بعد أن وقعت شركة Euler Finance ومقرها المملكة المتحدة، وهي منصة لإقراض العملات المشفرة، ضحية لسرقة إلكترونية بقيمة 197 مليون دولار، إلا أن المحامون ساعدوا الشركة في استرداد جميع الأموال في غضون ثلاثة أسابيع.
وتمكن المحامون من ذلك لأن المجرمين ارتكبوا غلطة استراتيجية، وذلك بدفع 100 ETH، أو Ether، إلى حساب معروف بأنه مرتبط بقراصنة من كوريا الشمالية.
واستخدم المحامون هذا كنقطة ضغط لتحذير الجناة من أنهم قد يواجهون أعمال انتقامية من الجهات الحكومية أو الجريمة المنظمة.
وكان ذلك كافياً لإقناع المتسللين بإعادة الأموال، بحسب تقرير لصحيفة “فاينانشال تايمز” البريطانية.
وفي حين أن استرداد الأموال بهذه الطريقة أمر نادر للغاية، فإن ضحايا برامج الفدية يلجأون بشكل متزايد إلى المفاوضين – سواء كانوا فرق استجابة داخلية، أو شركات تأمين، أو شركات أمنية، أو محامين – لتقليل تكلفة الفدية، أو حتى تجنب دفعها تمامًا.
ولكن ما هو فن التفاوض بشأن برامج الفدية؟
نقلت الصحيفة عن الأستاذة المساعدة في الإدارة بكلية بابسون، والخبيرة في التفاوض وإدارة الصراعات، أماندا ويروب، قولها:
- يجب على المفاوضين طرح أسئلة مفتوحة لمحاولة حل المشكلات.. على سبيل المثال: ما الذي يتطلبه الأمر لحل هذا الوضع؟
- إن أقوى المفاوضين يصممون نهجهم بناءً على مصالح وأولويات الأطراف الأخرى.
- بالإضافة إلى المكاسب المالية، يسعى بعض مجرمي الإنترنت إلى الاعتراف بهم؛ لتعزيز أجندة سياسية أو أيديولوجية.
انتشرت عمليات اختراق برامج الفدية – التي يقوم فيها مجرمو الإنترنت بتشفير أنظمة البيانات والمطالبة بدفع أموال مقابل إطلاقها – منذ تفشي جائحة فيروس كورونا، حيث أدى العمل عن بعد إلى تقليل الدفاعات السيبرانية.
لكن الصحيفة أشارت إلى البيانات الصادرة عن مجموعة التكنولوجيا الأمريكية IBM والتي تظهر أن المنظمات التي دفعت فدية لم تحقق سوى فرق بسيط في تكلفة الهجوم – 5.06 مليون دولار مقارنة بـ 5.17 مليون دولار – على الرغم من أن هذا لا يشمل تكلفة الفدية نفسها.
دفع الفدية
ووفق التقرير، فإنه “بالنظر إلى التكلفة العالية لمعظم طلبات برامج الفدية، فمن المحتمل أن ينتهي الأمر بالمنظمات التي دفعت الفدية إلى إنفاق المزيد بشكل عام من تلك التي لم تفعل ذلك”.
يرى البعض – وخاصة أولئك الذين يعترضون على فكرة التفاوض مع المجرمين – أن:
- دفع أموال للقراصنة لا يؤدي إلا إلى تشجيعهم واستمرار دائرة الجرائم الإلكترونية.
- الضحايا، من خلال الدفع للمتسللين، يخاطرون بانتهاك العقوبات واللوائح الوطنية الأخرى، ويمكن أن يمولوا عن غير قصد خصمًا وطنيًا، أو نظامًا فاسدًا، أو عصابة جريمة منظمة، أو متاجرين بالبشر، أو إرهابيين.
- لا يضمن الدفع أن المتسللين سيفتحون الأنظمة أيضًا، أو أنهم لن يعودوا للمطالبة بالمزيد من المال.
- بعد أن أثبتت أعمال برامج الفدية أنها أكثر ربحية، يقول الخبراء إن مجرمي الإنترنت من روسيا وإيران وكوريا الشمالية طوروا استراتيجياتهم لانتزاع أكبر قدر ممكن من الأموال من الضحية.
ونقلت “فاينانشال تايمز” عن المدير الأول لمكتب التكنولوجيا الميداني لمجموعة CyberArk لأمن المعلومات، ديفيد هيغينز، قوله إن بياناته تظهر أن المنظمات التي تعرضت لبرامج الفدية في عام 2023 دفعت عادةً مرتين على الأقل، مما يعني أنها كانت على الأرجح ضحايا لما يسمى بحملات الابتزاز المزدوج.
والابتزاز المزدوج هجمات لا يقوم فيها المتسللون بمنع الوصول إلى أنظمة الضحية عن طريق تشفير البيانات فحسب، بل يقومون أيضًا بسرقة البيانات، ويهددون بالإفراج عن معلومات حساسة فقط في حالة دفع فدية.
