لسنوات عديدة، اتبعت محادثة برامج الفدية نصًا مألوفًا. الأنظمة تنخفض. يتم تشفير الملفات. العمليات متوقفة. يسأل المسؤولون التنفيذيون ما إذا كان بإمكان الشركة الاستعادة من النسخة الاحتياطية أو ما إذا كان يتعين عليها الدفع.
ولا يزال هذا السيناريو يحدث. لكن تقريرًا على مستوى الصناعة نُشر الشهر الماضي يشير إلى أن التهديد قد انقسم إلى مسارات متوازية.
كبير محللي الأمن السيبراني في Fortra.
وجد التقرير، المستمد من مئات عمليات الاستجابة للحوادث في العالم الحقيقي، أن حوادث الابتزاز المتعلقة بالبيانات فقط ارتفعت أحد عشر مرة على أساس سنوي، حيث ارتفعت من 2٪ إلى 22٪ من الحالات.
يستمر المقال أدناه
يعكس تقرير تحقيقات خرق البيانات لعام 2025 الصادر عن شركة Verizon هذا التطور الأوسع من خلال التعامل مع برامج الفدية مع أو بدون تشفير كجزء من نفس مشهد الابتزاز، مع الإشارة إلى ظهور برامج الفدية في 44% من الانتهاكات التي استعرضتها.
إعادة التفكير في كيفية تعريف الشركات للمرونة
وهذا من شأنه أن يجبرنا على إعادة التفكير في كيفية تعريف الشركات للمرونة. لا تزال العديد من المؤسسات تتعامل مع برامج الفدية كما لو كانت مشكلة استرداد تشغيلية في المقام الأول. ويصبح السؤال الرئيسي هو مدى سرعة استعادة الأنظمة، وما إذا كانت النسخ الاحتياطية معزولة، وما هي مدة التوقف التي يمكن أن تتحملها الشركة.
ولا تزال تلك أسئلة مهمة. فهي لم تعد كافية. ويبدأ الأمر بمجرد تحول المهاجمين من فقدان التوفر إلى فقدان السرية، ويتغير نموذج القرار بأكمله.
لم تعد الأسئلة العاجلة تقنية فحسب. ما هي البيانات التي تم أخذها؟ من يملكها؟ هل كانت قاعدة بيانات العملاء أم البيانات المنظمة أم الملكية الفكرية أم الاتصالات الداخلية أم مزيج من كل ما سبق؟ هل تم تخزينها في بيئة أساسية، أو تم تكرارها في منصات SaaS، أو تمت مشاركتها مع أحد البائعين، أو تم الاحتفاظ بها لسنوات أطول من اللازم؟
إذا لم تتمكن القيادة من الإجابة على هذه الأسئلة بسرعة، فقد تستعيد الأنظمة ولكنها لا تزال تفشل في التخفيف من التداعيات الأكبر.
التقارير الأخيرة من Coveware تؤكد أهمية هذا التحول. وفي تحليلها لبرامج الفدية للربع الثاني من عام 2025، ظهر التسلل في 74% من الحالات، ووصفت الشركة سرقة البيانات بأنها الحدث الرئيسي في العديد من الهجمات وليس مجرد مقدمة للتشفير.
تعمل الجهات التهديدية على تحسين الضغط، وليس فقط التعطيل. لقد أصبحت البيانات نفسها رهينة.
يبقى الابتزاز المزدوج جزءا من قواعد اللعبة
هذا لا يعني أن التشفير قد اختفى من برامج الفدية. وفي العديد من حملات الابتزاز المزدوج، يظل هذا جزءًا أساسيًا من قواعد اللعبة. النقطة المهمة هنا هي أن سرقة البيانات الحساسة تحمل الآن في كثير من الأحيان قدرًا كافيًا من النفوذ في حد ذاتها، بحيث أن النسخ الاحتياطية، رغم أنها لا تزال ضرورية، لم تعد تحدد مدى الاستعداد.
وهذا يجعل القصة القديمة التي تتمحور حول النسخ الاحتياطي غير مكتملة على نحو متزايد. تظل النسخ الاحتياطية ضرورية. تستمر CISA في التركيز عليها، خاصة نسخ الاسترداد التي تم اختبارها وغير المتصلة بالإنترنت، بينما تحذر أيضًا من أن النسخ الاحتياطية السحابية الآلية قد تكون غير كافية إذا تمت مزامنة الملفات المشفرة مرة أخرى مع البيئة واستبدال الإصدارات النظيفة. لكن هذا التوجيه يشير إلى حقيقة أوسع.
إن هذا الاستعادة ليس سوى جزء واحد من المرونة. وهذا أيضًا هو المكان الذي يلاحق فيه السوق التهديد بهدوء. ليس من قبيل الصدفة أن يركز المزيد من قطاع الأمن على حماية البيانات ورؤية البيانات بدلاً من التعامل مع برامج الفدية باعتبارها مشكلة استرداد فقط.
ويعكس هذا التحول واقعًا أوسع نطاقًا: حيث أدركت المؤسسات أن المرونة لم تعد تقتصر على استعادة الأنظمة بعد التعطل فحسب. يتعلق الأمر بالحد من عدم اليقين بشأن التعرض للبيانات قبل أن تفرض الأزمة السؤال.
