ارتفع عدد الحوادث المرتبطة بالأمن الإلكتروني بسرعة، في الوقت نفسه الذي تعزز فيه مختلف الحكومات والقطاعات حول العالم قدراتها الرقمية.

وبحسب تقرير صادر عن القمة العالمية للحكومات بعنوان «أسلوب عملي لتحديد الهجمات الإلكترونية»، بالتعاون مع شركة «بي دبليو سي»، تنبأت شركة الأبحاث الأميركية «سايبرسيكيوريتي فينتشرز» في عام 2016، بأن الجرائم الإلكترونية ستكلف العالم 6 تريليونات دولار أميركي سنوياً بحلول عام 2021، أي بزيادة الضعف عن كلفتها التي بلغت 3 تريليونات دولار أميركي عام 2015.

وبلغ متوسط تكاليف اختراق البيانات التي تتحملها أي منظمة 3.6 ملايين دولار أميركي، وفقاً لدراسة أجريت في عام 2016 على 419 شركة في 13 بلداً من قبل معهد بونيمون وهو شركة أبحاث أميركية.
3 مصادر


وتشكل الهجمات الإلكترونية التي يتم تنفيذها من قبل عدة جهات تهديداً متزايداً لأمن الحكومات ومواطنيها. وهناك 3 مصادر رئيسية للهجمات وهي الناشطون؛ المجرمون؛ الحكومات، ومن الصعب أحياناً، بناءً على الأدلة، التفريق فيما بينها. وفي حقيقة الأمر، قد تعمل هذه الجهات أحياناً مع بعضها البعض عندما تتوافق مصالحها.

وتؤدي مستويات تواتر وحدّة الهجمات إلى تزايد أهمية فهم مصدرها أكثر من أي وقتٍ مضى، حيث إن معرفة الجهة التي خططت للقيام بالهجمات قد تسهل إلقاء القبض على الجناة أو إيجاد الاستجابة المناسبة لها.

بالإضافة إلى ذلك، توجد مخاطر في أن يُنسَبَ الهجوم الإلكتروني بالخطأ إلى حكومةٍ ما أو أن يتم اعتباره هجمةً تمت برعاية الحكومة، وأن يثير حرباً إلكترونية أو فعلية ذات نطاق أوسع. وعوضاً عن ذلك، يتم إخفاء الهجمات الإلكترونية المدعومة حكومياً بهيئة إحدى حالات النشاط الإلكتروني أو الجرائم الإلكترونية.


ويعتمد تصنيف أحداث الأمن الإلكتروني ضمن فئات مختلفة في الغالب على الدافع وراء الهجوم. وغالباً ما يكون للمهاجمين الإلكترونيين مصلحة كبيرة بإخفاء السبب الحقيقي وراءها في الحالات التي يكون فيها الهجوم مدفوعاً بعوامل سياسية. وفي المقابل، عندما يكون الدافع وراء الهجوم مالياً، فإن الجهات الفاعلة المتسببة به تكون أقل اهتماماً بإخفاء الدافع.

وتكون عوضاً عن ذلك مهتمة بجعل مهمة عثور سلطات إنفاذ القانون على الجناة أكثر صعوبة. ونظراً لهذه التعقيدات، يتوجب تطبيق أساليب مختلفة لتحديد الجهات الفاعلة التي تقف وراء حدث أمني إلكتروني.
أضرار
وبحسب التقرير من المتوقع أن تتجاوز التكلفة العالمية للأضرار الناجمة عن برمجيات الفدية وحدها، وهي أحد أشكال الهجمات الإلكترونية، 5 مليارات دولار أميركي في عام 2017، أي بزيادة قدرها 15 ضعفاً خلال عامين، مع الإشارة إلى أن هذه الأرقام مرشحة للتزايد كذلك.

وستتضاعف هجمات برمجيات الفدية 4 مرات بحلول عام 2020 على منظمات الرعاية الصحية، وهو القطاع الذي تم استهدافه من قبل كبرى حملات برمجيات الفدية في عام 2017. وتتوقع «سايبر سيكيوريتي فينتشرز» أن الشركات ستقع بحلول عام 2019 ضحية لهجوم ببرمجيات الفدية كل 14 ثانية.


