فن التفاوض مع المخترقين والفوز عليهم
ساعد محامو منصة إقراض العملات المشفرة "أويلر فاينانس" ومقرها المملكة المتحدة المنصة على استعادة جميع أموالها خلال ثلاثة أسابيع، بعد أن وقعت ضحية لسرقة إلكترونية بقيمة 197 مليون دولار.
نجحوا في ذلك لأن المجرمين ارتكبوا خطأ استراتيجيا بإيداع 100 عملة إيثر في حساب يقال إنه مرتبط بمخترقين من كوريا الشمالية. استخدم المحامون ذلك وسيلة ضغط لتحذير الجناة بأنهم قد يواجهون أعمالا انتقامية من الجهات الحكومية أو الجرائم المنظمة. كان ذلك كافيا لإقناع المخترقين بإعادة المال.
في حين إن استعادة الأموال بهذه الطريقة نادرة جدا، إلا أن ضحايا برامج الفدية الخبيثة يلجأون إلى المفاوضين بازدياد - سواء كانوا فرق الاستجابة الداخلية أو شركات التأمين أو شركات الأمن أو المحامين - لتقليل تكاليف الفدية أو حتى تجنب دفعها بالكامل.
لكن، ما فن مفاوضات برامج الفدية الخبيثة؟
تقول أماندا وايرب، أستاذ مساعد في الإدارة في كلية بابسون، وخبيرة في المفاوضات وإدارة النزاعات، "على المفاوضين أن يسألوا أسئلة مفتوحة لمحاولة حل المشكلات. مثلا: ما الذي يتطلبه الأمر لحل هذا الموقف؟ يكيف أبرع المفاوضين نهجهم بناء على مصالح الأطراف الأخرى وأولوياتهم"، كما تقول، مشيرة إلى أنه إضافة إلى المكسب المادي، "يسعى بعض المجرمين الإلكترونيين إلى الاعتراف بهم"، لتعزيز أجندة سياسية أو أيديولوجية.
انتشرت اختراقات برامج الفدية الخبيثة - التي يشفر فيها المجرمون الإلكترونيون أنظمة البيانات ويطالبون بفدية لتحريرها - منذ جائحة فيروس كورونا، حيث قلل العمل عن بعد من الدفاعات الإلكترونية.
لكن تظهر البيانات من مجموعة التكنولوجيا الأمريكية آي بي إم أن المنظمات التي دفعت الفدية أمنت فرقا صغيرا فقط من تكلفة الهجوم - 5.06 مليون دولار مقارنة بـ5.17 مليون دولار - رغم أن هذا لا يتضمن تكلفة الفدية نفسها. "نظرا للتكلفة العالية لمعظم طلبات برامج الفدية الخبيثة، من المحتمل أن ينتهي الأمر بالمنظمات التي دفعت الفدية إلى إنفاق مال أكثر عموما من تلك التي لم تدفع"، كما ذكر التقرير.
يجادل بعضها - خاصة تلك التي تعترض على فكرة مفاوضة المجرمين - بأن الدفع للمخترقين يشجعهم فقط ويواصل سلسلة من الجرائم الإلكترونية. وتشير إلى أنه، بالدفع للمخترقين، يخاطر الضحايا بانتهاك العقوبات والتنظيمات الوطنية الأخرى، وقد يمولون خصما وطنيا أو نظاما فاسدا أو عصابة جرائم منظمة أو متاجرين بالبشر أو إرهابيين دون قصد.
كما لا يضمن الدفع أن المخترقين سيحررون الأنظمة، أو أنهم لن يعودوا للمطالبة بمزيد من المال. في الواقع، أثبتت أعمال برامج الفدية الخبيثة أنها مربحة، حيث طور المجرمون الإلكترونيون من عصابات خارجية استراتيجياتهم لاستنزاف أكبر قدر ممكن من المال من الضحايا، كما يقول خبراء.
يقول ديفيد هيجينز، كبير مديري مكتب التكنولوجيا الميداني لمجموعة أمن المعلومات سايبر آرك، "إن بياناته تظهر أن المنظمات التي تضررت من برامج الفدية الخبيثة في 2023 تدفع الضعف على الأقل عادة، أي من المحتمل أنهم كانوا ضحايا لما يسمى بحملات الابتزاز المزدوج". هذه الهجمات التي لا يحظر فيها المخترقون الوصول إلى نظام الضحية عن طريق تشفير البيانات فقط، بل يسرقون البيانات أيضا ويهددون بتسريب معلومات حساسة، إلا إذا تم دفع الفدية.
"يجب أن تكون لدى الشركات خطة طوارئ جاهزة في حال لم يسفر دفع الفدية عن النتائج التي وعدت بها"، كما ينصح ماثيو روتش، رئيس مجتمع قادة الأمن السيبراني، "آي-4"، في شركة كيه بي إم جي في المملكة المتحدة.
تحظر بعض السلطات دفع الفديات، فمثلا، حظرت ولايتا نورث كارولينا وفلوريدا الأمريكيتان الوكالات الحكومية والمحلية الدفع للمخترقين علنا.
لكن قد لا يكون للشركات خيار إذا كانت تريد الصمود. "في الواقع، غالبا ما تكون المفاوضات مع المجرمين الإلكترونيين ضرورية لمضاعفة النتائج. قد يكون دفع الفدية أسرع طريقة لاستعادة البيانات واستئناف العمليات، خاصة إذا كانت الفدية أقل من التكاليف"، كما تقول وايرب.
على فريق المفاوضات أن "يحدد دوافع المخترقين الأساسية ووضع تحليل للتكاليف والفوائد عن طريق تحديد بدائلها"، كما تقول. مثلا، "يجب أن يتحقق الضحايا مما إذا كانت لديهم نسخ احتياطية من البيانات أو طرق أخرى لتشغيل الخدمات المهمة".
وينبغي للمفاوضين التعامل مع المخترقين عاجلا غير آجل لتفادي التصعيدات، كما يقول خبراء. يقول روتش "إنهم "يتوقعون أن يتم تجاهلهم، لذا سيكون ردهم بتصعيد تهديداتهم ومكالمة المسؤولين التنفيذيين ورفع تهديدات على مواقع التواصل الاجتماعي وزيادة الأعمال العدائية حتى يشعروا بأنهم مسموعون".
لكن فيما قد يستخدم المخترقون ضغط الوقت لإجبار الضحايا على الدفع، يمكن للشركات أيضا إبطاء العملية، ما يعطيهم وقتا لاستعادة بياناتهم أو عملياتهم خلف الكواليس. "قد تختار الشركات التفاوض في محاولة للتأخير بدلا من مجرد تخفيض مبلغ الفدية أو تجنب الدفع بالكامل"، كما يقول روتش.
في النهاية، إن الضحية والمفاوض هما من عليهما تحديد كيف سيقيسان النجاح، كما تقول وايرب، سواء كان باستعادة البيانات أو تقليل الخسائر المالية وتعطل الأعمال، أو الحد من إلحاق الضرر بسمعتهما.
"من الضروري إيجاد (...) نقطة لا يكونون مستعدين بعدها لمواصلة المفاوضات"، كما تقول.