מתקפות הכופרה על גופים ממשלתיים, חברות ענק, תשתיות קריטיות, בתי חולים, מוסדות אקדמיה וחברות פרטיות בשנים האחרונות הולידו את הצורך לא רק בפתרונות אבטחת סייבר מתקדמים אלא גם ביכולת לנהל מו"מ מול ההאקרים. חברות ביטוח המתמחות בביטוח סייבר דואגות לא רק לשפות את הגוף הנפגע אלא גם להקים חמ"ל ניהול מו"מ מול ההאקרים ולדאוג לכל העניינים הרגולטוריים והמשפטיים הנדרשים כדי להבטיח ראש שקט ככל האפשר
ב-2021 בוצעה מתקפת נוזקות (תוכנה זדונית) נגד בית החולים הלל יפה, ששיבשה את פעילותו ועלות השיקום שלה הגיעה לכ-36 מיליון שקל. בסוף 2022 סבלה חברת הביטוח שירביט ממתקפת האקרים הקשורה ככל הנראה לאיראן שבה נגנבו נתונים אישיים של לקוחות, כולל פקידי ממשל. העובדה שהחברה לא הסכימה לשלם דמי כופר להאקרים הובילה לכך שיוטל עליה קנס של רשות שוק ההון והביטוח בגובה 11 מיליון שקל – קנס חריג בהתייחס לכך שבישראל מערך הסייבר, הרשות להגנת הפרטיות והמשטרה לא נוהגות להטיל סנקציות על משלמי כופר מתוך הבנה כי דרישות הכופר הן חלק מהמציאות העסקית הקיימת. זאת בעוד חוקי הגנת הפרטיות באירופה (GDPR) מאפשרים להטיל קנס של עד 4% מהמחזור החודשי על חברה שנחשפה לתקיפת סייבר. מתקפות כופרה נערכו גם על הטכניון, נמל חיפה, גופים בנקאיים ועוד.
זן חדש של פושעי סייבר
בעידן של איומי סייבר מתעצמים תשלום כופר להאקרים הפך לנוהג מנורמל, במיוחד בעולם הארגוני. במהלך העשור האחרון התקפות תוכנות כופר עלו בתדירות ובתחכום כאחד. זן חדש זה של פושעי סייבר חודר לרשתות רגישות, מצפין נתונים יקרי ערך ודורש תשלום, לרוב במטבע קריפטוגרפי, בתמורה לשחרורם. מה שהיה פעם פשע מבודד הפך כעת לתעשייה מחתרתית של מיליארדי דולרים.
התוקפים למדו כי התמקדות בחברות ובממשלות שבהן אובדן נתונים עלול להיות קטסטרופלי מניבה כופר גבוה יותר. לכן מוסדות פיננסיים, בתי חולים ושירותים ציבוריים הם יעדים עיקריים עבור סחטני הסייבר הללו.
באופן לא מפתיע, ארגונים רבים בוחרים לשלם את הכופר במקום להסתכן באובדן נתונים רגישים או לסבול מהשבתה ממושכת, או לחלופין – לא לשלם קנסות כבדים שקבעו הרגולטורים ולהסתפק בכופר נמוך יותר להאקרים. ההעדפה של מנהלי הארגונים לשמור על דרישות כופר וחדירת האקרים למחשבי הארגון תחת מעטה חשאיות נועדה כמובן גם כדי למנוע נזק תדמיתי ופגיעה במוניטין של החברה. החלטה זו, למרות היותה שנויה במחלוקת, נתפסת לעתים קרובות כדרך המהירה ביותר להשיב את הגישה למערכות קריטיות ולהימנע מפגיעה נוספת במוניטין ובפעילות. ודאי ניסיון להימנע מתביעות של לקוחות שמידע שלהם נחשף, כולל מידע רפואי, נתוני אשראי, וגם קניין רוחני או מידע מסחרי יקר ערך.
תעשיית המו"מ עם ההאקרים
הנכונות להיענות להאקרים עוררה את צמיחתה של תעשיית צללים, כאשר חברות אבטחת סייבר קמו לא רק כדי למנוע התקפות כאלה אלא כדי להקל על המשא ומתן עם האקרים. חברות אלו עובדות לעתים קרובות בשיתוף פעולה הדוק עם צוותים משפטיים, חברות ביטוח סייבר, מומחי מו"מ וסייבר, ואפילו רשויות אכיפת החוק כדי להעריך את הסיכונים ולהנחות ארגונים בתהליך ניהול המו"מ עם ההאקרים בדרך לתשלומי כופר נמוכים ככל האפשר. בעוד שרשויות כמו ה-FBI והיורופול מייעצות שלא לשלם כופר, ברוב המדינות אין מניעה חוקית לעשות זאת, כל עוד התשלומים אינם מממנים ארגוני טרור.
