منذ وقت ليس ببعيد، كان اختراق بيانات بضعة ملايين من الأشخاص بمثابة أخبار كبيرة ومقلقة، ولكن الانتهاكات والسرقات الإلكترونية حالياً تؤثر على مئات الملايين أو حتى المليارات من الناس وباتت شائعة جداً، ولعل أهمها سرقة بيانات لقاح شركة فايزر ضد فيروس كورونا المستجد.
ومع استمرار موجة انتهاك البيانات للشركات، نلقي نظرة في هذا التقرير على بعض أكبر وأخطر خروقات البيانات المسجلة، وكيف أثرت هذه الهجمات الإلكترونية على الشركات والمستخدمين.
تُعرِّف TechTarget خرق البيانات بأنه “حادثة يُحتمل أن يتم فيها عرض بيانات حساسة أو محميَّة أو سرية أو سرقتها أو استخدامها من قبل فرد غير مصرح له بذلك”.
قد تتضمن انتهاكات البيانات معلومات بطاقة الدفع (PCI) أو معلومات الصحة الشخصية (PHI) أو معلومات التعريف الشخصية (PII) أو الأسرار التجارية أو الملكية الفكرية.
التأثير الذي أحدثه انتهاك البيانات عبر التاريخ
من الجدير ذكره أن نحو 3.5 مليار شخص تعرضوا لسرقة بياناتهم الشخصية، في أكبر خرقين من بين أكبر 15 انتهاكاً لهذا القرن وحده.
واكتسبت انتهاكات البيانات اهتماماً واسعاً حين أصبحت الشركات من جميع الأحجام تعتمد بشكل متزايد على البيانات الرقمية والحوسبة السحابية.
ولأن بيانات العمل الحساسة يتم تخزينها على الأجهزة المحلية وفي قواعد بيانات المؤسسة وعلى الخوادم السحابية، أصبح اختراق بيانات الشركة شبيهاً بالوصول إلى الشبكات المقيدة.
لم تبدأ خروقات البيانات عندما بدأت الشركات في تخزين بياناتها المحمية رقمياً.
في الواقع، كانت خروقات البيانات موجودة منذ أن احتفظ الأفراد والشركات بسجلات وقاموا بتخزين المعلومات الخاصة، الاختلاف كان في طريقة سرقة هذه المعلومات.
وحالياً يتم وضع القوانين واللوائح لتوفير إرشادات للشركات والمؤسسات التي تتعامل مع أنواع معينة من معلومات المستهلك الحساسة.
توفر هذه اللوائح إطاراً للضمانات المطلوبة وممارسات التخزين والاستخدام للتعامل مع المعلومات الحساسة، ولكن هذه القواعد غير موجودة في جميع الصناعات أو الدول، كما أنها لا تمنع بشكل نهائي انتهاكات البيانات.
ما هي أنواع انتهاك البيانات؟
عندما “تفقد” المؤسسات الكبيرة البيانات أو يتم كشفها، فغالباً ما يكون ذلك من خلال القرصنة أو الإهمال أو كليهما. ومع ذلك، هناك عدة أنواع أخرى من فقدان البيانات و/أو تلفها والتي يمكن تصنيفها على أنها “خرق”.
- برامج الفدية أو Ransomware
- البرمجيات الخبيثة أو Malware
- التصيد أو Phishing
- الحرمان من الخدمة أو Denial-of-Service
لا بد من الأخذ بعين الاعتبار أن أكثر من ثلث البيانات موجودة في السحابات الإلكترونية أو تمر عبرها.
وفي عام 2020، قُدر إنتاج البيانات بأكثر من 44 مرة مما كان عليه في عام 2009؛ ويقدر الخبراء زيادةً قدرها 4300% في توليد البيانات السنوية.
في حين أن الأفراد مسؤولون عن معظم إنشاء البيانات (70%)، يتم تخزين 80% منها بواسطة المؤسسات الكبرى.
أكبر خرق للبيانات في التاريخ
شمل أكبر خرق للبيانات في التاريخ شركة Experian، وهي واحدة من ثلاث وكالات رئيسية لإعداد تقارير الائتمان المالية، حسب ما نشر موقع Digital Guardian.
استحوذت Experian على شركة تسمى Court Ventures، والتي تجمع المعلومات من السجلات العامة، في مارس/آذار 2012، ليتبين أنها كانت تبيعها لأطراف ثالثة متورطة في نشاطات غير قانونية.
وأشارت بعض المصادر الإخبارية إلى خرق 200 مليون سجل في هذه الحادثة، والتي استمرت لأكثر من 10 أشهر بعد أن استحوذت Experian على Court Ventures.
وذكر موقع DataBreaches.net أن عدد السجلات المخزنة والمخترقة كان 200 مليون.
وفي عامي 2008 و2009، عانت شركة Heartland Payment Systems خرقاً للبيانات أدى إلى كشف 130 مليون سجل.
تم اختراق بيانات Heartland Payment Systems، وهي وكالة دفعٍ مقرها نيوجيرسي، من خلال برامج malware تم زرعها على شبكتها لسرقة بيانات بطاقة الائتمان فور وصولها من تجار التجزئة.
