דעה
שירביט פישלה? כך מתמודדים עם מתקפת סייבר עסקית
לעבריינות מכל סוג אין מקום בחברה תקינה, אך משא ומתן עם העבריינים לא יכול להזיק - ועם הכישורים הנכונים ניתן לצלוח איום שכזה ואף לצאת מחוזקים
מנהל תאגיד פיננסי גדול יושב במשרדו , שעת בין ערביים מאוחרת, הוא לוגם מכוסית הוויסקי האיכותי בעודו בוהה בגורדי השחקים המוארים, רגע לפני סוף השבוע המיוחל. לפתע הוא מקבל הודעה: "מתקפת סייבר ענקית בוצעה על-ידי קבוצת BlackShadow". נשמע כמו התחלה של שובר הקופות של הקיץ הבא? כך גם ניתן לדמיין (פחות או יותר ובדרמה מוחצנת) את רגעי תקיפת הסייבר על מאגרי המידע של חברת הביטוח שירביט.
בתחילה נטען כי אולי מדובר באירוע נקמה איראנית, מתקפת טרור מהסוג החדש או אקטיביזם פוליטי. טרור בהגדרתו היבשה הוא מאבק אלים הנועד להשיג מטרות פוליטיות, חברתיות, דתיות או כלכליות. הטרור הרדיקלי מבוסס על העמדה של "הכל או כלום". לכן, הגישה הרווחת בנוגע למשא ומתן עם ארגוני טרור היא שאין לקיימו. זה לא המקרה בסיפורנו: לחברת הביטוח שירביט פרצו קבוצת עברייני רשת איתנה שפעלה במקצועיות שיא, בסדר ובארגון. לרוב, עבריינים שכאלה מונעים ממניע אחד גדול – כסף (וכמה שיותר).
הפצחנים מצאו את דרכם למאגר מידע רגיש וענק של החברה והשיגו פרטים אישיים אודות מבוטחיה ועובדיה. כדאי לדעת שהפצחנים החזיקו בגישה חופשית למערכות של חברת שירביט במשך לא פחות מ-4 חודשים, ואף לא אחת ממערכות האבטחה בחברה מנעה את המצב או התריעה על קיומו. המשבר גדל והתפתח לאורך תקופה ארוכה זו. מדובר בכשל של ממש, הדורש הסקת מסקנות בתוך הארגון. כך נוצר מצב בו מחזיקים ההאקרים בכמות מידע עצומה ותמורת אי הפצתו של מאגר המידע הם דורשים כופר של כ- 50 ביטקוין (כמיליון דולר), כאשר הם מבטיחים כי בכל 24 שעות בהן דרישותיהם לא יענו הם יפיצו מידע מביך מהקבצים שברשותם ולצד זאת יעלו את מחיר הכופר. הדרישות לא נענו על ידי חברת שירביט, שסירבה לשלם.
תופעת ה"כופר" מוכרת לנו כבר משחר ההיסטוריה. עבריינים מנצלים את הנקודות הרגישות ביותר אצל הקורבנות שלהם בשביל להשיג את הטרף או השלל. בדומה לאירועי חטיפה, היום אנו רואים כיצד האקרים "חוטפים" מידע אישי ורגיש, ודורשים תשלום תמורת מניעת שחרורו ברבים.
מהות הפשעים לא השתנתה במאות השנים שעברו, ולאורך ההיסטוריה נוצל כל משבר עולמי או מדינתי ככר פורה לפעילותם של עבריינים מנוסים. משבר הקורונה לא יוצא דופן בהקשר הזה. בעוד המגפה פוגעת בכלכלה העולמית, עסקי התוקפנות ברשת פורחים. מאז פרוץ המגפה המקרים שבהם תקפו האקרים חברות תמורות כופר זינק בכ-20%(!). בין הנפגעים ניתן למצוא ארגוני ענק כמו: תאגיד ייצור אמצעי האלקטרוניקה לביטחון ותקשורת CPI, אוניברסיטת קליפורניה, יצרנית המצלמות קנון, מחוז בתי הספר הציבוריים בבלטימור, ארה"ב, והתאגיד האמריקאי קרניבל, ענק בתחומי השייט. מרבית החברות נוטות לשלם את הכופר ולהימנע ממבוכה ציבורית.
אז איך פותרים משבר בני ערובה אינטרנטי?
