كيفية التفاوض مع المتسللين والفوز عليهم
بعد أن وقعت شركة Euler Finance ومقرها المملكة المتحدة، وهي منصة لإقراض العملات المشفرة، ضحية لسرقة إلكترونية بقيمة 197 مليون دولار، ساعدها المحامون في استرداد جميع الأموال في ثلاثة أسابيع.
لقد نجحوا لأن المجرمين ارتكبوا خطأً استراتيجيًا بدفع 100 ETH، أو Ether، إلى حساب معروف بأنه مرتبط بقراصنة من كوريا الشمالية. استخدم المحامون هذا كنقطة ضغط لتحذير الجناة من أنهم قد يواجهون أعمال انتقامية من الجهات الحكومية أو الجريمة المنظمة. وكان ذلك كافياً لإقناع المتسللين بإعادة الأموال.
في حين أن استرداد الأموال بهذه الطريقة أمر نادر للغاية، فإن ضحايا برامج الفدية يلجأون بشكل متزايد إلى المفاوضين – سواء كانوا فرق استجابة داخلية، أو شركات تأمين، أو شركات أمنية، أو محامين – لتقليل تكلفة الفدية، أو حتى تجنب دفعها تمامًا.
ولكن ما هو فن التفاوض بشأن برامج الفدية؟
تقول أماندا ويروب، الأستاذة المساعدة في الإدارة بكلية بابسون، والخبيرة في التفاوض وإدارة الصراعات: “يجب على المفاوضين طرح أسئلة مفتوحة لمحاولة حل المشكلات”. “على سبيل المثال، “ما الذي يتطلبه الأمر لحل هذا الوضع؟” وتقول: “إن أقوى المفاوضين يصممون نهجهم على أساس مصالح وأولويات الأطراف الأخرى”، مشيرة إلى أنه بالإضافة إلى المكاسب المالية، يسعى بعض مجرمي الإنترنت إلى الحصول على الاعتراف لتعزيز أجندة سياسية أو أيديولوجية.
انتشرت عمليات اختراق برامج الفدية – التي يقوم فيها مجرمو الإنترنت بتشفير أنظمة البيانات والمطالبة بدفع أموال مقابل إطلاقها – منذ تفشي جائحة فيروس كورونا، حيث أدى العمل عن بعد إلى تقليل الدفاعات السيبرانية.
لكن البيانات الصادرة عن مجموعة التكنولوجيا الأمريكية IBM تظهر أن المنظمات التي دفعت فدية لم تحقق سوى فرق بسيط في تكلفة الهجوم – 5.06 مليون دولار مقارنة بـ 5.17 مليون دولار – على الرغم من أن هذا لا يشمل تكلفة الفدية نفسها. وقال التقرير: “بالنظر إلى التكلفة العالية لمعظم طلبات برامج الفدية، فمن المرجح أن ينتهي الأمر بالمنظمات التي دفعت الفدية إلى إنفاق المزيد بشكل عام من تلك التي لم تفعل ذلك”.
يرى البعض – وخاصة أولئك الذين يعترضون على فكرة التفاوض مع المجرمين – أن دفع أموال للقراصنة لا يؤدي إلا إلى تشجيعهم واستمرار دائرة الجرائم الإلكترونية. ويشيرون إلى أن الضحايا، من خلال الدفع للمتسللين، يخاطرون بانتهاك العقوبات واللوائح الوطنية الأخرى، ويمكن أن يمولوا عن غير قصد خصمًا وطنيًا، أو نظامًا فاسدًا، أو عصابة جريمة منظمة، أو متاجرين بالبشر، أو إرهابيين.
ولا يضمن الدفع أن المتسللين سيفتحون الأنظمة أيضًا، أو أنهم لن يعودوا للمطالبة بالمزيد من المال. في الواقع، بعد أن أثبتت أعمال برامج الفدية أنها أكثر ربحية، يقول الخبراء إن مجرمي الإنترنت من روسيا وإيران وكوريا الشمالية طوروا استراتيجياتهم لانتزاع أكبر قدر ممكن من الأموال من الضحية.
يقول ديفيد هيغينز، المدير الأول لمكتب التكنولوجيا الميداني لمجموعة CyberArk لأمن المعلومات، إن بياناته تظهر أن المنظمات التي تعرضت لبرامج الفدية في عام 2023 دفعت عادةً مرتين على الأقل، مما يعني أنها كانت على الأرجح ضحايا لما يسمى بحملات الابتزاز المزدوج. هذه هي الهجمات التي لا يقوم فيها المتسللون بمنع الوصول إلى أنظمة الضحية عن طريق تشفير البيانات فحسب، بل يقومون أيضًا بسرقة البيانات، والتهديد بالإفراج عن معلومات حساسة فقط في حالة دفع فدية.
ينصح ماثيو روتش، رئيس مجتمع قادة الأمن السيبراني i-4 في شركة KPMG في المملكة المتحدة، قائلاً: “يجب أن يكون لدى الشركات خطة طوارئ إذا لم تؤدي مدفوعاتها إلى النتائج غير المشروعة التي وعدت بها”.
وتحظر بعض السلطات دفع الفدية ــ على سبيل المثال، منعت ولايتا نورث كارولينا وفلوريدا في الولايات المتحدة بشكل صريح الوكالات الحكومية على مستوى الولاية والوكالات المحلية من دفع الفدية للمتسللين.
لكن قد لا يكون أمام الشركات خيار كبير إذا كانت ترغب في البقاء واقفة على قدميها. يقول ويروب: “في الواقع، غالبًا ما تكون المفاوضات مع مجرمي الإنترنت ضرورية لتحقيق أقصى قدر من النتائج”. “يمكن أن يكون دفع الفدية هو أسرع طريقة لاستعادة البيانات واستئناف العمليات، خاصة إذا كانت الفدية أقل من التكاليف.”
وتقول إن فريق التفاوض يجب أن “يحدد الدوافع الكامنة وراء المتسللين” و”صياغة تحليل للتكلفة والعائد من خلال تحديد البدائل المتاحة لهم”. على سبيل المثال، يجب على الضحايا التحقق مما إذا كان لديهم نسخ احتياطية للبيانات، أو طرق أخرى للحصول على الخدمات الحيوية وتشغيلها.
يقول الخبراء إنه يجب على المفاوضين التعامل مع المتسللين عاجلاً وليس آجلاً لمنع التصعيد. يقول روتش: “إنهم يتوقعون أن يتم تجاهلهم وسوف يردون من خلال تصعيد تهديداتهم، والاتصال بالمسؤولين التنفيذيين، وتوجيه التهديدات عبر وسائل التواصل الاجتماعي، وزيادة الأعمال العدائية حتى يشعروا بأنه يتم الاستماع إليهم”.
ولكن، في حين قد يستخدم المتسللون ضغط الوقت لإجبار الضحايا على الدفع، يمكن للشركات أيضًا إبطاء العملية – مما يتيح لهم الوقت لاستعادة بياناتهم أو عملياتهم خلف الكواليس. يقول روتش: “قد تختار الشركات التفاوض في محاولة لإثارة التأخير بدلاً من مجرد تقليل مبلغ الفدية أو تجنب الدفع تمامًا”.
في النهاية، الضحية والمفاوضون هم الذين يحتاجون إلى تحديد كيفية قياس النجاح، كما يقول ويروب – سواء كان ذلك استعادة البيانات، أو تقليل الخسائر المالية والتعطيل، أو تقليل الضرر الذي يلحق بالسمعة.
“من المهم إنشاء . . . وهي نقطة لا يكونون مستعدين بعدها لمواصلة المفاوضات”.