كيف تتفاوض مع القراصنة الإلكترونيين؟

"تم اختراق شبكتك"، هكذا يبدأ الملف. الرسالة تطالب بفدية لكن بدلا من طلب مبلغ مالي من أجل العودة المأمونة لشخص عزيز، يطلب المتسلل أموالا رقمية من أجل الإفراج عن بيانات تخص شركة تصنيع أمريكية.
الشركة واحدة من عدد من الشركات التي تتأثر بـ"فيروس الفدية"، من خلاله يحتجز القراصنة ملفات أو أنظمة الضحية ولا يعطونه مفتاح فك التشفير إلا بعد دفع فدية. تنتهي رسالة القراصنة إلى شركة التصنيع بالتوقيع بعبارة: "لا يوجد نظام آمن".
قد يكونون على حق. كان الدافع وراء ظهور فيروسات الفدية هو تزايد اعتماد الشركات على التكنولوجيا والبيانات، إضافة إلى تطور العملات الرقمية مجهولة المصدر التي تسمح للمجرمين بنقل الأموال دون أن يتم تعقبهم.
ما الذي يجب على الشركة فعله إذا تم اختراقها؟
تخيل أن المتسللين يحتجزون بياناتك ويطالبون بفدية. ما الخطوة التالية؟ لا بد أن يكون رد فعل الشركات سريعا في تحديد الضرر المحتمل. هناك أنواع مختلفة من فيروسات الفدية -بعضها أكثر ضررا من غيرها- كما أن الفدية المطلوبة قد تراوح بين بضعة مئات من الدولارات وملايين الدولارات. الأكثر ضررا عادة ما يكون الأنواع الجديدة من الفيروسات التي تصيب الأنظمة بالكامل، بما في ذلك البيانات الاحتياطية.
وفقا للخبراء، يتعين على الشركات تقييم ما إذا كان من الممكن تخفيف المشكلة دون الحاجة إلى دفع مبلغ الفدية للمتسللين. مثلا، هل يمكن حل المشكلة عن طريق استعادة البيانات من مصدر احتياطي؟ هل يمكن لخبراء الأمن "إعادة اختراق البيانات"، أو محاولة فك تشفيرها؟
قرار دفع الفدية الذي لا ينصح به "إف. بي. آي" يشمل تقييم التكاليف المالية للعجز عن الدفع، وخطر عدم استرجاع بيانات الشركة بعد دفع المبلغ المطلوب.
جوشوا موتا المؤسس المشارك والرئيس التنفيذي لـ"كوليشين" Coalition، مجموعة تأمين على الإنترنت يتفاوت عملاؤها من وكلاء عقارات وأطباء أسنان إلى حكومات محلية، يقول: "الخضوع للابتزاز هو الحل الأخير دائما، لكن في بعض الأحيان تواجه الشركات قرارا وجوديا هل يدفعون الفدية أم يختفون من الوجود؟".
يقول موتا إن شركته تتعامل مع ست قضايا ابتزاز يواجها عملاؤها أسبوعيا، 80 في المائة منها يتم حلها عن طريق التفاوض مع المتسللين، و10 في المائة عن طريق استرجاع آخر نسخة احتياطية لديها، و10 في المائة يتم فيها التخلي عن البيانات.
يمكنك توظيف الشركات التي لديها خبرة في الاستجابة لمثل هذه الأزمات بعد أن يتم طلب فدية منك، أو توظيفها مسبقا لتكون جاهزة للعمل في حالة حدوث هجوم.
جين ميلر أوزبورن، نائب مدير الاستخبارات في "بالو ألتو نتويركس يونت 42"، يقول: "الاستعانة بالمحترفين فكرة جيدة دائما ما لم تتمكن المنظمة من استعادة الأنظمة بنفسها، أو في حال عدم امتلاكها خطة مسبقة للتعامل مع فيروسات الفدية".
إبلاغ جهات إنفاذ القانون مبكرا هو خيار آخر، لكن يجب الموازنة بين عواقب احتمال جعل القضية متاحة للرأي العام والموارد والخبرات التي يمكن أن توفرها لها الجهات القانونية.
