مدیریت ریسک باج‌افزارها

باج‌افزار یکی از ریسک‌های قابل‌توجه حیات سازمان‌هاست که روزبه‌روز در حال افزایش است. یک حمله‌ی موفقیت‌آمیز باج‌افزاری می‌تواند کسب‌وکار را یک‌شبه با هزینه‌های سنگین زمین‌گیر کند. در سال 2020، قربانیان باج‌افزارها در ایالات متحده حدود 350 میلیون دلار باج پرداخت کردند، مبلغی که به گزارش موسسه‌ی امنیت و تکنولوژی آمریکا به نسبت سال 2019 رشدی 311 درصدی داشته است. شرکت سایبرسکیوریتی ونچرز (Cybersecurity Ventures) تخمین می‌زند تا سال 2031، خسارات حملات باج‌افزاری از 265 بیلیون دلار فراتر خواهد رفت.

طبق تحقیقی که توسط سایبریزن (Cybereason) از 1300 متخصص امنیت صورت گرفته است، بیش از نیمی از سازمان‌ها قربانی یک حمله‌ی باج‌افزاری بوده‌اند و 80 درصد از کسب‌وکارهایی که راضی شده‌اند مبلغ مورد نظر را پرداخت کنند برای بار دوم نیز مورد حمله‌ی باج‌افزاری قرار گرفته‌اند، معمولاً به دست همان مهاجمان بار اول.

علاوه بر ریسک‌های مالی، این حملات می‌تواند تأثیری بلندمدت بر شهرت سازمان بگذارد. طبق گزارش سایبریزن، 53 درصد از سازمان‌ها اعلام کرده‌اند که برند و شهرت آن‌ها در اثر یک حمله‌ی موفق آسیب دیده است.

در مقاله‌ی پیش رو تبعات مختلف این حملات مورد بررسی قرار گرفته و با همکاری تعدادی از متخصصان در زمینه‌ی امنیت سایبری اقدامات لازم برای مقابله با این حملات به بحث گذاشته شده‌اند.

گسترش بُعد حملات

طی سال‌های اخیر تعداد و شدت حملات به‌صورت نمایی افزایش یافته و به همین نسبت میزان باج درخواستی نیز بالا رفته است. هدف‌های حملات نیز بیشتر شده‌اند، به‌طوری که پروژه‌ها زیرساختی که نقشی کلیدی دارند بیشتر مورد حمله قرار می‌گیرند. شرکت‌های حوزه‌ی فناوری اطلاعات نیز که بیشتر از راهکارهای امنیت سایبری قدیمی همچون «قلعه»، که کارایی گذشته را ندارد، استفاده می‌کنند نیز جزو اهداف این حملات هستند.

برای خرابکاران سایبری، پاندمی کرونا یک مزیت به همراه داشته است. کارکنانی که دورکار هستند ریسک بسیار بیشتری نسبت به کارکنان حضوری دارند. شبکه‌های سازمان‌ها معمولاً فقط به دستگاه‌های مورد اعتماد اجازه‌ی برقراری ارتباط می‌دهند و با این کار ریسک دسترسی خرابکاران و باج‌افزارها را کاهش می‌دهند. همچنین آن‌ها محافظت‌های قوی‌تری نسبت به یک شبکه‌ی بی‌سیم معمولی پیاده‌سازی می‌کنند.

کامرون ابوت، متخصص ریسک سایبری می‌گوید: «حرکت به سمت دورکاری در این مقیاس بالا که بر اثر پاندمی به وجود آمد باعث افزایش ارتباطات بی‌سیم درون شرکت‌ها شد، که بیشتر این ارتباطات از طریق شبکه‌های خانگی و مشابه آن صورت می‌گیرد که امنیت بسیار پایینی دارند. ریسک این کار به یک‌باره بسیار بالا رفت، زیرا بخش‌های فناوری اطلاعات شرکت‌ها دسترسی به‌صورت بی‌سیم را در اولویت قرار دادند و امنیت، با این که نادیده گرفته نشده بود، از اهمیت کمتری برخوردار بود.»

