الدفاع الجماعي:

خيارات مواجهة الهجمات السيبرانية ببرامج الفدية

07 December 2022


عرض: هند سمير

برزت الهجمات السيبرانية ببرامج الفدية، التي تمنع الوصول إلى نظام الكمبيوتر حتى يتم دفع مبلغ مالي، كبدعة جديدة قبل سنوات عديدة، إلا أنها بمرور الوقت أصبحت تشكل خطراً متصاعداً على مختلف أنواع المؤسسات، خاصة منذ العام 2018. ومنذ ذلك الوقت، ناقش صانعو السياسات في الولايات المتحدة ضرورة اتخاذ خطوات أساسية نحو تثقيف الجمهور حول هذا النوع من الهجمات، كما أعطت إدارة بايدن الأولوية لتحسين الأمن السيبراني، بما في ذلك العمل مع مجموعة الدول السبع الصناعية وشركاء آخرين لمكافحة الجريمة السيبرانية، لكن هذا النهج لم يثبت فعاليته سواء للعقاب أو الردع.

في هذا الإطار، يهدف تقرير نُشر مؤخراً لمركز الدراسات الدولية والاستراتيجية (CSIS) بعنوان "الخيارات الصعبة للتعامل مع الهجمات الإلكترونية طلباً للفدية" لكلٍ من إميلي هاردينغ وهارشانا غورهو إلى إلقاء الضوء على مختلف جوانب المشكلة وكيفية حلها، خاصة عبر الدفاع الجماعي بين المؤسسات والأفراد. واعتمد التقرير على تجارب الضحايا، والمقابلات مع متخصصين في مجال الأمن السيبراني للتعرف على ملابسات الهجمات الإلكترونية طلباً للفدية، بالإضافة إلى التطبيق على كيانين افتراضيين أحدهما محلي والآخر عالمي. 

سعى التقرير أيضاً إلى الإجابة عن تساؤلات من قبيل، بمن يتم الاتصال في حالة وقوع الهجوم؟ ما موقف الاحتفاظ بنسخ احتياطية من بيانات المؤسسة وعملائها؟ ما إمكانية التعاقد مع شركات متخصصة للتحقيق في هذا النوع من الحوادث؟ ما استراتيجية التواصل التي تتبناها المؤسسة في حالة وقوع هجوم سيبراني طلبا للفدية؟ ما مدى جدوى اللجوء للسلطات الاتحادية؟ هل يتم دفع الفدية أم يتم رفض الدفع ومحاولة حل المشكلة؟

تطور هجمات الفدية:

تعد الأرقام الأولية للهجمات السيبرانية ودفعات الفدية صادمة، فعلى الرغم من صعوبة العثور على بيانات دقيقة في هذا المجال، نظراً لعدم اتساق التقارير، إلا أن المعدلات والاتجاهات الرئيسية توضِّح أن80% من مؤسسات البنية التحتية الحيوية في الولايات المتحدة تعرضت لهجوم سيبراني طلباً للفدية في عام 2021، وفقاً لدراسة استقصائية، كما قدَّرت إحدى شركات الأمن السيبراني أن هناك 623 مليون محاولة هجوم سيبراني طلباً للفدية في جميع أنحاء العالم في عام 2021، بما يعادل 20 هجوماً كل ثانية، كما أبلغت المؤسسات المالية عن 590 مليون دولار من مدفوعات برامج الفدية خلال النصف الأول فقط من عام 2021، بزيادة قدرها 42% مقارنةً بعام 2020.

ولا يتوقف الأمر عند التكلفة المالية المباشرة، بل ثمة تكلفة إضافية محتملة يجب وضعها في الاعتبار، مثل تسرب بيانات العملاء، إذ يخشى الضحايا من تسرب البيانات أكثر من تكلفة الفدية نفسها، وهي ثغرة أمنية تستغلها مجموعات الهجمات السيبرانية، وقد وجد تقرير لتقييم تهديد برامج الفدية أن البيانات المالية للعملاء التي سُرقت أثناء هجوم سيبراني طلباً للفدية تم تسريبها في 63% من الهجمات، تليها بيانات المرضى بنسبة 48%.

