دبي: «الخليج»
أصدرت شركة بروف بوينت، الشركة العاملة في مجال الأمن السيبراني والامتثال، بالتعاون مع معهد بونيمون، مؤسسة الأبحاث الأمنية في مجال تكنولوجيا المعلومات، نتائج دراسة جديدة حول تكلفة التصيد الاحتيالي؛ حيث كشفت الدراسة، عن أن تكلفة هجمات التصيد الاحتيالي تضاعفت أربع مرات تقريباً على مدار السنوات الست الماضية؛ إذ خسرت الشركات الأمريكية الكبرى بمعدل 14.8 مليون دولار سنوياً (أو 1500 دولار لكل موظف)، بزيادة حادة عن خسارة عام 2015 والبالغة 3.8 مليون دولار.
600 مختص
وفقاً للدراسة، التي شملت ما يقرب من 600 من المختصين في أمن تكنولوجيا المعلومات وتكنولوجيا المعلومات، فإن التهديدات الأكثر تكلفة للشركات تشمل اختراق البريد الإلكتروني للأعمال BEC وهجمات برمجيات الفدية. لكن التكاليف التي تتحملها المنظمات تتجاوز بكثير الأموال التي يتم تحويلها للقراصنة الإنترنت.
بدروه قال الدكتور لاري بونيمون، رئيس مجلس الإدارة ومؤسّس معهد «بونيمون»: «عندما يعلم الأفراد أن إحدى المؤسسات دفعت الملايين لحل مشكلة فيروسات برمجيات الفدية، فإنهم يفترضون أن إصلاحها يكلف الشركة فدية فقط. ولكن كشف التقرير عن أن الفدية وحدها تمثل أقل من 20 % من تكلفة هجمات برمجيات الفدية. وبما أن هجمات التصيد الاحتيالي تزيد من احتمالية خرق البيانات وتعطيل الأعمال، فإن معظم التكاليف التي تتكبدها الشركات تأتي من فقدان الإنتاجية ومعالجة المشكلة بدلاً من الفدية الفعلية المدفوعة لقراصنة الإنترنت».
وتسبق تسوية بيانات الاعتماد (سرقة بيانات الاعتماد) بشكل عام هجمات مثل اختراق البريد الإلكتروني للأعمال وبرامج الفدية، وعادة ما تكون في شكل «خداع» موظف للتخلي عن بيانات اعتماد تسجيل الدخول الخاصة به. وفقاً لمجموعة عمل مكافحة التصيد الاحتيالي (APWG)، فإن التصيد الاحتيالي يعد جريمة تستخدم كلاً من الهندسة الاجتماعية والحيلة التقنية لسرقة بيانات الهوية الشخصية وبيانات اعتماد الحساب المالي. هذا وإن نمو التصيد ليس تدريجياً؛ بل ينمو بشكل كبير. تقدر مجموعة عمل مكافحة التصيد الاحتيالي، أن هجمات التصيد الاحتيالي تضاعفت في عام 2020 وحده.
النتائج الرئيسية
ومن بين النتائج الرئيسية الأخرى التي كشف عنها تقرير تكلفة التصيد الاحتيالي لعام 2021:
** يعد فقدان الإنتاجية أحد أكثر نتائج التصيد الاحتيالي كلفة. في شركة أمريكية متوسطة الحجم تضم 9567 موظفاً، يُترجم هذا إلى 63343 ساعة ضائعة كل عام. يهدر كل موظف سبع ساعات في المتوسط سنوياً بسبب عمليات التصيد الاحتيالي، وهي أكثر من أربع ساعات في عام 2015.
** تكلف تسوية البريد الإلكتروني للأعمال ما يقرب من 6 ملايين دولار أمريكي سنوياً لمؤسسة كبيرة. من ذلك، المدفوعات غير المشروعة التي يتم دفعها سنوياً لقراصنة BEC تبلغ 1.17 مليون دولار.
** تكلف برامج الفدية المؤسسات الكبيرة 5.66 مليون دولار سنوياً وهي تشمل 790 ألف دولار تمثل الفدية المدفوعة بأنفسهم.
** تدريب الموظفين لزيادة الوعي الأمني يحد من كلفة التصيد الاحتيالي بنسبة تزيد على 50 % في المتوسط.
** تضاعفت تكاليف حل مشكلة البرمجيات الضارة منذ عام 2015. وبلغ متوسط التكلفة الإجمالية لحل هجمات البرمجيات الضارة 807.506 دولارات أمريكية في عام 2021، بزيادة قدرها 338،098 دولاراً أمريكياً من عام 2015.
** زادت تكاليف تسوية بيانات الاعتماد بشكل كبير منذ عام 2015. ونتيجة لذلك، تنفق المؤسسات المزيد من الأموال للتصدي لهذه الهجمات. وقد ارتفع متوسط تكلفة احتواء تسويات بيانات الاعتماد التي تعرضت للتصيد الاحتيالي من 381,920 دولاراً أمريكياً في عام 2015 إلى 692,531 دولاراً أمريكياً في عام 2021. وقد واجهت المؤسسات متوسط 5.3 تسوية على مدار 12 شهراً.