در همین حین استفاده از دستگاه‌های اینترنت اشیا، هم در میان مصرف‌کنندگان و هم در میان کسب‌وکارها، شرکت‌های حوزه‌ی درمان و محیط‌های صنعتی، رو به افزایش است. پیش‌بینی می‌شود تا سال 2025، 75 درصد از 55.7 میلیارد دستگاه متصل را دستگاه‌های مرتبط با اینترنت اشیا تشکیل دهند. به احتمال زیاد این عدد تا سال 2031 به مرز 200 میلیارد دستگاه خواهد رسید. مهاجمین باج‌افزاری با تمرکز رویکردهایشان روی محصولاتی خاص، راه‌هایی جدید برای خرابکاری ایجاد خواهند کرد.

در نهایت، حملات باج‌افزاری ریسکی قابل توجه برای تمامی کسب‌وکارها در پی دارند. آقای ابوت در این زمینه می‌گوید: «هر کسب‌وکاری به روش‌های مختلف در نقاط کلیدی کسب و کار خود از فناوری اطلاعات استفاده می‌کند و در نتیجه هیج صنعتی از این ریسک در امان نیست، خواه بیمارستان، خط لوله یا حتی بسته‌بندی گوشت باشد. دیدیم که روند عادی شرکت‌ها مختل شد و مجبور شدند میلیون‌ها دلار پول به مهاجمان پرداخت کنند تا از شر کابوس‌های سایبری که نتیجه‌ی حملات باج‌افزاری بود خلاص شوند.
«در استرالیا، یکی از شرکت‌های بزرگ بسته‌بندی گوشت – صنعتی که فکر نمی‌کنید آن‌چنان به تکنولوژی وابسته باشد – کاملاً مختل شد و مجبور شد مبلغ بسیار زیادی پرداخت کند تا پس از چندین روز وقفه دوباره شروع به کار کند.»

مایکل بورجیا، یکی از مشاوران شرکت دیویس رایت ترمین (Davis Wright Tremaine LLP) در این زمینه می‌گوید: «اگر با کامپیوترهای متصل به شبکه سروکار دارید – که امروزه امری بدیهی است – باج‌افزارها می‌توانند عملیات شما را مختل کنند. صدمه‌ی چنین واقعه‌ای می‌تواند بسیار سنگین باشد: فروش از دست رفته، عدم توانایی در عمل به تعهدات قراردادها، مهاجرت مشتریان به رقیبان شما و مشکلاتی این چنین.»

تبعات سرقت داده‌ها

آرون شارفوس، یکی از متخصصان شرکت امنیت سایبری پائول هستینگ (Paul Hasting LLP)، ادعا می‌کند که هکرها بسیار پیچیده‌تر شده‌اند: «آن‌ها معمولاً زمان قابل توجهی را صرف شناسایی اهداف خود می‌کنند تا داده‌ها و زیرساخت‌های کلیدی را شناسایی کنند و اهرم بیشتری برای اخاذی داشته باشند. برای برخی شرکت‌ها، تأثیر حملات می‌تواند تعطیلی کسب‌وکار و سرقت داده‌های کلیدی توسط هکرها باشد. این امر نه‌تنها بازگشت عملیات به حالت عادی را مختل می‌کند، بلکه مشکلاتی همچون گزارش‌دهی به نهادهای نظارتی، کارگروه‌های دولتی و همچنین ذی‌نفعانی که زیان دیده‌اند را در پی دارد.»

طبق گفته‌ی آقای شارفوس، علاوه بر رمزگذاری روی کامپیوترها، حالا هکرها داده‌ را به‌سرقت می‌برند و تهدید می‌کنند در صورت عدم توانایی شرکت در پرداخت مبلغی این اطلاعات را منتشر خواهند کرد: «آن‌ها حتی تا جایی پیش می‌روند که با مشتریان قربانی خود ارتباط برقرار می‌کنند تا قربانی را برای تن دادن به این پرداخت تحت فشار قرار دهند.»

