الملخص

  • سجل عام مؤكد:هجوم بفيروس الفدية بدأ حوالي 31 ديسمبر 2019 أجبر Travelex على إيقاف الأنظمة وتعطيل خدمات العملات في يناير 2020. التقارير العامة حددت مزاعم Sodinokibi/REvil وطلب فدية وسرقة بيانات مزعومة، بينما ذكرت Travelex أنه لا يوجد دليل على تعرض بيانات العملاء للاختراق. إعلان إعادة الهيكلة اللاحق من Travelex ومواد المسؤول PwC تظهر أن الشركة دخلت في عملية إعادة هيكلة كبرى للديون وعملية إدارة في 2020 بعد ضغوط تجارية شديدة. (تقرير Guardian يناير 2020،تقرير Guardian عن الفواتير الورقية،إعلان إعادة هيكلة Travelex،صفحة مدير PwC)
  • مشكلة الاعتماد:لم تكن Travelex مجرد مكتب صرافة تجزئة. كانت توفر خدمات صرف العملات للبنوك الشريكة والعلامات التجارية للبيع بالتجزئة، لذا فإن انقطاعها أثر أيضًا على العملاء الذين اعتقدوا أنهم يتعاملون مع بنكهم أو متجرهم. أصبحت اتصالات الشريك ومعالجة المبالغ المستردة وإجراءات الفروع البديلة واقتصاديات اتصال العملاء جزءًا من الحادث. (تقرير BBC يناير 2020،تقرير Guardian عن استئناف الخدمات)
  • حدود التصحيح:ربطت التقارير العامة والتعليقات الأمنية اللاحقة الهجوم باستغلال ثغرة غير مصححة في Pulse Secure VPN، CVE-2019-11510. وكانت CISA قد حذرت في يناير 2020 من أن خوادم Pulse Secure VPN غير المصححة كانت تتعرض للاستغلال، وأن التقارير الإعلامية وصفت استخدام مجرمين لفيروس الفدية REvil/Sodinokibi ضد تلك الأنظمة. هذا يدعم سؤال مساءلة إدارة الثغرات، لكن السجل العام لا يزال يفتقر إلى تقرير جنائي منشور من Travelex يثبت كل خطوة من خطوات الوصول الأولي. (نشرة CISA حول Pulse Secure،سجل CVE-2019-11510)
  • التقييم:سيطرت الجهات الإجرامية على الابتزاز. وسيطرت Travelex على إدارة التعرض والاستعادة والبدائل الشريكة والتواصل المباشر. وسيطرت البنوك وشركاء التجزئة على وعود العملاء والمبالغ المستردة. وسيطر الدائنون والمسؤولون على مسار إعادة الهيكلة لاحقًا. تحمل المسافرون وموظفو الفروع والأطراف المقابلة الأصغر جزءًا كبيرًا من عدم اليقين قبل أن تجعل إعادة الهيكلة المالية فشل الاستمرارية واضحًا في شكل الشركة.

خدمة العملات تبدو صغيرة حتى تتوقف

قد تبدو خدمة صرف العملات كطبقة تسهيلية: موقع سفر، كشك، مكتب في المطار، بطاقة مسبقة الدفع، صفحة طلب عبر البنك، نقطة استلام في متجر. هذه الصورة تقلل من الاعتماد. كانت Travelex تقف وراء العديد من واجهات العملاء المرئية. عندما توقفت أنظمتها عن العمل، لم يشعر العملاء بالانقطاع كمشكلة خاصة بـ Travelex فقط. بل شعر به البعض كمشكلة مصرف، أو مشكلة متجر، أو مشكلة استرداد أموال، أو مشكلة فرع، أو مشكلة سفر، أو مشكلة نقدية في بداية الرحلة.

لهذا السبب تنتمي حادثة فيروس الفدية لعام 2020 إلى سلسلة المخاطر والمساءلة. السؤال ليس فقط ما إذا كان لدى Travelex برامج ضارة على شبكتها. السؤال هو كم عدد المنظمات التي بنت وعودًا لصرف العملات على افتراض أن أنظمة المزود المتخصص ستكون متاحة ومُصححة وقابلة للاستعادة وقادرة على التواصل أثناء الأزمة.

بدأ الحادث عند حافة تقويم. في ليلة رأس السنة 2019، أوقفت Travelex الأنظمة بعد هجوم سيبراني. في أوائل يناير، ظل موقع الشركة وخدمات الإنترنت معطلة، وأشارت التقارير العامة إلى تعطل الفروع والشركاء. أفادت Guardian أن المهاجمين الذين يزعمون أنهم مجموعة فدية Sodinokibi طالبوا بدفع فدية وهددوا بنشر بيانات قالوا إنهم استولوا عليها. ونُقل عن Travelex قولها إنه لا يوجد دليل على تعرض بيانات العملاء للاختراق في تلك المرحلة. (تقرير Guardian 7 يناير)

كان التأثير التشغيلي مباشرًا. تم الإبلاغ عن استخدام الموظفين في بعض المواقع لفواتير ورقية بينما ظلت المواقع معطلة. واجه عملاء البنوك وشركاء التجزئة خدمات صرف عملات غير متوفرة. كان على العلامات التجارية الشريكة شرح انقطاع لم تتسبب فيه مباشرة ولكنها عرضته لعملائها. (تقرير Guardian عن الفواتير الورقية،تقرير BBC)

بالنسبة للمسافر، ليس انقطاع طلب العملة وجوديًا بشكل مجرد. لا يزال يمكن أن يكون مكلفًا ومرهقًا في اللحظة. قد يحتاج العميل إلى نقد لوجهة حيث قبول البطاقات متفاوت، أو بطاقة مسبقة الدفع لطفل، أو استرداد قبل المغادرة، أو إثبات طلب تم وضعه عبر بنك. بالنسبة للموظفين، كان الانقطاع يعني أدوات متدهورة، وعمليات يدوية، وعملاء قلقين، وتعليمات غير واضحة. بالنسبة للبنوك الشريكة وشركاء التجزئة، كان يعني حمولة مركز الاتصال، والتعرض للسمعة، والحلول البديلة. بالنسبة لدائني Travelex، أصبح ضغطًا إضافيًا على شركة تحمل بالفعل ديونًا ثم ضربها انهيار السفر بسبب COVID-19.

