قد يكون هذا أبلغ مثال على القراصنة الرقميين الذين تحولوا إلى حراس للأمن. فبعدما هاجمت عصابة الفدية ألف في/«بلاك كات» شركة «ميريديان لينك»، الشهر الماضي، رأى القراصنة أن شركة البرمجيات لم تمتثل للقواعد الجديدة لهيئة الأوراق المالية والبورصات الأمريكية بالكشف عن الهجمات السيبرانية. ولذلك، فقد أبلغت العصابة الهيئة التنظيمية عن هذا الإخفاق، فنشرت صورة للنموذج الذي بيّنت فيه هذه «المسألة المقلقة».
لكن القراصنة كانوا مخطئين، فالقواعد، التي تلزم الشركات بإصدار إخطار عمومي عن الحادثة في غضون 4 أيام من التعرف على هجوم سيبراني «كبير»، لن تدخل حيز التنفيذ حتى منتصف ديسمبر.
لكن في كل الأحوال، حازت هذه الخطوة على الاهتمام بالتأكيد، «إلى حد أن لدينا مناقشات بشأن ما إذا كانت هذه القاعدة الجديدة تمد جعبة القراصنة بأداة جديدة، هذا الأمر واضح للغاية»، بحسب إيريز ليبرمان، الشريك لدى «ديبيفوا آند بليمتون» للمحاماة، الذي تابع:
«لقد منحت هيئة الأوراق المالية والبورصات الأمريكية القراصنة السيطرة». إن القواعد الجديدة توسع أفق ما هو متفق عليه بصفة عامة كأفضل الممارسات في المجتمع السيبراني، وهو أن الشفافية الأكبر تشكّل سلاحاً مهماً في مواجهة هجمات القراصنة عبر الإنترنت. وقد ازداد عدد الهجمات السيبرانية المعروفة بنسبة 75 % خلال الأعوام الخمسة الماضية، وفقاً لـ«إرنست آند يونغ».
وبلغت كُلفة برامج الفدية نحو 20 مليار دولار في 2021 ما يعني أنها زادت 57 مرة عن الكلفة المُسجلة في 2015، ويُتوقع تضخمها مرة أخرى إلى 265 مليار دولار بحلول 3031، وفقاً لتقديرات«سايبر سيكيوريتي فنتشرز».
ورغم هذه الزيادة الهائلة في النشاط الإجرامي، لا تزال الكثير من الشركات لم تتخذ من الإجراءات ما يوازي إغلاق الأبواب والنوافذ، وكثير من مجالس الإدارة ليسوا على دراية كافية ليسألوا عن السبب. ويفيد ما يقل عن 70 % من الشركات بقائمة«فورتشن 100» بتوفر الخبرة في مجال الأمن السيبراني في السير الذاتية لدى واحد على الأقل من المديرين، وأفصحت 16 % منها فقط عن اشتمال إدارة المخاطر لديها على محاكاة أو اختبار لاستجاباتها للهجمات.
وقال صانع سياسة أمريكي سابق:«يدهشني تماماً أننا ما زلنا مفتقرين حتى للأساسيات». وتابع:«إذا طبقت الشركات ممارسات الأمن السيبراني الأساسية وإذا كان لديها نسخ احتياطي ذكية، فمن المؤكد أنها لن تمر بيوم سيء حقاً».
لقد أثارت قواعد هيئة الأوراق المالية والبورصات الأمريكية مخاوف، من جانب غرفة التجارة الأمريكية من بين من يهمهم الأمر. وتشكل فترة الإبلاغ البالغة أربعة أيام تحدياً، وستحتاج لعملية إنفاذ تتسم بالعقلانية. وفي ضوء أوجه عدم اليقين (والذعر العام) بعد الكشف عن اختراق كبير، قد تكون عمليات الإفصاح إما جزئية أو معدلة على نحو متكرر، استناداً لتحديد حجم وخطورة الهجوم. ويرى مستشارون أن القلق بشأن الإفصاح قد يلهي عن احتواء الحادثة نفسها، كما أن الاعتراف بكون الهجوم «كبيراً» يمنح قوة للمهاجم.
ومع ذلك، فالزخم العالمي ما زال متجهاً صوب مشاركة المعلومات لصالح حماية النظام. وأخذاً بالمثال الأكثر حدة، فإن الشفافية التامة والتعاون بين القطاعين، العام والخاص، يُحسب لهما المساعدة في احتواء الهجمات السيبرانية في أوكرانيا منذ اندلاع الحرب مع روسيا.
وكانت الحكومات شديدة البطء بصفة عامة في التشديد على ضرورة مشاركة المعلومات لبناء صورة متكاملة عن الجريمة السيبرانية، والأكثر أهمية، تقديم الدعم من دون إصدار أحكام للشركات لإدارة الهجمات أو احتواء الأضرار. وقررت الولايات المتحدة والاتحاد الأوروبي توسيع متطلبات إبلاغ السلطات عن الحوادث، لتشمل القطاعات التي تُعتبر ضمن البنية التحتية الأساسية. واقترحت أستراليا، الشهر الفائت، توسيع الأفق ليشمل الاقتصاد برمته.
وجزئياً، ربما تحاول سياسات الإفصاح تثبيط مدفوعات برامج الفدية، عبر استبعاد خيار تحرير شيك (أو تسليم بعض العملات المُشفرة) وإنهاء المشكلة بأسرها بهدوء.
وفي مجال الخدمات المالية، الذي يقود المسار، تشترط الهيئة التنظيمية في ولاية نيويورك على الشركات حالياً ضرورة إخطارها وتقديم تبرير لسدادها مبالغ مالية بسبب تعرضها للابتزاز وعدم إبقاء الأمر طي الكتمان. ويرى سياران مارتن، الرئيس السابق للمركز القومي للأمن السيبراني في المملكة المتحدة، أوجه تشابه بين قواعد حماية البيانات في أمريكا مع نفس المعمول بها في أوروبا.
وقال مارتن:«برغم كل عيوبه، فالنظام الأوروبي العام لحماية البيانات يتصدى لإخفاء المشكلة لأن ذلك ينطوي على إشكاليات عالية. وكان هذا أمرا جيداً». وتستغل الولايات المتحدة على نحو متزايد المعلومات التي تردها طواعية لإصدار تحذيرات عامة، مثلما فعلت الشهر الماضي استناداً إلى تقرير صادر عن «بوينغ»بشأن ثغرة «سيتريكس بليد».
وتوسّع هيئة الأوراق المالية والبورصات الأمريكية أفق هذا من حيث مدى سرعة تنبيه المستثمرين والعملاء والموردين بشأن الخطر الجديد. وعلى أقل تقدير، يشير مستشارون إلى أن الحاجة لفهم الهجوم السيبراني بسرعة والحكم على مدى حدته ثم الاتفاق على كشف الأمر، الذي ربما ينطوي على قدر من الإحراج، عوامل تغير من تخطيط الشركات بشأن كيفية التعاطي مع هذه الحوادث.
ومن شأن هذا تشجيع زيادة التركيز والاستثمار في المرونة، وكذلك ضمان شعور المسؤولين التنفيذيين في الشركات بالمخاوف السيبرانية وفهمهم إياها، وهو ما كان يجب أن يكون معمولاً به بالفعل منذ بعض الوقت.