برای برخی شرکت‌ها، به‌دلیل تبعات شدید سرقت داده‌ها، باج‌افزارها به مهم‌ترین تهدید امنیتی تبدیل شده‌اند. آقای بورجیا در این زمینه می‌گوید: «حملات باج‌افزاری دو ریسک در پی دارند: سرقت داده‌ها و اختلال‌های قابل توجه کسب‌وکار. زمانی این نگرانی در مورد حملات سایبری وجود نداشت، زیرا شرکت‌ها اطلاعات حساس شخصی را پردازش نمی‌کردند. در حالی که این دیدگاه همواره دچار مشکل بوده است، باج‌افزارها آن را به طور کلی تغییر داده‌اند.»

«با افزایش روزافزون هزینه‌های مالی و صدماتی که حملات باج‌افزاری به شهرت شرکت وارد می‌کنند، همچنین گستاخی بیش از پیش جنایتکاران سایبری، سازمان‌ها باید برای محافظت از خود و دارایی‌هایشان اقداماتی هوشمندانه انجام دهند.»

طبق گفته‌ی آقای ابوت، برای شرکت‌هایی که دچار سرقت داده‌ها شده‌اند، تعدادی مشکلات قانونی به‌وجود می‌آید که باید مد نظر قرار دهند: «معمولاً در این حملات نه‌تنها سیستم‌ها از طریق رمرگذاری قفل می‌شوند، بلکه مهاجمین این‌طور وانمود می‌کنند که داده‌ها را استخراج کرده‌اند و برنامه دارند آن‌ها را افشا کرده یا به‌فروش بگذارند. در این مواقع، شرکت‌ها باید در کنار مواجهه با این حمله، جوابگوی تمامی نهادهای نظارتی مربوطه باشند و ذی‌نفعانی که تحت تأثیر قرار گرفته‌اند را از این موضوع آگاه سازند. این امر می‌تواند بسیار پیچیده باشد، زیرا شرکت باید به اطلاعاتی دسترسی داشته باشد که در واقع مورد حمله قرار گرفته‌اند.»

آمادگی برای حمله

با افزایش هزینه‌های مالی و صدماتی که حملات باج‌افزاری به شهرت شرکت وارد می‌کنند و همچنین گستاخی بیش از پیش جنایتکاران سایبری، سازمان‌ها باید خود برای محافظت از خود و دارایی‌هایشان اقداماتی هوشمندانه انجام دهند. با اینکه هیچ استراتژی نمی‌تواند ریسک‌ها را به طور کامل از بین ببرد، اقدامات موثر و روش‌های دیگر می‌توانند در مدیریت آن‌ها سودمند باشند.

با پیشروی حملات باج‌افزارها و مشاهده‌ی هرچه بیشتر این اخبار در صفحات اول روزنامه‌ها، شرکت‌ها این تهدید را با نگاهی جدی‌تر دنبال می‌کنند. آقای شارفوس در این زمینه می‌گوید: «زمان آماده‌سازی برای یک حمله‌ی باج‌افزاری بسیار قبل‌تر از وقوع آن است. شرکت‌ها باید برنامه‌ای مدون برای رویارویی با جنبه‌های مختلف تکنیکی، قانونی و کاری این حملات داشته باشند. با توجه به افزایش حملات باج‌افزاری، که با افزایش هزینه‌های بالقوه‌ی صدمات این حملات همراه بوده است، بسیاری از شرکت‌ها نه‌تنها اقدامات دفاعی خود را بهبود بخشیده‌اند، بلکه برنامه‌های مواجهه با این حملات را نیز مورد بازبینی قرار داده‌اند تا مطمئن شوند تمامی اعضای تیم‌های مختلف شرکت آمادگی همکاری در مدیریت این حوادث را دارند.»