امتزج التسلسل الزمني للاستجابة للحوادث بالضغط العام

التسلسل الزمني العام مشوش لأن العديد من تحديثات Travelex الرسمية للحادثة من يناير 2020 لم تعد سهلة المعالجة كأرشيف موحد موثوق. أقوى سجل دائم يجمع بين التقارير المعاصرة ذات السمعة الطيبة، وتحذير ثغرات CISA العام، وإعلان إعادة هيكلة Travelex في أغسطس، ومواد مسؤول PwC.

في 7 يناير 2020، أفادت Guardian أن Travelex تعرضت لفيروس فدية، وأن مواقعها كانت معطلة، وأن المهاجمين زعموا نسخ البيانات، وأن الشركة قالت إنه لا يوجد دليل على اختراق بيانات العملاء. أفادت BBC بطلب الفدية وانقطاع الخدمة في نفس اليوم، مُحددة الحادث كمشكلة تؤثر على Travelex وشركائها. (تقرير Guardian 7 يناير،تقرير BBC)

في 8 يناير، وصفت Guardian استخدام الموظفين لفواتير ورقية مع بقاء المواقع معطلة وحددت البنوك وقنوات التجزئة المتأثرة. هذا التقرير مهم لأنه يُظهر الحل البديل المتدهور عمليًا. يمكن أن يبقي الحل اليدوي بعض المعاملات متحركة، لكنه يغير أيضًا معدلات الخطأ، وأعمال التسوية، وضوابط الاحتيال، وأوقات انتظار العملاء، وعبء العمل على الموظفين. (تقرير Guardian عن الفواتير الورقية)

في 13 يناير، أفادت Guardian أن بعض خدمات Travelex بدأت من جديد بعد هجوم الفدية، بما في ذلك أجزاء من الخدمة داخل المتجر، بينما لم تكن كل الأنظمة قد عادت إلى طبيعتها. هذا التاريخ مهم لأنه يظهر أن الاستعادة لم تكن نقرة زر. يمكن أن تستأنف الخدمات بشكل غير متساوٍ: قناة مستعادة، وأخرى معلقة، وشريك متصل، وآخر يدير إشعارات عملائه الخاصة. (تقرير Guardian عن استئناف الخدمات)

في 10 يناير، أصدرت CISA نشرة حول استمرار استغلال ثغرة Pulse Secure VPN CVE-2019-11510. حذرت النشرة من أن المنظمات يجب أن تصحح الأنظمة المتأثرة فورًا وأشارت إلى تقارير إعلامية بأن مجرمي الإنترنت كانوا يستهدفون خوادم Pulse Secure VPN غير المصححة لتركيب فيروس الفدية REvil/Sodinokibi. (نشرة CISA حول Pulse Secure) هذه النشرة ليست تقريرًا جنائيًا من Travelex. إنها لا تزال مركزية لأنها تضع الثغرة التي نوقشت علنًا في نفس النافذة الزمنية ونظام فيروس الفدية.

بحلول أغسطس 2020، أصبح الحادث جزءًا من سجل إعادة هيكلة مالية أوسع. أعلنت Travelex Financing Plc عن إكمال إعادة هيكلة ديون، قائلة إن المديونية ستُخفض من أكثر من 385 مليون جنيه إسترليني إلى 160 مليون جنيه إسترليني، وأن المجموعة الجديدة ستتلقى 84 مليون جنيه إسترليني من السيولة الجديدة. أكد الإعلان على انهيار السفر بسبب COVID-19، لكنه جاء بعد عام أضعف فيه الهجوم السيبراني بالفعل توفر الخدمة والثقة. (إعلان إعادة هيكلة Travelex)

تسجل صفحة مدير PwC أن Travelex Banknotes Limited دخلت الإدارة في 21 يوليو 2020، وأن عدة كيانات أخرى من Travelex دخلت الإدارة في 6 أغسطس 2020 كجزء من إعادة الهيكلة. كما تسجل الإدارة اللاحقة لتلك الكيانات من أجل الدائنين وعملية ما بعد الإدارة. (صفحة مدير PwC،إعلان اليوم الأول من PwC PDF)

لذلك فإن التسلسل الزمني له طبقتان. الأولى هي الاستجابة للحوادث: أنظمة معطلة، حلول يدوية، انقطاع الشريك، ضغط فدية مزعوم، واستعادة مرحلية. الثانية هي الاستمرارية المالية: شركة صرف عملات تعرضت لاضطراب شديد تدخل في عملية إعادة هيكلة وإدارة في نفس العام. سيكون من الإهمال القول إن فيروس الفدية وحده تسبب في إعادة الهيكلة؛ كان انهيار السفر بسبب COVID-19 صدمة مستقلة هائلة. كما سيكون من الإهمال محو حادثة فيروس الفدية من سجل استمرارية الأعمال.

جعلت التعهيد العلامات التجارية الشريكة جزءًا من الانقطاع

كان انقطاع Travelex درسًا في الاعتماد على العلامة البيضاء. قد يطلب العميل عملات سفر من موقع بنك أو متجر كبير ويظن أن هذه العلامة التجارية هي مزود الخدمة المسؤول. خلف الكواليس، قد يوفر مزود خدمة عملات متخصص التسعير ومعالجة الطلب والتنفيذ والمخزون والتسوية وسير العمل في الفروع أو التوصيل. عندما يفشل المتخصص، تظل العلامة التجارية المرئية مالكة لثقة العميل.

