تشهد هجمات فيروسات الفدية ازدهاراً كبيراً: ففي الولايات المتحدة وحدها، ارتفعت نسبة هذا النوع من الاعتداءات السيبرانية 200 في المائة بين عامي 2019 و2021. ومع أن فيروسات الفدية تحولت إلى تهديدٍ جدي، يتفاجأ الكثيرون من أصحاب الشركات عندما يقعون ضحية.
- فيروس الفدية
فيروس الفدية هو برنامج إلكتروني خبيث يستخدم التشفير لمنع الوصول إلى البيانات على الآلة التي استهدفها ولشل الأنظمة الكومبيوترية بشكلٍ تام. بعدها، يعمد مرتكبو الاعتداء إلى طلب مبالغ مالية لفك تشفير الملفات وتسهيل استئناف الوصول إلى الأنظمة المعتدى عليها. يعود هذا التكتيك إلى الثمانينات ولكنه تحول إلى تهديدٍ بارز للأعمال بعد عام 2010 مع تصاعد نشاط العملات الرقمية، وسيلة الدفع المفضلة للمجرمين.
يحاط هذا التهديد بالكثير من الشكوك، ما يصعب عملية التخطيط للاستجابة. تسعى الشركات عامة لإيجاد الطريقة الأسرع للخروج من المأزق، ما يعني غالباً الرضوخ لدفع الفدية، حتى ولو كان العبء المالي كبيراً والنتيجة غير مضمونة. وقد وجدت دراسة حديثة شملت 30 شركة أن 64 في المائة منها وقعت ضحية اعتداء بفيروس الفدية خلال العام الفائت، وأن 83 في المائة من هذه الشركات دفعت الفدية المطلوبة. وتبين أيضاً أن 8 في المائة من الشركات التي سددت الفدية تمكنت من استعادة كل بياناتها، مقابل 63 في المائة استعادت نصف بياناتها فقط.
تتلقى بعض الشركات طلباً لتسديد فدية ثانية (وربما أكثر حتى) رغم تسديد الأولى في الوقت المحدد، ولكن السيناريو الأسوأ هو عندما تدفع الضحية ولا تحصل على مفتاح فك التشفير أو لا تسير الأمور حسب الاتفاق.
بدورها، تتحمل الشركات التي تتخذ قراراً بعدم الدفع، التكلفة على مستوى توقف الأعمال وخسارة العائدات. أما الشركات التي تباغتها هذه الاعتداءات وهي غير مجهزة بنظام دعم متين أو بخطة استجابة، فتعاني أكثر من الجميع – ليس فقط على الصعيد المالي، بل على مستوى سمعتها التجارية أيضاً.
إذا تعرضت شركتكم لاعتداء بفيروس فدية، فيجب أن تكون خطوتكم الأولى تبليغ جهات إنفاذ القانون والسلطات المعنية بحماية أمن البيانات، إن وُجدت. ولكن الخيار المفتوح أمامكم بعدها يعتمد على درجة جهوزية المؤسسة للتعامل مع اعتداءات من هذا النوع.
- خطوات ضرورية
وتساعد دراسة الإجابات عن ستة أسئلة توضيحية قبل حصول أي اعتداء في تحفيز صاحب الشركة أو الموظف المسؤول على القيام ببعض الخطوات الضرورية التي قد تساهم في سحب فتيل التهديد أو السماح للشركة بالاستجابة بشكلٍ أفضل والتعافي بوقتٍ أسرع عند حصول الاعتداء.
وإليكم 6 خطوات أعدها فيليب ليو، أويكو إيشيك، فابيان مولي، باحثون أميركيون في التقنية ونشرت في مجلة «تيك ريفيو» – معهد ماساتشوستس للتقنية.
1. هل أنتم جاهزون على الصعيد التقني؟ عندما هاجمت عصابة فيروس الفدية «ريفيل» شركة البرمجيات «كاسييا» في يوليو (تموز) 2021 احتاج القراصنة إلى ساعتين فقط لاستغلال نقاط الضعف الموجودة في خوادم الشركة وتثبيت فيروسهم في مئات آلاف الأجهزة المنظمة العاملة معها، في مدة زمنية أقصر بكثير من الوقت الذي قد تحتاجه معظم أنظمة شبكات الدفاع للتصدي. لهذا السبب، يجب تبني عقلية «افتراض الخرق» التي تتطلب مقاربة «صفر ثقة» بالأنظمة وتضع في أولوياتها عمليات الرصد والتعافي، ما يتيح للشركات التفكير بشكلٍ استباقي والتركيز على الاستجابة بقدر الوقاية.