** يجب على مديري الأعمال الانتباه إلى سيناريوهات الخسارة القصوى المحتملة. على سبيل المثال، يمكن أن تتسبب هجمات اختراق البريد الإلكتروني (BEC) بتكبد الأعمال خسائر من اضطرابات سير العمل قد تصل إلى 157 مليون دولار إذا لم تكن المؤسسات لديها نظام أمني قوي للتصدي لهذه الهجمات. كما أن البرمجيات الضارة التي تؤدي إلى سرقة البيانات قد تكلف الشركات ما يصل إلى 137 مليون دولار.
خطورة الهجمات سيبرانية
من جانبه قال إميل أبو صالح، المدير الإقليمي لمنطقة الشرق الأوسط وإفريقيا لدى بروف بوينت: «في الشرق الأوسط، كشفت أبحاثنا الأخيرة عن أن مديري أمن المعلومات في الإمارات العربية المتحدة والمملكة العربية السعودية يشعرون بمدى خطورة التعرض لهجمات سيبرانية خلال الأشهر الـ 12 المقبلة؛ حيث يشكل التصيد الاحتيالي مصدر قلق لما يقارب من ثلث كبار مديري أمن المعلومات. من هنا لا بد للمؤسسات في الشرق الأوسط من تعزيز الوعي بالأمن السيبراني بين موظفيها من خلال الدورات التوعوية لفهم كيفية تأثير السياسات الأمنية على عملهم اليومي».
من جانبه قال ريان كالمبر، نائب الرئيس التنفيذي لاستراتيجية الأمن السيبراني لدى بروف بوينت: «بما أن الجهات الفاعلة في التهديد تستهدف الموظفين الآن بدلاً من الشبكات، فقد انفجرت التسوية في بيانات الاعتماد في السنوات الأخيرة، مما يترك الباب مفتوحاً على مصراعيه لهجمات أكثر تدميراً مثل اختراق البريد الإلكتروني للأعمال BEC ووبرمجيات الفدية ransomware». وحتى تضع المؤسسات سياسة للأمن السيبراني تركز على توعية الأفراد وتدريبهم وحماية كل الثغرات الأمنية، فإن الهجمات السيبرانية ستستمر.
أصدرت شركة بروف بوينت، الشركة العاملة في مجال الأمن السيبراني والامتثال، بالتعاون مع معهد بونيمون، مؤسسة الأبحاث الأمنية في مجال تكنولوجيا المعلومات، نتائج دراسة جديدة حول تكلفة التصيد الاحتيالي؛ حيث كشفت الدراسة، عن أن تكلفة هجمات التصيد الاحتيالي تضاعفت أربع مرات تقريباً على مدار السنوات الست الماضية؛ إذ خسرت الشركات الأمريكية الكبرى بمعدل 14.8 مليون دولار سنوياً (أو 1500 دولار لكل موظف)، بزيادة حادة عن خسارة عام 2015 والبالغة 3.8 مليون دولار.
600 مختص
وفقاً للدراسة، التي شملت ما يقرب من 600 من المختصين في أمن تكنولوجيا المعلومات وتكنولوجيا المعلومات، فإن التهديدات الأكثر تكلفة للشركات تشمل اختراق البريد الإلكتروني للأعمال BEC وهجمات برمجيات الفدية. لكن التكاليف التي تتحملها المنظمات تتجاوز بكثير الأموال التي يتم تحويلها للقراصنة الإنترنت.
بدروه قال الدكتور لاري بونيمون، رئيس مجلس الإدارة ومؤسّس معهد «بونيمون»: «عندما يعلم الأفراد أن إحدى المؤسسات دفعت الملايين لحل مشكلة فيروسات برمجيات الفدية، فإنهم يفترضون أن إصلاحها يكلف الشركة فدية فقط. ولكن كشف التقرير عن أن الفدية وحدها تمثل أقل من 20 % من تكلفة هجمات برمجيات الفدية. وبما أن هجمات التصيد الاحتيالي تزيد من احتمالية خرق البيانات وتعطيل الأعمال، فإن معظم التكاليف التي تتكبدها الشركات تأتي من فقدان الإنتاجية ومعالجة المشكلة بدلاً من الفدية الفعلية المدفوعة لقراصنة الإنترنت».