حددت تقارير Guardian و BBC تعطلًا لعملاء عدة قنوات شريكة. اختلفت التفاصيل حسب الشريك، لكن النمط كان ثابتًا: العملاء الذين لم تكن لديهم علاقة أمنية مباشرة مع Travelex تأثروا بتعطل أنظمة Travelex. (تقرير BBC،تقرير Guardian عن الفواتير الورقية)

جعل ذلك الانقطاع اختبارًا عمليًا للمرونة التشغيلية المصادر خارجيًا. يمكن للبنوك وشركات الخدمات المالية تعهيد وظيفة، لكنها لا تستطيع تعهيد مساءلة العميل. أوضحت التنظيمات المالية الحديثة في المملكة المتحدة هذه النقطة لاحقًا من خلال توقعات المرونة التشغيلية، التي تتطلب من الشركات تحديد خدمات الأعمال الهامة، ووضع حدود تحمل للتعطل، وإدارة تبعيات الأطراف الثالثة. مادة المرونة التشغيلية لهيئة السلوك المالي (FCA) ليست نتيجة استرجاعية حول Travelex أو شركائها، لكنها تجسد الدرس: على الشركة التي تواجه العميل أن تفهم ما إذا كانت الخدمة المصادر خارجيًا يمكن أن تفشل ضمن حدود مقبولة. (المرونة التشغيلية FCA،FCA PS21/3)

كما كشف حادث Travelex عن ضعف صفحات حالة الشريك ونصوص خدمة العملاء عندما تكون المشكلة الحقيقية عند المزود. يمكن للبنك أن يخبر العملاء بأن طلبات صرف العملات غير متوفرة، لكنه قد لا يعرف ما إذا كانت أنظمة المزود ستعود في ساعات أو أيام أو أسابيع. يمكن لممثل خدمة العملاء تقديم استرداد أو بدائل، لكن قد لا يكون لديه وصول لتفاصيل المعاملة إذا كانت منصة المزود معطلة. يمكن للشريك أن يكون شفافًا حول الأعراض دون أن يكون قادرًا على إثبات السبب أو الاستعادة.

كان ينبغي نمذجة هذا الاعتماد قبل الحادث. يمكن أن تتطلب عقود الشركاء دليلًا على إدارة الثغرات، واختبار استجابة الحوادث، وفترات انقطاع قصوى، وإجراءات تنفيذ يدوية، وإشعارات حماية البيانات، وجداول زمنية للإبلاغ عن الاختراق، وسلطة الاسترداد. ربما قامت بعض العقود بذلك، لكن السجل العام لا يظهر سجل استمرارية لكل شريك على حدة. النتيجة المرئية كانت شبكة من العلامات التجارية تشرح انقطاعًا سببه مزود.

سؤال التصحيح مدعوم بالأدلة لكنه لا يزال محدودًا

أكثر ادعاء تقني تكرر حول حادث Travelex هو أن المهاجمين استغلوا ثغرة غير مصححة في Pulse Secure VPN، CVE-2019-11510. يصف سجل CVE عيبًا خطيرًا في Pulse Connect Secure. حذرت نشرة CISA في يناير 2020 من أن خوادم Pulse Secure VPN غير المصححة كانت تتعرض للاستغلال، وذكرت تقارير إعلامية نشر فيروس الفدية REvil/Sodinokibi على تلك الأنظمة. (سجل CVE-2019-11510،نشرة CISA حول Pulse Secure)

هذا الدليل العام يدعم سؤال مساءلة إدارة الثغرات. لكنه لا يحل بمفرده محل تحليل بعدي منشور من Travelex. يجب أن يقول الحساب المسؤول أن التقارير العامة والتعليقات الأمنية ربطت الهجوم بثغرة VPN غير مصححة، وأن CISA حذرت من نفس فئة الاستغلال في نفس الفترة. لا ينبغي أن يدعي معرفة كل بيانات اعتماد أو مضيف أو مسار حركة جانبية أو قرار استعادة ما لم يثبت سجل جنائي أساسي ذلك.

سؤال التصحيح لا يزال حاسمًا. ثغرة جهاز حدودي ليست فشلًا ثانويًا في الصيانة عندما يتوسط الجهاز الوصول عن بُعد إلى أنظمة المؤسسة. إذا كان التصحيح أو التخفيف متاحًا ومُحذرًا منه على نطاق واسع، فيجب على الشركة التحكم في جرد الأصول، وفحص التعرض، والموافقة على التغيير الطارئ، والضوابط التعويضية، وإعادة تعيين بيانات الاعتماد، والمراجعة الجنائية. كما يجب أن تعرف أي أنظمة الأطراف الثالثة والخدمات المدارة تعتمد على المنتج المصاب.

الدرس العام ليس "صَحِّح أسرع" بقدر ما هو "أثبت التعرض أسرع". في مزود خدمة عملات، جهاز الوصول عن بُعد المُعَرَّض للخطر ليس مجرد أصل تقني. يمكن أن يصبح مفصلاً بين التعرض للإنترنت وأنظمة المعاملات وخدمات الشريك ومشاركات الملفات ومخازن الهوية وبيانات العملاء وتأخيرات الاستعادة. السيطرة المسؤولة هي دورة إدارة الثغرات بأكملها: معرفة أن الأصل موجود، ومعرفة أنه معرض، وتطبيق الإصلاح، والتحقق من الإصلاح، ومراجعة السجلات للاختراق، وتدوير بيانات الاعتماد، وإبلاغ الشركاء بالمخاطر.