ووفقاً لقسم جرائم الحاسوب والملكية الفكرية في وزارة العدل الأميركية، فإن برمجيات الفدية تعد البرمجيات الخبيثة الأسرع نمواً، حيث يجري استهداف المستخدمين من جميع الأنواع، بدءاً من المستخدم المنزلي وصولاً لشبكات الشركات.

وكمعدل وسطي، فقد وقعت أكثر من 4 آلاف هجمة برمجيات فدية يومياً عام 2016، أي بزيادة 300% بالمقارنة مع نحو 1000 هجمة يومياً عام 2015. وتعد الجريمة الإلكترونية حالياً ثاني أكثر جريمة اقتصادية يتم الإبلاغ عنها، وفقاً لتحليل شبكة «بيه بي دبليو سي» العالمية، وهي تؤثر على نسبة تفوق 32% من المنظمات في جميع أنحاء العالم.
 

2021
ومن المتوقع أن يتجاوز الإنفاق العالمي من قبل المنظمات والأفراد على تدابير الأمن الإلكتروني مبلغ تريليون دولار أميركي على مدى 5 أعوام وصولاً لعام 2021، وفقاً لمؤسسة الأبحاث الأميركية «جارتنر». وبينما يعتمد العالم بشكل أكبر على التكنولوجيا الرقمية، يزداد اتساع شريحة الجهات التي يستهدفها المهاجمون الإلكترونيون.

حيث يوجد 3.8 مليارات مستخدم لشبكة الإنترنت في عام 2017، يمثلون أكثر من نصف سكان العالم بقليل، بالمقارنة مع ملياري نسمة في عام 2015. وتتوقع شركة «سايبر سيكيوريتي فينتشرز» أن يكون هناك نحو 6 مليارات مستخدم لشبكة الإنترنت بحلول عام 2022، وأكثر من 7.5 مليارات مستخدم لشبكة الإنترنت بحلول عام 2030.

وتحرص الجهود المبذولة لمجاراة هذا الخطر بهدف التخفيف من حدة المخاطر المترتبة عن الهجمات الإلكترونية.
الأمن الإلكتروني


ويفوق الطلب على الأشخاص الذين يتمتعون بمهارات الأمن الإلكتروني العرض. ووفقاً لشركة «سايبر سيكيوريتي فينتشرز»، ستؤدي مكافحة الهجمات الإلكترونية إلى مضاعفة عدد فرص العمل الشاغرة في مجال الأمن الإلكتروني في جميع أنحاء العالم بأكثر من 3 أضعاف، والتي من المتوقع أن يصل عددها إلى 3.5 ملايين وظيفة بحلول عام 2021،.

وهو المشروع المدعوم من قبل المبادرة الوطنية لتعليم الأمن الإلكتروني، وهي أحد برامج المعهد الوطني للمقاييس والتقنية في وزارة التجارة الأميركية. وكان هناك في الولايات المتحدة وحدها 350 ألف فرصة عمل شاغرة في مجال الأمن الإلكتروني أواخر عام 2017، بالمقارنة مع حوالي 780 ألف شخص يشغلون مناصب في مجال الأمن الإلكتروني.


أشكال
وتتخذ الجرائم الإلكترونية عدّة أشكال مختلفة، وتشمل سرقة المعلومات المتعلقة بالمدفوعات، بما في ذلك أرقام بطاقات الائتمان وغيرها من بيانات بطاقات الائتمان، مثل الهجمات الإلكترونية التي وقعت على أكثر من ألف عقار ينتمي إلى مجموعة فنادق «إنتركونتيننتال» والتي كشفت عنها الشركة في أبريل من عام 2017.

