מתקפת כופר – לשלם או לא לשלם, זו השאלה

זה היה סקר שגרר הרבה תגובות, התייחסויות ועניין. הבטחתי שאכתוב ואסביר למה מיעוט קטן אכן טועה במסקנה שלו, ונדמה לי שזה יכול להיות מדריך לא רע (כי עדיין, למרות תפיסת Cyber Resilience ולמרות היתרון המובהק ל- Cons שבהם מצדדת, ייתכן ואפשר לשכנע אותי נקודתית במעט Pros בהתאם לארגון המסוים) בשאלה איך לעזאזל מתמודדים עם המכה ה-11 הזו.

אבל עוד קודם, סיפור מהחיים.

אירוע שולי וחסר משמעות אמיתית, שאמנם רצוי היה שלא יקרה, אבל באמת לא ייצר שום נזק והנה, השכן שלי החליט שהוא רוצה ממני פיצוי שרירותי. הציב בפני עובדה וסכום – או שתשלמי ונסגור את זה ביננו, או שאסבך לך את החיים.

זה לא שלא ניסיתי להניא אותו מהאיום ולסיים את השטות בגודל המיניאטורי שהיא ראויה לה, אבל הוא לא באמת התעניין בעובדות. מבחינתי, לא משנה מה, לא משלמים דמי שתיקה. לא משלמים כופר. לא משלמים למי שמנסה לסחוט. היחיד שמוסמך לקבוע פיצוי אם אכן מגיע, זה בית המשפט. היום הדרישה היא איקס ומחר פתאום תקפוץ לו היד מאיזושהי סיבה ואני אהיה זו שאשמה וגם ככה כבר שילמתי. כשהרכבת יוצאת מהתחנה, בלתי אפשרי לעצור אותה. במקרה הזה, אי אפשר היה להיערך או לצפות את האירוע, אבל באירועי כופר המשביתים ארגונים באמצעות וירוסים או מתקפות סייבר מורכבות יותר, אפשר גם אפשר ועל זה נדבר.

 

מה זו בעצם מתקפת כופר?

מדובר במתקפה שיכולה להגיע בכל תצורה – הודעת דוא"ל מזויפת, השבתה שנועדה לשמש מסך עשן, חולשה במערכת כלשהי שמאפשרת גישה לקרביי הארגון – באמת שזה לא משנה. 

התוקף יחדיר קוד זדוני שבמוקדם או במאוחר, יבצע את ההנחיות שלו. לרוב יהיה מדובר בהשבתה של עמדות המחשב (כולן או חלקן או מחשב מסוים) ולאחרונה מתגברת גם הרחבה באמצעות איום בהפצת מידע שאליו הצליח התוקף להגיע. 

ההשבתה, לרב תלווה במסך שחור ומאיים, עם כיתוב מטריד המנמק דרישת תשלום – להלן הכופר המבוקש: "שלמו איקס כספי ובביטקויין. בתמורה נשלח את מפתח ההצפנה, נשחרר את ההשבתה, ולא נביך אתכם עם הפצת מידע או כל מה שעלול לפגוע בכם עסקית".

כשאירוע כזה מתרחש, התגובה הראשונית המיידית והמאוד הגיונית, היא פחד. מזה אומר? מה עושים? עם מי מדברים? לאן התוקף הגיע? איך אשרוד את היום עם המחויבויות שיש לי? מה יהיה מעכשיו? מאיפה משיגים ביטקויין? הוא השתגע, מאיפה לי סכום כזה? איך מצדיקים תשלום של סכום כזה?  

לעיתים מנסים לדבר אל ליבו של התוקף, לנהל איתו מו"מ. לעיתים משלמים ללא שאלות ולעיתים פשוט קורסים מהבהלה ומההשפעה על השרידות המיידית של הארגון.

זה ללא ספק, אירוע לא נעים בכלל!!

ונניח ויש לכם את הכסף הנדרש ועוד בביטקויין, בהישג יד, ואתם מחליטים לשלם. האם אתם בטוחים שהתוקף ימלא את ההבטחה שלו וישלח את מפתח ההצפנה? האם אתם בטוחים שהאירוע נשאר ביניכם בלבד והוא לא רץ להתרברב ברשתות החברתיות הסודיות שלו על ההישג? האם אתם חושבים שאם זה קרה לכם פעם אחת זה לא יקרה שוב? 

תשמעו, זה לא מקרי שההנחיה הגורפת היא לא לנהל מו"מ עם טרוריסטים. אפשר ליפול על תוקף ממש הומני ונחמד ואפשר שלא. אין ערבויות. 

מה שכן, אפשר להיערך לאפשרות הזו. ב-Cyber Resilience Playbook לא משלמים כופר להאקרים. גם לא מנהלים איתם משא ומתן. אין צורך!