وسواء دفعت المؤسسة الفدية أم لا، فإن التعافي لا يزال مكلفاً، ففي عام 2020، تعرضت 560 منشأة رعاية صحية لهجمات برمجيات الفدية في الولايات المتحدة، مما تسبب في تأخير رعاية المرضى وكلفت المنشآت الضحية ملايين الدولارات في التعافي. بالمثل، ففي عام 2019، رفضت مدينة بالتيمور دفع طلب فدية لوقف هجوم أدى إلى إيقاف خدماتها الحيوية، وبدلاً من ذلك أنفقت 18 مليون دولار لإعادة بناء الخدمات واستعادتها.

دروس التجارب:

من خلال استعراض التجارب السابقة في التعامل مع الهجمات الإلكترونية طلباً للفدية والتطبيق على كيانين افتراضيين عكس كل منهما سيناريو مختلف للتعامل مع الهجوم المحتمل، توصل التقرير لمجموعة من النتائج، كان أبرزها:

1) الاستعداد يصنع فارقاً، حيث تعد المرحلة الأكثر أهمية في الهجمات السيبرانية طلباً للفدية هي قبل حدوث الهجوم، ومع انتشار هذا النوع من الهجمات على نطاق واسع، يجب على المؤسسات أن تفترض أن الهجوم قادم وتستعد له، وتنقسم هذه الاستعدادات إلى مجموعتين، هما: الدفاع المنطقي والتخطيط للطوارئ، ويمكن أن يتم الدفاع المنطقي بخطوات بسيطة، مثل المصادقة متعددة العوامل وإنشاء نسخ احتياطية آمنة في وضع عدم الاتصال. أما التخطيط للطوارئ، فهو النصف الثاني من الاستعداد، فالشركات التي أعدت دليل التشغيل، وكتبته بالتفصيل، ومارست قواعد اللعبة كانت أيضاً أفضل استعداداً للرد بسرعة وفعالية في المراحل الأولى من الهجوم.

2) أسواق التأمين أصبحت أكثر تعقيداً، إذ أصبح مقدمو خدمات التأمين أكثر دراية بالمخاطر السيبرانية، وأصبح التقدم متفاوتاً، حيث تعمل قوى السوق المحيطة بالتأمين الإلكتروني على خفض المدفوعات وتعزيز الدفاع الإلكتروني للعملاء ببطء.

3) إنفاذ القانون مفيد جزئياً أثناء الهجوم لكنه ضروري للدفاع المشترك، يشير التقرير إلى أن هناك إجماعاً عاماً بين الأشخاص الذين تمت مقابلتهم وفي استجابات الضحايا على أن الاتصال بمكتب التحقيقات الفيدرالي نادراً ما يؤدي إلى فوائد ملموسة أثناء الأزمة. ويتمثل الدور الرئيسي لهذا المكتب في بناء أدلة لاتخاذ إجراءات قانونية ضد المجرمين المتهمين، وليس تقديم المساعدة في التعافي من السلوك الإجرامي.

مقترحات أساسية:

طرح التقرير جملة من المقترحات لبناء ردع فعال ودفاع جماعي في مواجهة الهجمات السيبرانية ببرامج الفدية، من أبرزها ما يلي:

1) تشجيع عدم دفع الفدية، والإبلاغ عن الهجمات، ودعم الضحايا، فمن المفهوم أن يأمل الضحايا في تقليل الضرر عن طريق دفع فدية، لكن هذه المدفوعات تغذي هجمات إضافية، ويجب على صانعي السياسات في الولايات المتحدة تنفيذ التشريعات التي تم سنها مؤخراً والتي تتطلب من مالكي ومشغلي البنية التحتية الحيوية الإبلاغ عن الحوادث الإلكترونية ومدفوعات برامج الفدية إلى وكالة الأمن السيبراني CISA، وتقييم نجاحها بعد مرور عام واحد، ثم تعديل التشريع لإصلاح أي عيوب مكتشفة، كما ينبغي عليهم بعد ذلك توسيع هذا القانون ليشمل جميع المؤسسات الضحية.

