بدأت الطريق نحو موجة القرصنة على برامج الكومبيوتر طلباً للفدية، ما يعرف باسم «رانسوموار» أو «الفدية الخبيثة»، التي اجتاحت العالم الجمعة، مثلما الحال غالباً، بظهور عيب في برنامج أو خطأ برمجي. وقد تسببت الموجة الأخيرة في تعطيل عمل المستشفيات في بريطانيا، وإعادة توجيه مسارات سيارات الإسعاف، وإرجاء جراحات وإغلاق أجهزة معنية بالتشخيص. وربما تكون هذه الحلقة الأولى من أزمة عالمية تختمر منذ عقود. ومع أنه لا يزال من الممكن إصلاح هذا الوضع، فإن تكلفة هذا الإصلاح ستكون باهظة، وستتطلب إجراء إصلاح كامل لكيفية تشغيل وتعامل الشركات والحكومات والمؤسسات مع البرمجيات. أما البديل، فمن المتعذر مجرد التفكير فيه.
في مارس (آذار) هذا العام فقط، أطلقت «مايكروسوفت» ما يطلق عليه «باتش» أو «رقعة» لإصلاح ثغرات في أنظمة التشغيل الصادرة عنها، التي تعتمد عليها قرابة 80 في المائة من أجهزة الكومبيوتر المكتبية بمختلف أرجاء العالم. وبعد فترة قصيرة، أطلقت مجموعة تطلق على نفسها «شادو بروكرز» مجموعة من أدوات القرصنة تعمد إلى استغلال نقاط ضعف جرى إصلاحها بالفعل من خلال مجموعة «باتشات».
وعلى ما يبدو، وضعت «شادو بروكرز» يديها على أدوات سبق أن استخدمتها وكالة الأمن الوطني في اختراق كومبيوترات. ومع إدراكها لتعرض هذه الأدوات للسرقة، حذرت وكالة الأمن الوطني الشركات المتضررة، مثل «مايكروسوفت» و«سيسكو» بضرورة تحركها نحو إصلاح الثغرات القائمة لديها. وقد تمتع المستخدمون الذين حصلوا على الـ«باتش» الجديد بالحماية، لكن ظلت هناك مشكلة: أنه إذا كانت هناك مؤسسة ما تستخدم نظام تشغيل أقدم من «مايكروسوفت»، فإن حصولها على الـ«باتش» الجديد مرهون بدفع مبلغ كبير، مقابل إبرام اتفاق دعم مع الشركة.
ولم تكن هيئة الخدمات الصحية الوطنية في بريطانيا، التي توفر الرعاية الصحية لأكثر من 50 مليون شخص، والتي تعتمد مستشفياتها في معظمها على «ويندوز إكس بي»، من بين الموقعين على اتفاق الدعم مع «مايكروسوفت».
وبالتالي، بقيت الهيئة والكيانات التابعة لها دون حماية.
في 12 مايو (أيار)، تعرضت المستشفيات في بريطانيا لهجوم كاسح يقوم على القرصنة مقابل فدية بناءً على واحدة من تلك الثغرات، وكذلك شركات الاتصالات في إسبانيا، و«فيديكس» في الولايات المتحدة، ووزارة الداخلية الروسية، والكثير من المؤسسات الأخرى بمختلف أرجاء العالم. واشتركت جميع المؤسسات التي تضررت من الهجوم في أنها إما لم تستعن بالـ«باتشات» الجديدة في الحالات التي توافرت خلالها مجاناً، أو لم تدفع أموالاً إضافية لحماية أنظمتها الأقدم.
وعليه، تجمد كومبيوتر تلو الآخر وأصبح من المتعذر الدخول إلى الملفات المخزنة عليه، وظهرت رسالة على الشاشة تطالب بنحو 300 دولار في صورة «بيتكوين» ـ عملة سايبرية تسمح بإجراء تحويلات مالية من الصعب تعقبها.
وبسبب الهجوم، تعرضت سيارات الإسعاف المتجهة نحو مستشفيات الأطفال لتغيير مسارها وعجز الأطباء عن تفحص حالات الحساسية التي يعانيها مرضى وتحديد أي العقاقير يحتاجون إليها، وأصبح من المتعذر استخدام الأجهزة العاملة بأشعة إكس والأجهزة التشخيصية، ولم يعد من الممكن الاطلاع على المعلومات المخزنة بالكومبيوترات، بجانب تأجيل العمليات الجراحية. وتسبب الهجوم في خسائر اقتصادية أيضاً؛ ذلك أن شركة «رينو» الأوروبية المصنعة للسيارات اضطرت إلى وقف إنتاجها.