العدسة الوحيدة للتعافي من الكوارث
تستحق هذه الفكرة مزيدًا من الاهتمام في غرف مجالس الإدارة وغرف الحرب الأمنية ومع العملاء. لقد تم تعليم العديد من المؤسسات كيفية عرض جاهزية برامج الفدية من خلال العدسة الوحيدة للتعافي من الكوارث. لا يزال العديد من MSPs يحزمونها بهذه الطريقة أيضًا. تركز اللغة على الأهداف الزمنية لاستعادة البيانات، واختبار النسخ الاحتياطي، واستمرارية الأعمال.
ولكن في نموذج الابتزاز القائم على سرقة البيانات، فإن المقياس الأكثر كشفًا للنضج هو ما إذا كانت المنظمة تعرف بالفعل أين تعيش بياناتها الحساسة، وكيف تتحرك، ومن يمكنه الوصول إليها، وما إذا كان ينبغي أن تظل موجودة على الإطلاق. يشير إطار عمل الأمن السيبراني NIST 2.0 في هذا الاتجاه.
وتدعو أمثلة تنفيذها بوضوح إلى الاحتفاظ بقوائم جرد لأنواع البيانات المحددة والبيانات الوصفية المقابلة، بما في ذلك المصدر ومالك البيانات وتحديد الموقع الجغرافي.
كما أنه يربط إدارة دورة الحياة بتقليل التعرض غير الضروري، بما في ذلك التدمير الآمن للبيانات المخزنة استنادًا إلى سياسة الاحتفاظ وتحديد الأنظمة والخدمات الزائدة عن الحاجة التي تزيد من سطح الهجوم. توجيهات NIST الحالية للاستجابة للحوادث تجعل هذه النقطة أكثر مباشرة.
وينص على أن قوائم جرد البيانات بما في ذلك التصنيفات والمالكين والمواقع المنطقية والمادية توفر معلومات قيمة حول البيانات التي قد تكون متضمنة في حادث ما. هذه هي بالضبط المشكلة التي تكتشفها العديد من المنظمات بعد فوات الأوان.
فهم سطح هجوم البيانات الحقيقي
هذا هو المكان الذي تنهار فيه برامج الفدية والخصوصية والحوكمة واستراتيجية الأعمال في نفس الحدث. يمكن أن يؤدي أي اختراق واحد إلى تعطيل العمليات، أو مشكلة قانونية، أو أزمة ثقة العملاء، أو ممارسة إعداد التقارير التنظيمية، أو مشكلة التعرض التنافسي، كلها في وقت واحد.
ولهذا السبب السؤال القديم: “هل لدينا نسخ احتياطية؟” الآن يبدو ضيقًا جدًا. السؤال الأصعب والأكثر فائدة هو ما إذا كانت الشركة تفهم سطح هجوم البيانات الحقيقي قبل حدوث الاختراق. هناك أيضًا مشكلة تنظيمية أعمق هنا.
قامت العديد من المؤسسات بتحسين بنية التعافي مع السماح بتفاقم انتشار البيانات. يتم نسخ الملفات الحساسة عبر منصات التعاون والمستودعات السحابية ومحركات الأقراص المشتركة ونقاط النهاية غير المُدارة وأنظمة الجهات الخارجية. تبقى البيانات القديمة لأنه لا أحد يريد أن يمتلك قرارات الحذف.
يتراكم الوصول بشكل أسرع من مراجعته. في تلك البيئة، قد تبدو الشركة مرنة على الورق بينما تمارس بهدوء نفوذًا هائلاً على الابتزاز داخل ممتلكاتها.
الدرس الاستراتيجي
الدرس الاستراتيجي ليس أن النسخ الاحتياطية أقل أهمية. هو أن النسخ الاحتياطية تحل مشكلة مختلفة. أنها تساعد على استعادة الأنظمة. إنهم لا يستعيدون السرية أو الثقة أو الموقف التفاوضي بمجرد الحصول على البيانات. وفي عصر الابتزاز، يجب أن تصبح المرونة أكثر تركيزًا على البيانات.
وهذا يعني تصنيفًا أفضل، وضوابط أكثر صرامة لإدارة الهوية حول المستودعات ذات القيمة العالية، ورؤية أقوى عبر البيئات السحابية والجهات الخارجية، وممارسات احتفاظ أكثر انضباطًا حتى لا يكون لدى المهاجمين ما يمكن سرقته في المقام الأول. ويعني ذلك أيضًا إجراء محادثات أكثر صدقًا مع العملاء ومجالس الإدارة حول الفرق بين التعافي التشغيلي والمرونة الحقيقية.
الشركات التي تتنقل بشكل أفضل في هذا الأمر لن تكون هي الشركات التي تتمتع بأسرع وقت للتعافي. سيكونون هم الأشخاص الذين لم يضطروا أبدًا إلى تخمين ما تم أخذه. النسخ الاحتياطية هي البنية التحتية. إن فهم بياناتك هو استراتيجية. وفي بيئة التهديد الحالية، فإن الفجوة بين هذين الأمرين هي بالضبط المكان الذي يعيش فيه الابتزاز.
اقرأ قائمتنا لأفضل خدمات استعادة البيانات.
التعليقات