گام‌های دیگر شامل پشتیبان‌گیری از داده‌ها روی شبکه‌ای مجزا یا ذخیره‌ی آن به صورت آفلاین، پیاده‌سازی فرهنگ سالم امنیت سایبری، سامان‌دهی کنترل‌های برون‌سازمانی از اقدامات دفاعی و پیاده‌سازی رمزگذاری داده‌ها می‌باشد.

در همین زمینه، آقای بورجیا عنوان می‌کند: «در کنار موارد دیگر، شرکت‌ها راهکارهای پیشتیبان‌گیری امن‌ و قابل اعتمادتری را به‌کار می‌گیرند که در زمان مواجهه با حملات باج‌افزاری می‌تواند به کمک‌شان بیاید. همچنین شرکت‌هایی را دیده‌ام که بسیار قبل‌تر از وقوع حمله برنامه‌ریزی‌های بسیاری انجام می‌دهند که برای مقاومت در مقابل این حملات حیاتی است. شرکت‌ها باید قبل از آنکه با حمله‌ای روبرو شوند برنامه‌ی مقابله با آن را تهیه کرده، سیستم‌های پشتیبان‌گیر را تست کرده و با ارائه‌دهندگان این خدمات قراردادهای لازم را بسته باشند.»

با این حجم از کارمندانی که طی این 18 ماه دورکار شده‌اند، اقداماتی مضاعف برای آگاهی رساندن به آن‌ها در مورد اشتباهاتی که می‌تواند زمینه‌ی ورود جنایتکاران سایبری به شبکه‌ی سازمان را فراهم سازد، انجام شود. کارمندان باید در مورد تهدید فزاینده‌ی باج‌افزارها آگاه شوند و با پروتکل‌های امنیتی سازمان آشنا باشند. یک آمار نگران‌کننده که در سال 2020 توسط پروف‌پرینت منتشر شد، نشان می‌دهد که فقط یک‌سوم از شاغلان بزرگسال قادر به تشریح عملکرد یک باج‌افزار هستند.

طبق گفته‌ی آقای بورجیا: «بسیاری از حملات باج‌افزاری به دلیل خطاهای پیش‌پاافتاده رخ می‌دهد: وجود رمزهای ضعیف در سطح مدیریت یا عدم توانایی در به‌روزرسانی نرم‌افزارها. به نظر می‌رسد که با گذر زمان تعداد این حملات باج‌افزاری بیشتر هم خواهد شد. شرکت‌ها باید خود را با وضعیت عادی جدید سازگار کنند که همان دورکاری نیروها است. در بسیاری از شرکت‌ها، مدل امنیتی خط دفاعی – تمرکز بر دفاع از شبکه‌ی سازمان از حملات خارجی – دیگر کارایی قبل را ندارد. بسیاری از کارمندان مشغول کار در بیرون از شبکه‌ی شرکت خواهند بود و شرکت‌ها باید خود را با این وضعیت هماهنگ سازند.»

بیمه‌های سایبری به عنوان ابزاری برای کاهش هزینه‌ها مورد توجه قرار گرفته‌اند، اما راه‌حلی کامل نیستند. در دوره‌ی همه‌گیری کرونا، سیاست‌های این بیمه‌ها عموماً گران‌تر هستند و ممکن است پوشش کمتری را شامل شوند. همچنین این امکان وجود دارد که در صورت عدم توانایی سازمان‌ها در پیاده‌سازی راهکارهای امنیتی کافی قبل از وقوع حمله، بیمه‌کنندگان از پرداخت غرامت خودداری کنند. در همین راستا، فرآیند ثبت‌نام برای بیمه‌ی سایبری خود می‌تواند سازمان‌ها را در شناسایی ضعف‌هایشان کمک کند. نظر آقای شارفوس در این زمینه: «بیمه‌کنندگان سوالات جزئی بیشتری در مورد اقدامات دفاعی سایبری شرکت‌ها می‌پرسند. در برخی از موارد، این کار باعث می‌شود شرکت‌ها تغییرات مفیدی در سازوکار دفاعی خود انجام دهند.»

