להפוך את מתקפת הכופרה על שירביט לווירוס מוחלש

כמו וירוסים התוקפים אורגניזם, כך גם התקפות סייבר יכולות לחסן את הגוף • כדי להפיק את התועלת מהנזק - צריכה להיות מדיניות הכוללת את אכיפת האיסור על תשלום כופר מחד, ומאידך קרן להגנה מנזקי סייבר והגנה מתביעות משפטיות של הנפגעים

 

 

מתקפות הסייבר הולכות ומתעצמות/צילום: Shutterstock/א.ס.א.פ קרייטיב
מתקפות הסייבר הולכות ומתעצמות/צילום: Shutterstock/א.ס.א.פ קרייטיב

פרצות האבטחה בשוק הפרטי שמשמשות את ההאקרים הפליליים, ישמשו כנראה בעתיד גם את איראן במתקפת סייבר כוללת על ישראל. זו לא הצהרה תאורטית - התקפות של האקרים איראניים הם כבר מציאות. השלמה עם פרצות הסייבר במגזר הפרטי כמוה כהשלמה עם פגיעותה הביטחונית של ישראל.

לכן צמצום התקפות הכופרה על ישראל הוא אינטרס ביטחוני. המדינה לא באמת מתמודדת עם חשיפת המגזר הפרטי להתקפות סייבר ונדרשת הגנה מתביעות ייצוגיות וקרן להגנה מנזקי תקיפות בתמורה ליישום סטנדרטים גבוהים של הגנת סייבר. רק חקיקה ושיתוף פעולה בין מגזרי יכולים להביא לצמצום התופעה ועל הדרך לשפר את ההגנה ממתקפת הסייבר האירנית הצפויה בעת מלחמה.

שוק הכופרה הבינלאומי - תשלומי כופר עבור שחרור קבצים מוצפנים, גניבת מידע והשבתו - מגיע לכ-42 מיליארד דולר בשנה.

גם בישראל מתקפות הכופרה גורמות לנזק כלכלי עצום. כל שנה נתקפות בישראל עשרות חברות פרטיות וציבוריות, חברות פיננסיות מפוקחות על ידי בנק ישראל ואפילו עיריות וחברות ממשלתיות. מרביתן משלמות "פרוטקשן" או בשם המכובס "כופרה" לארגוני פשע בינלאומיים. מה אומר החוק ומה עמדת הממשלה בנושא תשלום כופרה? האם הוא חוקי או שמה תשלום לארגוני פשע הוא עבירה על החוק?

אם תשאלו את ראשי מערך הסייבר, המפקחת על הבנקים, המפקח על הביטוח התשובות יהיו לפעמים מבולבלות או סותרות. אם לא די בכך כיום יש בשוק פוליסות המאושרות על ידי המפקח על הביטוח שמבטיחות לחברות החזר על דמי הכופר שישלמו במקרה של אירוע כופרת סייבר.

במילים אחרות - המדינה אישרה בפועל פוליסה שמאפשרת לשלם לארגון פשע בינלאומי - דבר האסור או לפחות סותר לכאורה את החוק ואת רוח חוק מאבק בארגוני פשיעה. יותר מכך, חוק איסור הלבנת הון, חוק איסור מימון טרור, חוק הבנקאות וחוק ניירות ערך - חוקים אלה ורוחם עומדת בסתירה מוחלטת להשלמה בשתיקה או בהסכמה לתשלום כופר על ידי חברות פרטיות וציבוריות.

המצב לא שונה בהרבה ברבות מהמדינות בעולם. אם תשלום כופר היה נאכף כעבירה (מאחר ובעליל תשלום לארגון פשע בינלאומי הוא עבירה פלילית) - יתכן שהחברות היו מתאמצות יותר להגן על עצמן ממתקפות אלה.

