لو كنت قد استطلعت آراء خبراء الأمن السيبراني في طريقهم إلى العمل في 12 مايو 2017، لقال معظمهم إنهم يعلمون أن حدثاً كبيراً في الأمن السيبراني يلوح في الأفق.
ومع ذلك، لم يتوقع أحد في ذلك اليوم أنهم كانوا يسيرون في ذلك اليوم في مواجهة عاصفة مثالية - في شكل فيروس الفدية WannaCry، وهو أكثر الهجمات الإلكترونية ضررًا حتى الآن - عندما سافروا بالسيارة أو التدريب أو العبّارة إلى مكاتبهم في ذلك الصباح الربيعي.
أصبحت أجهزتنا وأنظمتنا وشبكاتنا مترابطة أكثر فأكثر - مما يعني أن الفيروسات يمكنها الحركة بسهولة أكبر بكثير بين الأنظمة مما كانت عليه في الماضي. ولكن في ظل عدم وجود حدث كبير في الذاكرة الحديثة، أصبح معظمنا (حتى صحفي الأمن السيبراني مثلي) راضين بعض الشيء. عندما جمعت هذه العوامل مع عدد الأجهزة والأنظمة النشطة، كانت المرحلة جاهزة.
كان هجوم برامج الفدية الخبيثة هذا أكبر حدث في مجال الأمن السيبراني شهده العالم على الإطلاق، ويرجع ذلك جزئيًا إلى أن تأثيره كان أوسع نطاقًا من تفشي المرض نفسه. وقد أحدث ذلك هزات ارتدادية هائلة في الشركات والسياسة ومجتمع القراصنة وثقافة الأمن السيبراني.
حتى بعد العثور على مفتاح الإيقاف، استمر الفيروس في تدمير كل نظام وكل البيانات التي لمسها — مهاجماً أنظمة كمبيوتر لعدد 300 مؤسسة في 150 الدولة.
عانت روسيا من أكبر عدد من محاولات الإصابة من أي دولة في العالم، وفقًا لشبكة BBC. ومع ذلك، لم تتأثر معظم خوادم المهام الحساسة، حيث كانت تعمل ببرنامج من الحقبة السوفيتية يعرف باسم Elbrus. ومع ذلك، فإن المناعة التقنية لم تمنع الفيروس من الانتشار إلى أجهزة الكمبيوتر في جميع أنحاء الدولة. أزال نقاط النهاية في وزارة الداخلية، والسكك الحديدية، والبنوك، وشركة Megafon للهواتف المحمولة.
لقد تركتني تغطية WannaCry المباشرةً مبهورًا ومليئًا بالأسئلة، حتى بعد مرور سنوات. كلما أصبح الهجوم موضوعًا للمحادثات على مدار السنوات الثلاث الماضية، سمعت نفس الموضوع يتكرر: لقد كان هجوم WannaCry ساحقًا وغيّر الطريقة التي نتعامل بها مع الأمن السيبراني وننظر بها إلى المخاطر التي تتعرض لها الشركات.
بالنسبة لي، كان هذا الشعور واسعًا جدًا بالنسبة لحدث بهذا الحجم. كان لدي أسئلة محددة. كيف كانت تجربة العمل في مجال الأمن يوم 12 مايو 2017؟ ما هو التأثير الإجمالي على الشركات والحكومات في جميع أنحاء العالم؟ كيف شكل ما تعلمناه في ذلك اليوم مشهد الأعمال والتكنولوجيا والأمن السيبراني الحالي؟
وتساءلت أيضًا كيف غيّر العالم أجمع بمشاهدة الحدث - من خلال وسائل التواصل الاجتماعي والمواقع الإخبارية الرقمية - كل من الاستجابة والتأثير العام. وشاهد قادة الأعمال والأفراد التغطيات الإخبارية، ولم يكن أحد يعرف بالضبط ما كان يحدث. اتفق الجميع تقريبًا على أن الأمر بدا مشؤومًا. كنت أتساءل أيضًا عما إذا كان هذا قد زاد من حالة الذعر العام أو ساعد في حل المشكلة بشكل أسرع.
