معضلة برمجيات الفدية

تزدهر أعمال برمجيات الفدية Ransomware business: ففي الولايات المتحدة وحدها، ازداد هذا الشكل من أشكال الهجمات السيبرانية بنسبة 200% بين العامين 2019 و2021. هو تهديد عاجل، لكن عدداً كبيراً جداً من القادة يُسقَط في أيديهم عندما يصيبهم. وبرمجيات الفدية هي برمجيات خبيثة Msalicious software تستخدم التشفير (التعمية) Encryption لمنع الوصول إلى البيانات على الجهاز المصاب، ما يصيب نظام الحاسوب بالشلل فعلياً. ثم يطالب المُهاجمون بدفع مبلغ في مقابل فك تشفير الملفات واستعادة الوصول إلى الأنظمة المصابة. والواقع أن هذا التكتيك يرجع إلى ثمانينات القرن العشرين، لكنه أصبح يشكل تهديداً بارزاً للشركات بعد العام 2010 مع صعود العملات المشفرة، وهي أسلوب الدفع المفضل لدى المجرمين.

هو تهديد ممتلئ بالغوامض، ما يجعل التخطيط للاستجابة أمراً صعباً. لا تريد عديد من المؤسسات سوى إيجاد أسرع مخرج، وهذا يعني في الأغلب دفع الفدية، حتى على الرغم من أن العبء المالي قد يكون كبيراً، والنتيجة المتحصلة بعيدة كل البعد عن اليقين. في دراسة حديثة أجريت على 300 شركة، كشف 64% منها أنها تعرضت لهجوم ببرمجيات فدية في غضون الأشهر الاثني عشر السابقة، فضلاً عن أن نسبة مذهلة تبلغ 83% من الشركات دفعت الفدية. وفي المتوسط استعادت 8% فقط من المؤسسات التي دفعت بياناتها كلها، في حين حصل 63% منها على النصف تقريباً.

وتتلقى بعض المؤسسات طلباً بفدية ثانية (بل وربما أعلى)، على الرغم من أنها دفعت الفدية الأولى في الوقت المحدد، لكن السيناريو الأسوأ هو عندما تدفع الضحية لكنها إما لا تتلقى مفتاح فك التشفير مطلقاً، وإما أن المفتاح لا يعمل كما يجب.¹ “What Happens When Victims Pay Ransomware Attackers?” Trend Micro, Dec. 10, 2018, https://news.trendmicro.com.

كذلك تتحمل المؤسسات التي تقرر عدم الدفع تكاليف من حيث تعطُّل الأعمال وفقدان الإيرادات. أما المؤسسات التي تُستهدَف وهي غير مستعدة، من دون نظام دعم موثوق به أو خطة استجابة للحوادث، فتنتهي بها الحال إلى المعاناة الأكبر– ليس فقط مالياً لكن أيضاً على صعيد السمعة.

إذا تعرضت مؤسستكم لهجوم ببرمجيات فدية، فيجب أن تكون خطوتكم الأولى هي إخطار جهات إنفاذ القانون، وسلطات حماية البيانات ذات الصلة، إن أمكن. لكن الخيارات المتاحة لكم بعد ذلك تعتمد على مدى استعداد مؤسستكم للتعامل مع هجمات كهذه. هذا الموضوع يهدف إلى مساعدة فرق الإدارة العليا في تحديد ما يجب الاضطلاع به بستة أسئلة توضيحية. فالنظر في هذه الأسئلة قبل الهجوم بوقت قد يحفزكم على اتخاذ بعض الإجراءات المهمة التي قد تؤدي إلى تجريد التهديد من السلاح أو تسمح لمؤسستكم بالرد بنحو أفضل واستعادة النشاط بنمط أسرع إذا وقع هجوم.