إرشادات NCSC و CISA لفيروسات الفدية توضح نفس النقطة بمصطلحات أوسع. التحضير الجيد لفيروسات الفدية يشمل التصحيح، وضوابط الوصول، والنسخ الاحتياطي، والاستعادة المُختبرة، وتخطيط استجابة الحوادث، وتجزئة الشبكة، والتسجيل، والتواصل. (إرشادات NCSC لفيروسات الفدية،دليل CISA StopRansomware،إرشادات FBI لفيروسات الفدية) هذه التدابير ليست زخرفية. إنها تقرر ما إذا كان الاستغلال سيصبح حدثًا محتوى، أو انقطاعًا للأعمال، أو فشلاً متسلسلاً للخدمة.

نجح الحل اليدوي، لكن جزئيًا فقط

الصورة التي بقيت مع حادث Travelex لم تكن مذكرة فدية. كانت الورق. أظهرت تقارير كتابة الموظفين لفواتير ورقية أن الشركة احتفظت ببعض القدرة على التجارة في وضع متدهور. هذا أفضل من توقف كامل. كما أنه دليل على أن الأنظمة الرقمية كانت مركزية بما يكفي لجعل الوضع المتدهور مرئيًا للعملاء. (تقرير Guardian عن الفواتير الورقية)

غالبًا ما يُساء فهم الحل اليدوي. يمكن لنموذج ورقي الحفاظ على معاملة، لكنه لا يمكنه إعادة إنتاج منصة عملات حديثة بالكامل. قد لا يتصل بأسعار الصرف الحية، أو فحص العقوبات، أو المخزون، أو التسوية، أو حالة الطلب، أو التحقق من هوية العميل، أو معالجة البطاقة، أو الاسترداد، أو تسوية الفروع، أو مراقبة الاحتيال، أو تقارير الشريك، أو أنظمة المالية. كما يمكن أن يخلق عبئًا متراكمًا يجب إعادة إدخاله لاحقًا، مما يخلق خطر الخطأ وإرهاق الموظفين.

بالنسبة لـ Travelex، اعتمد الحل اليدوي أيضًا على القناة. قد يتمكن مكتب في المطار من بيع العملات يدويًا. قد لا تتمكن صفحة طلب عبر الإنترنت تحمل علامة البنك من ذلك. قد يصدر مركز اتصال شريك استردادًا لكنه لا ينفذ طلبًا. قد تحتاج بطاقة مسبقة الدفع أو سير عمل تحويل الأموال إلى خدمات رقمية محددة. قد يستمر فرع مكتب صرافة فقط لمنتجات محدودة. لذلك حدثت الاستعادة على شكل قنوات، وليس كحالة شركة واحدة.

سؤال المساءلة الصحيح هو ما إذا كان الحل اليدوي مصممًا لسلسلة الاعتماد الفعلية. هل كان لدى شركاء البنوك دليل تشغيل مُختبر؟ هل عرف موظفو Travelex متى يستخدمون النماذج الورقية وكيف يسوونها؟ هل تم تكييف ضوابط الاحتيال؟ هل تم إخبار العملاء بأي منتجات متوفرة وأيها غير متوفرة؟ هل تم تفويض المبالغ المستردة للشريك المرئي أم احتفظت بها Travelex؟ هل تلقى وكلاء السفر الأصغر ومكاتب المطارات والشركاء المحليين نفس الوضوح الذي تلقته البنوك الكبرى؟

التقارير العامة لا تقدم إجابات كاملة. إنها تُظهر أن العمل اليدوي حدث وأن الخدمات استؤنفت على مراحل. لا تُظهر خطة استمرارية أعمال مُختبرة، أو بيانات طابور العملاء، أو أحجام الاسترداد، أو مطالبات الشركاء، أو أخطاء التسوية، أو ساعات العمل الإضافي للموظفين. هذا الغياب هو نمط متكرر في انقطاعات الخدمات المصادر خارجيًا: يرى الجمهور الانقطاع وإعادة التشغيل، ولكن ليس تكلفة العمل فيما بينهما.

خلقت المنتجات المختلفة أضرارًا مختلفة

تخفي عبارة "عملات السفر" عدة منتجات بطرق فشل مختلفة. النقد المطلوب للاستلام من الفرع ليس مثل النقد المطلوب للتوصيل للمنزل. بطاقة عملات السفر المسبقة الدفع ليست مثل صرف مكتب الصرافة. طلب الأوراق النقدية بالجملة للشركات ليس مثل استرداد المستهلك. الطلب عبر الإنترنت بعلامة شريك ليس مثل معاملة فرع Travelex المباشر. يجب على المزود المرن أن يعرف أيًا من هذه المنتجات يمكن أن يعمل يدويًا، وأيها يمكن إيقافه بأمان، وأيها يتطلب تسوية حية، وأيها يخلق أكبر ضرر للعملاء إذا فشل قرب موعد السفر.

النقد يخلق ضررًا زمنيًا. قد يتمكن المسافر من استخدام بطاقة بدلاً من ذلك، لكن ليس دائمًا. بعض العملاء يريدون النقد لأنهم ذاهبون إلى وجهات حيث قبول البطاقة غير مؤكد، أو لأنهم بحاجة إلى فئات صغيرة فور الوصول، أو لأنهم يسافرون مع مُعالين، أو لأنهم لا يثقون في رسوم أجهزة الصراف الآلي الأجنبية. إذا فشل استلام نقدي مطلوب مسبقًا قبل يوم من المغادرة، فإن الاسترداد وحده لا يعيد وعد الخدمة. قد يضطر العميل إلى العثور على مزود آخر، أو دفع سعر أسوأ، أو السفر إلى فرع آخر، أو المغادرة بدون المخزون المفضل.

