المشفرة المفضلة للجهة التي تبتزها (مع زيادة نسبة مئوية صغيرة نظير قبولها الدفع بهذه العملة). وقد رأينا أيضاً أحد المخترقين "يسلّم" الشركة التي هاجمها مفاتيح فك التشفير كبادرة حسن نية، على الرغم من أن الشركة قد تفاوضت بالفعل على تخفيض مبلغ الفدية استناداً إلى فكرة أنها ليست بحاجة إلى المفاتيح.
ما الذي على الشركة فعله إذا تعرضت للهجوم؟
في حال تعرّض الشركة لأحد برامج الفدية الخبيثة أو غيره من أشكال الابتزاز الإلكتروني، يجب عليها اتباع خطة الطوارئ المعدّة سلفاً للتعامل مع الحوادث، لا سيما إخطار الإدارة العليا وقسم الشؤون القانونية. كما أن الاستعانة بمحامٍ منذ البداية سيضمن حماية التحقيق عملاً بمبدأ سرية المعلومات بين المحامي وموكله ومبدأ الحفاظ على سرية عمل المحامي، ما يقلل من مخاطر التعرض لأي دعاوى جماعية أو دعاوى قانونية أخرى قد يتم رفعها في أعقاب انتهاك سرية البيانات.
يجب أيضاً إخطار شركة التأمين التي تتعامل معها الشركة المعرضة للابتزاز في البداية حتى تتمكن من تحديد ما إذا كانت هناك تغطية تأمينية بموجب وثيقة التأمين الإلكتروني الموقعة معها. ويجب أن تصدر شركة التأمين موافقة مسبقة على عرض دفع الفدية قبل أي اتصال بمصدر التهديد.
تجدر الإشارة هنا إلى أن قرار دفع الفدية يقع في كثير من الأحيان على عاتق الإدارة العليا ومجلس الإدارة. ويجب تقييم كل حادث تتعرض فيه الشركة لأحد برامج الفدية الخبيثة أو لأي من أشكال الابتزاز الإلكتروني الأخرى بصورة فردية لتحديد إمكانية دفع الفدية المطلوبة من عدمه. واحرص كل الحرص على مراعاة الحقيقة التالية: غالباً ما تضيّع الشركات وقتاً ثميناً حينما يتعهد صنّاع القرار غير الملمين بمخاطر هجمات الفدية منذ اليوم الأول بأن الشركة لن تدفع أبداً "وتحت أي ظرف" أي فدية، لكنهم بعد ذلك يقبلون بالأمر الواقع، ويبحثون إمكانية توفير التغطية التأمينية والحاجة إلى حماية أصحاب المصلحة، ثم يتخذون قرارهم النهائي بالدفع. بالإضافة إلى ذلك، حافظ على هدوئك وعلى كسب الوقت. إذ يحاول المخترقون إرغامك على الإحساس بالعجلة والذعر لتنفيذ مطالبهم بأسرع ما يمكن. وحينما تنجح في إبطاء سير الأمور ستتمكن من اتخاذ القرارات الصحيحة لمؤسستك. وتتضمن قائمة الأسئلة التي يجب مراعاتها عند اتخاذ قرار حول دفع الفدية كلاً مما يلي:
- ما مدى حساسية المعلومات التي تم الوصول إليها أو سرقتها؟
- هل لدى الشركة نسخ احتياطية للمعلومات أو تحتاج إلى مفاتيح فك التشفير؟
- هل تشكل تداعيات رفض دفع الفدية مخاطر ملموسة، مثل زعزعة الأعمال التجارية للشركة، أو التأثير على أنظمتها أو عملائها، أو الدعاية السلبية أو تلويث السمعة، وهل تتجاوز هذه المخاطر مبلغ الفدية المطلوب؟
- هل يرتبط مصدر التهديد بشركة مدرجة على قائمة الكيانات الخاضعة للعقوبات الصادرة عن "مكتب مراقبة الأصول الأجنبية" التابع لوزارة "الخزانة" الأميركية؟ (إذا كان الأمر كذلك، فقد يكون دفع الفدية إجراءً غير قانوني بموجب قانون الولايات المتحدة).