"لا يزال حدثًا كبيرًا. حيث يُنظر إليه على أنه الشيء الذي لم تكن المؤسسات مستعدة له. لقد كان ذلك بمثابة جرس إنذار جيد للكثير من الشركات"، كما تقول Tracey Nash، مديرة برنامج IBM X-Force Incident Command Program. تعتبر Nash يوم 12 مايو 2017 بمثابة اللحظة التي علمت فيها المؤسسات أنها بحاجة إلى التفكير في الجانب التجاري لمخاطر الأمن السيبراني.
ولمعرفة ما حدث بالضبط - والأهم من ذلك، لماذا ترك WannaCry حفرة في المشهد - تحدثت إلى اللاعبين الرئيسيين الذين استجابوا للهجوم. إحدى الشخصيات التي قضيت معها ساعات طويلة تتحدث كانت Wendi Whitmore، نائبة رئيس IBM X-Force Threat Intelligence كما تحدثت مع Christopher Scott، مدير الابتكار الأمني والمعالجة (مكتب CISO) في IBM، للحصول على وجهة نظره حول أحداث ذلك اليوم والتعافي بعد هجوم فيروس WannaCry.
تروي هذه القصة رحلة اكتشاف ما حدث بالفعل في تلك الأيام الفوضوية منذ ثلاث سنوات، وكيفية استمرار تأثير WannaCry وإرثه حتى يومنا هذا.
علم العديد من الأشخاص — حتى المتخصصون الرائدون في مجال الأمن السيبراني — بالهجوم لأول مرة من خلال تغريدة. وكان أحد أطباء نظام الخدمة الصحية الوطنية في المملكة المتحدة (NHS) من بين أوائل الذين نشروا الخبر على Twitter حول الهجوم الضخم. وتبع ذلك عدد لا يحصى من الزملاء الذين عرضوا صورًا لشاشات أجهزة الكمبيوتر المقفلة، والتي تحمل جميعها الرسالة نفسها: "عفوًا، تم تشفير ملفاتك!"
في ذلك الوقت، لم يكن لدى موظفي هيئة الخدمات الصحية الوطنية (NHS) أي فكرة عن أن الهجوم سيؤدي في نهاية المطاف إلى إصابة 70000 جهاز وإغلاق ثلث مستشفيات هيئة الخدمات الصحية الوطنية. كان تأثير WannaCry على الخدمات الصحة الوطنية والمستشفيات الأخرى حول العالم دليلًا على أن الجرائم الإلكترونية يمكن أن تلحق الضرر بعصر إنترنت الأشياء الطبية (IoMT). لحسن الحظ، أثبت باحثو السلامة السريرية بشكل قاطع أن فوضى الدودة المشفرة لم تؤد إلى وفاة أي مريض.
حتى أولئك الذين لم يكونوا يستخدمون أجهزة الكمبيوتر الخاصة بهم عرفوا بسرعة كبيرة أن شيئًا كبيرًا كان يحدث:
طلب على عملة البيتكوين ظهر على اللوحات الرقمية التي تعلن عن وصول ومغادرة القطار في ألمانيا.
وقد ظهرت هذه الصياغة بالضبط على عشرات شاشات السينما في كوريا الجنوبية.
في جاكرتا، إندونيسيا، انتظر المرضى في المستشفيات لعدة ساعات بينما كان الأطباء يتحولون من أنظمة الكمبيوتر إلى السجلات الورقية.
تقول Whitmore، التي عملت آنذاك كشريكة عالمية وقائدة للاستجابة للحوادث مع X-Force Threat Intelligence، إن تقريباً بمجرد بدء الهجوم، بدأ فريقها بحك رؤوسهم ويقول بصوت عال: "هذا غريب."
على وجه التحديد، كان فريق Whitmore يعلمون أنهم يواجهون شيئًا مختلفًا عندما اكتشفوا أنه من المستحيل حرفياً تحرير الملفات المصابة. ولم توفر برامج الفدية الضارة طريقة للمتسللين لمعرفة من دفع الفدية.
كانت إحدى أولوياتها الأولى الحصول على نسخ من البرنامج الضار. كانت تعلم أنه لا يمكنك إيقاف شيء ما حتى تعرف كيف يعمل بالضبط. لكن الحصول على النسخ وتقسيمها كان أمرًا صعبًا، خاصةً تحت ضغط معرفة العالم الذي توقف بسرعة.