بعد ذلك، تدخل القدر لوقف الهجوم، مع نجاح موظف بريطاني في شركة معنية بالأمن السايبري في تفعيل «آلية قتل» كانت كامنة داخل الـ«رانسوموار». وفي أعقاب الهجوم بفترة وجيزة، أصدرت «مايكروسوفت» أخيراً الـ«باتش» الجديد مجاناً الذي ظلت تحجبه عن المستخدمين الذين لم يوقعوا اتفاقيات الدعم باهظة التكلفة.
إلا أن هذا لا يعني انتهاء الأزمة؛ فلا تزال هذه الثغرة على وجه التحديد قائمة داخل الأنظمة التي لا تستعين بـ«باتش»، وربما لا يعتمد الهجوم التالي على «رانسوموار» به آلية قتل سهل الوصول إليها.
ورغم أن مسألة تعرض البرامج لأخطاء برمجية أمر يتعذر تجنبه طيلة الوقت، فإن ثمة سبلاً عدة لزيادة تأمين أنظمة التشغيل ـ لكن تكلفتها المالية ضخمة. وفي الوقت الذي أثر فيه هذا الخطأ البرمجي على وجه التحديد على النسخ القديمة والحديثة من أنظمة تشغيل «مايكروسوفت»، تظل الحقيقة أن الأنظمة الأقدم مثل «إكس بي» تتسم بثغرات أكثر خطورة. ويعود ذلك إلى أن تفهم كيفية تأمين البرامج تطور بمرور السنوات، بجانب الحوافز القائمة بمجال البرمجيات. ونظراً لأن غالبية البرامج تباع بترخيص ينهي مسؤولية الشركة القانونية عن أي مشكلات قد تظهر بها منذ اليوم الأول، لم يبد منطقياً أن تخصص الشركات مزيداً من المال والوقت لتأمين البرمجيات سريعاً.
ومع هذا، تظل الحقيقة أن هذه ليست غلطة «مايكروسوفت». في الواقع، تتسم أنظمة التشغيل الجديدة التي طرحتها الشركة، مثل «ويندوز 10» بقدر أكبر بكثير من التأمين. في الواقع، ثمة عناصر وأبعاد أخرى على صلة بهذه القنبلة الموقوتة.
في الواقع، لقد كشفت أزمة الـ«رانسوموار» الأخيرة عن أن الكثير من المؤسسات كان بإمكانها التمتع بحماية «باتش» أو تحديث أنظمتها، ولم تفعل ذلك. ولا يعود ذلك إلى افتقار أقسام تكنولوجيا المعلومات لديها إلى الكفاءة (رغم أن هناك بالتأكيد حالات تجلى خلالها ذلك)، وإنما إلى أن التحديثات تأتي محملة بالكثير من الجوانب السلبية التي تجعل الناس مترددين إزاء تنزيلها.
على سبيل المثال، تحمل نسخة «ويندوز 10» الأكثر تأميناً في طياتها الكثير من المخاوف المرتبطة بالخصوصية لدرجة دفعت «مؤسسة الجبهة الإلكترونية» (إلكترونيك فرونتير فاونديشن) إلى إصدار الكثير من التحذيرات بخصوصه، في الوقت الذي يجري الاتحاد الأوروبي تحقيقاً بشأنه.
الواضح أن التحديثات الإضافية تحمل معها طيلة الوقت تقريباً سمات جديدة غير مرغوبة. مثلاً، عندما وجدت نفسي مضطرة نهاية الأمر إلى تحديث برنامج «آوتلوك» البريدي. استغرق الأمر مني شهوراً للاعتياد على التصميم والألوان الجديدة. وفي تلك الفترة، بدا واضحاً أمامي أنه ليس ثمة خيار للإبقاء على الأمور كما هي. في الواقع، هذا الأمر يثير سخط المستخدمين؛ الأمر الذي غالباً ما يجعلهم مترددين إزاء تحديث برامجهم، لكنهم غالباً ما لا يدركون أن هذه الملامح الجديدة غير المرغوب فيها تصاحبها تحديثات أمنية.