1 هل أنتم مستعدون تقنياً؟
عندما هاجمت عصابة برمجيات الفدية ريفيل REvil شركة برمجيات الحاسوب كاسيا Kaseya في يوليو 2021، لم يستغرق الأمر أكثر من ساعتين لاستغلال نقاط الضعف في خوادم كاسيا وتثبيت برمجيات الفدية في مئات الآلاف من المؤسسات الأخرى. وهذا أسرع من استجابة معظم أنظمة الدفاع عن الشبكات. ومن شأن تبني عقلية ”افتراض الانتهاك“ Assume breach – التي تعتنق نهج انعدام الثقة بالتعامل مع الأنظمة، وتضع عمليات الاكتشاف والاستعادة في الأولوية، أن يمكن المؤسسات من التفكير بنمط أكثر استباقية والتركيز على الاستجابة بقدر ما على الوقاية.

تفشل 58% من النسخ الاحتياطية للبيانات في أثناء محاولة الاستعادة. ومن الأهمية بمكان أن تختبر المؤسسات قدرتها على الاستعادة بنمط منتظم حتى لا تواجه مفاجأة غير سارة عندما تضربها أزمة.

وفي حالة برمجيات الفدية بوجه خاص، فإن الفهم الشامل لحالة النسخ الاحتياطية Backups في المؤسسة هو الخطوة الحاسمة الأولى في التأهب. فالحصول على نسخة احتياطية نظيفة ومحدثة، إضافة إلى القدرة على منع برمجيات الفدية من تشفيرها، يوفر للمؤسسات أول ميزة استراتيجية لها. ومع ذلك لا يكفي مجرد الحصول على نسخ احتياطية في حد ذاته– فالمؤسسات تحتاج أيضاً إلى تأكيد قدرتها على الاسترداد باستخدام هذه النسخ الاحتياطية في حالة الطوارئ، مع أدنى حد من الخسارة أو الاضطراب. ولا تزال هذه القدرة متخلفة في عديد من المؤسسات: تفشل 58% من النسخ الاحتياطية للبيانات في أثناء محاولة الاستعادة. ومن الأهمية بمكان أن تختبر المؤسسات قدرتها على الاستعادة بنمط منتظم حتى لا تواجه مفاجأة غير سارة عندما تضربها أزمة. وانتبهوا إلى أن عصابات برمجيات الفدية تحاول تحديد مواقع النسخ الاحتياطية وتشفيرها. لكن يصعب العثور عليها إذا كانت النسخ الاحتياطية محفوظة في مكان خارج الموقع ومن دون اتصال ببقية الشبكة.

عند النظر في الاستعدادات، ينبغي أن يؤكد القادة المؤسسيون أيضاً أن فرق تكنولوجيا المعلومات التابعة لهم قد خططت لإجراءات تفصيلية في دليل للرد على الحوادث، وأن الإجراءات محدثة ومفهومة جيداً من قبل الموظفين المعنيين، وتمارس في الأغلب. وهذا أمر ضروري من أجل منع البرمجيات الخبيثة من الانتشار، والتعجيل في الاستعادة، والحفاظ على الأدلة اللازمة لعرضها على هيئات إنفاذ القانون. قدمت وكالة الأمن السيبراني وأمن البنية التحتية Cybersecurity and Infrastructure Security Agency (CISA) الأمريكية دليلاً لبرمجيات الفدية يفصل أفضل الممارسات لمنع هجوم برمجيات الفدية والرد عليه، ويوفر المعهد الوطني للمعايير والتكنولوجيا National Institute of Standards and Technology إرشادات جيدة لحماية البيانات من برمجيات الفدية.²“Ransomware Guide,” PDF file (Washington, D.C.: Cybersecurity and Infrastructure Security Agency and the Multi-State Information Sharing and Analysis Center, September 2020), www.cisa.gov; and “Protecting Data From Ransomware and Other Data Loss Events: A Guide for Managed Service Providers to Conduct, Maintain, and Test Backup Files,” PDF file (Gaithersburg, Maryland: National Cybersecurity Center of Excellence at the National Institute of Standards and Technology, April 2020), www .nccoe.nist.gov.