هذه البيانات، التي تم الحصول عليها من خلال خدمات معالجة الدفع في Heartland لأكثر من 250 ألف شركة، وقعت في أيدي عصابات إلكترونية، في أكبر خرق لبطاقات الائتمان بالتاريخ.
كما تم في العام نفسه اختراق بيانات جنود متقاعدين بالجيش الأمريكي، الأمر الذي هدد سرقة هوياتهم ومعلوماتهم الشخصية.
وتلت هذه الحوادثَ هجماتٌ إلكترونية على متاجر كبرى تحتفظ ببيانات مستخدميها أو بمعلومات بطاقات الدفع.
ومن الشركات التي تعرضت لاختراق بياناتها:
- Sony Playstation Network
- Sony Online Entertainment
- Ebay حيث شهد اختراق معلومات أكثر من 145 مليون مستخدم
- JP Morgan المؤسسة المالية العالمية
- Yahoo: تم اختراق معلومات أكثر من مليار حساب
- Deep Root Analytics التي تضم معلومات حول أكثر من 200 مليون ناخب أمريكي
سرقة المعلومات الطبية في زمن الجائحة
لكن الاختراقات والهجمات السيبيرية لا تهدف فقط إلى المال، فهي استخباراتية أيضاً، كما حصل عند اختراق وفنية كما حصل عند اختراق شركة Sony وطبية.
ففي أواخر عام 2020، قالت شركة الأدوية الأمريكية “فايزر” وشريكتها الألمانية “بيونتيك”، إن وثائق مرتبطة بتطويرهما للقاح ضد مرض كوفيد-19، “تم الوصول إليها بشكل غير مشروع”، في هجوم إلكتروني استهدف وكالة الأدوية الأوروبية.
كذلك قالت الوكالة، المسؤولة عن تقييم الأدوية واللقاحات الخاصة بالاتحاد الأوروبي والموافقة عليها، إنه تم انتهاك البيانات بهجوم إلكتروني لسرقة بيانات الطُّعم الذي يوفر مناعة قوية من فيروس كورونا، في غضون نحو 10 أيام من الجرعة الأولى.
وكانت كندا أعلنت في شهر أكتوبر/تشرين الأول 2020، عن تعرضها لأكثر من هجمة إلكترونية، من أجل الحصول على آخر ما توصلت إليه الأبحاث العلمية فيها بشأن لقاح كورونا المنتظر عالمياً.
2020 عام الاختراقات بامتياز
من الجدير ذكره أن عدد مرات انتهاك البيانات أو الهجمات الإلكترونية ازداد عالمياً منذ ظهور جائحة كورونا، وفقاً لتقرير جديد صادر عن شركة Coalition للتأمين والأمن السيبراني.
وقالت الشركة: “التغييرات التي نفذتها المنظمات لتسهيل العمل عن بعد، أعطت مجرمي الإنترنت فرصاً جديدة لإطلاق حملات غير مسبوقة، مستغلةً عدم اليقين والخوف الجماعي”.
وأضاف البيان: “منذ بداية أزمة كورونا، لاحظت الشركة زيادة بنسبة 47% في شدة هجمات برامج الفدية، إضافة إلى زيادة بنسبة 100% من عام 2019 إلى الربع الأول من عام 2020”.
وجاءت أكثر أنواع الخسائر شيوعاً على الشكل التالي:
- برامج الفدية (41%)
- خسارة تحويل الأموال (27%)
- حوادث اختراق البريد الإلكتروني للأعمال (19%)
شكلت هذه الجرائم مجتمعة 87% من الحوادث المبلغ عنها، و84% من مدفوعات المطالبات خلال النصف الأول من عام 2020.
كما وجد التقرير أن المخترقين استهدفوا منظمات وشركات من جميع الأحجام.
وفي حين أن المؤسسات الأكبر في عينة الشركات التي تبلغ إيراداتها من 100 مليون دولار إلى 250 مليون دولار، كانت أكثر عرضة للهجوم بخمس مرات من المنظمات الصغيرة (مع إيرادات أقل من 10 ملايين دولار)، ولكن الخسائر المالية كانت في كلتا الحالتين مليونية.
ويبدو أن الجدال القانوني الذي يفرض نفسه حالياً هو إجبار الشركات على إبلاغ عملائها وزبائنها بهذه الاختراقات؛ لحماية معلوماتهم أو تغييرها عندما تتطلب الحاجة، وهو ما لا يلتزم به الجميع.
تكلفة انتهاك البيانات
وفقاً لبحث أُجري عام 2018، يبلغ متوسط تكلفة كل سجل مفقود في خرق البيانات 148 دولاراً، في حين يبلغ متوسط التكاليف الإجمالية للخرق 3.86 مليون دولار.
حتى الأعمال التجارية الصغيرة التي لديها 1000 سجل ضائع يمكن أن تتكلف عشرات الآلاف.
من أجل التخفيف من المخاطر التي تأتي مع فقدان البيانات، تشتري العديد من الشركات الآن التأمين ضد خرق البيانات.
وبينما لن يؤدي أي إجراء أمني إلى تخليص الاقتصاد من السرقة والاحتيال تماماً، هناك أدلة على أن الشركات يمكنها فعل الكثير لحماية بيانات المستخدمين.