 

זה מאמר דיי גנרי, אז מן הסתם הוא לא יכול להיות מושלם וב-Tailor-made , אבל אלה העקרונות שעל בסיסם אני מגבשת את הפלייבוק הכי מתאים ונכון לצרכים העסקיים והארגוניים, למקרה של אירוע סייבר ובמיוחד לאפשרות של מתקפת כופר. 

בואו נצא מנקודת הנחה שתוקף הצליח לחדור את ההגנות הארגוניות:

 

מוכנים לאירוע כופר

לא מוכנים \ מנהלים מו"מ

גיבויים

מטופלים תדיר,

מנוהלים,

הקבצים כולם נקיים וזמינים לשימוש מיידי

בהנחה ויש, לא בטוח אם הוירוס מגובה גם הוא

אתר DR

 

*לא מחויב מציאות בכל סוג וגודל של ארגון

כולל נוהל ייעודי לצורך העלאת שירות וזמינות בהתאם לסיווג שירותים, זמינות מערך הגיבוי, אתרים נלווים ושאר החלטות עסקיות קריטיות

כולל נוהל גנרי בלבד.

מאגרי מידע / מידע עסקי רגיש

ממופים, מסווגים ובהתאמה מוצפנים ומנוהלים תחת בקרות קפדניות, בדגש על התרחיש

חלקם מסווגים בהתאם לתקנות הגנת הפרטיות ו-GDPR, אבל לא מעבר

תוכנית פעולה

כוללת הערכת וצפי לוחות זמנים מוכרים ומוגדרים  לחזרה לתפקוד הדרגתי\מלא, בהתאם לנוהל ולצרכים שהוגדרו

פאניקה. איסוף אנשי מקצוע מכל הדיסיפלינות האפשריות.

החלטות אד הוק לעולם יהיו גרועות למול החלטות מתוכננות

פוטנציאל נזק

לא קיים.

צוות התגובה העסקי מנווט החלטות בהתאם להערכות המצב שהוגדרו

– יתברר בהמשך

– אפס משאבים לתפעול שגרתי

– מתחילים פערים למול רגולציה, בעלי עניין, לקוחות, שותפים ועוד

הכפלת הדרישה ככל שעובר הזמן

אז מה?

כמה זמן עבר מאז שהגיעה הדרישה והתחלתם לטפל בה?

מוניטין

לא נפגע

נפגע

עלויות

– תשלום הכופר מתייתר

– אין צורך בהחלפת ציוד ותשתיות.

– אין צורך בהקצאת תקציב לעיצום רגולטורי או משפטי

– תשלום בהיקף מסוים לתוקף

– תשלום לצוות משבר, בתעריף משבר

– חשיפה לתביעות יצוגיות,

– חשיפה לעיצומי רגולציה

– חשיפה למתקפה נוספת בשל העובדה כי מי שנכנע פעם אחת, ייכנע שוב

– תקציב ייעודי להחלפת ציוד ותשתיות

חזרה לשגרה

בממוצע, בתוך 72 שעות

בממוצע, שנה וחצי ויותר

תרומה לקהילה

מעבירים מסר נחרץ – לא שווה לבזבז עלינו זמן

פוגעים באקוסיסטם כולו – תמשיכו, אנחנו מפחדים ומשלמים

 

אירועי כופר פוגעים בנו משנת 2012, ללא תאריך תפוגה, בעיקר בגלל שחושבים שניהול סיכונים חכם הוא לשלם את החלק היחסי. זו טעות.

כותבת המאמר: עינת מירון

עינת מירון, יועצת מומחית ל- Clevel. מלווה מנהלים וארגונים בהערכות מקדימה והתמודדות יעילה ומדויקת יותר עם אירועי סייבר בהיבט העסקי. הפעילות המשותפת ביצירת ההערכות מבטיחה זיהוי יעיל של סיכוני הסייבר הייחודיים לארגון, יצירת Playbook ייעודי הכולל זיהוי מדויק של טריגרים, צוותי תגובה, סדר פעולות ומנגנון קבלת החלטות מובנה.

עינת משמשת כמנטורית למנהלים ומנהלי אבטחת מידע שמבינים את האתגר והסיכון העסקי שבאיום הסייבר, תוך תווך עולם התוכן לשפה עסקית שניתן לתקשר למול הנהלת הארגון ובהתאמה למול מנהל אבטחת המידע. בנוסף, משמשת עינת כחברת שולחן עגול בדיוני מערך הגנת הסייבר, מרצה בכנסים, השתלמויות, ופורומים של לשכת רו"ח, איגוד הטכנולוגיות, ISACA, קורס דירקטורים, מכללת BDO, איגוד הכנסים, אוניברסיטת חיפה, מועדון הסייבר במרכז הבינתחומי, האקדמית תל אביב יפו, מכללת אפקה ועוד. https://youtu.be/gqRhJRQ2QdM