حيثيات القرار: إذا كانت لديكم نسخة احتياطية محدثة ونظيفة وقدرة مؤكدة على الاستعادة، فلا حاجة إلى دفع الفدية؛ فليس للمجرمين أي سلطة عليكم.

2 هل لديكم إمكانية الوصول إلى معلومات التهديدات؟
في حين تطورت برمجيات الفدية إلى أنواع متعددة منذ ظهورها، تطورت الدفاعات أيضاً. فالباحثون الذين يفكون أنواع برمجيات الفدية الآن موارد مفتوحة على الإنترنت باستخدام عديد من مفاتيح فك التشفير. وعند تقييم المؤسسات خياراتها بعد هجوم، ينبغي لها التحقق من هذه الموارد– والتحقق من سلطات فرض القانون الفِدرالية– لمعرفة ما إذا كان هناك حل لمشكلتها بالفعل. كما ينبغي لها مراجعة تقارير معلومات التهديدات التي تقدمها مؤسسات أبحاث الأمن السيبراني وبائعوها، وذلك للحصول على أي معلومات حول المؤسسة الإجرامية المعينة التي تستهدفها.

هناك قيمة عظيمة في فهم من تتعاملون معه بالضبط، إذ لا يوجد نقص في الأطراف الفاعلة التي تهدد ببرمجيات الفدية. ومنذ ظهور نموذج الأعمال ”برمجيات الفدية كخدمة“ Ransomware as a service” business model، في وسع أي شخص أن ينخرط في هذا الشكل من أشكال الابتزاز بالانتماء إلى عصابة من عصابات برمجيات الفدية. في حين أن بعض العصابات انتقائية جداً، يعرض البعض الآخر مواقع تابعة على أي شخص يرغب في دفع رسم مرةً واحدة أو رسوم اشتراك شهرية. وفي وسع هذه المواقع التابعة أن تشن هجمات ببرمجيات الفدية باستخدام اسم العصابة وأن تتلقى نسبة من الفدية المدفوعة. ولا يهتم عديد منها إلا بزيادة حجم الإصابات، ولا تكلف نفسها عناء إرسال مفتاح فك التشفير بمجرد دفع الفدية. ويشكل ما إذا كانت عصابة برمجيات الفدية التي تهاجمكم معروفة بإرسال مفتاح تشفير جزءاً مهماً من المعلومات التي تنير اختياركم.

حيثيات القرار: إذا كان لديكم حق الوصول إلى مفاتيح فك التشفير ذات الصلة، فمن المرجح أن تتمكنوا من استعادة البيانات من دون دفع ثمن؛ إذا كانت لديكم معلومات تهديد فقط عن الجناة، يمكنكم أن تستنيروا بذلك حول ما إذا كان من المرجح أن تؤدي عملية الدفع إلى النتيجة المطلوبة.

3 هل لديكم تأمين سيبراني، وما الذي يغطيه حقاً؟
بدأ عدد من شركات التأمين في تقديم تغطية للتهديد السيبراني في أوائل العقد الأول من القرن الحادي والعشرين، ومنذ ذلك الحين تطورت السوق. وأدى ظهور برمجيات الفدية كخطر كبير إلى زيادة أقساط التأمين بصورة جذرية: تمثل الهجمات ببرمجيات الفدية حالياً 75% من مطالبات التأمين السيبراني كلها. ونتيجةً لهذا لن تغطي عديد من شركات التأمين الكبرى، مثل أكسا AXA، بعد الآن مدفوعات الفدية، بل تكاليف الأعمال المفقودة فقط. ومع الاشتباه في تمويل دول لهجمات ببرمجيات الفدية، مثل هجوم نوت بتيا NotPetya في العام 2017، قد يختار المؤمِّن تصنيف الهجوم باعتباره عملاً من أعمال الحرب التي تعفيه من مسؤوليته عن دفع المطالبات. ويتعين على القادة أن يفهموا شروط وثيقة التأمين السيبراني وأحكامها وما إذا كانت توفر تغطية برمجيات الفدية قبل أن يختبروا حادثة كهذه.