البطاقات والطلبات عبر الإنترنت تخلق ضررًا مختلفًا. قد تتضمن بطاقة السفر المسبقة الدفع الوصول إلى الحساب، والتحميل، والأرصدة، والأرقام السرية، وتطبيقات الهاتف المحمول، واستبدال البطاقة، ومصادقة العميل. يمكن أن يمنع انقطاع الموقع العميل من التحقق من الحالة أو إكمال الطلب حتى عندما يكون النقد المادي موجودًا. قد يضطر بنك شريك للإجابة على أسئلة حول طلب لا يمكنه رؤيته. إذا كانت أنظمة المزود معطلة، يمكن للشريك المرئي أن يصبح موجه شكاوى بدون حقائق كافية لحل المشكلة.

عملاء الجملة والأعمال يخلقون طبقة أخرى. قد تعتمد البنوك وشركات السفر والمطارات وشركاء التجزئة على ملفات التسوية، وتوقعات المخزون، وتخصيصات الفروع، وتقارير التسوية. إذا تأخرت هذه، تصبح الحادثة مشكلة مالية وعملياتية، وليس مجرد إزعاج للبيع بالتجزئة. قد يكون للشركاء الأصغر نفوذ أقل للمطالبة بتحديثات مخصصة فورية، لكنهم لا يزالون يواجهون العملاء عبر المنضدة.

هذه الاختلافات مهمة للمساءلة لأن "استؤنفت الخدمات" هو مقياس استعادة واسع جدًا. قد يعود خط إنتاج واحد بينما يبقى آخر معطلاً. قد يستعيد شريك الطلبات بينما ينتظر آخر الشهادة أو تنظيف المتراكمات. قد تقبل قناة معاملات جديدة بينما تظل المبالغ المستردة بطيئة. تقرير استمرارية جيد سيفصل هذه الحالات ويشرح أي العملاء ظلوا معرضين بعد أول عنوان رئيسي للاستعادة العامة.

كان الحل البديل للشريك مشكلة تصميم حوكمة

يجب تصميم الحل البديل للشريك قبل الانقطاع، لأن أصعب القرارات تُتخذ في ظل معلومات ضعيفة. يجب أن يعرف البنك الذي يعتمد على مزود خدمة عملات مسبقًا ما يحدث إذا كانت منصة المزود معطلة لمدة يوم أو ثلاثة أيام أو أسبوعين. يجب أن توضح الخطة ما إذا كان البنك سيعلق الطلبات الجديدة، أو يستخدم مزودًا بديلاً، أو يسترد تلقائيًا، أو يوجه العملاء للفروع، أو يحترم أسعار الصرف الحالية، أو يبلغ عن عدم اليقين بمخاطر البيانات، أو يصعد بقضايا العملاء المعرضين للخطر الذين يسافرون قريبًا.

أظهر حادث Travelex لماذا لا يمكن ترك ذلك لمصطلحات أزمة عامة. قد لا يتحكم بنك شريك في استجابة مزود لفيروس الفدية، لكنه يتحكم في موقعه الخاص، وإشعارات التطبيق، ونصوص الفروع، وإرشادات مركز الاتصال، وسلطة الاسترداد. كما يتحكم في مدى إفصاحه عن اعتماده على المزود. إذا دخل العميل عبر خدمة تحمل علامة البنك، فقد يتوقع العميل بشكل معقول أن يمتلك البنك الحل، حتى عندما يكون الفشل التقني عند Travelex.

بالنسبة لـ Travelex، تطلب الحل البديل للشريك انضباطًا مختلفًا. احتاجت الشركة لطريقة لتزويد الشركاء الرئيسيين بتحديثات حالة متسقة، ولغة مخاطر البيانات، وتقديرات استعادة خاصة بالقناة، وتوفر المنتج، وقواعد المعالجة اليدوية. كما احتاجت لتجنب تقديم وعود لشريك لا يمكن الوفاء بها في مكان آخر. في شبكة العلامة البيضاء، تصبح المعلومات غير المتكافئة خطرًا بحد ذاتها لأن العملاء يقارنون الإشعارات ويستنتجون إما الإخفاء أو الارتباك.

هنا حيث يمكن ضغط الأطراف المقابلة الأصغر. قد يكون للبنوك الكبرى وتجار التجزئة خطوط تصعيد مباشرة وفرق قانونية وشروط خدمة متفاوض عليها. قد تعتمد المنافذ الأصغر ووكلاء السفر أو الشركاء الإقليميين على تحديثات عامة أو جهات اتصال محلية. إذا تركز اهتمام المزود على الأطراف المقابلة الأكبر، يمكن أن تتحمل الشركات الأصغر حصة غير متناسبة من عدم اليقين وغضب العملاء وأعمال التسوية.

أضفت أطر المرونة التشغيلية لاحقًا طابعًا رسميًا على الكثير من هذا التفكير، لكن الدرس العملي كان واضحًا بالفعل في يناير 2020. تعهيد خدمة عملاء مرئية يتطلب نص انقطاع مشترك، وقواعد استرداد مشتركة، وعتبات إخطار بيانات مشتركة، ومحفزات تصعيد مشتركة، وإجراءات يدوية مُختبرة. وإلا فإن الأيام الأولى من حادثة فيروس فدية تصبح تجربة حية في من يمتلك العميل.

جودة الأدلة تعتمد على تسمية عدم اليقين

سجل Travelex مفيد على وجه التحديد لأنه غير مثالي. إنه يجمع بين روايات صحفية وتحذيرات ثغرات ووثائق إفلاس لاحقة وإعلانات إعادة هيكلة بدلاً من تقرير جنائي عام واحد. هذا يعني أن المقال يجب أن يعالج الأدلة في طبقات. انقطاع الخدمة والحل اليدوي مدعومان بقوة بتقارير معاصرة. الإدارة وإعادة الهيكلة مدعومتان بسجلات Travelex و PwC. نظرية الثغرة مدعومة بتقارير عامة ونشرة CISA العامة حول استغلال خوادم Pulse Secure VPN، لكن ليس بنشر سلسلة هجوم من تأليف Travelex.