كيف تجري المفاوضات؟
عادة عبر البريد الإلكتروني مع استخدام المتسللين حسابات لا يمكن تعقبها.
يقول الخبراء إن على الشركات أن تطلب من القراصنة إعطاءهم المكافئ الرقمي لـ"دليل على أن الضحية على قيد الحياة"، مثلما يقدم الخاطفون صورة للضحية يحمل فيها صحيفة بتاريخ اليوم. في حالة فيروسات الفدية، هذا يعني أن يفك المهاجمون تشفير جزء من الملفات التي تم أخذها رهينة.
ريتشارد هندرسون، رئيس الاستخبارات العالمية في "لاستلاين" Lastline، وهي مجموعة للأمن السيبراني، يقول: "اطلبوا منهم كبادرة صدق أن يثبتوا لكم أنهم قادرون على فك تشفير عن أحد الملفات أو الأنظمة".
يضيف: "في حال رفضهم من الممكن جدا أن يكونوا غير قادرين على تنفيذ ذلك. هناك كثير من الحالات التي كان المهاجمون فيها يكذبون بشكل صريح على المنظمة (...) مسحوا جميع البيانات وحاولوا إقناع الضحية بأنهم قادرون على استردادها".
عندما يتعلق الأمر باختيار أسلوب التفاوض قد يكون بوسع خبراء الجهات الخارجية تحديد الجهات الفاعلة التي تعاملوا معها من قبل ومعرفة ما إذا كان من السهل التفاوض معهم.
يقول موتا: "استخدام الأسلوب الصارم يمكن أن يأتي بنتائج عكسية". ويوصي بدلا من ذلك "باستخدام الوقت كإسفين" مثلا، قول إنك لا تستطيع دفع الفدية الكاملة إلا إذا أعطيت كثيرا من الوقت لكنك قادر على دفع جزء من الفدية إذا أرادوا بعض المبلغ على الفور.
ويضيف: "يفضل المجرم الحصول على شيء (محدود) عوضا عن لا شيء (...) إنهم يهاجمون الناس على نطاق واسع".
كيف تحدث عملية تسليم الفدية؟
إنها ليست مثيرة كما تصور في أفلام السطو. إلى حد كبير، يتم دفعها عن طريق إرسال عملة افتراضية إلى محفظة رقمية مجهولة، على الرغم من أن الخبراء لاحظوا أيضا حالات تستخدم فيها طريقة من الصعب تتبعها مثل بطاقات الهدايا.
معظم الشركات ليس لديها عملات مشفرة في ميزانيتها العمومية، لذلك لعلها تود أن تنشئ صندوقا لحالات الطوارئ، أو استخدام طرف ثالث لفعل ذلك.
كيف يمكنك منعها من الحدوث مرة أخرى؟
الخطوة الأولى لإحباط الهجمات المحتملة تتمثل في تصحيح برامج الشركة، بمعنى آخر التأكد من تحديثها من خلال استخدام أحدث النسخ.
الخطوة الأخرى: إعداد نسخة احتياطية من ملفات الشركة والاحتفاظ بها بعيدا عن البيانات الأساسية. جيري بيسيت، رئيس فريق الاستجابة للحوادث التجارية في الولايات المتحدة لدى "بوز ألين" Booz Allen، يقول: "نفذ برنامج نسخ احتياطي كاملا مفصولا فيزيائيا ومنطقيا عن الشبكة، وافحصه بشكل مستمر".
قد ترغب الشركات أيضا في إنشاء سيناريو "يوم الهلع"، للتعامل مع الموقف في حال حدوثه وإجراء اختبارات تحت الضغط بشكل متنظم لضمان نجاحه.
روب روبنسون رئيس الأمن العالمي في" تلسترا بيربل" Telstra Purple، وهي شركة استشارية يقول: "الوضع الأمثل هو قبل أي هجوم فيروسي أن تستثمر جميع المنظمات في بناء خطة رئيسة للاستجابة للأزمات مع توزيع أدوار ومسؤوليات محددة بوضوح تتوافق مع سيناريوهات مختلفة".