كان WannaCry أسرع هجوم للجرائم الإلكترونية انتشارًا على الإطلاق. قد تقع أجهزة الكمبيوتر المتصلة بالإنترنت التي لم يتم إصلاحها بعد ضحية لذلك في غضون دقائق وتبدأ في نشر الدودة بسرعة عبر الشبكة. تصف العديد من الأخبار فرق تكنولوجيا المعلومات وهي تحاول احتواء الأضرار بينما يقوم زملاؤهم بتشغيل أجهزة الكمبيوتر الخاصة بهم.
عندما سألت Laurance Dine، القائد العالمي في X-Force Threat Intelligence (الذي كان يعمل آنذاك لدى مقدمي الخدمات المُدارة)، عن أكبر ذكرى لديه في ذلك اليوم، قال إنها كانت أن الهاتف يرن باستمرار. كان كل شخص على الطرف الآخر عميلاً مذعوراً يحتاج إلى المساعدة. ولخّص اليوم بأنه "جنون مطلق".
سرعان ما وجد فريقه بأكمله — بما في ذلك خبراء أمن آخرين لم يكونوا ضمن فريق الاستجابة للحوادث — يتم نشره في الخطوط الأمامية.
"لقد انتهى الأمر في كل شيء وشعرت أن الجميع متورطون. يقول Dine: "المواطن العادي كان يعرف ما كان يحدث مع برامج الفدية". "لقد فهموا الأخبار وما يحدث، ولم يتمكنوا من الذهاب إلى المستشفيات، وتأثرت حياة الناس بذلك".
وطوال اليوم، ألغى العاملون في مجال الاستجابة للحوادث خططهم بشكل جماعي وتحولوا لقضاء نهاية أسبوع طويلة من العمل الشاق. كان الجميع يشاهدون الشركات العالمية مذهولة في أعقاب فيروس WannaCry.
ما لم يكن يعرفه أي منا في ذلك الوقت هو أن دودة التشفير التي تدمر كل نظام لمسته كانت في الواقع من ثغرة عمرها شهران تُعرف باسم EernalBlue. بمجرد أن يتمكن "Wanna Decryptor" من إصابة جهاز واحد على شبكة واحدة، بدأ WannaCry في الانتشار إلى أجهزة كمبيوتر أخرى على الشبكة نفسها أثناء فحص الإنترنت بحثًا عن أجهزة أخرى لم يتم تصحيحها. تركت الثغرة الأمنية، التي استغلت من قبل EeralBlue، أجهزة Windows التي لم يتم تصحيحها بعد، عرضة للعدوى ونشر فيروس WannaCry.
يمكن عادةً اكتشاف أشكال التشفير بسرعة على شبكات المؤسسات. لكن WannaCry ظل تحت المراقبة - حتى لم يحدث ذلك. الكشف هو شيء يحاول العديد من عناصر التهديد المركّبة تجنبه بأي ثمن، خاصة أثناء هجوم مستهدف للغاية، لكن WannaCry لم يكن هجوما مستهدفاً. لقد كان هجومًا عالميًا مخططًا له بعناية تم تصميمه لجذب أكبر قدر ممكن من الاهتمام، وهو ما حدث بالضبط.
ويوضح سكوت أنه في كثير من الحالات تم تمكين الانتشار أيضًا من خلال ما يسميه "شبكة M&M". وفي مثل هذه الحالة، تكون بنية الشبكة قاسية من الخارج ولينة من الداخل. كان هذا تصميمًا داخليًا ترحيبيًا لعناصر التهديد الفاعلة والديدان المشفرة. يشير إلى أنه بمجرد أن تجاوزت دودة التشفير القشرة الصلبة على الحافة، وجد WannaCry حرية كبيرة في الحركة في البيئة.
على مدى الساعات السبع التالية، أحدثت "الدودة الكبيرة اللزجة" دماراً عالمياً حتى اكتشف الباحثان في الأمن السيبراني Marcus Hutchins وJamie Hankins مفتاح إيقاف. تم اكتشاف مفتاحين إضافيين للإيقاف، مما أدى في النهاية إلى جعل سلالة برامج الفدية خاملة في الغالب.