معيار الأدلة متعدد الطبقات هذا يحمي العملاء والقراء من خطأين متعاكسين. خطأ واحد هو قبول ادعاءات المهاجمين كحقائق لأنها كانت درامية ومحددة. آخر هو تجاهل ادعاءات المهاجمين كليًا لأنها جاءت من مجرمين. الأرض الوسطى المسؤولة هي القول إن المجرمين ادعوا سرقة بيانات وطلبوا أموالاً، وأنه تم الإبلاغ عن Travelex بأنه لا يوجد دليل على اختراق بيانات العملاء، وأن الجمهور لم يتلق أدلة جنائية كافية لتحويل أي من التصريحين إلى حساب نهائي كامل.

نفس المعيار ينطبق على الاستعادة. التقارير بأن الخدمات بدأت في الاستئناف لا تثبت الاستعادة التشغيلية الكاملة. قد يكون الفرع مفتوحًا بينما تظل الطلبات عبر الإنترنت معطلة. قد يأخذ شريك طلبات جديدة بينما تظل المبالغ المستردة بطيئة. قد يتم استعادة نظام بينما لا تزال الفواتير اليدوية بحاجة للتسوية. بالنسبة للخدمات المصادر خارجيًا، يجب أن يطلب الجمهور أدلة استعادة حسب المنتج والقناة والشريك، وليس مجرد بيان بأن الشركة عادت للعمل.

استغل المهاجمون الانتباه بالإضافة إلى الأنظمة

كانت اقتصاديات اتصال الإساءة في حادث Travelex واضحة بشكل غير عادي. لم يكتف المهاجمون بتشفير الأنظمة. استخدموا الضغط العام. اتصلوا بالصحفيين حسب التقارير، وادعوا سرقة بيانات، وسموا طلب فدية، وهددوا بالإفصاح. نقل هذا الحادثة من مشكلة استعادة خاصة إلى بيئة تفاوض عامة. (تقرير Guardian 7 يناير،تقرير CyberScoop)

هذا التكتيك يغير اقتصاديات اتصال العميل. كل ادعاء علني من المهاجمين يمكن أن يزيد المكالمات للبنوك، والبريد الإلكتروني لـ Travelex، وأسئلة المنظمين، وطلبات الإعلام، وقلق الموظفين، وتصعيدات الشريك، ومطالب استرداد العملاء. حتى لو بالغ المهاجمون، يجب على الشركة الإجابة. إذا أجابت الشركة قليلاً جدًا، تتآكل الثقة. إذا أجابت كثيرًا قبل اكتمال التحقيقات الجنائية، قد تضطر لاحقًا لتصحيح السجل. يستغل المجرمون عدم اليقين هذا.

تعتمد برامج الفدية مزدوجة الابتزاز على هذا الضغط. ادعاءات سرقة البيانات تخلق خطر خصوصية وسمعة حتى قبل التحقق من البيانات. يسمع العملاء أن المهاجمين يزعمون أن لديهم بيانات ويريدون طمأنة فورية. يريد الشركاء معرفة ما إذا كان يجب عليهم إخطار عملائهم. يريد المنظمون معرفة ما إذا تم استيفاء عتبات الإبلاغ القانونية. يريد الموظفون معرفة ما إذا كانت سجلاتهم متورطة. يستفيد المهاجمون من إجبار كل قنوات الاتصال هذه لتصبح مكلفة.

تم الإبلاغ عن Travelex بقولها إنه لا يوجد دليل على تعرض بيانات العملاء للاختراق. كان ذلك طمأنة مهمة، لكنها ليست مثل نشر تقرير جنائي مستقل. المعيار المساءل هو التمييز بين "لا دليل في ذلك الوقت" و "ثبت عدم تعرض البيانات للاختراق". الأول قد يكون صحيحًا وذُكر بمسؤولية أثناء تحقيق. الثاني يتطلب أدلة لم يتلقها الجمهور بالكامل.

هنا كان للشركاء الذين يواجهون العملاء مساءلتهم الخاصة. لا يمكن لبنك أو متجر كبير ببساطة تكرار عدم يقين المزود دون أن يقرر ما يجب فعله لعملائه. كان عليه اختيار ما إذا كان سيعلق الطلبات، أو يقدم استردادًا، أو يوجه العملاء للفروع، أو يستخدم مزودين بديلين، أو يحذر من التصيد، أو يوفر تحديثات الحالة. لم يكن الشريك مسؤولاً عن اقتحام فيروس الفدية، لكنه سيطر على طبقة اتصال العميل التي حددت مدى تكلفة وإرباك الحادثة للمستخدمين العاديين.