وما يزيد الأمر تعقيداً أن الأساليب التي تطرح من خلالها الشركات التحديثات وإقدامها بصورة انفرادية على تغيير الواجهة الخاصة بالمستخدم يجعل الأفراد عرضة لـ«التصيد»؛ نظراً لأنهم غير واثقين بشكل الرسالة الحقيقية للدخول أو التحديث والأخرى المزيفة؛ الأمر الذي يجعلهم عرضة للاتصال بموقع إلكتروني زائف يحاول سرقة رمز الدخول.
أما مشكلة المؤسسات، مثل المستشفيات، التي تعتمد على الكثير من البرامج تقدمها مجموعة متنوعة من الجهات، والتي عادة ما تأتي مدمجة داخل معدات طبية مرتفعة التكلفة، فأشد سوءاً. بالنسبة لهذه المؤسسات، فإن تحديث نظام التشغيل (والذي يمثل تكلفة في حد ذاتها) قد يعني شراء برنامج جديد تبلغ قيمته ملايين الدولارات. كما أن هذا البرنامج الجديد يحمل معه مشكلات، ذلك أن سياسة «عدم المسؤولية القانونية» تعني أن البائعين بمقدورهم بيع المنتج والحصول على المال، ثم الاختفاء ببساطة.
في بعض الأحيان، يجري الترخيص لمعدات طبية كما هي، وأي تحديث يثير أسئلة تتعلق بإعادة الترخيص. الطبيعي أن الأجهزة ربما تستمر في عملها لعقود (وهو ما ينبغي أن يكون عليه الحال). وعليه، فإن مسألة ضرورة أن ينتهي عمل برنامج ما خلال 10 سنوات لا يعد حلاً عملياً. علاوة على ذلك، فإن التحديثات نفسها ربما تحمل معها أخطاء برمجية جديدة. على سبيل المثال، في العام الماضي تسبب تحديث لأحد البرامج في تعطل سيارات «تسيلا» ولم يعد من الممكن قيادتها حتى جرى إدخال تحديث آخر نجح في تصليح الخطأ. ولهذا؛ تشعر الكثير من المؤسسات الكبرى بالقلق إزاء تحديث البرامج التي تعتمد عليها.
أما الأزمة التالية التي سنواجهها، فتكمن فيما يطلق عليه «إنترنت الأشياء»: أجهزة مثل تلك المعنية بمراقبة الأطفال والتبريد والإضاءة أصبحت مزودة حالياً ببرامج شبكات. اللافت، أن الكثير من مثل هذه الأجهزة تتسم بمستوى رديء للغاية من التأمين، بل والأسوأ أنها لا تملك آلية لتلقي تحديثات.
إذا كنت رسمت صورة مظلمة، فهذا مرده إلى أن الأوضاع مظلمة بالفعل. إن برامجنا تتطور من خلال بناء أنظمة جديدة على أخرى قديمة؛ ما يعني أننا اضطلعنا ببناء مدن بأكملها على مستنقعات متداعية. واليوم، نعيش على فوالق، حيث تبدو مواجهتنا مزيداً من الزلازل أمراً حتمياً. وعليه، فإنه لزاماً على جميع العناصر المحورية العمل معاً بسرعة لتفادي ذلك.
أولاً: يتعين على شركات مثل «مايكروسوفت» التخلي عن فكرة أن بمقدورها تجاهل المستخدمين المعتمدين على برامج أقدم؛ وذلك ببساطة لأن الأموال التي جنتها من ورائهم لم تتلاشَ، وكذلك الحال مع مسؤولياتها تجاه إصلاح عيوب منتجاتها.
جدير بالذكر، أن «مايكروسوفت» تتمتع بمخزون نقدي يقدر بأكثر من 100 مليار دولار (يعد نتاجاً للضرائب الضئيلة التي تدفعها الشركات الحديثة، وحجم الأرباح التي تجنيها المؤسسات التي تبيع برامج تشغيل مهيمنة على السوق في ظل ديناميكيات احتكارية لا تحمل معها أي مسؤولية قانونية عن العيوب).