פשעי הסייבר לא שונים מכל זירה עבריינית אחרת, וניהולם דומה במקצת למשא ומתן לשחרור בני ערובה במהלך פריצה לבנק או לכל משא ומתן בו שידנו על התחתונה. בשביל להתמודד עם משבר שכזה נדרש לנהל אותו. לשם כך נדרשות יכולת קבלת החלטות מהירה, יכולת מהירה של ניתוח המידע, עמידה בלחצים בתנאי חוסר ודאות, כישורי תקשורת איתנים ויכולות גבוהות של ניהול משא ומתן.
דווקא תקיפות סייבר יותר קלות להתמודדות, שכן אותם הכישורים והיכולות המוצגות מעלה יכולות להקנות זמן לתקיפת נגד, שחזור המידע, או בחינה מראש של מערכות הגנה מתקדמות. כל זאת, לצד רשויות אכיפה אפקטיביות וחובת ביטוח נזקים, יכול לקרב אותנו למיגור התופעה הפסולה. אבל עד היום שבו נגיע למדינת "אוטופיה" (בהשאלה מכבוד השופט מ. חשין) נגזר עלינו לנסות וללמוד כיצד ניתן להתמודד עם אירוע סייבר גדול.
הנושאים והנותנים מטעם הארגון אינם יודעים מי נמצא בצד השני, מהי זהות התוקפים, מקום ביצוע העבירה, הנסיבות והסמכות המשפטית. בשונה מאירוע חטיפה, שההנחה היא שהוא יסתיים עם תשלום הכופר והחזרת החטופים, במתקפות סייבר לא ידוע האם המידע יוחזר עם תשלום הכופר והאם לא נעשתה עוד פעולה בזמן הזה לתקיפה הדדית - לדוגמה, שכפול הקבצים במטרה להפיצם גם לאחר תשלום הכופר.
לעבריינות מכל סוג אין מקום בחברה תקינה, אך משא ומתן עם העבריינים לא יכול להזיק, ועם הכישורים הנכונים ניתן לצלוח איום שכזה ואף לצאת מחוזקים מהאסון.
על כן העמדה שלי ברורה: נהלו משא ומתן חכם ושקול, אך לעולם אל תיכנעו לסחטנות (לא פה ולא בשום מצב אחר). אינספור חוקרים בעולם האסונות והמשברים מחפשים אחר מודל אחד שדרכו ניתן לפתור כל סוגיה. עד שזה ימצא, אלו הם העקרונות שלי להתמודדות עם מתקפת סייבר עסקית:
1. הערכת אמינות האיום. האם מדובר בתקיפה של ממש או באיום לתקיפה? הפורצים יצטרכו להוכיח כמו בחטיפות "סימן חיים". העמדה במשא ומתן עלולה להיות חזקה או חלשה יותר בהתאם לסיטואציה העומדת בפני החברה.
2. הערכת השלכות. בשלב השני על הארגון להעריך את ההשלכות שיש לתקיפה שכזאת. הכוונה היא לא להתייחס לזה רק כאל כשל טכנולוגי, אלא להבין את כלל ההשלכות, האסטרטגיות, הכלכליות, ההשלכות על המוניטין והשם הטוב של החברה וההשלכות על האנשים הפועלים במסגרתה. תיאוריית ניהול המשברים דורשת איסוף וסינון של מידע שמאפשר את קבלת ההחלטות היעילה ביותר. כמו תמיד, זמן הוא המרכיב המשמעותי ביותר – נדרש זמן וכמה שיותר ממנו.
3. התייחסו בכבוד. עד כמה שזה קשה, חשוב להתייחס אל התוקפים בכבוד ובסבלנות ולהימנע מפנייה פוגענית העלולה להעמיק את הפער בין הצדדים ולהרחיק את הסיכוי לקניית זמן אפקטיבי.
4. קבלו החלטות שקולות, ללא פזיזות. הארגון צריך להחליט האם תשלום הכופר הוא אופציה ריאלית, או שנכון לו יותר לקנות זמן ולחפש חלופות טכנולוגיות או שלטוניות לפתרון המצב.
ההחלטה על תשלום כופר אינה פשוטה, מאחר ומחד הוא מעודד עבריינים לשוב ולבצע עבירות שכאלה, ומאידך, כאשר מידע רגיש נמצא בהישג ידם של עבריינים, הסיכון לחברה הוא גדול, גדול מאוד.
ד"ר דנה וולף היא מומחית למו"מ במרכז הבינתחומי