إن امتلاك دعمٍ نظيف ومحدث، بالإضافة إلى القدرة على حمايته من التشفير بفيروسات الفدية، يضمن للشركات والمنظمات تقدمها الاستراتيجي الأول. وإلا أن هذه القدرة لا تزال ضعيفة لدى الكثير من الشركات، إذ تظهر الأرقام أن 58 في المائة من الدعم أو النسخ الاحتياطية تفشل خلال محاولات التعافي. من الضروري جداً أن تعمد الشركات بانتظام إلى اختبار قدرتها على التعافي كي لا تصطدم بمفاجآت غير سارة عند حصول أي أزمة، ويجب أن تكون على حذر من أن عصابات فيروسات الفدية تحاول تحديد موقع النسخ الاحتياطية وتشفيرها أيضاً. لهذا السبب، يُفضل الاحتفاظ بالنسخ الاحتياطية بعيداً عن موقع البيانات الأصلية وفي مكان غير متصل بالشبكة لتقليل احتمال الوصول إليها قدر الإمكان.
> القرار: إذا كنتم تملكون دعماً (نسخة احتياطية) نظيفة ومحدثة وقدرة أكيدة على التعافي، لا حاجة لدفع الفدية لأن المجرمين ليسوا في موقع القوة.
2. هل تملكون معلومات استخبارية عن التهديد؟ تطورت فيروسات الفدية وتشعبت إلى أنواعٍ لا تعد ولا تحصى منذ نشأتها، وكذلك فعلت الأنظمة الدفاعية المضادة. يعمد الباحثون الذين يفككون سلاسل فيروسات الفدية اليوم إلى نشر مصادر إلكترونية مفتوحة تحتوي على مفاتيح كثيرة لفك التشفير. عند تقييم خياراتها بعد الهجوم، يتوجب على الشركات والمنظمات التحقق من مصادرها – ومراجعة جهات إنفاذ القانون الفيدرالية – لمعرفة ما إذا كان الحل لمشكلتها موجودا، بالإضافة إلى مراجعة تقارير الاستخبارات حول التهديد التي تقدمها منظمات الأمن السيبراني البحثية والتجار العاملين في هذا المجال للحصول على أي معلومات قد تكون متوفرة عن الكيان الجرمي الذي يستهدفها.
ينطوي تحديد وفهم الطرف الذي تتعاملون معه على أهمية كبيرة في ظل طفرة عناصر التهديد. فمنذ تطور فيروس الفدية وتحوله إلى «خدمة»، بات بإمكان أي كان الانخراط في هذا المجال من خلال الارتباط بعصابة متخصصة. تعتمد بعض هذه العصابات على مبدأ الانتقائية، بينما تتقبل أخرى فكرة ضم أي طرف جاهز لدفع مبلغ مالي كبير أو تسديد اشتراكٍ شهري. يستطيع هؤلاء الأعضاء أو الأطراف التابعون للعصابات شن اعتداءات باستخدام اسم العصابة والحصول على نسبة من الفدية المدفوعة. ولكن كثيرين من العاملين في هذا المجال يهتمون أكثر بنشر الفوضى والمشاكل ولا يكلفون أنفسهم عناء إرسال مفتاح فك التشفير بعد تسديد الفدية. لهذا السبب، يجب أن تحددوا العصابة التي اعتدت عليكم وتعرفوا ما إذا كانت من النوع الذي يرسل مفاتيح فك التشفير عادة بعد تسديد الفدية لاتخاذ القرار النهائي الصحيح.
> القرار: إذا كنتم قادرين على الحصول على مفاتيح فك التشفير، فسوف يتم النجاح غالباً في استعادة البيانات دون تسديد الفدية؛ أما في حال كنتم تملكون فقط معلومات استخبارية عن المرتكبين، فسوف تتمكنون من معرفة ما إذا كان تسديد الفدية سيؤتي ثماره أم لا.