حيثيات القرار: إذا كان التأمين السيبراني يغطي الفديات، فقد يكون دفع الفدية منطقياً إذا لم تكن لديكم أي طريقة أخرى لاسترداد بياناتكم.

4 ما مدى تعرُّضكم المالي؟
تعاملوا مع تكاليف Recovery costs: احسبوا مقدار تكاليف التبعات المحتملة على الأعمال واسترداد البيانات المفقودة التي ستترتب على مؤسستكم. فالاضطلاع بهذا لن يعطيكم فهماً جيداً للمقايضات بشأن عدم الاستثمار في أمن المعلومات فحسب، بل سيساعدكم أيضاً في تقييم ما إذا كان دفع الفدية خياراً معقولاً من الناحية الاقتصادية إذا لم يكن لديكم أي خيار آخر.

حيثيات القرار: إذا كان الدفع ممكناً وأقل من تكاليف الاسترداد، يظل خياراً في غياب مسارات أخرى للخروج من الورطة.

5 ما التأثيرات القانونية المترتبة على دفع فدية؟
في غياب نسخ احتياطية محدثة وكاملة، أو خطة استرداد جرى التدريب عليها جيداً، أو التأمين الشامل من معضلة برمجيات الفدية، سيقرر بعض المنظمات أن خيارها الوحيد يتلخص في دفع فدية. لكن حتى هذا المسار قد يحظر في بعض الحالات على المؤسسات التي تعمل تحت السلطة القضائية الأمريكية (أو حيث يكون الشخص المسؤول عن تنفيذ الدفع مواطناً أمريكياً). في سبتمبر 2021 أصدرت وزارة الخزانة الأمريكية تذكيراً بأن دفع فدية لمجرمين سيبرانيين فرضت عليهم عقوبات أو تسهيل دفع فدية لهم أمر غير قانوني، ويمكن أن يؤدي إلى مقاضاة جنائية. وعلى الرغم من أن السلطات الأوروبية تناقش أيضاً فرض قيود قانونية على دفع فديات برمجيات الفدية، فإن أياً منها ليس مطبقاً حالياً. وقد يبدو دفع الفدية وسيلة معقولة للخروج من الورطة، لكنه قد ينشئ تحديات قانونية جديدة. والمعرفة الدقيقة بإطار السلطة القضائية والطرف الفاعل الذي تتعاملون معه فيما يتعلق بالتهديد أمر ضروري.

حيثيات القرار: إذا لم يؤدِّ دفع الفدية إلى تعريض المؤسسة أو أي موظف لخطر قانوني، يظل خياراً متاحاً لمعالجة الموقف.

6 هل يمكنكم التفاوض؟
حتى إذا قررت المؤسسات أن دفع الفدية هو الطريق الأقل ضرراً، يتعين عليها أن تفكر في جلب مفاوضين مهنيين إذا أقامت اتصالات مباشرة مع المبتزين. لقد شهدنا حالات، مثل حالة مقدمة استضافة الشبكات الكورية الجنوبية نايانا Nayana، عندما تمكن الضحايا من خفض الفدية المطلوبة بدرجة كبيرة بمساعدة مفاوضين. وفي بعض الحالات، كانت الفدية المدفوعة أقل من نصف ما كان مطلوباً في الأصل، بل كانت في بعض الأحيان مجرد عُشر الفدية.³P. Hack and Z. Wu, “‘We Wait, Because We Know You.’ Inside the Ransomware Negotiation Economics,” NCC Group, Nov. 12, 2021, https://research.nccgroup.com لكن من المهم ملاحظة أن بعض عصابات برمجيات الفدية تهدد بحذف مفتاح فك التشفير – مما يدمر معه كل أمل في استرداد النظام- إذا وظف ضحاياهم مفاوضين محترفين. وهنا قد تكون معلومات التهديد التي ناقشناها في وقت سابق مفيدة لتقييم المخاطر.

حيثيات القرار: إذا لم تكن هناك فرصة للتواصل مع الأشخاص الذين يبتزونكم، فقد يكون دفع المبلغ كاملاً أو قبول نتائج الاسترداد هو الخيار الوحيد.