مقابله با حمله

در صورتی که شرکت‌ها مورد حمله‌ی باج‌افزاری قرار بگیرند، باید بتوانند به‌طور کامل روی یک نقشه‌ی اقدام عملی اتکا کنند. در همین راستا آقای شارفوس پیشنهاد می‌کند: «زمانی که یک حادثه شناسایی می‌شود و به‌نظر می‌رسد ریسکی متوجه شرکت است، شرکت باید تیم اقدام خود را وارد عمل کند، شرکت بیمه‌ی خود را مطلع سازد، با مشاور دفاعی خود مشورت کند و از شرکت ثالثی بخواهد که دلایل وقوع این حادثه را به دقت بررسی کند.»

نکته‌ی مهم‌تری که باید مد نظر داشت این است که این برنامه برای موثر بودن باید آزموده شده باشد. در همین زمینه آقای ابوت هشدار می‌دهد: «زمانی که حادثه رخ می‌دهد، انتظار اینکه بخواهیم از صفر شروع کنیم و به مقابله با آن بپردازیم بسیار ساده‌انگارانه است. شرکت‌ها باید از قبل چارچوب تعامل با نهادهای نظارتی را چیده باشند، بدانند با کدام مشاورها قرار است مشورت کنند و بدانند چه کسانی از داخل سازمان‌شان قرار است درگیر شوند. افراد درگیر باید آموزش دیده شوند و با قوانین و مشکلاتی که شرکت قرار است با آن‌ موجه شود آشنا باشند.»

طبق گفته‌ی ابوت، برداشتن گام‌هایی سریع برای محدود کردن حمله بسیار حیاتی است: «شبکه‌ی خود را غیرفعال کنید یا حداقل دستگاه‌های مورد حمله را در اسرع وقت از شبکه قطع کنید. سپس، شرکت‌ها باید تا جایی که لازم است متخصصان مورد نیاز بیرون شرکت را سریعاً آگاه کنند، مانند مشاوران امنیتی، شرکت متخصص ریشه‌یابی حملات سایبری، مذاکره‌کننده‌ی باج‌افزار و پیشتیبانی بازیابی اطلاعات.»

عقیده‌ی آقای بورجیا این است که شرکت‌ها بعد از حمله می‌خواهند خیلی سریع به روال عادی خود برگردند و کسب‌وکار را از سر بگیرند، اما مهم است که عجله نکنند. آن‌ها باید با احتیاط عمل کنند و تصویری کامل از موقعیت حادثه برای خود ترسیم کنند: «پس از اینکه حمله‌ای صورت گرفت، معمولاً از سوی مدیریت ارشد فشار وارد می‌شود که کارها هر چه سریع‌تر به روال عادی خود بازگردد – اما شرکت‌ها باید نهایت تلاش خود را بکنند تا در برابر این فشار مقاومت کنند. مهاجمین باج‌افزاری معمولاً نرم‌افزارهایی خرابکارانه در شبکه‌ی قربانی خود کار می‌گذارند. چنین نرم‌افزارهایی به مهاجمین امکان می‌دهد که به شبکه‌ دسترسی داشته باشند و داده‌ها را به سرقت ببرند، تلاش‌های مقابله‌ای شرکت را رصد کنند و کامپیوترها را دوباره رمزگذاری کنند.

بسیار مهم است که شرکت‌ها چنین نرم‌افزارهایی را شناسایی و حذف کنند و قبل از بازگشت کامل عملیات‌ها به روال قبل اقدامات پیشگیرانه‌ی لازم را انجام دهند. و وقتی شرکت‌ها آماده‌ی بازگشت به حالت عادی بودند، باید با متخصصان امنیتی مشورت کنند تا از بازگشت عملیات در حالتی امن اطمینان حاصل شود.»