جعلت إعادة الهيكلة المالية مشكلة الاستمرارية واضحة

في أغسطس 2020، أعلنت Travelex عن إكمال إعادة هيكلة ديون خفضت المديونية المالية ووفرت سيولة جديدة لمجموعة معاد هيكلتها. قال الإعلان إن Travelex الجديدة ستكون مخفضة المديونية بشكل كبير وستستمر في الشراكة مع البنوك الحالية للعلاقة. كما وصف بيع إدارة مُعدة مسبقًا لكيانات معينة في المملكة المتحدة وتغيير في الإدارة. (إعلان إعادة هيكلة Travelex)

تؤكد صفحة مدير PwC تعيينات الإدارة وسياق إعادة الهيكلة. كما تُظهر الذيل الطويل لمواد إدارة الدائنين والإشعارات وتقارير التقدم وإثباتات الديون وتغييرات أسماء الكيانات. (صفحة مدير PwC)

لا ينبغي اختزال إعادة الهيكلة إلى ادعاء سببية سيبراني. دمر COVID-19 السفر الدولي في عام 2020، وإيرادات صرف العملات تعتمد على السفر. كانت هيكلة الديون وظروف الجائحة محركات رئيسية. أكد إعلان Travelex على COVID-19 والحاجة لهيكل رأسمالي مستدام. ينبغي بدلاً من ذلك فهم حادثة فيروس الفدية كصدمة تشغيلية سابقة استنفدت الثقة، واستهلكت النقد، وأربكت الشركاء، وأظهرت أن الشركة لديها مرونة أقل مما يتطلب دورها الخدمي.

هذا التمييز مهم لأن المساءلة يمكن أن تُبالغ بعد فشل الشركة. إذا دخلت شركة الإدارة بعد شهور من حادث سيبراني، فمن المغري القول إن الحادث السيبراني تسبب في الإدارة. الأدلة لا تدعم هذا الخط البسيط. الاستنتاج الأفضل هو أن فيروس الفدية كشف وفاقم ضعف استمرارية داخل شركة مدعومة بالديون وتعتمد على السفر ثم واجهت انهيار طلب بسبب الجائحة.

بالنسبة للموظفين والدائنين، قد يبدو التمييز أكاديميًا. لقد عانوا من عدم الأمان الوظيفي، ونقل الكيانات، وعمليات المطالبات، وعدم يقين الأعمال. تُظهر مواد PwC آلة الإدارة الرسمية التي تلت ذلك. بالنسبة لتحليل المخاطر، الدرس أوضح: المرونة الرقمية والمرونة المالية متصلتان. يمكن للشركة استعادة الأنظمة لكنها لا تزال تفتقر للسيولة والثقة ومدرج التشغيل اللازم لاستعادة موقعها التجاري.

ما يجب أن تكون الجهات التنظيمية والشركاء قد تعلمته

سبقت Travelex أقوى مرحلة من تطبيق المرونة التشغيلية في المملكة المتحدة، لكن الحدث يقرأ كدراسة حالة لتلك القواعد. خدمة الأعمال الهامة لم تكن "صرف العملات الأجنبية" بمعنى غامض. كانت القدرة لعملاء عدة علامات تجارية مرئية على طلب واستلام واسترداد وإدارة أموال السفر في غضون وقت مقبول. لم تكن تبعية الطرف الثالث مخفية عن المتخصصين، لكنها كانت مخفية عن العديد من العملاء.

يطلب إطار المرونة التشغيلية لـ FCA من الشركات تحديد خدمات الأعمال الهامة، ووضع حدود تحمل للتعطل، واختبار قدرتها على البقاء ضمن هذه الحدود أثناء الاضطرابات الشديدة والمحتملة. (المرونة التشغيلية FCA) بالنسبة للبنوك التي تستخدم Travelex، يجب أن يشمل الاختبار فيروس فدية المزود، وعدم يقين بيانات المزود، وانقطاع موقع المزود، ومعالجة الاسترداد اليدوية، واتصالات علامة الشريك، ومزودين بدلاء. بالنسبة لـ Travelex، يجب أن يشمل الاختبار فشل ضوابط الأمن للوصول عن بعد، وفقدان أنظمة المعاملات، وادعاءات ابتزاز البيانات، وحمل اتصال الشريك، والاستعادة المرحلية.

يوفر إطار الأمن السيبراني NIST هيكلاً عبر القطاعات لنفس الدرس. تظهر الحوكمة، والتحديد، والحماية، والكشف، والاستجابة، والاستعادة كلها في قصة Travelex. تسأل الحوكمة عما إذا كان مجلس الإدارة والمديرون التنفيذيون يفهمون التعرض والاعتماد المصادر خارجيًا. يسأل التحديد عما إذا كانت الأصول المعرضة للإنترنت وخدمات الشريك مُخزنة. تسأل الحماية عما إذا كانت التصحيحات والمصادقة متعددة العوامل والتجزئة موجودة. يسأل الكشف عما إذا تم العثور على الاستغلال قبل فيروس الفدية. تسأل الاستجابة عما إذا تلقى العملاء والشركاء تحديثات واضحة. تسأل الاستعادة عما إذا عادت الخدمات بدون تراكم يدوي غير مقبول أو عدم يقين بيانات. (إطار الأمن السيبراني NIST)

أكد بنك إنجلترا و PRA و FCA لاحقًا على المرونة التشغيلية عبر القطاع المالي، بما في ذلك مخاطر الأطراف الثالثة وخدمات الأعمال الهامة. (المرونة التشغيلية لبنك إنجلترا،FCA PS21/3) تُظهر Travelex لماذا هذه اللغة مهمة خارج نطاق الصيرفة الأساسية. يمكن لمزود متخصص أن يجعل خدمة تبدو طرفية تفشل عبر العديد من العلامات التجارية التي تواجه العملاء دفعة واحدة.

بالنسبة للمؤسسات الصغيرة والمتوسطة والأطراف المقابلة الأصغر، الدرس أصعب. قد تتفاوض البنوك الكبيرة على شروط استمرارية مفصلة. قد يقبل وكلاء السفر الأصغر والشركاء المحليون أو مشغلو الفروع الشروط القياسية ويتحملون الاضطراب العملي. برنامج مخاطر يحمي فقط أكبر شريك يترك المستخدمين الأصغر بقوة تفاوض ضعيفة ورؤية ضعيفة. لهذا السبب يجب أن تكون أدلة استمرارية الخدمة عامة بما يكفي لدعم جميع الأطراف المقابلة المتأثرة، وليس فقط أكبر العملاء تحت إحاطات سرية.

