סייבר

התמודדות עם מתקפת כופר

מרבית התוקפים לא מעוניינים להשקיע מאמצים רבים במתקפות סייבר אלא לממש מתקפה מהירה וקלה.

ככל שזה תלוי בנו, כאשר איננו מגדירים תהליכי אבטחת מידע יעילים, כאשר אנו לא מאפשרים סמכויות למנהלי אבטחת מידע, לא מוסיפים בקרות ומיטגציות כדי לזהות ולעכב עד לעצור את המתקפה, אנו בעצם מקלים על התוקפים לממש את משימתם.

חשוב לדעת

  • לפי כל חברות המחקר בתחום, חברה ששילמה את דמי הכופר תתמודד בתוך 6-12 חודשים עם מתקפת כופר נוספת.
  • ישנן חברות שכבר חוו 3 מתקפות בתוך שנה ( CrowdStrike Global Security Attitude Survey 2021 טוענים כי מדובר ב- 97% מהחברות המותקפות)
  • בעולם הדיגיטלי שבו אנחנו חיים, במורכבות של מתקפות סייבר ובמהלכי שיטוי המוכרים מעולם הריגול, אין לנו דרך לוודא שהמתקפה היא לא תולדה ישירה של מדינת אויב ולכן עצם האפשרות שכסף (ציבורי, ממשלתי או אפילו פרטי) מגיע בסופו של דבר לידיים של תומכי טרור, הוא דבר שאסור להשלים איתו.
  • פועל יוצא של מתקפת כופר הוא לא רק עלות הכופר עצמה אלא עלויות כספיות נלוות הכרוכות בניהול והתמודדות עם האירוע – אנחנו יודעים שמדובר בעלויות של עשרות מיליוני שקלים! וכל זה בתור התחלה.

האם חברות ממוצעות יכולות להרשות לעצמן את ההוצאות הכספיות הללו?

האם זה לכשעצמו אינו איום על המשק?

מתקפת סייבר בכללה ומתקפת כופר באופן פרטני, היא לא גזרת גורל!!

מהי אחריותה של המדינה לספק סיוע לגורם הנתקף במתקפת כופרה?

אחריות המדינה היא בראש ובראשונה לספק סיוע לגופים שהוגדרו בחוק כתמ”ק – תשתית מערכות
קריטיות.
המדינה לא יכולה ולא צריכה לקחת אחריות ולהעניק סיוע לכל חברה פרטית, ציבורית או ממשלתית שכן גם במסגרת חקיקה קיימת (חוק החברות, נושאי משרה, רגולציה בנקאית, שוק ההון, תקנות הגנת הפרטיות) האחריות על ההמשכיות העסקית היא של הנהלת החברה.
יתר על כן – עד לאיזו רזולוציה ושליטה אנו רוצים לאפשר למדינה לחדור לכל פעילות עסקית?

בנוסף, עודף רגולציה הוא דווקא מה שמסייע יותר מכל לתוקפים, כשהם יודעים במדויק מה נדרש
מהחברות הן ברמת הטכנולוגיה והן ברמת התהליכים.

לאילו סוגי נפגעים על המדינה לספק סיוע?

המדינה חייבת להעניק סיוע למנהלי אבטחת המידע שאמונים בפועל על אבטחת המידע בכל חברה וארגון, אולם בגלל פוליטיקה פנימית, העדפות תקציביות והעדר ידע מספק לוקים בהגדרת סמכויות, תעדוף משימות עד לשינוי מדיניות והדגשת חובת האחריות האישית, כולל בקרה ואכיפה איכותית ויעילה של הפרות מקצועיות .

באילו תנאים יש לאסור על תשלום דמי הכופר?

כאמור, דמי הכופר, בגלל תהליכי שיטוי מורכבים, עלולים להוביל לידיים של תומכי טרור, דבר שאסור לקבל או להשלים איתו.

אם לא דיי בטיעון זה, האם הגיוני לאפשר תשלום לעבריין? אולי נתחיל גם לשלם לגנבי אופניים תמורת החזרתם?

בנוסף, יש לקחת בחשבון שתשלום הכופר, במיוחד כשהוא מגיע מחברות ציבוריות, ממשלתיות, מוניציפליות הוא כסף של אזרחי המדינה שנועד לחזור אליהם כפנסיה, רווחה, שיפור תשתיות, שיפור מענה ציבורי.

המחשבה שכסף זה ייזרק לפח בגלל התנהלות לא מקצועית של חברה כלשהיא, שאפשרה את התממשות המתקפה – מקוממת.

לפי מחקר The State of Ransomware 2022 – Sophos מעל 60% מהחברות שמשלמות את הכופר
לא מקבלות את השליטה על המידע שלהן ובכל מקרה כל החברות נאלצות להתמודד עם השבתה של
בממוצע חודש ימים, כך שלתשלום הכופר אין משמעות אמיתית.