لكن عملية المعالجة الطويلة كانت قد بدأت للتو لعدد 300 مؤسسة حول العالم، ولم يكن أي منا يدرك مدى الضرر وعملية المعالجة المطلوبة لإصلاح ذلك. كنا لا نزال في منطقة غير معروفة، بما في ذلك فريق Scott الذي كان يسرع لتطبيق إصلاح.
"كنت بحاجة إلى إعادة تلك البيئات إلى القدرة التشغيلية،" يقول Scott. "ولكن كيف يمكننا إجراء الاختبار للتأكد من أن الإصلاح مناسب؟ كيف نتجاوز قبول المستخدم؟ "وبعد ذلك، كيف يمكننا نقل ذلك إلى الإنتاج؟"
في الكثير من الحالات، كان على فريق Scott تجاوز عمليات الاختبار التقليدية والخوض في خطر أن يؤدي الاندفاع إلى "كسر بعض الأشياء". لم يقدم WannaCry خيارات بالضبط للأشخاص، والذي كان أحد الأسباب الرئيسية للدمار الشامل في أعقابه.
يعرف معظم محترفي الأمن السيبراني أن WannaCry لم يحقق نجاحًا ماليًا كبيرًا، وتظهر البيانات المتعلقة بصافي أرباحه أنها كانت أقل بكثير مما كان متوقعًا. تكشف سجلات سلسلة الكتل أنه في الفترة ما بين مايو 2017 وديسمبر 2019، حققت WannaCry للمهاجمين ما مجموعه حوالي 386000 دولار أمريكي، على الرغم من أن المجموع يتقلب مع تقييم البيتكوين. وهذا يُعدّ 1.08 دولارًا أمريكيًا أو أقل لكل جهاز كمبيوتر مصاب.
مقارنةً بفيروسات البريد الإلكتروني السابقة بكثير، من حيث الدولارات فقط، كانت صفقة رابحة تقريبًا. وقدّرت شركة Symantec خسائر مالية بقيمة 4 مليارات دولار في عام 2018 بسبب WannaCry، وهو رقم أعلى على الأرجح اليوم. تسبب فيروس Conficker في أضرار تزيد عن 9.1 مليار دولار أمريكي في عام 2007 وأصاب الملايين من أجهزة الكمبيوتر في جميع أنحاء العالم. في عام 2004، تسببت MyDoom في أضرار بلغت قيمتها حوالي 38 مليار دولار أمريكي وأثرت على حوالي 25% من رسائل البريد الإلكتروني المرسلة على مدار العام.
كان الهدف من هذه الدودة المشفرة إحداث الكثير من الضوضاء بدلاً من الربح من هدف واحد. استفاد عناصر التهديد التي تقف وراء WannaCry بشكل خاص من برنامج المحاسبة الضريبية الأوكراني — وهو برنامج فرضته الحكومة على أي مؤسسة تجارية تعمل في أوكرانيا، وفقا لما ذكره Dine. من خلال نشر تحديث للبرمجيات، تمكّنت عناصر التهديد من تدمير جزء كبير من البنية التحتية الوطنية الأوكرانية على طول الطريق.
إن الغالبية العظمى من الجرائم الإلكترونية ذات دوافع المالية. من النادر مواجهة أحد برامج الفدية الضارة المصممة لإحداث دمار شامل مع القليل من الاهتمام بالحصول على فدية فعلية.
عندما سُئلت عما كانت تعتقد أنه أهم جزء في WannaCry، أجابت Whitmore أن كل شيء كان مهمًا.
تقول ويتمور: "لقد كانت بالتأكيد مكالمة تنبيه كبيرة". "لذا، بالنسبة لأي مؤسسة رأت هذه التكتلات العالمية... التي لديها برامج وبروتوكولات أمنية جيدة تأثرت [بالفيروس]، فقد أدى ذلك إلى زيادة الوعي."
وتقول إن الحملات الأكثر استهدافًا أصبحت أكثر شيوعًا في أعقاب WannaCry. على الرغم من أن الهجمات ليست دائماً ضد عميل واحد، إلا أن عنصر التهديد قد يرسل العديد من رسائل البريد الإلكتروني للتصيد الاحتيالي ويتمكن من الوصول إلى 10 عملاء. ومن هناك، ترى أن عنصر التهديد يقضي من ستة إلى اثني عشر شهراً في الاستطلاع الدقيق على الأهداف المحتملة مع تجنب الكشف داخل الشبكة.
