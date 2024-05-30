في مارس 2022، وقّعت إدارة بايدن قانون الإبلاغ عن الحوادث الإلكترونية للبنية التحتية الحيوية لعام 2022 (CIRCIA) (Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA)). ويُكلِّف هذا التشريع المحوري وكالة الأمن السيبراني وأمن البنية التحتية (CISA) بوضع وتنفيذ لوائح تُلزِم الكيانات المشمولة بالإبلاغ عن الحوادث الإلكترونية المشمولة ومدفوعات برامج الفدية.
تهدف تقارير الحوادث بموجب CIRCIA إلى تمكين CISA من القيام بما يلي:
وكما يُقال: "الشيطان يكمن في التفاصيل". في أوائل أبريل، نشرت CISA إشعار وضع القواعد المقترحة (NPRM) الواقع في 447 صفحة، تنفيذًا للصلاحيات الممنوحة لها بموجب CIRCIA. والوثيقة متاحة الآن لتلقي تعليقات الجمهور عبر السجل الفيدرالي.
بالنظر إلى CIRCIA وإشعار وضع القواعد المقترحة المنشور حديثًا، كيف يمكن أن يبدو الإبلاغ عن الحوادث المرتبطة بهجمات برامج الفدية في المستقبل؟ دعنا نكتشف ذلك.
وبحسب وكالة CISA، "برامج الفدية هي شكل من أشكال البرمجيات الضارّة التي تتطور باستمرار، صُمِّمت لتشفير الملفات على الأجهزة، مما يجعل هذه الملفات والأنظمة التي تعتمد عليها غير قابلة للاستخدام." ثم يطالب المخترقون بدفع فدية مقابل فكّ التشفير."
غالبًا ما تهدّد مجموعات برامج الفدية ببيع البيانات أو معلومات المصادقة المسروقة أو تسريبها إذا لم تُدفَع الفدية. أصبحت هجمات برامج الفدية أكثر انتشارًا بين الجهات الحكومية على المستويات الولائية والمحلية والقبلية والإقليمية (SLTT)، وكذلك بين مؤسسات البنية التحتية الحيوية.
يقترح إشعار وضع القواعد المقترحة (NPRM) الصادر عن وكالة الأمن السيبراني وأمن البنية التحتية (CISA) أربعة أنواع من الآثار يترتّب عليها تصنيف الحادث باعتباره حادثًا إلكترونيًا كبيرًا، وبالتالي يصبح واجب الإبلاغ. تشمل أنواع التأثير الأربعة ما يلي:
وتقترح وكالة الأمن السيبراني وأمن البنية التحتية (CISA) كذلك اعتبار أي حادث إلكتروني جسيم حادثًا واجب الإبلاغ عنه، بغض النظر عن سببه، سواء ارتبط بهجوم برامج فدية أم لا. وقد يشمل ذلك اختراق مزوّد خدمة سحابية أو مقدمو خدمات مُدارة أو مزوّدًا آخر لاستضافة بيانات تابعًا لطرف ثالث، أو اختراقًا في سلسلة التوريد، أو هجومًا لحجب الخدمة، أو هجوم برامج فدية، أو استغلال الثغرات الأمنية الفوري (Zero-day vulnerabilities).
وتُلزِم CIRCIA الكيانات الخاضعة لها بإبلاغ CISA عن أي حادث إلكتروني مشمول خلال فترة لا تتجاوز 72 ساعة من الوقت الذي يتكوّن لديها فيه اعتقاد معقول بوقوع ذلك الحادث.
أما مدفوعات الفدية التي تُسدّد استجابةً لهجوم برامج فدية فيجب الإبلاغ عنها خلال 24 ساعة من تاريخ دفع الفدية. من الواضح أن CIRCIA تضع هجمات برامج الفدية في صدارة أولويات الإبلاغ.