كحد أدنى، كان ينبغي لـ«مايكروسوفت» توفير تحديث حيوي في مارس لجميع مستخدميها، ليس فقط من يدفعون مبلغا إضافياً. في الواقع، إن سياسة «ادفع لنا مزيدا من المال، وإلا حجبنا عنك تحديثات أمنية حيوية» تبدو في حد ذاتها صورة من صور الـ«رانسوموار». من جهتها، ربما تدافع «مايكروسوفت» عن نفسها بالإشارة إلى أن أنظمة تشغيلها قطعت شوطاً طويلاً في المسار الأمني منذ إطلاق «ويندوز إكس بي»، وأنها أنفقت كثيراً من المال على تحديث برنامج قديم، حتى قياساً بالأعراف السائدة على مستوى صناعة البرامج. إلا أنه في واقع الأمر، فإن هذه الأعراف السائدة شديدة الرداءة، ويبدو منطقياً أن ننتظر من شركة مهيمنة على السوق جنت أموالاً طائلة من بيع البرامج التي تعتمد عليها إدارة مرافق حيوية من البنية التحتية، بذل مزيد من الجهود على هذا الصعيد.
في الواقع، ينبغي لـ«مايكروسوفت» إنفاق المزيد من الـ100 مليار دولار المتاحة لديها في معاونة المؤسسات والمستخدمين على تحديث برامجهم، وبخاصة تلك التي تعتمد عليها إدارة خدمات أساسية. وينبغي أن يجري ذلك عبر نظام يحفز المؤسسات والأفراد على التحديث نحو أنظمة أفضل تأميناً، وعدم إجبارهم على الاختيار بين الخصوصية والأمن. أيضاً، ينبغي أن تعنى التحديثات الأمنية فقط بالشق الأمني، بينما يبقى أي شيء آخر اختيارياً.
من ناحيتها، تملك الحكومة الأميركية الموارد والمؤسسات اللازمة للمعاونة في إصلاح هذا الأمر. في الواقع، إن الميثاق الخاص بوكالة الأمن الوطني يمنحها دوراً مزدوجاً: هجومياً ودفاعياً. وربما ينبغي للوكالة الكشف أمام الشركات عن الثغرات البرمجية التي تكتشفها بسرعة أكبر، لكن القيام بذلك لا يحل المشكلة بالنظر إلى أن العثور على الأخطاء البرمجية لا يقتصر على الوكالة ـ وإنما بإمكان عناصر إجرامية ودول أخرى العثور عليها كذلك. كما أن ثمة معيناً لا ينضب من الأخطاء البرمجية؛ ما يجعل من المتعذر علينا حل المشكلة عبر مواجهة خطأ برمجي تلو الآخر.
ومع ذلك؛ تبقى هناك الكثير من الإجراءات الفنية التي يمكن اتخاذها لبناء أنظمة تشغيل أقل عرضة للتضرر من الأخطاء البرمجية، بمعنى أنه ليس بوسعنا القضاء تماماً على الأخطاء البرمجية، لكن باستطاعتنا من خلال التصميم الدقيق العمل على تقليص حجم الأضرار التي تسببها.
من ناحية أخرى، فإن كان يتعين على وطالة الأمن الوطني منذ فترة بعيدة بالفعل الاضطلاع بدور دفاعي، وتركيزها على حماية المواطنين والشركات من البرمجيات الخبيثة والقرصنة والـ«رانسوموار» ـ بدلاً من التركيز على هذا النحو المفرط على نشاطات التجسس. ولا يعني ذلك مجرد الكشف عن الثغرات ونقاط الضعف، وهي قضية ساخنة غالباً ما تشتت الأنظار بعيداً عن قضايا أخرى أعمق، وإنما يعني كذلك المعاونة في تطوير معايير أعلى للأمن وتحديد المخاطر الأمنية السيبرية، ثم المعاونة في مواجهتها، بدلاً عن استخدامها على نحو هجومي للتجسس على آخرين.
وهناك أيضاً المشكلة العصيبة المتعلقة بإيجاد التمويل والموارد اللازمة لتحديث البنية التحتية الحيوية دون إعاقتها عن العمل. اللافت أن الكثير من المؤسسات تنظر إلى تكنولوجيا المعلومات بصفتها قضية هامشية، وتبدي بطئاً تجاه تحديثها والاستثمار بها. كما أن الحكومات لا تضع في أولوياتها أمن البرامج، وهذا في حد ذاته طريق مؤكدة نحو الهاوية.
* بروفسورة مساعدة بمدرسة علوم المعلومات والمكتبات بجامعة نورث كارولينا
* خدمة: «نيويورك تايمز»
