מה אנחנו באמת יודעים על סחיטה קיברנטית?
ב-2013 עמד היקף הכופר ששולם על מעל ארבעה מיליארד דולר, וב-2014 נרשמה עלייה של 113% בהיקפי מתקפות אלה ● מומחי אבטחה בינלאומיים מחזיקים בדעה שמרבית מתקפות הסייבר שמבוצעות כיום על חברות מסחריות הן למטרות סחיטה
מעט מאוד חומר אפשר למצוא בעברית על סחיטה קיברנטית: התקפת סייבר על חברה שמטרתה לסחוט כופר כספי או תמורה אחרת בעבור החזרת מידע שננעל, נגנב או נמחק, הסרת אלמנט מפגע (פוגעה) או השבת האתר לפעולה תקינה.
מיעוט החומר, גם באנגלית ובשפות אחרות, אינו בהכרח מצביע על היקף התופעה. אולי ההיפך. עוד בשנת 2004 כבר הוכרזה הסחיטה הקיברנטית כפשע הלא-מדווח הנפוץ ביותר, והערכות גסות דיברו על כמיליארד דולר המשולמים מדי שנה ככספי כופר להאקרים בודדים או לארגוני פשיעה וירטואליים.
על פי נתונים המופיעים בדו"ח השנתי של ענקית האבטחה סימנטק (Symantec), בשנת 2013 עמד היקף הסחיטה הקיברנטית (כופר ששולם) על מעל ארבעה מיליארד דולר, ובשנת 2014 נרשמה עליה של 113% בהיקפי התקפות הסחיטה הקיברנטית, בעיקר על מערכות הפעלה של מיקרוסופט (Microsoft), אולם גם נצפו התקפות למטרות סחיטה על מערכות הפעלה סלולריות כאשר מידע נתפס כבן ערובה. מספר מומחי אבטחה בינלאומיים מחזיקים בדעה שהיום למעשה מרבית התקפות הסייבר על חברות מסחריות הן למטרות סחיטה.
משלמים כופר במקרה של סחיטה קיברנטית
בישראל פורסם לאחרונה מקרה אחד בו מחדל אבטחה בלאומי קארד איפשר לעובד לשעבר לנסות לסחוט את החברה, ניסיון שנכשל לאחר משא ומתן מקצועי שהוביל את חוקרי הסייבר במשטרת ישראל למעצר מהיר של העבריינים.
מחקר מוביל בתחום שנעשה על ידי Threat track Security באוקטובר 2014 בקרב 250 אנשי אבטחת סייבר בארצות הברית, מגלה כי 30% ממנהלי אבטחת מידע היו מנהלים משא ומתן ומשלמים כופר במקרה של סחיטה קיברנטית. הסקר מגלה נתון מעניין לפיו ככל שחברה מותקפת יותר פעמים כך קטן הסיכוי שמנהליה יסכימו לשלם כופר, כמו למשל בתחומי הפיננסים והבריאות בארצות הברית שם 80% ו-92% ממנהלי אבטחת מידע (בהתאמה) הצהירו כי לא יהיו מוכנים לנהל משא ומתן ולשלם כופר. נתון נוסף העולה מן המחקר הוא ש-74% מן הנשאלים היו רוצים לראות את חברות הביטוח מציעות שירות של משא ומתן במסגרת פוליסות הביטוח לכיסוי נזקי סייבר.
מה שמוביל לשאלה המרכזית – מי מנהל עבור החברה את המשא ומתן כאשר מגיעה דרישת כופר, ומוכיח כי החוטף מחזיק באמת ב"מידע בן ערובה" העלול לגרום נזק רב לחברה?
סביבת הפעולה בהתקפות סייבר הולכת ומתפתחת בשנים האחרונות וכוללת, מעבר לחברות אבטחת המידע, גם חברות מודיעין, פורנזיקה, חברות ביטוח המציעות פוליסות לנזקי סייבר, וכן משרדי עורכי דין וחברות יחסי ציבור הפועלות לצד ההנהלה באירועי סחיטה.
ניהול משבר של סחיטה קיברנטית
שני פערים מרכזיים קיימים כתוצאה מהתפתחות מערכת מורכבת זו, ועלולים לגרום לנזק ממשי לחברה: האחד, פער באופן ניהול המשא ומתן. משא ומתן לשחרור חטופים ובני ערובה שונה במהותו ובמאפייניו ממשא ומתן עסקי או פוליטי. פועלים בו כוחות שונים שאינם מתקיימים בתהליכי משא ומתן קלאסי: קצב קבלת החלטות מהיר, תורה סדורה להפעלת מנופים פסיכולוגיים, שילוב הדוק עם פעולת מודיעין ותודעה (תקשורת), ובעיקר – היכולת לזהות במהירות לאן מתפתחת סיטואציה. לא בכדי צוותי המשא ומתן של המשטרה והצבא מכשירים ומחזיקים אנשי מקצוע מנוסים במשך שנים רבות. הפער השני הוא היעדר נהלים וכללי פעולה (Rules and Procedures) לתיאום בין כל המעורבים. ניהול משבר של סחיטה קיברנטית הוא אירוע הדורש מגוון רחב של מיומנויות אשר אינו בהכרח בגדר הכישורים המקצועיים של מרכיבי האקו-סיסטם.
במהלך כנס CYBERSure 2015 אשר ייערך ביום ג' 17 בנובמבר, ב-LAGO, יוצג לעומק הנושא ובכלל זה היקפה ומאפייניה של תופעת הסחיטה הקיברנטית, הניסיון שנרכש בניהול משא ומתן עם עברייני סייבר, ההיערכות הנכונה להתמודדות עם אירועים אלו ושורה של כללי עשה ואל-תעשה למנהלים ומנהלי מערכי אבטחה.
הכותב הינו עו"ד ומנכ"ל NEST אסטרטגיות משא ומתן בע"מ.
תגובות
(0)