وفي تلك الحالة، تم اختراق التجهيزات في نقاط البيع بواسطة البرمجيات الخبيثة المصممة لسحب بيانات بطاقات الائتمان والخصم الخاصة بالعملاء.
سيطرة
تتغير طبيعة التهديدات بسرعة، مع قيام الجهات الإلكترونية الرئيسية الفاعلة «قيامها بماذا؟» لأساليبها واستراتيجياتها، وهو ما يزيد، ولا يقلل، من أهمية فهم مصادر الخطر والطرق التي يختلف بها هجوم إلكتروني عن آخر، وحينها فقط ستتمكن الحكومات والمنظمات من السيطرة على الهجمات الإلكترونية.


4 نظريات بشأن تعقب وتصنيف مصدر حدث في الأمن الإلكتروني


بهدف تعقّب مصدر حدث متعلق بالأمن الإلكتروني وتصنيفه بشكل صحيح، يجب تحليل الهجمات من 4 وجهات نظر، تتضمن، أولاً: الحافز: السؤال النموذجي هو ما إذا كان يوجد حافز محتمل ليقوم الفاعل بالهجوم؟. وما إن يتم تحديد حافز محتمل، حتى يغدو من المهم معرفة ما إذا كان النشاط قد يطابق الحافز المحدد، بغية التحقق من صحة الفرضيات.


وثانياً: مصدر الهجوم التقني: وهو يتضمن معلومات مثل موقع الأجهزة المستخدمة للهجوم، أو أي عنوان إلكتروني للتحكم والقيادة، أو عنوان البريد الإلكتروني، أو قنوات أخرى لازمة لدفع فدية.
وثالثاً: المعلومات المدرجة في ملفات البيانات والرموز الثنائية والنصوص: لا يطبّق ذلك إلا في الحالات التي تستخدم فيها برمجية خبيثة أو استغلال مخصص.

وفي هذه الحالات، يمكن أن تتضمن هذه المعلومات المجمِّع والمكتبات والمعلومات التقنية الأخرى للرمز الثنائي. وتوفر النصوص عادةً المزيد من المعلومات، إذ تتضمن تعليقات ومعلومات أخرى باللغة الطبيعية التي يستخدمها مهاجم ما من بينها اللهجات والمصطلحات العامية التي تشير إلى المهاجم.

واستناداً إلى أسلوب برمجة النص، قد يكون من الممكن معرفة ما إذا كان النص من إنتاج مشفِّر معروف. وقد يوفر عنوان الملف معلومات تشي بهوية الفاعل، إذ يتضمن عادةً اللغة الطبيعية المتعلقة غالباً بالأسلوب الكتابي للمشفِّر.
طريقة عمل
ورابعاً: تحليل طريقة عمل المهاجم، ويتضمن: مطابقة الأوقات التي يعمل بها أحد القراصنة مع موقع محدد. ويشير هذا إلى الموقع الذي يعمل منه المهاجم. وقد توفر التعليقات على النص، إذا توفرت، معلومات عن اللغة أو حتى عن المصطلحات العامية التي يستخدمها المهاجم، وتشير أساليب البرمجيات الخبيثة، إذا شابهت تلك التي يستخدمها فاعل معروف، إلى تورط هذا الفاعل المحدد.

ومع ذلك، يشكّل استخدام الطرق والمخططات نفسها كالتي يستخدمها أحد الفاعلين المعروفين إشارة منطقية إلى هوية مهاجم ما.

على سبيل المثال، تفضل بعض مجموعات القرصنة الحصول على حقوق إدارة نطاق على خوادم «ويندوز» وإنشاء أبواب خلفية عديدة. في المقابل، يفضل آخرون استهداف الحسابات التي يحتاجون إليها لهدف معين فحسب ولا يدونون أي برنامج خبيث على القرص، من أجل تقليص احتمال اكتشافه بواسطة برنامج حماية طرفي.


وتتبع نقاط الضعف عادةً أنماطاً معينة: قد تركز مجموعة من القراصنة على استغلال نقاط ضعف ملفّ الخط، بينما يفضّل آخرون استغلال فجوات في تقنيات مختلفة، مثل «أدوبي فلاش»، ويقوم الأفراد في مجموعات القرصنة بتطوير اختصاصات تستطيع تحديد أفضليات المنظمة التشغيلية.