على جانب آخر، من الأهمية أن يعمل صانعو السياسات على الحد من دفع الفدية، ويجب على الكونجرس النظر في فرض عقوبة قدرها 10% من قيمة الفدية، على مراحل لمنح الشركات الوقت الكافي للتكيف، بحيث تذهب الإيرادات من أي عقوبة من هذا القبيل لتمويل برامج دعم وتعليم الأمن السيبراني. كذلك من الأهمية إنشاء شبكة أمان ترعاها الحكومة للشركات الصغيرة والمنظمات غير الربحية والمرافق العامة والمدارس والهيئات الحكومية المحلية التي تعاني هجوماً كارثياً، بحيث لا تحصل المؤسسات التي تدفع الفدية على مساعدة.

2) زيادة الضغط المجتمعي من أجل الالتزام بقواعد الأمن السيبراني: فإدراكاً لمركزية الأمن السيبراني في الممارسات التجارية الجيدة، يجب على المنظمات مثل مكتب تطوير الأعمال (BBB) والجمعيات الصناعية الأمريكية أن تثني علناً على الشركات التي تعمل على تحسين ممارساتها السيبرانية، ما قد يكون له دور في تسريع التحول الثقافي نحو الدفاع الجماعي، حيث تدرك الكيانات الضرر الذي تسببه للآخرين من خلال دفع الفدية والدعم الذي تقدمه لتحسين الممارسات الأمنية.

3) المزايا الضريبية مقابل مشاركة المعلومات: إن الإعفاءات الضريبية لمشاركة المعلومات التفصيلية حول هجوم برامج الفدية يمكن أن تحفز الشركات على تمرير المزيد من المعلومات إلى مكتب التحقيقات الفيدرالي أو وكالة الأمن السيبراني.

4) تبادل المعلومات على نطاق واسع والتعاون مع مركز تبادل المعلومات وتحليلها (ISAC)، فنظراً لأن الفاعلين في مجال الهجمات الإلكترونية طلباً للفدية يستخدمون TTPs (امتداد لبروتوكول نقل النص التشعبي) مماثلة لاستهداف مؤسسات متعددة، يجب توسيع مشاركة معلومات التهديد عبر قطاعات الصناعة، فإذا اكتشفت إحدى المؤسسات هجوماً من برامج الفدية مبكراً، فيمكنها تنبيه المؤسسات الأخرى بشكل استباقي من خلال مشاركة مؤشرات الهجوم لمنع الانتشار.

5) تعزيز دور مراكز تبادل المعلومات وتحليلها، وهي منظمات مهمة لتبادل المعلومات بشكلٍ آمن بين الشركات من القطاع نفسه، لكن المشاركة الفعَّالة للمعلومات تتطلب استثماراً مستداماً للوقت والأشخاص والمال؛ لذا يجب على المؤسسات الاستثمار في هذه المنظمات، ويجب على تلك المراكز زيادة مشاركة المعلومات حول أبرز التغييرات في شكل هذا التهديد ومساعدة الشركات على تنفيذ أفضل الممارسات، علاوة على ذلك، يجب على مراكز تبادل المعلومات التخلي عن السرية وتسهيل مشاركة مؤشرات الاختراق عبر القطاعات.

6) إدارة التوقعات وعلاج الضحايا كشركاء: حيث تحتاج حكومة الولايات المتحدة إلى الإعلان بشكلٍ أفضل عن المساعدة التي يمكن أن تقدمها للضحايا والظروف التي يمكن فيها تقديم المساعدة، مع الذكر بوضوح أثناء التعامل مع الضحايا أن مكتب التحقيقات الفيدرالي يحقق في حين أن وكالة الأمن السيبراني يمكن أن تقدم مساعدة محدودة، كما يجب أن يلتزم مكتب التحقيقات الفيدرالي ووزارة العدل باتخاذ إجراءات أكثر صرامة بشأن برامج الفدية، وتعهدهما بفتح القضايا بشكلٍ أسرع، ويجب على الحكومة إدارة توقعات الضحايا حول قدرة مكتب التحقيقات الفيدرالي على المتابعة. 