فيما يخص الإبلاغ عن هجمات برامج الفدية، يحدّد إشعار وضع القواعد المقترحة (NPRM) الصادر عن CISA أربع خطوات رئيسية:
وتوضح CISA كذلك أن مرور الوقت لا يُسقِط واجب الإبلاغ. على سبيل المثال، إذا اكتشفت شركتك أنها تعرّضت لحادث إلكتروني قبل عامين ولا تزال آثاره قائمة حتى الآن، فسيظل لزامًا عليك تقديم تقرير عن حادث إلكتروني مشمول بموجب القاعدة المقترحة، لأن الحادث لم ينتهِ بعد ولم تُعالَج آثاره بالكامل.
وبحسب CISA، تُستثنى من الحوادث الواجب الإبلاغ عنها "أي واقعة يُرتكَب فيها الحادث الإلكتروني بحسن نية من جانب كيان استجابةً لطلب محدّد من مالك نظام المعلومات أو مشغّله".
ما المقصود تحديدًا بحالات "حسن النية"؟ قد يكون ذلك، مثلًا، مزوّد خدمة تابعًا لطرف ثالث يعمل في إطار عقدٍ قائم، لكنّه يعيد تهيئة أجهزة الشركة عن غير قصد بطريقة خاطئة تؤدي إلى انقطاع الخدمة. ومثال آخر على ذلك اختبار اختراق مُعتمَد أُجري على نحوٍ صحيح، لكنه يتسبّب عن غير قصد في حادث إلكتروني ذي آثار فعلية.
ومن صور الاستثناءات بحسن النية الحوادثُ المرتبطة باختبارات البحث الأمني. قد يكون قد تم الترخيص للباحثين بمحاولة اختراق الأنظمة، مثلًا بموجب سياسة الكشف عن الثغرات الأمنية أو ضمن برامج مكافآت الإبلاغ عن الثغرات الأمنية (bug bounty programs).ومع ذلك، تتوقّع وكالة الأمن السيبراني وأمن البنية التحتية (CISA) أن تظل هذه الاستثناءات حالات نادرة. فعادةً ما يتوقّف البحث الأمني بحسن النية عند إثبات وجود الثغرة، ولا ينبغي أن ينتهي في الظروف العادية إلى حادث فعلي ذي أثر كبير.
في بعض الحالات، قد يقرّر كيانٌ مشمول، استجابةً لهجوم حقيقي ببرامج الفدية أو لحادث ضارّ آخر، اتخاذَ إجراء على مستوى أنظمته ذاتها، ما يفضي إلى آثار تبلغ مستوى الحوادث الواجب الإبلاغ عنها، مثل إيقاف الأنظمة أو توقّف العمليات. فعلى سبيل المثال، قد تلجأ ضحية لهجوم "برامج الفدية كخدمة" (Ransomware-as-a-Service) إلى ذلك لتفادي اتّساع نطاق آثار الهجوم الإلكتروني. ويظل هذا السيناريو مصنَّفًا كحادث إلكتروني جسيم واجب الإبلاغ.
في مثل هذه الحالة، لا يُعَدّ الحادث نفسه واقعًا في إطار "حسن النية"، كما أن هذه الآثار الجسيمة ما كانت لتحدث لو لم يقع الهجوم أصلًا. لذلك، لا ترى CISA أن تصرّفات الكيان المشمول في هذه الحالة تندرج تحت استثناء "حسن النية". ومن الواضح أن الكيان المشمول تسبّب عن قصد في حدث مؤثّر (مثل إيقاف الأنظمة عن العمل) في محاولة للحد من الأضرار المحتملة للحادث الإلكتروني. ومع ذلك، لا يُعفي هذا النوع من الإجراءات من متطلبات الإبلاغ.
ولا تزال المناقشات حول متطلبات الإبلاغ عن هجمات برامج الفدية مستمرة. ومع بقاء حتى الكيانات ذات المرونة الإلكترونية العالية معرّضةً للمخاطر، ستكون النتائج النهائية لتنظيم CIRCIA محلَّ اهتمام ومتابعة من جميع الأطراف.
