بقلم: ديف راسل، نائب الرئيس، إستراتيجية المؤسسة، “فيم”
أصبحت الهجمات الإلكترونية عبر الإنترنت شيئًا مألوفاً بشكل متزايد، ويسود اعتقاد، من خارج صناعة تكنولوجيا المعلومات بالتأكيد، بأن الهجمات الإلكترونية هي مجرد شيء يحدث على الإنترنت. من الصعب الربط بين تأثير الجرائم الإلكترونية على الضحايا والمساواة بينهم، سواء كانوا افردًا أو شركات اضطرت إلى دفع فدية لاستعادة أنظمتها. لهذا السبب، كثيراً مالا يتم النظر إلى الجريمة الإلكترونية أو التعامل معها على أنها جريمة “حقيقية” على ما يبدو.
وبينما نقرّ بأن الجرائم الإلكترونية هي جرائم فعلية، قد يكون من الصعب بالنسبة للبعض الإعتراف بذلك. يبدو ان الشعور بالغضب تجاه المقرصنين في حال اختراق شركة كبيرة أمرًا غير مرجح، وقد يعود ذلك الى الصورة النمطية عن مجرمي الإنترنت الذين يتم تصويرهم على أنهم أطفال بارعون في علوم الكمبيوتر يواجهون مؤسسات جشعة. لكن الحقيقة هي أن غالبية الهجمات الإلكترونية هي من صنع عصابات ضخمة، منظمة، وغنية. إنها عمليات معقدة للغاية تهدف الى سرقة الأموال من الشركات التي تدفع رواتبكم ومن الحكومات التي تجمع ضرائبكم. الا يبدو ذلك جريمة؟
هل نحن مذنبون بإلقاء اللوم على الضحية؟
الحقيقة هي أن الجريمة الإلكترونية هي جريمة فعلية، وأن الشركات التي تقع ضحية لها هي ضحايا تعاني من جريمة ترتكب ضدهم. ومع ذلك، فإن مستوى التعاطف مع المؤسسات التي يتم اختراقها يختلف تمامًا عما يكون عليه للأشخاص. إذا علمت بأن فرداً قد تم اختراق معلوماته الشخصية، وسرقة أمواله، فمن المحتمل ألا يكون رد فعلك الطبيعي هو القاء اللوم عليه. وبالرغم من أن الانتهاكات السيبرانية تسبب ضرراً دائماً لسمعة الشركات، فإننا نميل إلى افتراض أنهم فعلوا شيئًا خاطئًا أو تصرفوا بإهمال. بصفتي شخصًا عمل في صناعة حماية البيانات لأكثر من 32 عامًا، فإنني أميل إلى الموافقة على هذا الأمر، اذ يمكن تجنب الغالبية العظمى من الحوادث السيبرانية، كما ان الإختراقات تكون نتيجة لفشل المؤسسات في اتباع أفضل الممارسات و / أو ضعف النظافة الرقمية و / أو البرامج القديمة أو غير المصححة.
ومع ذلك، هل يوجد نوع آخر من الجرائم التي تركز بشكل شبه حصري على إلقاء اللوم على الضحية والتقليل من واجب تقديم المجرمين إلى العدالة؟ يُنظر إلى الشركات على أنها الطرف المذنب ومن المقبول أن المجرمين لا يعاقبون بسبب عدم وجود إطار قانوني عالمي ونظام قضائي متفق عليه. إذا سافر مجرم إلى الولايات المتحدة، على سبيل المثال، وارتكب جريمة ضد شركة على الأراضي الأمريكية، فهناك عملية دبلوماسية واضحة لضمان تقديم هذا الشخص إلى العدالة وتعويض الضحية. ليس هذا هو الحال عندما يتعلق الأمر ببرامج الفدية.
التعاون الدولي والعابر للقارات هو الطريقة الوحيدة لخلق بيئة تكون فيها المخاطر أعلى من المكافآت التي يحصل عليها المقرصنون. تسارعت آفة برامج الفدية خلال الوباء، مما حفّز الحكومات وقادة الأعمال على كسر الجمود الجيوسياسي الذي مكّن مجرمي الإنترنت من افتعال الشغب. لكن الأمر لن يكون سهلاً، ولا يزال هناك سنوات عديدة للوصول الى حل عملي شامل.
تعلم الدفاع عن النفس
في غياب نظام عدالة يحمينا تمامًا من الأشرار، تتطلب غريزة بقاء الإنسان الأساسية أن نتعلم الدفاع عن أنفسنا، وفي مجال الأمن السيبراني، يعني ذلك التركيز على بعض الأساسيات. أولاً، تحتاج كل مؤسسة إلى قائد متخصص في أمن تكنولوجيا المعلومات، يكون على تواصل مع قيادة الأعمال والسلطة، لقيادة المبادرة الأمنية. بالنسبة للمؤسسات الصغيرة، فالحاجة ماسة إلى مورد مسؤول عن الأمن السيبراني ومتخصص في حماية البيانات. ثانيًا، تحتاج الشركات إلى ممارسة نظافة رقمية لا تشوبها شائبة، ما يستوجب تدريبًا إلزاميًا لجميع الموظفين حتى يتعرفوا على الهجمات المحتملة، يبلغون عنها، ويدركون أهمية ذلك. كلما زاد عدد الأشخاص الذين يؤيدون الحاجة إلى النظافة الرقمية الجيدة، أصبحوا أكثر يقظة للتحذيرات.
اخيرًا، لا تدفعوا الفدية أبدًا! تغذي المنظمات التي تدفع فدية مفهوم “الدفع السهل” الذي يعني أن المقرصنين سيعيدون الكرّة. بمجرد أن تتوقف الشركات عن دفع الفدية، ستنخفض شعبية برامج الفدية كأسلوب ابتزاز. في حين أن الشركات التي تعاني من الهجمات الإلكترونية هي بالفعل ضحايا، لكنها تبقى مسؤولة عن حماية أي بيانات تستخدمها، معالجتها، وتخزينها. الدفع لمجرمي الإنترنت من أجل إعادة الأنظمة إلى العمل هو استراتيجية دفاعية غير مستدامة. نظرًا لأن الحكومات أصبحت أكثر نشاطًا في السعي لمنع انتشار برامج الفدية، فقد تواجه الشركات التي تقوم بذلك التحقيق واللوم من قبل جهات تنظيمية مستقلة.
من الواضح أن التعامل مع النطاق الهائل والمتواصل لنشاط المقرصنين ضد الشركات والأفراد سيكون جهدًا دوليًا عبر كل من القطاعين العام والخاص. في حين أنه من المهم “تجريم” الجرائم الإلكترونية بشكل صحيح وأن يتم تقديم الجناة إلى العدالة، يجب ايضاً على الشركات تقدير المسؤولية التي تقع على عاتقها تجاه عملائها وموظفيها لحماية أي بيانات في نطاق اختصاصها. لا يمكن القيام بذلك إلا من خلال تنفيذ إستراتيجية حديثة لحماية البيانات تجمع بين دفاعات الأمن السيبراني الفعالة، مع نهج شامل للنسخ الاحتياطي للبيانات والتعافي من الكوارث.
