عندما سرق المحتالون 25 مليون دولار من شركة هندسية بريطانية في هونغ كونغ باستخدام نسخة مستنسخة رقميا من أحد كبار المديرين لطلب التحويلات المالية عبر مكالمة فيديو، سلطت عملية الاحتيال المزيفة الضوء على التطور المتزايد للهجمات الإلكترونية.

تعد تهديدات الأمن السيبراني واحدة من القضايا الثلاث الأولى التي تجعل كبار المسؤولين القانونيين مستيقظين طوال الليل، حيث حددها 37% منهم باعتبارها أكبر مخاوفهم، وفقًا لأحدث دراسة أجرتها جمعية المستشارين القانونيين للشركات، وهي نقابة محامين عالمية، والتي استطلعت آراء 669 مشاركًا في 31 دولة.

وتشعر الجهات التنظيمية بالقلق إزاء عدم قيام الشركات بما يكفي لحماية نفسها. ففي يوليو/تموز، حث البنك المركزي الأوروبي المقرضين على الاستعداد بشكل أفضل للهجوم الإلكتروني بعد أن وجد اختبار الإجهاد الإلكتروني الذي أجراه لأول مرة “مجالاً للتحسين”. وحذرت شركة لويدز أوف لندن للتأمين مؤخراً من أن الهجوم الإلكتروني على نظام المدفوعات العالمي قد يكلف الاقتصاد العالمي 3.5 تريليون دولار.

وارتفع عدد هجمات برامج الفدية في الخدمات المالية ــ حيث يقفل مجرمو الإنترنت بيانات الضحية أو نظام الكمبيوتر الخاص بها ولا يفرجون عنها إلا إذا تم دفع فدية ــ من 55% في عام 2022 إلى 64% في عام 2023، وفقا لتقرير صادر عن شركة سوفوس للأمن السيبراني. وهاجم المتسللون منظمات بارزة، مثل البريد الملكي والمكتبة البريطانية في المملكة المتحدة وفرع نيويورك للبنك الصناعي والتجاري الصيني.

والآن يجد كبار المسؤولين القانونيين أنفسهم في طليعة حماية الشركات من التهديدات السيبرانية. وتنظم العديد من الشركات بانتظام تدريبات حربية استعداداً لهجوم محتمل، ويلعب المحامون الداخليون دوراً حاسماً.

أثار هجوم إلكتروني على المكتبة البريطانية في عام 2023 مخاوف بشأن ضعف البنية التحتية لتكنولوجيا المعلومات في القطاع العام. © Getty Images

يقول ديفيد دان، المدير الإداري الأول ورئيس قسم الأمن السيبراني في منطقة أوروبا والشرق الأوسط وأفريقيا لدى شركة الاستشارات FTI Consulting: “إن تجربة سيناريوهات القرصنة السيبرانية المحتملة تشكل جزءًا مهمًا من كيفية استجابة المستشارين القانونيين للتهديدات”.

في حالة وقوع هجوم إلكتروني، يتحمل المستشار القانوني التزامات معينة، مثل إبلاغ الجهات التنظيمية في غضون إطار زمني محدد. وإذا كان الهجوم عبارة عن برنامج فدية، فسوف يشارك المستشار القانوني بشكل كبير في اتخاذ القرار بشأن دفع الفدية أم لا. ومع ذلك، كان من الواجب أن يتم النظر في مثل هذا السيناريو بالفعل أثناء لعبة الحرب.

يقول دان: “يجب أن يكون المستشارون القانونيون الداخليون جزءًا من عملية اتخاذ القرار بشأن برامج الفدية في السيناريوهات التي يتم إعدادها مسبقًا قبل وقوع الحادث. وقد يكون هناك أيضًا خطر فرض عقوبات. إذا قررت شركة دفع فدية إلى كيان وكانت مرتبطة بشركة أو فرد خاضع للعقوبات، فهناك خطر انتهاك العقوبات من خلال الدفع”.

وبالإضافة إلى التخطيط للسيناريوهات، تشارك الفرق القانونية في تثقيف الموظفين، الذين يُنظَر إليهم غالبًا باعتبارهم الحلقة الضعيفة في الهجمات الإلكترونية. وفي العام الماضي، ورد أن هجوم الفدية على شركة MGM Resorts International، وهي واحدة من أكبر شركات تشغيل الكازينوهات في العالم، تم تنفيذه باستخدام بيانات تسجيل الدخول الضعيفة والمسروقة لمهندس تكنولوجيا المعلومات متوسط ​​المستوى.

