מעבר לפגיעה במוניטין הארגון, גניבת מידע והפסדים כספיים, שופך דוח חדש אור על המאבק השקט של נפגעי מתקפות כופרה: רווחתם הנפשית. ההשפעה הפסיכולוגית והפיזיולוגית שיש למתקפות כופרה על אנשים, חייבות להיות מטופלות על ידי כל בעלי העניין בתגובה לאירועים – כך מתואר דו"ח של Royal United Services Institute (RUSI): "כאשר חווה ארגון מתקפת כופרה אשר מפריעה לשירות ואף משביתה את פעילות הארגון, יש לזכור גם כי ישנם אנשים בתוך הארגון, כמו אנשי צוות שפתאום אינם יכולים לחזור הביתה למשפחותיהם", ציין ד"ר Jason Nurse מאוניברסיטת קנט, כשדיבר עם Infosecurity במהלך Infosecurity Europe 2024. ד"ר Jason Nurse תרם למאמר המחקר של RUSI, שכותרתו 'הנתונים שלך נגנבים ומוצפנים': חוויית קורבן הכופר, שפורסם ב- 2 ביולי 2024.
המאמר החדש מציע תובנות חדשות לגבי החוויה הפסיכולוגית של קורבנות החווים מתקפת כופרה, כולל אילו גורמים הופכים את החוויה שלהם לטובה או לרעה ואילו אמצעי מדיניות יכולים לעזור להפחית את הפגיעה ברווחתם. בשיחה עם Infosecurity, אמר דניאל קארד – הבעלים של PwnDefend ומומחה לתגובה לאירועי סייבר שהגיב למתקפות בעלות פרופיל גבוה כמו WannaCry, שדו"ח RUSI שופך אור על הנושא שלעתים קרובות מתעלמים ממנו: ההשפעה של מתקפות סייבר על הקורבנות והמגיבים. "כשאני מגיע לאירוע סייבר אני אומר לאנשים: תוודא שכולם שותים, אוכלים וישנים. אם אנשים אינם מפוקסים, אז התגובה לא נכונה", אמר קארד.
הדו"ח הדגיש כי על מנהלים בארגונים להיות רגישים לעומסי עבודה ולפגיעה הפסיכולוגית והפיזית שיש למתקפות כופרה על הארגון ועל אנשי הצוות שלו. הדו"ח קבע בהמלצותיו כי "הפחתת ההשפעה הפסיכולוגית של מתקפות כופרה צריכה להיות במרכז התמיכה הניתנת לקורבנות (פוטנציאליים) המתכוננים למתקפת כופרה ומגיבים לה." לדברי Nurse: "ככל שגדלים האתגר והשכיחות של מתקפות כופרה, חיוני להביא את התמיכה בקורבנות מתקפות סייבר לראש סדר העדיפויות בפיתוח אסטרטגיית פשעי הסייבר וחוסן הסייבר." המדיניות הציבורית בנושא מתקפות כופרה חייבת להתרכז באמצעים המפחיתים את הנזק של הקורבנות, נכתב בדו"ח. הדבר כולל הכרה והפחתת ההשפעה הפסיכולוגית על הקורבנות. Nurse קורא למימון ציבורי נוסף בחינם של שירותי בריאות הנפש, כולל טיפול המותאם לאנשים שנפגעו ממתקפות כופרה. הדוח אף הציע שפוליסות ביטוח סייבר צריכות לספק כיסוי לייעוץ לבריאות הנפש במהלך ואחרי מתקפות סייבר.
הדוח ציין שלמרות הקמפיינים המתמשכים למודעות אבטחת סייבר, זו עדיין נמצאת, לעתים קרובות מדי, בעדיפות נמוכה עבור ארגונים רבים. קארד טוען כי היקף האתגר הוא מאסיבי ורוב הארגונים אינם מעמידים את אבטחת הסייבר בעדיפות גבוהה. כל הארגונים חייבים לראות בעצמם קורבנות פוטנציאליים של מתקפות כופרה, נכתב בדו"ח RUSI ולכן עליהם להמשיך ולשפר את אמצעי אבטחת הסייבר והגיינת הסייבר שלהם.
המאמר של RUSI הינו חלק מסדרת פרסומי מחקר הנובעים מפרויקט מחקר בן 12 חודשים בשם 'נזקי כופר וחוויית הקורבן', שנערך על ידי RUSI ואוניברסיטת קנט. הפרויקט ממומן על ידי NCSC בבריטניה ומכון המחקר לאבטחת סייבר סוציו-טכנית.