אך חוסר האונים מול התופעה והחשש שאי תשלום כופר הוא בבחינת "גזירה שהציבור לא יכול לעמוד בה" - הפך את תשלום הכופר לנורמה מקובלת. למעשה הרשויות לא רק שלא אוכפות מניעת תשלום ה"פרוטקשן" לארגוני פשע אלא אפילו מאפשרות אותו. כאשר גם הרשויות עומדות נכלמות וחסרות פתרון - יש לבחון שינויי פרדיגמה בהתייחסות לתחום.

מתקפות כופרה - הכנה לדבר האמיתי

אפשר לראות במתקפות הכופרה (Ransomware) הכנה לדבר האמיתי - ההתקפה האיראנית הכוללת על תשתיות פיזיות וכלכליות של ישראל. הכופרה היא מעין "וירוס" מוחלש שיכול להוביל לחיסון הגוף. הרי מטרתם של התוקפים היא כלכלית ולא מלחמתית ולכן הנזק שלהם לכאורה מוגבל. אבל אם ישראל לא תנצל את מתקפות הכופרה לשפר את מערך הסייבר במגזר הפרטי - ישראל חשופה לאיום אסטרטגי קשה.

ההצעה כאן אינה מבטיחה פתרון מיידי לתופעה, אלא מתווה דרך בה מדינה ובשאיפה מדינות הנקשרות בברית יכולות להקשות עד מאוד על מלאכתם של תוקפי הכופרה. כאשר נקשה על תוקפי הכופרה נשפר את מערכת החיסון של המשק הישראלי גם מההתקפות הצפויות של איראן.

ההנחה הראשונה היא שללא חקיקה ואכיפה השוק מזמין מקרי כופר חוזרים ונשנים ואין בנמצא וכנראה לא תהיה, טכנולוגיה שתמנע מתקפות כופרה או תאפשר בקלות לשחזר קבצים ש"טופלו".

מאידך - חברה שנתקפה ולא נקטה בהכנה להתמודדות מספקת עם התקפת כופרה - עלולה להתמוטט אם לא תשלם כופרה. ולכן אחד מהאתגרים הוא שאם על פי חוק יאלצו עסקים קטנים ובינוניים לסרב לתשלום כופר חברות - הם עלולים לקרוס כלכלית.

חלק מהפתרון הוא הקמת קרן לאומית לביטוח מנזקי סייבר שתפצה כל מי שיעמוד בדרישות חוק ונמנע לשלם כופר. קרן כזו יכולה לקום בשיתוף חברות ביטוח שיתנו את הפיצוי בעמידה בסטנדרטים הקבועים על ידי גורם סייבר ממלכתי על חוק להגנה ממתקפות סייבר לעסקים קטנים ובינוניים.

כך באמצעות חוק זה יעודדו עסקים קטנים ובינוניים להגן על עצמם בצורה שיטטית יותר. למשל - הכנת גיבוים בצורה המבטיחה חסינות לגיבוי, עדכוני תוכנה בזמן, הדרכת עובדים נגד פישינג, הכנת ההנהלה לטיפול במשברי סייבר, מבחני חדירות (Penetration Test).

רק מי שייבדק וימצא כעומד בסטנדרטים שנקבעו על ידי רשות הסייבר הלאומית (מערך הסייבר) יהיה זכאי לאותו ביטוח מידי הקרן המיוחדת להגנה מכופרה.

כך רבים מהעסקים בישראל יהיו מוגנים הרבה יותר מאשר כיום ממתקפת סייבר. אמנם מרבית התקפות הסייבר אינן ממוקדות - אך העובדה שעסקים בישראל יהיו מוגנים יחסית ולא ישלמו כופר תקטין את משטח התקיפה העתידי למתקפה אירנית. חשוב בהמשך לצור אמנה בין לאומית שתהפוך תפיסה זו לבינלאומית. במידה ותתקיים אמנה כזו יתכן וכמות התקפות הכופרה בעולם המערבי לפחות תפחתנה. 

הכותב הוא מומחה לניהול משברי סייבר וחוקר עמית במכון למדיניות נגד הטרור של המרכז הבין תחומי