تأمين إلكتروني
3. هل تملكون تأميناً سيبرانياً، وهل يغطي فعلاً هذا النوع من الاعتداءات؟ بدأت بعض شركات التأمين بتوفير تغطية للتهديدات السيبرانية في بداية الألفية، وأخذت السوق في التطور منذ ذلك الحين. وساهم بروز فيروسات الفدية كتهديد جدي برفع قيمة عروض التغطية حتى أصبحت اعتداءات فيروسات الفدية اليوم تسيطر على 75 في المائة من طلبات التأمين السيبراني.
> القرار: إذا كان التأمين السيبراني يغطي اعتداءات الفدية، فتعتبر فكرة تسديد الفدية منطقية خصوصاً إذا كانت لا توجد وسيلة أخرى لاستعادة البيانات.
4. ما هو مستوى الانكشاف المالي؟ يجب أيضاً تقييم تكاليف التعافي: احتسبوا القيمة المتوقعة للخسائر ولاستعادة البيانات المحتجزة. لن تمنحكم هذه الخطوة فهماً جيداً لتكلفة خيار عدم الاستثمار بتكنولوجيا المعلومات فحسب، بل ستساعدكم أيضاً في تحديد ما إذا كان قرار دفع الفدية منطقيا على المستوى المالي أم لا.
> القرار: إذا كان الدفع مجدٍ وأقل تكلفة من التعافي، يبقى الخيار الأفضل في غياب أي طرقٍ أخرى لحل هذه الفوضى.
5. ما المترتبات القانونية على قرار دفع الفدية؟ في ظل الافتقار إلى دعم كامل ومحدث وخطة تعافٍ مدروسة ومحكمة، أو حتى تأمين شامل، تقرر بعض الشركات والمنظمات أخيراً أن الخيار الوحيد هو تسديد الفدية. وفي سبتمبر (أيلول) 2021، أصدرت وزارة الخزانة الأميركية تذكيراً ينص على أن دفع الفدية أو تسهيل دفعها للمجرمين السيبرانيين الخاضعين للعقوبات هو نشاطٌ غير قانوني ويمكن يؤدي إلى المحاكمة. بدورها، تدرس السلطات الأوروبية اليوم فرض ضوابط قانونية على مدفوعات فيروسات الفدية ولكنها لم تدخل حيز التنفيذ بعد.
> القرار: إذا كان تسديد مبلغ الفدية لا يعرض المنظمة أو الأفراد إلى مسؤولية قانونية، فيمكن اعتباره خياراً ممكناً لحل المشكلة.
6. هل يمكنكم أن تفاوضوا؟ في حال قررت الشركات أخيراً أن دفع الفدية هو الطريق الأقل ضرراً، يجب أن تدرس فكرة التعاقد مع مفاوضين محترفين خصوصاً إذا أرادت التواصل مباشرة مع المعتدين. لقد رأينا حالات، كتلك التي حصلت مع مزود الإنترنت «نايانا» في كوريا الجنوبية، حيث نجح الضحايا في تخفيض مبلغ الفدية المطلوب بشكلٍ كبير بمساعدة المفاوضين.
> القرار: إذا تعذرت وسائل الوصول إلى الشخص أو الجهة التي تبتزكم، فيبقى تسديد كامل مبلغ الفدية أو تحمل عواقب التعافي الخيارين الوحيدين.
وأخيراً، إذا وقعت شركتكم ضحية للمجرمين السيبرانيين، تحدثوا عن تجربتكم. ومهما كان القرار الذي اتخذتموه بشأن تسديد الفدية، نشجعكم على تبليغ السلطات بأي حادثة اعتداء إلكتروني من هذا النوع. يفرض قانونٌ أميركي حديث على الشركات العاملة في المجال والمصنفة في خانة البنية التحتية الحساسة، إبلاغ وكالة الأمن السيبراني وأمن البنية التحتية عن أي اعتداء بفيروس الفدية فوراً. وفي أوروبا، يفرض قانون حماية البيانات العامة التبليغ عن أي حدث سيبراني.
ولا تزال الميزانيات المخصصة للاستثمار في الأمن السيبراني دون المستوى المطلوب. إذ تذهب معظم الإنفاقات في هذا المجال اليوم لتمويل القدرات الوقائية كالبرامج المضادة للفيروسات أو المصادقة المتعددة العوامل، فتبقى العمليات الأخرى كالرصد والاستجابة والتعافي بعيدة عن الاهتمام. لذا يساعد تسليط الضوء على جوانب الجهوزية المسؤولين على اتخاذ القرارات الحساسة.