وفي نهاية المطاف، كما يقول Whitmore، يقوم المهاجمون بإطلاق برامج الفدية الضارة في الأماكن التي يعلمون أو يرجحون أن فرصتهم في تحصيل الأموال منها ستكون أكبر.
ربما يكون WannaCry مسؤولاً جزئيًّا على الأقل عن ناقل التهديدات الحالي والشعبية المتزايدة لهجمات برامج الفدية التجارية. شكلت برامج الفدية 39% من جميع حوادث البرمجيات الخبيثة التي شهدت فقداناً للبيانات في عام 2017، وفقًا لتقرير تحقيقات اختراق البيانات لعام 2018 (DBIR). ومنذ ذلك الحين، تحولت الهجمات لتصبح أكثر تطورًا وأشد تكلفة بكثير على الضحايا. غالبًا ما تكون برامج الفدية التجارية أيضًا قادرة جدًا على التهرب من طرق الكشف.
العديد من المؤسسات المتأثرة كان لديها نسخ احتياطية للبيانات، لكنها لم تكن دائما قابلة للاسترداد. في العديد من الحالات، كانت النسخ الاحتياطية متصلة بالشبكة ومعرضة لأن يتم إغلاقها بواسطة WannaCry. وفي حالات أخرى، كان لدى المؤسسات نسخ احتياطية خارج الموقع ولم تختبرها لسهولة الاسترجاع.
كانت حادثة برامج الفدية المشفرة في مايو 2017 نقطة تحول للمشهد. كان لفيروس WannaCry تأثير إيجابي على ثقافة الأمن السيبراني في الشركات، ولكنه أيضًا رفع برمجيات الفدية الخبيثة إلى مستوى وعي عناصر التهديد العالمية. العديد من عناصر التهديد من خلال برامج الفدية التجارية الآن تجري البحث حول قيمة بيانات الضحية إذا فقدت أو بيعت لمنافس.
مثال على ذلك: شهدت Whitmore للتو هجوم برنامج فدية ضد مؤسسة في الأسابيع الستة الماضية. "المهاجمون طلبوا 25 مليون دولار كفدية. تقول Whitmore: "لم تكن هذه شركة ضخمة بأي حال من الأحوال.
قبل WannaCry، كان يبدو أن معظم قادة المؤسسات لديهم موقف "لا يمكن أن يحدث ذلك لنا"، خاصةً خارج مجال الرعاية الصحية. الآن، عندما أتحدث عن برامج الفدية، يستمع الناس إليها. غالباً ما يكون قادة المؤسسات أول من يطرح موضوع برامج الفدية معي ومع خبراء الأمن السيبراني. من وجهة نظري، كان أحد أهم التأثيرات الناجمة عن صدمة ودمار WannaCry هو الطريقة التي أدركت بها قيادة المؤسسات أن برامج الفدية الضارة كانت تهديدًا حقيقيًا.
كما كان للحدث تأثير عميق على دور الأمن السيبراني داخل المؤسسات ودور المديرين التنفيذيين للأمن السيبراني في مجلس الإدارة. تدرك القيادة الآن أنك يمكن أن تتعرض لاختراق إلكتروني كبير وأن ينتهي بك الأمر بشكل أفضل من منظور السمعة.
تُظهر إحدى العلامات التجارية اللوجستية الموجودة في الاتحاد الأوروبي كيف أنها عانت من أضرار طفيفة في سمعتها من WannaCry. تحدث الرئيس التنفيذي مباشرة إلى الجمهور والعملاء في الأيام التي تلت الهجوم. كان الجمع بين الدودة المشفرة والرئيس التنفيذي الواثق والمتواصل خطوة أولى حساسة نحو ثقافة أمن سيبراني مؤسسية قائمة على المسؤولية المشتركة.