ينصح ماثيو روتش، رئيس مجتمع قادة الأمن السيبراني i-4 في شركة KPMG في المملكة المتحدة، قائلاً: “يجب أن تكون لدى الشركات خطة طوارئ إذا لم تؤدي مدفوعاتها إلى النتائج غير المشروعة التي وعدت بها”.
وتحظر بعض السلطات دفع الفدية ــ على سبيل المثال، منعت ولايتا نورث كارولينا وفلوريدا في الولايات المتحدة بشكل صريح الوكالات الحكومية على مستوى الولاية والوكالات المحلية من دفع الفدية للمتسللين.
خيارات محدودة
لكن قد لا يكون أمام الشركات خيار كبير إذا كانت ترغب في البقاء واقفة على قدميها. وبحسب ويروب:
- “في الواقع، غالبًا ما تكون المفاوضات مع مجرمي الإنترنت ضرورية لتحقيق أقصى قدر من النتائج”.
- “يمكن أن يكون دفع الفدية هو أسرع طريقة لاستعادة البيانات واستئناف العمليات، خاصة إذا كانت الفدية أقل من التكاليف.”
كما أن فريق التفاوض يجب أن “يحدد الدوافع الكامنة وراء المتسللين” و”صياغة تحليل للتكلفة والعائد من خلال تحديد البدائل المتاحة لهم”.
على سبيل المثال، يجب على الضحايا التحقق مما إذا كان لديهم نسخ احتياطية للبيانات، أو طرق أخرى للحصول على الخدمات الحيوية وتشغيلها.
ويقول الخبراء إنه يجب على المفاوضين التعامل مع المتسللين عاجلاً وليس آجلاً لمنع التصعيد. ووفق روتش: “إنهم يتوقعون أن يتم تجاهلهم وسوف يردون من خلال تصعيد تهديداتهم، والاتصال بالمسؤولين التنفيذيين، وتوجيه التهديدات عبر وسائل التواصل الاجتماعي، وزيادة الأعمال العدائية حتى يشعروا بأنه يتم الاستماع إليهم”.
ولكن، في حين قد يستخدم المتسللون ضغط الوقت لإجبار الضحايا على الدفع، يمكن للشركات أيضًا إبطاء العملية – مما يتيح لهم الوقت لاستعادة بياناتهم أو عملياتهم خلف الكواليس.
يقول روتش: “قد تختار الشركات التفاوض في محاولة لإثارة التأخير بدلاً من مجرد تقليل مبلغ الفدية أو تجنب الدفع تمامًا”.
في النهاية، الضحية والمفاوضون هم الذين يحتاجون إلى تحديد كيفية قياس النجاح، كما يقول ويروب – سواء كان ذلك استعادة البيانات، أو تقليل الخسائر المالية والتعطيل، أو تقليل الضرر الذي يلحق بالسمعة.
التفاوض مع المتسللين في الهجمات السيبرانية
إن مواجهة الهجمات السيبرانية، وخاصة هجوم برامج الفدية، تترك المؤسسات في وضع محفوف بالمخاطر. هل يدفعون الفدية ويحتمل أن يستعيدوا البيانات المهمة، أم أنهم يقاومون ويخاطرون بفقدانها إلى الأبد؟
إن قرار التفاوض مع المتسللين أمر معقد، ومليء بالشكوك، ويحمل آثارًا كبيرة، كما يقول المستشار الأكاديمي في جامعة سان خوسيه الحكومية في كاليفورنيا، أحمد بانافع، في تصريحات خاصة لموقع “اقتصاد سكاي نيوز عربية”، شرح خلالها عدداً من الأمور الإيجابية التي يمكن تحصيلها من خلال التوصل لحل لاستعادة البيانات المفقود، على النحو التالي:
- إمكانية استعادة البيانات: ذات قيمة خاصة للبيانات الهامة مثل سجلات العملاء أو المعلومات المالية.
- تقليل وقت التوقف عن العمل وتعطل الأعمال: يمكن أن يؤدي استئناف العمليات بسرعة إلى تخفيف الخسائر المالية والضرر الذي يلحق بالسمعة.
- تجنب العواقب القانونية أو التنظيمية المحتملة: تتطلب بعض اللوائح الإبلاغ عن انتهاكات البيانات، مما قد يؤدي إلى غرامات باهظة.
لكنه يضيء في الوقت نفسه على السلبيات التي تنطوي عليها عمليات “التفاوض مع المتسللين”، لا سيما فيما يخص أنها ربما تشجع مثل ذلك السلوك الإجرامي، ومن أبرز السلبيات:
- يشجع النشاط الإجرامي: يؤدي دفع الفدية إلى تغذية النظام البيئي للجرائم الإلكترونية ويحفز الهجمات المستقبلية.
- لا يوجد ضمان لاستعادة البيانات: قد لا يوفر المتسللون مفاتيح فك التشفير أو قد يفسدون الملفات حتى بعد تلقي الدفع.
