«ميثوس» والحوسبة الكمومية يثيران الذعر بشأن أمان الأموال في بنوك العالم

رامزي هودجسون

تخيل السيناريو التالي: استيقظت صباح يوم على تنبيه عاجل على هاتفك، لقد تعرض بنكك لهجوم ببرنامج فدية، وتمكن المخترقون من سرقة البيانات المالية والشخصية السرية لعشرات الآلاف من عملاء البنك خلال عطلة نهاية الأسبوع، موظفو البنك غير قادرين وأنت معهم على الوصول إلى البيانات والأنظمة الداخلية، كما تعطلت خوادم النسخ الاحتياطي التي يستخدمها البنك عادةً لاستعادة البيانات.

وكما حدث في الهجوم على سلسلة «ماركس آند سبنسر» العام الماضي، استغل المهاجمون ثغرة أمنية لدى طرف ثالث للدخول ومن ثم التوسع بسرعة داخل البنك وتشفير النظام بأكمله، الآن ليس لديك أي فكرة عن مصير معاشك التقاعدي وحساب التوفير الفردي وحسابك الجاري.

وتشير المعلومات المتاحة فقط إلى أن عداداً تنازلياً على الإنترنت المظلم يُعلن عن موعد إطلاق البيانات، مع مطالبة البنك بدفع مليار جنيه إسترليني بالعملات المشفرة.

ويبدو كذلك أن المتسللين عازمون على تنفيذ عملية سطو حديثة على البنك، فيما ما يسميه توبي لويس، الرئيس العالمي لتحليل التهديدات في «دارك تريس» وهي مجموعة متخصصة في الأمن السيبراني، «هجوم ابتزاز مزدوج» - فقد تمكنوا من سرقة بيانات العملاء، التي يحتجزونها مقابل فدية؛ وكذلك تشفير أنظمة البنك، وطلب فدية مماثلة.

أيضاً، الأمر لم ينتهِ بعد، حيث تلاحظ أنت بريداً إلكترونياً غير عادي في صندوق بريدك الوارد. في مفارقة قاسية، يتجه المتسللون الآن إليك مباشرةً: سيتم تسريب بياناتك إذا لم تدفع الفدية التي تريدها، بغض النظر عما إذا كان البنك سيدفع مليار جنيه إسترليني أم لا. ويقول توبي لويس، الذي أسهم في تأسيس المركز الوطني للأمن السيبراني في المملكة المتحدة: «سيحاولون بطريقة أو بأخرى إجبارك على الدفع». إن هذا ما يمكن وصفه بـ«هجوم ابتزاز ثلاثي» - وهو أسوأ سيناريو تسعى المؤسسات المالية جاهدةً للحيلولة دون وقوعه.

ورغم ندرة مثل هذه الحوادث لبرامج الفدية الخبيثة، إلا أن المخاوف الكبيرة بشأن الأمن السيبراني للبنوك تجددت هذا الشهر مع ظهور «كلود ميثوس»، أحدث نموذج للذكاء الاصطناعي من ابتكار شركة «أنثروبيك»، فقد كشف النموذج عن آلاف الثغرات الأمنية السيبرانية «شديدة الخطورة» في البرامج المستخدمة من قبل جميع المؤسسات المالية الكبرى، ما أثار قلق الجهات التنظيمية العالمية ورؤساء البنوك بشأن أمن النظام المصرفي العالمي.

وفي اجتماع عُقد في واشنطن أخيراً، وصف محافظ بنك إنجلترا، أندرو بيلي، رئيس مجلس الاستقرار المالي للهيئات التنظيمية العالمية، «ميثوس» بأنه «تحدٍ خطير للغاية لنا جميعاً»، بينما قال الرئيس التنفيذي لبنك «جيه بي مورغان»، جيمي ديمون، إن النموذج «يُظهر الكثير من الثغرات التي تحتاج إلى إصلاح».

ويقول لورينزو غريلو، المدير الإداري في «ألفاريز آند مارسال»، الذي يرأس قسم خدمات مخاطر الأمن السيبراني في أوروبا والشرق الأوسط بالشركة الاستشارية، إن جميع البرامج تحتوي على ثغرات كامنة.