ويتسنى في بعض الأحيان تحديد هوية المجموعة بدقة من خلال تحليل مزيج المخططات وإعادة استخدام البرمجيات الخبيثة والأهداف. ومثال على ذلك هو «ستاكس نت»، وهو برنامج حاسوبي خبيث تسبب بضرر دائم لبرنامج إيران النووي وأبلغ عنه في وسائل الإعلام عام 2010.

ويعتقد أنه من صنع الحكومة الأميركية، ويتمتع عدد محدود جداً فحسب من المجموعات بالمهارة لإنشاء برنامج خبيث كهذا وبالرغبة في استهداف المنشآت النووية الإيرانية.

الحرب الإلكترونية تركّز على النظم الضارة والقرصنة


تختلف تعاريف الحرب الإلكترونية اختلافاً كبيراً، مما يعكس حداثتها، وتعتمد بعض البلدان تعريفاً محدوداً لمكونات الحرب الإلكترونية وتركّز على نظم القرصنة والنظم الضارة، فيما يعتبرها آخرون جزءاً من حرب معلومات أوسع نطاقاً، والتي لا تشمل القرصنة فحسب، بل تشمل أيضاً المعلومات المضللة والأكاذيب.

وتشمل بعض الأمثلة الحديثة عن أحداث الأمن الإلكتروني التي تندرج ضمن فئة الحرب الإلكترونية، والتي يمكن أن تُنسب إلى دولةٍ، قومية الهجمات التي حدثت في عام 2013 ضد ثلاث محطات تلفزيونية ومصرف في كوريا الجنوبية، حيث يُزعَم أن قراصنة ينتمون إلى حكومة كوريا الشمالية قاموا بتنفيذها.

ومن الأمثلة الأخرى على ذلك ما يسمى بهجوم برمجيات «بلاك إينرجي» الخبيثة، الذي نفذه قراصنة يُعتَقَد على نطاقٍ واسع أنهم مرتبطون بالحكومة الروسية إذ قاموا مؤقتاً بإغلاق جزء من شبكة الكهرباء الأوكرانية في ديسمبر من عام 2016.

وحرم الحدث أكثر من 200 ألف شخص من الكهرباء لفترة مؤقتة، وأسفر عن إيقاف أعمال شركة تعدين وشركة ضخمة مشغلة للسكك الحديدية. وفي أغسطس 2013، تعرضت مجموعة من الشركات الأميركية تشمل نيويورك تايمز، وتويتر، لاختراق أمنها الإلكتروني.

صعوبة تحديد هوية مرتكب الجريمة الرقمية


تعود صعوبة تصنيف حدث ذي علاقة بالأمن الإلكتروني، لأن المهاجمين يبذلون جهدهم لإخفاء هويتهم الحقيقية، إذ يريد مرتكب الجريمة حماية نفسه من الملاحقة القضائية. كما قد يكون دافع الهجوم سياسياً، وفي هذه الحالة قد تؤدي نسبة الهجمات إلى فاعل معين إلى الانتقام من مرتكب الجريمة من قبل حكومة وطنية على سبيل المثال.

وانطلاقاً من هذا المنطق نفسه، فإن أحد المفاهيم الأساسية في الأمن الإلكتروني والتحاليل الجنائية الرقمية هو الصعوبة الكبيرة في تحديد هوية مرتكب الجريمة، وفي الكثير من الأحيان بعد تنفيذ هجوم إلكتروني، حيث يمتلك القراصنة الكثير من الأدوات التقنية لإخفاء آثارهم، وحتى وإن تمكن المحللون من تحديد مصدر هجوم ما، فهذا لا يعني تلقائياً أن بإمكانهم تحديد مرتكب الجريمة.


ويبدو واضحاً أن هناك حالات يستحيل فيها التوصل إلى استنتاج واضح في التحاليل الجنائية الرقمية، نظراً إلى كمية المعلومات المتوفرة. إلا أن الخبرات المتاحة تشير إلى أنه يمكن في معظم الحالات نسبة هجمات إلى فاعل معين على نحو مؤكد نسبياً.