- يشكل سابقة للهجمات المستقبلية: من المرجح أن يتم استهداف المؤسسات التي تدفع مرة واحدة مرة أخرى.
ويوضح أن “عدم التفاوض مع المتسللين” يضمن:
- تجنب تمويل النشاط الإجرامي: إن اتخاذ موقف ضد الجرائم الإلكترونية يدل على النزاهة الأخلاقية ويثبط الهجمات المماثلة.
- يحمي المعلومات الحساسة: إن عدم تعريض البيانات للمتسللين يقلل من مخاطر الخصوصية والمسؤوليات القانونية المحتملة.
- يشجع التدابير الأمنية الاستباقية: قد تستثمر الشركات بشكل أكبر في الأمن السيبراني لمنع الانتهاكات المستقبلية.
لكنه في الوقت نفسه يشير إلى الإشكالات المرتبطة بفقدان البيانات وتعطيل العمليات، إذ قد تواجه المؤسسات خسائر مالية كبيرة وأضرارًا بسمعتها إذا تعذر الوصول إلى البيانات المهمة، علاوة على تأخر عملية الاسترداد، إذ قد تستغرق استعادة العمليات من النسخ الاحتياطية أو فك تشفير البيانات دون مساعدة المتسللين وقتًا طويلاً ومكلفة. بخلاف العواقب القانونية أو التنظيمية المحتملة التي تحدث عنها.
عوامل رئيسية
وبعد استعراض إيجابيات وسلبيات فكرة “التفاوض” مع المتسللين، يقول بانافع إن قرار التفاوض مع المتسللين يعتمد في النهاية على عوامل مختلفة، وأهمها:
- طبيعة وحساسية البيانات المعرضة للخطر: البيانات الهامة تبرر بذل جهود تفاوض أكبر.
- الموارد المالية للمنظمة وتحمل المخاطر: قد تعطي الشركات الصغيرة أو ذات الميزانيات المحدودة الأولوية لخيارات عدم الدفع.
- موارد الأمن السيبراني وخطط الاسترداد المتاحة: تتيح النسخ الاحتياطية القوية وخطط الاستجابة للحوادث موقفًا أقوى لعدم التفاوض.
- مشورة الخبراء في مجال إنفاذ القانون والأمن السيبراني: يمكن أن توفر المشاورات مع المتخصصين المؤهلين رؤى ودعمًا قيمًا.
كما يقدم المستشار الأكاديمي في جامعة سان خوسيه الحكومية في كاليفورنيا، في معرض حديثه مع “اقتصاد سكاي نيوز عربية” مجموعة من النصائح للتفاو، على النحو التالي:
- لا تتعجل في الدفع: خذ وقتًا لتقييم الموقف وجمع الأدلة واستكشاف خيارات التعافي البديلة.
- استخدم مفاوضًا: قم بإشراك خبير في الأمن السيبراني أو وسيط موثوق به يتمتع بالخبرة في التعامل مع مثل هذه المواقف.
- التحقق من هوية المتسلل: تجنب عمليات الاحتيال وتأكد من أنك تتعامل مع المهاجمين الفعليين.
- ابدأ بسعر منخفض وتفاوض: لا تستسلم لمطالب الفدية الأولية؛ النظر في تقديم اقتراح مضاد أقل.
- تواصل بحذر: حافظ على الاحتراف وتجنب الاستجابات العاطفية أو التهديدات.
- الاستعداد لمضاعفات الدفع: استخدم المعاملات الآمنة وفكر في استشارة مستشار قانوني حول استخدام العملة المشفرة.
مرحلة ما بعد التفاوض
في مرحلة ما بعد التفاوض، يعد الاستثمار في تدابير الأمن السيبراني القوية أمرًا بالغ الأهمية لمنع الهجمات وتقليل الأضرار:
- تنفيذ أفضل الممارسات: تعد تحديثات البرامج المنتظمة وكلمات المرور القوية والتدريب على الوعي الأمني للموظفين أمرًا ضروريًا.
- النسخ الاحتياطية للبيانات وخطط الاسترداد: تضمن عمليات النسخ الاحتياطي المنتظم وإجراءات الاسترداد المختبرة استعادة البيانات بسرعة في حالة وقوع هجوم.
- خطة الاستجابة للحوادث: إن وجود خطة واضحة لتحديد الهجمات الإلكترونية واحتوائها والتخفيف من آثارها يقلل من وقت التوقف عن العمل والخسائر.
تمثل الهجمات الإلكترونية تحديًا كبيرًا للمؤسسات، ويتطلب قرار التفاوض مع المتسللين دراسة متأنية. إن الموازنة بين الإيجابيات والسلبيات، وفهم المخاطر، وتنفيذ تدابير قوية للأمن السيبراني أمر بالغ الأهمية للتعامل مع مشهد التهديدات المعقد والمتطور هذا.