دبي (الاتحاد) أصدرت شركة بروف بوينت، العاملة في مجال الأمن السيبراني والامتثال، بالتعاون مع معهد بونيمون، اليوم نتائج دراسة جديدة حول تكلفة التصيد الاحتيالي، كشفت أن تكلفة هجمات التصيد الاحتيالي تضاعفت أربع مرات تقريبا على مدار السنوات الست الماضية، إذ خسرت الشركات الأميركية الكبرى في المتوسط 14.8 مليون دولار سنويا (أو 1500 دولار لكل موظف)، بزيادة حادة عن خسائر عام 2015 والبالغة 3.8 مليون دولار.

وفقا للدراسة، التي شملت ما يقرب من 600 من المختصين في أمن تكنولوجيا المعلومات وتكنولوجيا المعلومات، فإن التهديدات الأكثر تكلفة للشركات تشمل اختراق البريد الإلكتروني للأعمال BEC وهجمات برمجيات الفدية. لكن التكاليف التي تتحملها المنظمات تتجاوز بكثير الأموال التي يتم تحويلها للقراصنة الإنترنت.

وتسبق تسوية بيانات الاعتماد (سرقة بيانات الاعتماد) بشكل عام هجمات مثل اختراق البريد الإلكتروني للأعمال وبرامج الفدية، وعادة ما تكون في شكل "خداع" موظف للتخلي عن بيانات اعتماد تسجيل الدخول الخاصة به. وفقًا لمجموعة عمل مكافحة التصيد الاحتيالي (APWG)، فإن التصيد الاحتيالي يعد جريمة تستخدم كلاً من الهندسة الاجتماعية والحيلة التقنية لسرقة بيانات الهوية الشخصية وبيانات اعتماد الحساب المالي. هذا وإن نمو التصيد ليس تدريجيًا بل ينمو بشكل كبير. تقدر مجموعة عمل مكافحة التصيد الاحتيالي أن هجمات التصيد الاحتيالي تضاعفت في عام 2020 وحده.

وقال الدكتور لاري بونيمون، رئيس مجلس الإدارة ومؤسّس معهد" بونيمون": "عندما يعلم الأفراد أن إحدى المؤسسات دفعت الملايين لحل مشكلة فيروسات برمجيات الفدية، فإنهم يفترضون أن إصلاحها يكلف الشركة فدية فقط. ولكن كشف التقرير عن أن الفدية وحدها تمثل أقل من 20 % من تكلفة هجمات برمجيات الفدية. وبما أن هجمات التصيد الاحتيالي تزيد من احتمالية خرق البيانات وتعطيل الأعمال، فإن معظم التكاليف التي تتكبدها الشركات تأتي من فقدان الانتاجية ومعالجة المشكلة بدلاً من الفدية الفعلية المدفوعة لقراصنة الإنترنت."

ومن بين النتائج الرئيسية الأخرى التي كشف عنها تقرير تكلفة التصيد الاحتيالي لعام 2021:

·       يعد فقدان الإنتاجية أحد أكثر نتائج التصيد الاحتيالي كلفة. في شركة أميركية متوسطة الحجم تضم 9567 موظفاً، يُترجم هذا إلى 63343 ساعة ضائعة كل عام. يهدر كل موظف سبع ساعات في المتوسط ​​سنويًا بسبب عمليات التصيد الاحتيالي، وهي أكثر من أربع ساعات في عام 2015.

·       تكلف تسوية البريد الإلكتروني للأعمال ما يقرب من 6 ملايين دولار سنويا لمؤسسة كبيرة. من ذلك، المدفوعات غير المشروعة التي يتم دفعها سنويا لقراصنة BEC تبلغ 1.17 مليون دولار.

·       تكلف برامج الفدية المؤسسات الكبيرة 5.66 مليون دولار سنوياً وهي تشمل 790 ألف دولار تمثل الفدية المدفوعة بأنفسهم.

·       تدريب الموظفين لزيادة الوعي الأمني ​​يحد من كلفة التصيد الاحتيالي بنسبة تزيد على 50 % في المتوسط.

·       تضاعفت تكاليف حل مشكلة البرمجيات الضارة منذ عام 2015. وبلغ متوسط ​​التكلفة الإجمالية لحل هجمات البرمجيات الضارة 807.506 دولارات أمريكية في عام 2021، بزيادة قدرها 338،098 دولارًا أمريكيًا من عام 2015.

·       زادت تكاليف تسوية بيانات الاعتماد بشكل كبير منذ عام 2015. ونتيجة لذلك، تنفق المؤسسات المزيد من الأموال للتصدي لهذه الهجمات. وقد ارتفع متوسط ​​تكلفة احتواء تسويات بيانات الاعتماد التي تعرضت للتصيد الاحتيالي من 381,9 ألف دولار في العام 2015 إلى 692,531 دولار في العام 2021. وقد واجهت المؤسسات متوسط ​​5.3 تسويات على مدار 12 شهرًا.

·       يجب على مديري الأعمال الانتباه إلى سيناريوهات الخسارة القصوى المحتملة. على سبيل المثال، يمكن أن تتسبب هجمات اختراق البريد الإلكتروني (BEC) في تكبد الأعمال خسائر من اضطرابات سير العمل قد تصل إلى 157 مليون دولار إذا لم تكن المؤسسات لديها نظام أمني قوي للتصدي لهذه الهجمات. كما أن البرمجيات الضارة التي تؤدي إلى سرقة البيانات قد تكلف الشركات ما يصل إلى 137 مليون دولار.

من جانبه، قال إميل أبو صالح، المدير الإقليمي لمنطقة الشرق الأوسط وأفريقيا لدى بروف بوينت: "في الشرق الأوسط، كشفت أبحاثنا الأخيرة أن مديري أمن المعلومات في المنطقة يشعرون بمدى خطورة التعرض لهجمات سيبرانية خلال الأشهر الـ 12 المقبلة، حيث يشكل  التصيد الاحتيالي مصدر قلق لما يقارب من ثلث كبار مديري أمن المعلومات. من هنا لا بد للمؤسسات في الشرق الأوسط من تعزيز الوعي بالأمن السيبراني بين موظفيها من خلال الدورات التوعوية لفهم كيفية تأثير السياسات الأمنية على عملهم اليومي".

بدوره، قال ريان كالمبر، نائب الرئيس التنفيذي لاستراتيجية الأمن السيبراني لدى بروف بوينت: "بما أن الجهات الفاعلة في التهديد تستهدف الموظفين الآن بدلاً من الشبكات، فقد انفجرت التسوية في بيانات الاعتماد في السنوات الأخيرة، مما يترك الباب مفتوحًا على مصراعيه لهجمات أكثر تدميراً مثل اختراق البريد الإلكتروني للأعمال BEC و وبرمجيات الفدية ransomware". وحتى تضع المؤسسات سياسة للأمن السيبراني تركز على توعية الأفراد وتدريبهم وحماية كل الثغرات الأمنية، فإن الهجمات السيبرانية ستستمر".