يقول كاري هيتانين، نائب الرئيس التنفيذي للعلاقات المؤسسية والشؤون القانونية في مجموعة Wartsila للتكنولوجيا البحرية والطاقة المدرجة في بورصة هلسنكي: “نقوم بتدريب إلزامي على الأمن السيبراني لجميع الموظفين سنويًا. لقد كان هناك وعي متزايد بالتهديدات السيبرانية ومنع أشياء مثل محاولات التصيد الاحتيالي”.

ويضيف أن “الفريق القانوني وفريق الأمن السيبراني يتعاونان معًا بشكل متزايد”.

ويشكل الموردون من جهات خارجية خطرًا آخر يتعين على الفرق القانونية مراعاته. ويقول هيتانين إن شركة وارتسيلا تحدد بشكل متزايد المتطلبات التعاقدية اللازمة لضمان المرونة السيبرانية لمنتجات الموردين من جهات خارجية.

في الولايات المتحدة، هناك خطر كبير من رفع دعاوى قضائية بعد وقوع الحادث… وأرى أن هناك اتجاهاً محتملاً يتمثل في زيادة هذا الخطر في ألمانيا وفرنسا.

وفي الوقت نفسه، هناك مجموعة متزايدة التعقيد من القواعد العالمية التي تحكم الأمن السيبراني. وعادة ما تكون الهجمات السيبرانية جرائم يمكن الإبلاغ عنها، وقد تؤدي إلى غرامات ضخمة من قِبَل الجهات التنظيمية، مثل مفوض المعلومات في المملكة المتحدة، إذا حدث خرق للبيانات. وقد تواجه الشركات أيضًا دعاوى قضائية من العملاء الذين ربما سُرِقَت بياناتهم.

يقول دان: “في الولايات المتحدة، على سبيل المثال، هناك خطر كبير من رفع دعاوى قضائية بعد وقوع الحادث من جانب الشركاء والأطراف الثالثة والعملاء. وفي المملكة المتحدة وأوروبا، كانت هذه المخاطر أقل، ولكنني أرى اتجاهًا محتملًا يتمثل في زيادة الدعاوى القضائية بعد وقوع الحادث في ألمانيا وفرنسا”.

وكثيراً ما يتعين على المحامين الداخليين أيضاً التأكد من امتثال الشركة لتدابير المرونة السيبرانية التي تحكم منتجات وخدمات الشركات. وعلى سبيل المثال، يشير هيتانين إلى اللوائح الجديدة المتعلقة بمنتجات الطاقة والبحرية، مثل المتطلب الذي يهدف إلى حماية الأنظمة والمعدات الموجودة على متن السفن.

في مجال الخدمات المالية، تستعد الشركات في أوروبا لقانون المرونة في العمليات الرقمية (Dora)، والذي سيدخل حيز التنفيذ في يناير 2025 ويهدف إلى تعزيز المرونة وضمان استمرار العمليات دون انقطاع أثناء الاضطرابات الناجمة عن مشاكل تكنولوجيا المعلومات العالمية أو الهجوم الإلكتروني.

يعمل ريموند كليجمير على تنفيذ برنامج دورا في مؤسسة مالية كبيرة. بصفته مسؤولاً سياسياً كبيراً سابقاً في البنك المركزي الهولندي، شارك في تطوير إرشادات دولية بشأن المرونة السيبرانية للقطاع المالي. ويقول إن برنامج دورا يتطلب من الشركات تنظيم حوكمتها والعمل وفقاً لنموذج يتكون من ثلاثة خطوط دفاع، مع مراعاة الأعمال وإدارة المخاطر والتدقيق.

يقول كليجمير إن دور المستشار القانوني الداخلي أصبح أكثر أهمية بسبب الحاجة إلى تنفيذ اللوائح. “تقليديًا، كان يُنظر إلى هذا الدور (من قبل الشركة) على أنه عبء تنظيمي إضافي. الآن، مع دورا، يتطلب الأمر نهجًا أكثر نشاطًا، بل وحتى استباقيًا”.

المصدر