جاء عدد لا يحصى من المقلدين والهزات الارتدادية بعد هجوم WannaCry الأول. وقد كشفت شركة ESET في مايو 2020 أن WannaCry استحوذت على 40.5% من جميع عمليات كشف برامج الفدية في الربع الأول من عام 2020. لا تزال بعض البلدان تتأثر بشكل غير متناسب بهزات WannaCry الارتدادية لأن مزودي خدمات الإنترنت الرئيسيين يحجبون نطاقات مفتاح الإيقاف. ترجع بعض هذه الإصابات المستمرة إلى ممارسات السلامة الإلكترونية السيئة. تستمر عدوى أخرى في نقاط نهاية غير تقليدية يصعب على العديد من المؤسسات اكتشافها، ناهيك عن إدارتها.
من الصعب تحديد ما إذا كانت المؤسسات ستكون أكثر استعدادًا لهجوم الدودة المشفرة العالمية في عام 2020 مما كانت عليه في عام 2017. ومع ذلك، يتفق معظم الخبراء الذين تحدثت معهم على أن العنصر البشري في الأمن السيبراني قد تطور بشكل كبير، مما يجب أن يمنح محترفي الاستجابة للحوادث أملاً.
ومع ذلك، وفقًا لـ ESET، كشفت البيانات الواردة من محرك البحث Shodan أن ما يقرب من مليون جهاز لا يزال ضعيفًا وغير مُصَحَّح ضد ثغرة EernBlue اعتبارًا من مايو 2019. لم يكن هناك اختلاف كبير في هذا الرقم منذ أواخر مايو 2017، وهو أمر مقلق للغاية.
أظهر استطلاع حديث أن 27% من المؤسسات العالمية نسبت حادثة اختراق أمن البيانات إلى ثغرات غير مصححة. الأمر الأكثر إثارة للقلق هو أن نسبة كبيرة منهم ليس لديهم فكرة كافية عن نقاط النهاية على شبكتهم التي تشكل مخاطر. وفي الوقت نفسه، تعترف 39% من المؤسسات بأنها تجري عمليات فحص الثغرات الأمنية أقل من مرة واحدة في الشهر. وفقًا لـ CA Veracode، تظل أكثر من 70% من الثغرات الأمنية دون إصلاح بعد 30 يومًا.
بلغت تكلفة الاسترداد من هجوم مدمر للغاية 239 مليون دولار أمريكي، أو زيادة بمقدار 61 مرة عن متوسط تكلفة الحادثة التي تنطوي على فقدان البيانات.
شهد Scott تغييرات إيجابية كبيرة في كيفية تعامل المؤسسات مع البيئات ونقاط التحكم لتجنب ظروف "قشرة الحلوى الصلبة" التي سمحت للدودة بالانتشار بسرعة كبيرة. العملاء الآن يفكرون في النقل بالحاويات والخدمات المصغرة بدلاً من توفير أهداف الشبكة الناعمة واللزجة للمهاجمين التي كانت شائعة في 2017 وما قبلها. قد يكون هذا مرتبطًا جزئيًّا بفيروس WannaCry، ولكن من المحتمل أيضًا أن يكون ذلك بسبب حقيقة أن حدود شبكة المؤسسة قد تغيرت.
في شبكات اليوم، ليس من غير المألوف أن تصادف العديد من الخوادم التي قد لا تتمكن من الوصول إلى محطات العمل. بدلاً من ذلك، يمكن للمستخدمين الوصول إلى البيانات السحابية عبر الوكلاء. تضيف السحابة الآمنة بعض التعقيد لسياسات الأمان وتعقد بعض سير العمل، لكنها أيضاً حسنت وضعية الأمان في نواح عديدة. العزلة التي تستند إلى السحابة تعني أن المؤسسة لم تعد تعمل على شبكة واحدة كبيرة.
وقد أثر التحول عن الشبكات الناعمة بالأمس أيضًا في امتيازات المستخدم. ويرى Scott هذا الأمر على أنه عامل إيجابي كبير في الدفاع ضد التهديدات المستمرة المتقدمة (APTs) والحسابات المميزة. الأهم من ذلك أن العديد من المؤسسات تتحول إلى نماذج الوصول القائمة على الثقة والحاجة بدلاً من تعيين مستخدمين فائقين وإعادة هيكلة الامتيازات.