وتلعب خطورة الحادث وغيره من العوامل المشابهة دوراً ملموساً في إقدام معظم الشركات على رفع تقرير إلكتروني عبر الإنترنت إلى مكتب "التحقيقات الفيدرالي" يوضح مؤشرات الاختراق (IOCs) الدالة على الجهات المتورطة في الهجوم لمساعدة سلطات إنفاذ القانون في تتبّع مصادر التهديد هذه على أمل مثولها يوماً ما أمام العدالة. وتعتبر لوائح الاتهام في هذا المجال شبه معدومة حتى الآن، حيث تُوكَل إلى الشركات الأميركية مهمة إحباط هذه الهجمات بمفردها، على الرغم من إبداء النوايا الحسنة من جانب سلطات إنفاذ القانون.
كيف يمكن للشركات تقليل المخاطر؟
هناك عدد من الخطوات التي يمكن للشركات اتخاذها لتقليل مخاطر التعرض لهجمات الفدية، فضلاً عن مخاطر حدوث ضرر في حالة تعرضها لأي من هذه الهجمات. وتشمل هذه الخطوات:
1- راجع خطة الاستجابة للحوادث المعتمدة في شركتك للتأكد من وضوح الطرف المسؤول عن اتخاذ الإجراءات الضرورية في حالة وقوع هجوم.
2- راجع وثيقة التأمين الإلكتروني لشركتك وتأكد من تغطيتها لمبلغ الفدية وأن مستوى التغطية يعكس الواقع الحالي.
3- تأكد من إتاحة المصادقة متعددة العوامل على جميع حسابات الشركة، بما في ذلك حسابات الخدمة وحسابات وسائل التواصل الاجتماعي، ومن وجود برامج قوية لفرز البريد العشوائي (سبام).
4- احرص على إنشاء قناة للتواصل عبر أحد تطبيقات الرسائل النصية الآمنة حتى تتمكن الإدارة العليا من التواصل في حال حدوث هجوم إلكتروني يؤدي إلى تعطيل أنظمة البريد الإلكتروني للشركة.
5- درّب موظفيك على تحديد رسائل البريد الإلكتروني الاحتيالية ووعّهم بأساليب عمل مصادر التهديد التي تسعى إلى خداعهم من خلال حثهم على النقر على الروابط.
6- حدد الموظفين المعرضين لمخاطر عالية، مثل أولئك الذين يحق لهم إدارة الأنظمة والذين قد يسهّلون تنفيذ هجوم داخلي.
7- احرص على تقييم الحاجة إلى المطاردة الوقائية لمصادر التهديد من قبل شركة طب شرعي ذات سمعة طيبة يعمل فيها مستشار يحق له الحصول على ميزة سرية المعلومات بين المحامي وموكله. وقد تعامل الكثير من الشركات، على سبيل المثال، مع مسألة الانتقال إلى بيئة العمل من المنزل باعتباره "حدثاً يمس أمن البيانات" ويستدعي مطاردة مصادر تهديد النظام.
8- احرص على تقييم برامج وبروتوكولات الأمن السيبراني للمورِّدين الرئيسيين، لا سيما أي كيان يتعامل مع بيانات الشركة الحساسة أو المهمة.
9- اختبر أنظمة النسخ الاحتياطي بانتظام وتأكد من فصلها عن أنظمة الشركة الأخرى.
يمر عالم الأمن السيبراني بحقبة غير مسبوقة في تاريخه بسبب هجمات برامج الفدية الخبيثة. ويقول معظم لجان التدقيق والإدارة العليا المنوط بها اتخاذ القرارات الفاصلة بشأن الهجمات الإلكترونية المطالبة بالفدية إنهم لم يتخيلوا أنهم سيناقشون يوماً إمكانية دفع الفدية للمخترقين (الهكرز) الذين يهاجمون المواقع الإلكترونية للشركات ومقدار هذه الفدية الواجب دفعها. وتستطيع شركتك تقليل المخاطر والاستعداد على نحو أفضل لأي سيناريوهات غير متصوَّرة، وذلك بالاستعداد الجيد، والحفاظ على سلامة الأمن السيبراني، ووضع خطط مسبقة.