یکی از تصمیمات مهم این است که آیا مبلغ درخواستی مهاجمین پرداخت شود یا خیر. با اتکای بیش از پیش کسب‌وکارها بر زیرساخت‌های نرم‌افزاری خود، تعداد زیادی حاضرند سریعاً مبلغ درخواستی را پرداخت کرده و کنترل خود روی سیستم‌ها و داده‌ها را پس بگیرند – اما این کار معمولاٌ باعث تشویق جنایتکاران سایبری به ادامه‌ی اخاذی می‌شود.

نظر آقای ابوت در این زمینه چنین است: «در زمینه‌ی تصمیم‌گیری برای پرداخت باج، نهادهای قانونی معمولاً مخالف پرداخت آن هستند اما با شرکت‌هایی که مایل به این کار هستند همکاری‌های لازم را انجام می‌دهند. عموماً نهادهای قانونی اتخاذ این تصمیم را به عهده‌ی شرکت‌ها می‌گذارند تا یک تحلیل هزینه – فایده برای خود داشته باشند. تصمیم به اینکه مبلغ درخواستی پرداخت شود شامل پرداخت به صورت بیت‌کوین و همچنین ریسک آشکار اینکه این پرداخت ضامن آزاد شدن شرکت نیست نیز می‌شود. اما یک الگوی کلی در زمینه‌ی حملات باج‌افزاری وجود دارد که معمولاً پس از پرداخت داده‌ها و سیستم‌های قفل‌شده آزاد می‌شوند زیرا بالاخره تمامی این جنایتکاران می‌خواهند که شرکت‌های بعدی نیز باور داشته باشند که با پرداخت این مبلغ مشکلات‌شان برطرف خواهد شد.»

نظر آقای شارفوس در این زمینه بدین شرح است: «زمانی که قرار است برای پرداخت باج تصمیم‌گیری ‌شود، بیشتر شرکت‌ها اهمیت سیستم‌های آفلاین، وجود پشتیبان برای مهاجرت به آن‌ها و همچنین اهمیت اطلاعت به‌سرقت رفته را مد نظر قرار می‌دهند. اما نکته‌ای که باید به‌هیچ وجه از آن غافل نشد این است که مهاجمین در لیست خرابکاران دولتی نباشند زیرا پرداخت به آن‌ها غیرقانونی است و جرم محسوب می‌شود.»

چشم‌انداز

باج‌افزارها در آینده نیز همچنان برای کسب‌وکارها و دولت‌ها مشکلاتی جدی ایجاد خواهند کرد. از همین رو، همکاری بین‌المللی بیشتری برای مقابله با این تهدید نیاز است. یکی از همکاری‌های مهم در این زمینه اعلامیه‌ی همکاری ایالات متحده و اتحادیه اروپا در ژوئن 2021 برای مقابله با باج‌افزارها بود. در این اعلامیه هر دو طرف: «بر اهمیت همکاری برای مقابله با باج‌افزارها از طریق اقدامات قانونی، بالا بردن آگاهی عمومی در زمینه‌ی محافظت از شبکه‌ها و همچنین ریسک پرداخت باج به جنایتکاران تاکید کردند و تصمیم گرفته شد کشورهایی که این ریسک را نادیده می‌گیرند و از دستگیری این مجرمین در کشور خود خودداری می‌کنند را تشویق به اعمال قانون کنند.»

 مجرمین سایبری از پیشرفت‌های تکنولوژی و تغییر نحوه‌ی انجام کارها سود می‌برند. دورکاری در سال‌های آتی همچنان باقی خواهد ماند، خدمات ابری پرطرفدارتر شده‌اند و دستگاه‌های مبتنی بر اینترنت اشیا در سال‌های آینده بسیار بیشتر خواهند شد. در همین حین، خرابکاران روش‌های خود را بهبود بخشیده و ارتقا می‌دهند، که یکی از مهم‌ترین دسته‌های این خرابکاران مجرمان سایبری دولتی هستند. برای شرکت‌ها، پیاده‌سازی فعالانه‌ی امنیت سایبری در فرآیندهای آن یکی از مهم‌ترین فاکتورهای آمادگی برای مقابله با حملات باج‌افزاری است.