בסביבה זו תשלום כופר אינו עוד החלטה שולית – אלא חלק מקובל, אם כי לא נוח, מניהול סיכונים תאגידיים. חברות הביטוח החלו להציע פוליסות המותאמות במיוחד להתקפות תוכנות כופר, מה שמעניק לגיטימציה נוספת לנוהג.
לדברי רובי ארונשוילי, מנכ"ל ומייסד חברת הסייבר Cye, יותר מ-80% מהמנהלים שהחברות שלהם הותקפו מסכימים לנהל מו"מ עם התוקפים, ולפחות מחציתם משלמים את דרישת הכופר של ההאקרים. גובה הכופר מותאם לגודל הארגון, להכנסותיו, למידע שנגנב וחשיבותו ללקוחות, לארגון ולמשק, וכמובן לרמת הגנת הסייבר של הארגון.
עו"ד סהר זמיר, סמנכ"ל ומנהל אגף תביעות בקבוצת הביטוח גור, שמספקת בין השאר ביטוחי סייבר, מוסיף כי עברייני הרשת דואגים לבצע את מתקפות הכופרה בדרך כלל בסופי שבוע או בחגים, כדי ליצור הפתעה ובהלה בקרב ההנהלה של החברה המותקפת. "אנחנו יוצרים קשר עם חברת הביטוח ומקימים חמ"ל שמורכב מעורך דין שמייצג את חברת הביטוח, מומחה למשא ומתן, מומחה סייבר ופורנזיקה ויועץ משפטי."
בעוד מומחי הסייבר אומדים את הנזקים שנגרמו כתוצאה ממתקפת הכופר, בדרך כלל באמצעות החדרת קבצים זדוניים (נוזקות) למערכות המחשוב של החברה, נערך המו"מ עם ההאקרים, כשמנהלי המו"מ מנסים להבין מיהם ההאקרים, כמה עמוק הם חדרו למחשבי הארגון ומה המידע שהם מחזיקים. במהלך המו"מ מנסים מנהליו להגיע להסדר בסכום מניח את הדעת. אחת השאלות המרכזיות היא האם ההאקרים משתייכים לארגון טרור, לארגון העוסק בפשיעה כלכלית, או שהם נמצאים ברשימת מבוקשים של ארגוני הביטחון הבינלאומיים, ובישראל – ברשימות של הרשות להלבנת הון.
דרישות כופר מעניינות את הגופים הממשלתיים בישראל במקרים מוגבלים – מערך הסייבר הלאומי נכנס לפעולה רק כשמדובר בגופים ביטחוניים או כאלה שעובדים עם גופי הביטחון; רשות ניירות הערך מתעניינת בחברות בורסאיות בלבד; רשות המסים אינה רואה בתשלום כופר הוצאה מוכרת; ורשות שוק ההון מעורבת כשמדובר בגוף בנקאי או פנסיוני. הרשות להגנת הפרטיות מפעילה סנקציות במקרה של דליפת מידע מחברות ואי-עמידה בדרישות אבטחת המידע הקבועות בחוק, אבל במידה שהארגון שילם כופר למניעת הדלפה – היא אינה נוקטת פעולה נגדו. הרשות גם פועלת לאיתור ההאקרים ולהעמדתם לדין.
ניהול אירוע סייבר באמצעות מומחים
כאמור, ביטוח סייבר דורש התמחות והיכרות הן עם ההיבטים הביטוחיים המתאימים והן עם מעטפת האמצעים שעל הארגון לנקוט כדי להגן על עצמו מפני מתקפת סייבר. קבוצת גור – קבוצת הביטוח הגדולה בישראל שאינה בבעלות אחת מחברות הביטוח, מציעה ללקוחותיה גם התמחות בביטוח סייבר וניהול אירועי סייבר באמצעות אנשי מקצוע בתחום ה-IT, המשפט ויחסי הציבור כדי למנוע פגיעה במוניטין, הגנה בהליכים מנהליים ורגולטוריים, שיפוי על אובדן הכנסות בגין פגיעה בארגון כתוצאה מכשל אבטחת מידע במערכות וכשל אבטחה בשירותים הניתנים על ידי ספק שירותי מקור-חוץ. לצד זאת מספקת הקבוצה שירותי משווק פנסיוני, מתפעל פנסיוני ועוד.
קבוצת גור תנהל את אירוע מתקפת הסייבר בשיתוף המבוטח ותסייע לו באמצעות אנשי מקצוע שיאתרו את המתקפה, ינהלו מו"מ עם האקרים, יקבלו החלטה מושכלת האם לשלם דמי כופר, ועוד. במקרה של פוליסת אחריות מקצועית של הארגון – קבוצת גור תבדוק הוספת כיסוי סייבר לפוליסה הקיימת. לפרטים ולתיאום פגישת ייעוץ חייגו 2986*