إن الخطر الجوهري الذي يُمثّله «ميثوس» يكمن في أنه إذا وقع في الأيدي الخطأ، فسيُعرّض النظام لهجمات «يوم الصفر»، التي سُمّيت بهذا الاسم لأنها المدة الزمنية المتاحة للمدافعين لإصلاح نقاط الضعف الإلكترونية قبل استغلالها، وفقاً لرافي بيلينغ، مدير استخبارات التهديدات في شركة «سوفوس» للأمن السيبراني.

وعلى الرغم من نهجها المسؤول في الشراكة مع شركات مُختارة لاختبار المشكلات واكتشافها وحلّها، فقد صرّحت شركة «أنثروبيك» بأنها تُحقق في وصول مستخدمين غير مُصرّح لهم إلى «ميثوس» عبر طرف ثالث، لكن الشركة حذرت بقوة من أنه «لن يطول الأمر قبل أن يتمكّن المُخترقون من الوصول إلى أدوات ذكاء اصطناعي مُماثلة عالية القدرة». إذاً، إلى أي مدى يجب عليك أن تقلق بشأن سلامة أموالك؟

وقال رافي بيلينغ إن الحوادث الكبرى نادرة في القطاع المالي، لكن المهاجمين نجحوا في سرقة أموال من بنوك «تخضع لأنظمة تنظيمية مختلفة»، ففي عام 2016، حاول قراصنة مرتبطون بكوريا الشمالية سرقة ما يقرب من مليار دولار من حساب البنك المركزي لبنغلاديش لدى بنك الاحتياطي الفيدرالي في نيويورك، ورغم أنهم لم ينجحوا في الاستيلاء على المليار دولار، فقد تم تحويل 81 مليون دولار إلى الفلبين ولم يتم استردادها، لكن لأن شركات العملات الرقمية لا تخضع لنفس الإطار التنظيمي الذي تخضع له المؤسسات المالية، فقد بات كثير من المخترقين يركزون جهودهم عليها، وتمت بالفعل سرقة نحو 2.7 مليار دولار العام الماضي، من بينها 1.5 مليار دولار من منصة تداول العملات الرقمية «بايبت» في عملية سطو نفذتها مجموعة «لازاروس» المرتبطة بكوريا الشمالية.

وفي المملكة المتحدة، على سبيل المثال، يتعين على البنوك اتباع قواعد المرونة التشغيلية التي وضعها بنك إنجلترا وهيئة السلوك المالي، والتي تلزمها بتحديد الخدمات التي تقدمها لعملائها، والتي قد تُلحق بهم ضرراً بالغاً أو تُهدد استقرار السوق في حال تعطلها لفترة تتجاوز فترة محددة. وودائع المستهلكين في البنوك محمية بموجب نظام تعويض الخدمات المالية حتى 120,000 جنيه إسترليني في حال إفلاس الشركة، مع وجود حماية أخرى لخطط التقاعد الشخصية ومعاشات العمل.

وتسري القواعد حتى في حال إسناد الخدمة إلى طرف ثالث، مثل مزود خدمات الحوسبة السحابية.

وفي هذا السياق، يُطلب من البنوك اختبار سيناريوهات محتملة قد تُعطّل تقديم هذه الخدمات، ومن المتوقع ضمن ذلك تحديد مدى اعتمادها على جهات خارجية واختبار ما سيحدث في حال تعطل هؤلاء الموردين. ويقوم بنك إنجلترا وهيئة السلوك المالي بإخضاع الشركات بشكل دوري لمحاكاة الهجمات، كجزء من برنامج اختراق التهديدات السيبرانية الرائد، CBEST، وهو اختصار لـ«اختبار الإشراف والتقييم المصرفي للبنية التحتية الوطنية الحيوية». ويساعد ذلك هذه المؤسسات على اختبار أنظمتها واكتشاف أي ثغرات أمنية في بيئة مُحكمة، ما يُهيئها بشكل أفضل لمواجهة الهجمات الحقيقية.

وعلى الرغم من أنها ليست مثالية، إلا أن المصادقة متعددة العوامل (MFA) تعد أداة مهمة أخرى، وهي الآن معيار في معظم البنوك ولدى معظم العملاء.