وتسبق تسوية بيانات الاعتماد (سرقة بيانات الاعتماد) بشكل عام هجمات مثل اختراق البريد الإلكتروني للأعمال وبرامج الفدية، وعادة ما تكون في شكل «خداع» موظف للتخلي عن بيانات اعتماد تسجيل الدخول الخاصة به. وفقاً لمجموعة عمل مكافحة التصيد الاحتيالي (APWG)، فإن التصيد الاحتيالي يعد جريمة تستخدم كلاً من الهندسة الاجتماعية والحيلة التقنية لسرقة بيانات الهوية الشخصية وبيانات اعتماد الحساب المالي. هذا وإن نمو التصيد ليس تدريجياً؛ بل ينمو بشكل كبير. تقدر مجموعة عمل مكافحة التصيد الاحتيالي، أن هجمات التصيد الاحتيالي تضاعفت في عام 2020 وحده.
النتائج الرئيسية
ومن بين النتائج الرئيسية الأخرى التي كشف عنها تقرير تكلفة التصيد الاحتيالي لعام 2021:
** يعد فقدان الإنتاجية أحد أكثر نتائج التصيد الاحتيالي كلفة. في شركة أمريكية متوسطة الحجم تضم 9567 موظفاً، يُترجم هذا إلى 63343 ساعة ضائعة كل عام. يهدر كل موظف سبع ساعات في المتوسط سنوياً بسبب عمليات التصيد الاحتيالي، وهي أكثر من أربع ساعات في عام 2015.
** تكلف تسوية البريد الإلكتروني للأعمال ما يقرب من 6 ملايين دولار أمريكي سنوياً لمؤسسة كبيرة. من ذلك، المدفوعات غير المشروعة التي يتم دفعها سنوياً لقراصنة BEC تبلغ 1.17 مليون دولار.
** تكلف برامج الفدية المؤسسات الكبيرة 5.66 مليون دولار سنوياً وهي تشمل 790 ألف دولار تمثل الفدية المدفوعة بأنفسهم.
** تدريب الموظفين لزيادة الوعي الأمني يحد من كلفة التصيد الاحتيالي بنسبة تزيد على 50 % في المتوسط.
** تضاعفت تكاليف حل مشكلة البرمجيات الضارة منذ عام 2015. وبلغ متوسط التكلفة الإجمالية لحل هجمات البرمجيات الضارة 807.506 دولارات أمريكية في عام 2021، بزيادة قدرها 338،098 دولاراً أمريكياً من عام 2015.
** زادت تكاليف تسوية بيانات الاعتماد بشكل كبير منذ عام 2015. ونتيجة لذلك، تنفق المؤسسات المزيد من الأموال للتصدي لهذه الهجمات. وقد ارتفع متوسط تكلفة احتواء تسويات بيانات الاعتماد التي تعرضت للتصيد الاحتيالي من 381,920 دولاراً أمريكياً في عام 2015 إلى 692,531 دولاراً أمريكياً في عام 2021. وقد واجهت المؤسسات متوسط 5.3 تسوية على مدار 12 شهراً.
** يجب على مديري الأعمال الانتباه إلى سيناريوهات الخسارة القصوى المحتملة. على سبيل المثال، يمكن أن تتسبب هجمات اختراق البريد الإلكتروني (BEC) بتكبد الأعمال خسائر من اضطرابات سير العمل قد تصل إلى 157 مليون دولار إذا لم تكن المؤسسات لديها نظام أمني قوي للتصدي لهذه الهجمات. كما أن البرمجيات الضارة التي تؤدي إلى سرقة البيانات قد تكلف الشركات ما يصل إلى 137 مليون دولار.
خطورة الهجمات سيبرانية
من جانبه قال إميل أبو صالح، المدير الإقليمي لمنطقة الشرق الأوسط وإفريقيا لدى بروف بوينت: «في الشرق الأوسط، كشفت أبحاثنا الأخيرة عن أن مديري أمن المعلومات في الإمارات العربية المتحدة والمملكة العربية السعودية يشعرون بمدى خطورة التعرض لهجمات سيبرانية خلال الأشهر الـ 12 المقبلة؛ حيث يشكل التصيد الاحتيالي مصدر قلق لما يقارب من ثلث كبار مديري أمن المعلومات. من هنا لا بد للمؤسسات في الشرق الأوسط من تعزيز الوعي بالأمن السيبراني بين موظفيها من خلال الدورات التوعوية لفهم كيفية تأثير السياسات الأمنية على عملهم اليومي».
من جانبه قال ريان كالمبر، نائب الرئيس التنفيذي لاستراتيجية الأمن السيبراني لدى بروف بوينت: «بما أن الجهات الفاعلة في التهديد تستهدف الموظفين الآن بدلاً من الشبكات، فقد انفجرت التسوية في بيانات الاعتماد في السنوات الأخيرة، مما يترك الباب مفتوحاً على مصراعيه لهجمات أكثر تدميراً مثل اختراق البريد الإلكتروني للأعمال BEC ووبرمجيات الفدية ransomware». وحتى تضع المؤسسات سياسة للأمن السيبراني تركز على توعية الأفراد وتدريبهم وحماية كل الثغرات الأمنية، فإن الهجمات السيبرانية ستستمر.