ومن الأحرى تكرار ما يلي: إذا كانت مؤسستكم هدفاً لمجرمين سيبرانيين، فأبلغوا عن تجربتكم. بغض النظر عما تقررون فعله بشأن دفع الفدية، نشجعكم على الإبلاغ عن أي حادث من حوادث برمجيات الفدية إلى السلطات. وسيتطلب قانون أمريكي جديد من الشركات في القطاعات التي تعتبر بنية تحتية بالغة الأهمية أن تبلغ وكالة الأمن السيبراني وأمن البنية التحتية فوراً عن هجمات ببرمجيات الفدية. وفي أوروبا يتضمن التنظيم العام لحماية البيانات General Data Protection Regulation التزامات بالإبلاغ عن الحوادث السيبرانية أيضاً. ويمكن التحقيق في الهجمات السيبرانية بنحو أكثر فاعلية إذا كانت لدى الخبراء إمكانية الوصول إلى معلومات حول حوادث مماثلة وتعاونت الأطراف المتأثرة. وأيضاً، في بيئة سريعة التطور، فإن أفضل الفرص للتعلم قد تكون خبرات الآخرين، وهذا يتطلب الإفصاح. وهناك بالفعل عدة مبادرات لتعزيز مشاركة المعلومات في شبكة موثوق بها من الأقران.⁴Ö. Is¸ik, T. Jelassi, and V. Keller-Birrer, “Five Lessons of Cybersecurity the Public Sector Can Offer,” European Business Review, forthcoming.

معظم الإنفاق الحالي في الأمن السيبراني يذهب إلى قدرات الوقاية، مثل مكافحة الفيروسات/الحماية من البرمجيات الخبيثة أو المصادقة المتعددة العوامل، ومن ثم تُتجاهَل عمليات الكشف والاستجابة والاسترداد.

في عالم مثالي سيكون الحل النهائي لوباء برمجيات الفدية هو عدمَ الدفع للمجرمين السيبرانيين. لكن بالنسبة إلى عديد من المؤسسات التي تعاني مع العواقب الاقتصادية المترتبة على كوفيد-19 أو التي تحدد أولوية الميزانيات حول مبادرات التحول الرقمي، لا تزال استثمارات الأمن السيبراني منخفضة الميزانية. فمعظم الإنفاق الحالي يذهب إلى قدرات الوقاية، مثل مكافحة الفيروسات/الحماية من البرمجيات الخبيثة، أو المصادقة المتعددة العوامل Multifactor authentication، ومن ثم تُتجاهَل عمليات الكشف والاستجابة والاسترداد. وإلى أن تستثمر كل مؤسسة في رفع مستوى صحتها السيبرانية إلى الحد الأدنى، سيضطر المديرون التنفيذيون إلى التعايش مع واقع تهديدات برمجيات الفدية وقبول حقيقة مُفادها أن دفع الفدية قد يكون في بعض الأحيان اختياراً صحيحاً. قد لا تكون الاقتراحات الواردة في هذا الموضوع كافية لتخفيف تأثيرات هجوم ببرمجيات الفدية على شركة بنحو كامل، لكننا نأمل أن يساعد التأمل فيها المديرين التنفيذيين على الشعور بالاستعداد والهدوء في أثناء عملية اتخاذ القرار الحاسمة.

فـيليب ليو Philipp Leo

شريك في ليو وموهلي سايبر الاستشارية Leo & Muhly Cyber Advisory وعقيد في القيادة السيبرانية للقوات المسلحة السويسرية Swiss Armed Forces Cyber Command.

أويكيو إيشيك Öykü Işik

أستاذة في الاستراتيجية الرقمية والأمن السيبراني في مدرسة IMD لإدارة الأعمال IMD Business School.

فابيان موهلي Fabian Muhly

شريك في ليو وموهلي Leo & Muhly، وباحث في علم الجريمة في جامعة لوزان University of Lausanne.