ما لا يزال غير معروف

يترك السجل العام فجوات كبيرة. لم تنشر Travelex تقريرًا جنائيًا كاملاً يحدد مسار الوصول الأولي، والجدول الزمني، ووقت بقاء المهاجمين، والأصول المتأثرة، ونطاق التشفير، واستنتاج الوصول للبيانات، وتاريخ التفاوض على الفدية، أو تسلسل الاستعادة. ربطت التقارير العامة الحادث بـ Sodinokibi/REvil وثغرة Pulse Secure VPN، لكن الأدلة الأولية العامة لا تقدم سلسلة هجوم كاملة من التعرض للإنترنت إلى انقطاع المؤسسة.

سجل البيانات غير مكتمل أيضًا. زعم المهاجمون حسب التقارير أنهم نسخوا بيانات. وتم الإبلاغ عن Travelex بقولها إنه لا يوجد دليل على اختراق بيانات العملاء. لا يقدم السجل العام جردًا نهائيًا مستقلاً للبيانات، أو عدد الأفراد الذين تم تقييمهم، أو فئات البيانات التي تمت مراجعتها، أو الطريقة الجنائية، أو قرارات الإخطار. هذا لا يعني أن البيانات سُرقت بالتأكيد. إنه يعني أن الجمهور لا يمكنه التحقق بشكل مستقل من الطمأنة.

سجل الاستمرارية غير مكتمل أيضًا. ليس لدينا جدول زمني للانقطاع لكل شريك، أو إجمالي الاسترداد، أو عدد شكاوى العملاء، أو عدد المعاملات اليدوية، أو معدل خطأ التسوية، أو تقدير ساعات العمل الإضافي للموظفين، أو خريطة خدمة على مستوى الفروع، أو خطة مزود بديل. لا نعرف أي الشركاء كان لديه حلول بديلة مُختبرة وأيهم ارتجل. لا نعرف كم عدد العملاء الذين خُدموا يدويًا أو كم طلبًا تم إلغاؤه.

السجل المالي أوضح لكنه لا يزال محدودًا. إعلان إعادة هيكلة Travelex في أغسطس ومواد PwC تُظهر مسار إعادة الهيكلة والإدارة. إنها لا تعزل تكلفة فيروس الفدية عن انهيار عائدات الجائحة، وعبء الديون، والتفاوض مع الدائنين، وقرارات الإدارة. أي مقال ينسب الإدارة فقط لفيروس الفدية يبالغ في الادعاء. أي مقال يعالج فيروس الفدية كعرضي يقلل من قراءة سجل الاستمرارية.

المساءلة تتبع وعد الخدمة

من السهل سرد حادثة Travelex كفشل في التصحيح، والتصحيح مركزي. إذا كانت رواية الثغرة العامة صحيحة، فإن ثغرة وصول عن بُعد معروفة أصبحت طريقًا إلى مزود تدعم أنظمته العديد من خدمات العملاء المرئية. لكن المساءلة لم تتوقف عند التصحيح. امتدت إلى جرد الأصول، والتحكم في التغيير الطارئ، والتجزئة، وإعادة تعيين بيانات الاعتماد، واستعادة النسخ الاحتياطي، والحل اليدوي، وإخطار الشريك، ودعم العملاء، وضوابط الاحتيال، وسلطة الاسترداد، والمرونة المالية على مستوى مجلس الإدارة.

سيطرت الجهات الإجرامية على الابتزاز والإساءة. استخدموا فيروس الفدية، وادعاءات سرقة البيانات، والضغط الإعلامي لرفع تكلفة التأخير. سيطرت Travelex على البيئة المعرضة، والاستجابة، والاستعادة، ورسائل الشريك التي مكنتها، والأدلة التي نشرتها أو لم تنشرها. سيطرت البنوك وشركاء التجزئة على وعود العملاء، والمبالغ المستردة، والقنوات البديلة، وتحديثات الحالة. سيطر الدائنون على مفاوضات إعادة الهيكلة التي قررت أي أجزاء من الشركة تتحرك للأمام وأيها بقي في الهيكل القديم. سيطر المنظمون على المعايير اللاحقة التي جعلت هذه التبعيات أصعب في التجاهل.

درس الحادثة الدائم هو أن مرونة الخدمة المصادر خارجيًا يجب أن تُقاس من أول معاملة فاشلة للعميل، وليس من بيان الاستعادة النهائي للمزود. عميل البنك الذي لا يستطيع تحصيل عملات السفر لا يهتم إن كان المزود يسميه حادثًا سيبرانيًا داخليًا. موظف الفرع الذي يستخدم فواتير ورقية لا يهتم إن كان اسم مجموعة الفدية مكتوبًا بشكل صحيح. الدائن لا يهتم إن تم تصنيف الانقطاع كتكنولوجيا معلومات أو عمليات. كل جهة فاعلة تشعر بالنتيجة من خلال وعد الخدمة الذي اعتمدت عليه.

لذلك تنتمي Travelex إلى سجل المساءلة كحالة كشف فيها فيروس الفدية عن اقتصاديات التبعية. استغل المهاجم الأنظمة والانتباه. كافحت المزود مع الاستعادة والتواصل. اكتشف الشركاء الوزن التشغيلي لمورد العلامة البيضاء. حمل الموظفون والعملاء العمل اليدوي وعدم اليقين. أظهرت إعادة الهيكلة اللاحقة أن الثقة الرقمية والسيولة والاستمرارية ليست موضوعات منفصلة. في خدمات العملات، يمكن أن يصبح الانقطاع السيبراني أزمة اتصال عملاء، واختبار حوكمة شريك، وحدث مرونة مالية دفعة واحدة.