ومع ذلك، بعد مرور ثلاث سنوات على فيروس WannaCry، وصلت تكلفة التعافي من برامج الفدية الضارة ونقاط المراقبة المتقدمة (APT) إلى أعلى مستوياتها على الإطلاق. وهذا أمر مقلق للغاية. في العام الماضي، بلغ متوسط تكلفة الاسترداد من اختراق أمن البيانات 3.92 مليون دولار أمريكي، وفقاً لتقرير تكلفة خرق البيانات لعام 2019. بلغت تكلفة الاسترداد من هجوم مدمر للغاية 239 مليون دولار أمريكي، أو زيادة بمقدار 61 مرة عن متوسط تكلفة الحادثة التي تنطوي على فقدان البيانات.
أصبحت عناصر التهديد أكثر جرأة وحساباً في المطالبة بالمبلغ الدقيق الذي يعتقدون أنه يمثل قيمة بيانات الضحية. لا تهدف برامج الفدية التجارية في عام 2020 إلى الانتشار الفيروسي عبر الشبكات أو استهداف مئات الآلاف من نقاط النهاية غير المصححة. بدلاً من ذلك، تستهدف عناصر التهديد الشركات التي من المحتمل أن تدفع فدية بالملايين.
يركز عنصر التهديد على الضحايا للتأكد من اقتحامهم لجميع الأنظمة المناسبة لخلق بيئة من الرعب، وغالباً ما يصلون إلى خوادم النسخ الاحتياطي لمحاولة إجبار ضحيتهم على دفع الفدية.
كان التعاون المتزايد أحد أكثر التأثيرات إيجابية في السنوات الثلاث الماضية. ربما كان WannaCry بمثابة حافز لمزيد من التعاون بين الصناعات والقطاع العام وصناع السياسات الدوليين.
لقد تحدثت مع Mike Barcomb، مدير البرامج في X-Force Incident Command، للتعرف على وجهة نظره حول التغيير.
"كان تركيز الشركات على بناء برامج [الاستجابة للحوادث] هذه، وأيضاً للعمل جنباً إلى جنب مع نظرائها والشركات الأخرى في المجال،" يقول Barcomb. "يبنون الطاقة حيث يمكنهم مشاركة أفضل الممارسات ومعلومات التهديد حول عناصر التهديد — أشياء رأوها، وأشياء مروا بها.
العنصر البشري في الجاهزية لا يقل أهمية عن الجاهزية التكنولوجية لضمان السلامة السيبرانية المناسبة، كما يقول Kurt Rohrbacher، رئيس IBM X-Force Threat Intelligence North American. إن أفضل طريقة يمكن للمؤسسة أن تكون مستعدة لأي حادث عالمي هي التفكير في ما يحدث عندما تفشل الضوابط، والنظر في وزن كل قرار.
يقول Rohrbacher: "لا يفكر الناس كثيرًا في كيف أن الساعات الأولى من الحادث غالبًا ما تُحدد ما إذا كنت ستتعامل معه ليوم أو أسبوع أو شهر أو في بعض الحالات لمدة عام. إن تحديد الخطوات التي ستتخذها في وقت مبكر جدًا من الحادث سيُحدد مدى نجاح أو فشل استجابتك النهائية".
لقد كان لهذه العبارة صدى كبير في نفسي لأننا غالبًا ما نستهين بتأثير التوتر والذعر على قدرتنا على صناعة القرار. يمكن لهذه القرارات التي تبدو صغيرة أن تصنع الفارق بين ملايين الدولارات وسنوات من التعافي أو أشهر.
أخبرني Scott أنه يشعر بالأمل عندما يرى بداية التحول في مؤشرات الأداء الرئيسية (KPIs)، وهو المجال الذي يشعر بشغف خاص تجاهه. وغالبًا ما يسأل فريقه "كيف يمكننا تتبع الأشخاص وتحفيزهم حقًا للقيام بالعمل بشكل صحيح؟"
في حالة محللي مركز العمليات الأمنية (SOC)، قد تكون المقاييس التي تركز على سرعة الحل والأطر الزمنية غير مجدية. يمكن أن ينحرف محللو مركز العمليات الأمنية (SOC) عن مسارهم إذا كانوا يعملون في بيئة تركز بشكل كبير على الكفاءة. وقد يغلقون التذاكر قبل الانتهاء من التحقيق ويفوتون الصورة الأكبر - مثل نقطة التسلل في الهجوم.