מהן חובות הדיווח של ארגון או אדם פרטי בנוגע לעצם קיומה של מתקפת כופרה ובנוגע לתשלום דמי הכופר?

בעולם הדינמי והמורכב של מתקפות הסייבר חייבים להבין שהיכולות הטכנולוגיות מאפשרות לתוקף להשבית אלפי תחנות עבודה בדק’ בודדות.

משום כך, הציפייה לגבי חובת הדיווח חייבת להיות ריאלית ולאפשר לחברה המותקפת זמן סביר לדווח וזאת מבלי לפגוע במאמציה לנהל את האירוע באופן מהיר ויעיל עם מיצוי תשומת הלב לעצם הסיכון.

בנוסף, במצב שבו החברה המותקפת ביצעה הליך היערכות מותאם, הפעילות העסקית או המקצועית שלה, לא אמורה להיפגע באופן משמעותי ולכן עצם הדיווח המיידי לא באמת קריטי לאף אחד.

ישנן מספיק החלטות רגולטוריות הנוגעות לחובת דיווח כך שניתן להסתפק בהן ואין צורך לייצר עוד עומס מיותר על חברה שגם ככה מתמודדת עם אירוע מורכב.

האם יש חובת פרסום לציבור במקרה של ארגון הנתון תחת מתקפת כופרה?

עצם השאלה מאפשרת את הדיון בהסתרה, דבר שבפועל רק מעודד עוד ועוד אירועים ועוד ועוד הזנחה בטיפול המקדים. יתר על כן, מתן לגיטימציה להסתרת האירוע מונעת את האפשרות לייצר מוטיבציה לחברות ומנהליהן לפעול למניעת התממשות אירוע מסוג זה.

באילו מצבים ניתן לאסור פרסום על דבר קיומה של מתקפת כופרה?

אין צורך להגדיר חובת דיווח בזמן התנהלות האירוע עצמו אבל בהחלט יש לדווח עליו במסגרת שקיפות ללקוחות שבוחנים מגוון שיקולים בבחירת ספק או שירות עתידי.

אור השמש מחטא. אין יותר טוב משקיפות כדי לעודד מצוינות ושיפור מתמיד ורציף.

האם ישנם מצבים שבהם תשלום דמי הכופר יוכל להיחשב כהוצאה מוכרת מבחינת דיני המס?

עצם השאלה מקוממת . במסגרת חוק נושאי משרה – אולי לפני שנשקול את תשלום הכופר כהוצאה מוכרת , נגדיר שחברי דירקטוריון יממנו מכיסם את תשלום הכופר ? אולי נגדיר שהדיווידנד יגרע מסך תשלום הכופר ?
כל עוד המדינה בכלל מוכנה לשקול ולספוג את תשלום הכופר, כשאנחנו יודעים שכל אירוע ראשוני שכזה עלול להסתכם בסכומים של עשרות ומאות אלפי שקלים, לעיתים אפילו יותר, היא פוגעת בנו האזרחים, שלא יוכלו לקבל שירותים טובים ואיכותיים מהמדינה בגלל פגיעה ביכולת גביית המיסים.
בנוסף, מהלך שכזה, עלול לפרוץ את הסכר ולאפשר למנהלים\בעלי חברות להתרשל בהשקעה באבטחת מידע והגנה על השירות והמידע שהם מספקים.

עינת מירון, מפתחת תפיסת Cyber Resilience – היערכות והתמודדות עם אירועי סייבר בהיבטים העסקיים,
מייעצת ומלווה מנהלים בכירים בשולחן ההנהלה והדירקטוריון. מירון משמשת גם כמנטורית
למנהלי אבטחת מידע ולחברי הנהלה שמבינים את האתגר והסיכון העסקי שבאיום הסייבר, תוך תווך
עולם התוכן לשפה עסקית והפוך. בנוסף, משמשת מירון כחברת שולחן עגול בדיוני מערך הגנת הסייבר
ומרצה בכנסים, השתלמויות, ופורומים של לשכת רו”ח, ISACA , איגוד הטכנולוגיות, קורסי דירקטורים,
איגוד הכנסים, אוניברסיטת חיפה, בר אילן, הבינתחומי, האקדמית תל אביב יפו, מכללת אפקה ועוד.
מירון מלווה רשויות מקומיות, מפעלים תעשייתיים וביטחוניים וחברות הייטק ופיננסים.

Rami

יזם, איש סיסטם, מתכנת בחסד, ונושם אינטרנט.

מאמרים קשורים

Leave a Reply

Your email address will not be published.

אתה תאהב גם את זה
Close
Back to top button
Skip to content