ويتوقع أن يتحول التقييم المستقبلي لأداء الأمن السيبراني من التركيز على «التمكن من إيقاف جميع الحوادث تماماً، بل وأكثر من ذلك، إلى التركيز على مدى سرعة التعافي ومنع الخسائر». وفي هذا السياق، يُعدّ الكشف المبكر أساسياً للتعافي السريع. فإذا تم اكتشاف أي شيء في المراحل الأولى من سلسلة الهجوم - على سبيل المثال، عندما يكون جهاز واحد فقط مصاباً - يُمكن عزله بضغطة زر لوقف انتشاره.

وتُطبّق البنوك أيضاً «مجموعة معايير مُصنّفة» لتقييم مخاطر الأطراف الخارجية، وذلك بناءً على حجم المورّد ومدى وصوله وأهمية النظام.

ويوضح بيلينغ أن المورّدين الذين يقدمون «خدمات بالغة الأهمية» يخضعون لمتطلبات أعلى بكثير، بينما تخضع الشركات التي قد تُغيّر الصابون في غسالات الأيدي في المكاتب لمتطلبات أقل صرامة.

ويقول بيلينغ إن البنوك الكبرى من المرجّح أن تكون «من بين الأفضل» في هذا المجال نظراً لما تملكه من موارد. ويتجلى نجاح هذا العمل جزئياً في انخفاض عدد الحوادث الإلكترونية الجوهرية المُبلّغ عنها لهيئة السلوك المالي (FCA) خلال السنوات القليلة الماضية.

لكن الصورة ليست وردية بالمرة، فالخوف متفشٍ.

وقد أظهرت ردود الفعل على أحدث استطلاع للمخاطر النظامية أجراه بنك إنجلترا أن «الهجمات الإلكترونية والجيوسياسية هما المصدران الأكثر شيوعاً للمخاطر»، و«الأكثر صعوبة» في إدارتهما، و«الأكثر احتمالاً للوقوع»، بل إن العديد من البنوك ومقدمي الخدمات المالية رفضوا الإدلاء بتصريحات رسمية حول هذا الأمر خشية أن يؤدي ذلك إلى محاولات لاستهدافهم.

عموماً، وفي كل الأحوال، ستتلاشى صدمة ميثوس قريباً، وتُسد الثغرات الأمنية التي كشفت عنها، لكن ما أظهرته هو كيف يمكن للتطورات التكنولوجية أن تُزعزع أمن المعلومات المصرفية في لحظة، وتُعرّض العملاء لأنواع مختلفة من المخاطر غير المعروفة. على الرغم من أن طبيعة التهديد القادم للذكاء الاصطناعي غير واضحة، إلا أن جبهة التهديد التالية قد ظهرت بالفعل، فالحوسبة الكمومية تشبه إلى حد كبير تطوير القنبلة النووية، وفقاً للدكتور علي الكفراني، مؤسس والرئيس التنفيذي لشركة «بي كيو شيلد»، وهي شركة متخصصة في الأمن السيبراني والتشفير ما بعد الكمومي.

وتُهدد الحوسبة الكمومية التشفير الحديث؛ لأنها تُسهّل حلّ المسائل الرياضية التي يقوم عليها، والتي يُعتقد أنها بالغة الصعوبة. وستكون العواقب عندها وخيمة على القطاع المصرفي نظراً للكميات الهائلة من البيانات الشخصية والمالية المحمية بما يُعتقد حالياً أنه تشفير آمن. ويرى الكفراني أن الدول ستستخدم الحوسبة الكمومية لمهاجمة البيانات وفك تشفيرها، ولا يستبعد استخدام نوعيات أخرى من المهاجمين، مثل مجموعات القرصنة، لها إذا كانوا على استعداد للانتظار قليلاً.

ومع ذلك، من المهم التحلي بالواقعية بشأن الإطار الزمني لتوافر الحوسبة الكمومية على نطاق واسع، حيث تتمكن من شراء جهاز منها بسهولة، نظراً لحجمها وتكلفتها وتعقيدها. ومع ذلك، يبقى هذا خطراً يجب تماماً أن يُؤخذ على محمل الجد. وضع المركز الوطني للأمن السيبراني جدولاً زمنياً انتقالياً بحلول عام 2035، يهدف إلى تحويل البنية التحتية الوطنية الحيوية، بما في ذلك البنوك، إلى التشفير ما بعد الكمومي، حيث تصبح خوارزميات التشفير الأساسية صعبة الاختراق حتى على أجهزة الكمبيوتر الكمومية، وهكذا، من المتوقع أن ينطلق سباق جديد لحماية أموالك.