قد لا تتحسن عادات السلامة السيبرانية والتصحيحات في المجال بشكل ملحوظ منذ مايو 2017، لكن معظم الخبراء يتفقون على أننا سنكون أكثر استعداداً اليوم مما كنا عليه من قبل، حتى خارج المؤسسات التي واجهت هجمات فدية بالفعل. يتعلق الأمر بالتحول في العنصر البشري للأمن السيبراني.
يضحك Rohrbacher ضحكة مكتومة عندما أسأل كيف تستعد الشركات وخبراء الأمن السيبراني للأمور غير المتوقعة. يهز كتفيه ويقول: "حسنًا، لا يوجد شيء مثل الشيء الحقيقي".
وأخبرني أن حادثة حقيقية، مثل WannaCry، تزيد من الوعي والاستعداد. بعيداً عن ذلك، يتفق تقريباً جميع الخبراء الذين تحدثت معهم على أن المحاكاة ضرورية، تماماً كما أن تمارين الطاولة الفصلية واختبارات أدوات التواصل المنتظمة ضرورية لبناء ذاكرة العضلات.
وأشار إلى محاكاة التصيد الاحتيالي وأنشطة النطاق السيبراني كطريقتين يمكن للمؤسسات من خلالها الاستعداد للنتائج غير المتوقعة. يقول روهرباشر إنه إذا كان التمرين أو التدريب يجذب الأشخاص حقًا إلى الموقف ويشجعهم على قضاء وقت ممتع، فمن المرجح أن يكون لديهم توصيات خاصة بهم حول كيفية الاستجابة بشكل أفضل.
أجد نفسي مندهشا باستمرار من التشابه بين جائحة كوفيد-19 الحالية وهجوم WannaCry. بدت الساعات الأولى من الهجوم شبيهة جدًا بما حدث في مارس 2020، حيث انتقل الجميع إلى وضع الأزمة في محاولة لإدارة وضع لم يسبق له مثيل. الآن، مع استمرار انتشار الوباء، يكون الشعور بأننا ما زلنا نعثر على عدوى WannaCry اليوم. من المحتمل أن يؤثر الوباء على معظمنا على المستوى الشخصي. لكن كلتا الأزمتين أثرتا في حياتنا اليومية بطرق لم يكن أحد يمكن أن يتخيلها أو يتوقعها.
تتلخص الدروس الرئيسية من كلا الحدثين في الاستعداد. لقد فاجأ كل من WannaCry والوباء الجميع. وهذا يطرح سؤالاً قديمًا حول كيفية الاستعداد لشيء لم يقترب من الحدوث من قبل.
ما يخطر ببال معظم الناس عندما يفكرون في الاستعداد هو الخطط الاستراتيجية، والمحاكاة، والتعليم، واستخدام الأدوات مثل النسخ الاحتياطي للتعافي. ومع ذلك، فإن هذه التدابير لا تصل إلى حد كبير من الجاهزية إلا عندما يحدث هجوم جديد ولا توجد خطة لما يحدث بالضبط. أفكر أن الأمر يتلخص حقًا في اتخاذ وجهة نظر ونهج جديدين.
"عندما تكون في خضم أزمة، فإن كل شيء باستثناء الذاكرة العضلية يبادر إلى الذهن".
هناك شيء يقوله Rohrbacher يظل يخطر على بالنا: "عندما تكون في خضم أزمة، فإن كل شيء باستثناء الذاكرة العضلية يبادر إلى الذهن".
بالطبع، نحتاج إلى القدرة على نشر التقنية، ووضع خطط ودعم خيارات التعافي. ولكن يجب علينا أيضًا التركيز على خلق الثقة والذاكرة القوية لكل عامل في مجال الاستجابة للحوادث.
إن الثقة ليست شيئًا يحدث في جلسة تدريبية واحدة أو خانة تضع عليها علامة الصواب بعد ظهر يوم الخميس. إنه تحول أساسي في الثقافة والعمليات. يعتمد الاستعداد على تمكين الأفراد من الشعور بالثقة الكافية لتحمل المسؤولية. أنت تريد من فريقك أن يأخذ نفسًا عميقًا ويقول: "حسنًا، لقد فهمت هذا"، حتى عندما يحدث ما هو غير متوقع.
ساهمت Jasmine Henry في إعداد تقرير هذه القصة.