7) الإعلان عن الأطر الحالية لمعايير الأمن: تتطلع المؤسسات إلى هيئات مستقلة ذات مصداقية للحصول على التوجيه بشأن الشكل الجيد للأمن السيبراني، وقد أنشأ المعهد القومي للمعايير والتكنولوجيا (NIST) إطار عمل للأمن السيبراني في عام 2014، وقد حدد معهد الأمن والتكنولوجيا (IST) أعلى عناصر التحكم التي تحمي من الهجمات الإلكترونية طلباً للفدية، ولكن يجب على مكتب التحقيقات الفيدرالي ووكالة الأمن السيبراني الإعلان عن هذه المعايير للأعمال التجارية وحكومات الولايات والحكومات المحلية وشركات التأمين.

8) إعداد المؤسسات دليل تشغيل أثناء الأزمة، يجب أن يكون لدى جميع المؤسسات دليل التشغيل للاستجابة في الساعات والأيام والأسابيع الأولى من الهجمات السيبرانية، كما يجب أن يشتمل هذا الدليل على الأقل على: (1) قائمة الأصول ذات الأولوية، حيث يجب أن تعرف الكيانات المعدات التي تلامس شبكتها، وأين يتم تخزين البيانات الحساسة، والأنظمة الأكثر أهمية في التعافي السريع، وتحديد أقصى مدة يمكن أن تكون فيها هذه الأنظمة غير متصلة بالإنترنت قبل أن تتعرض العمليات لتأثيرات كبيرة، و(2) الفريق المناسب، فيجب أن تعرف الكيانات - وتتدرب - كيف يمكن للفرق اتخاذ قرارات سريعة ومن يمكنه العمل كنقطة اتصال احتياطية عند الحاجة ومن هو في فريق الاستجابة، و(3) مستندات التأمين، فإذا كان لدى المؤسسة تأمين، فيجب أن يكون هناك إصدار غير متصل بالإنترنت من بوليصة التأمين، ويفضل أن يكون مدرجاً في دليل التشغيل، و(4) تفاصيل حول كيفية الوصول إلى المسؤولين الحكوميين المحليين والاتحاديين، فمكتب التحقيقات الفيدرالي، ووكالة الأمن السيبراني وأمن البنية التحتية، والخدمة السرية يجب أن تكون على قائمة الاتصال، جنباً إلى جنب مع الطوارئ على مستوى الولاية أو مراكز الاستجابة للحوادث، إذا كانت متوفرة.

9) التعرف على جهات الاتصال الحكومية، بينما يجب أن تتضمن خطط الاستجابة للحوادث تفاصيل حول كيفية الوصول إلى جهات الاتصال الحكومية، فإن الكارثة يمكن أن تتمثل في الوقت الخطأ لأول مكالمة هاتفية، وقد قدَّم كل من مكتب التحقيقات الفيدرالي (FBI) ووكالة الأمن السيبراني تعهدات علنية في السنوات الأخيرة للتعامل مع المؤسسات عبر الاتصالات اللاسلكية.

10) وضع استراتيجية للتواصل، إذ يجب على المؤسسات أن تقرر مسبقاً ما إذا كانت السياسة الافتراضية التي ستتبعها تعتمد على الشفافية الكاملة أم تعتمد على درجة معينة من السرية، وعند التدريب على دليل التشغيل أثناء الأزمة، كما يجب مراعاة الاتصالات مع الجمهور والمساهمين وأي هيئات تنظيمية أو غيرها من الهيئات الرقابية. 

المصدر:

Emily Harding and Harshana Ghoorhoo, Hard Choices in a Ransomware Attack, The Center for Strategic and International Studies (CSIS), SEPTEMBER 2022.