כלים מדינתיים למלחמה בכופרה. דעה
שבתאי שובל
| 13/06/2018
אילוסטרציה: Bigstock
האם על פי החוק במדינה ואמנות בינלאומיות מותר לשלם כופרה (כופר עבור שחרור קבצים מוצפנים, גניבת מדיע והשבתו בתמורה לכופר וכדומה)? אם תשאלו את האלה הזו את ראשי מערך הסייבר, המפקחת על הבנקים, המפקח על הביטוח התשובות יהיו לפעמים מבולבלות או סותרות.
כיום יש בשוק פוליסות המאושרות על ידי המפקח על הביטוח שמבטיחות לחברות החזר על דמי הכופר שישלמו במקרה של אירוע כופרת סייבר. במילים אחרות – המדינה אישרה בפועל פוליסה שמאפשרת לשלם לארגון פשע בינלאומי – דבר האסור או לפחות סותר לכאורה את החוק ואת רוח החוק מאבק בארגוני פשיעה. יותר מכך – חוק איסור הלבנת הון, חוק איסור מימון טרור, חוק הבנקאות וחוק ניירות ערך – חוקים אלה ורוחם עומדת בסתירה מוחלטת להשלמה בשתיקה או בהסכמה לתשלום כופר על ידי חברות פרטיות וציבוריות. לאחרונה הודתה רשות מקומית בישראל שבחרה לשלם כופר במקום לסבול את ניזקי הכופרה. כך שגם רשויות סטטוריות – האמורות לאכוף חוקים – נוטות לבצע את העבירה לכאורה של תשלום כופר.
המצב לא שונה בהרבה ברבות מהמדינות בעולם. חוסר האונים מול התופעה והחשש שאי תשלום כופר הוא בבחינת "גזירה שהציבור לא יכול לעמוד בה" – הפך את תשלום הכופר לנורמה מקובלת. כאשר גם הרשויות עומדות נכלמות וחסרות פתרון יש לבחון שינויי פרדיגמה בהתייחסות לתחום. ההצעה שתובא כאן אינה מבטיחה פתרון מיידי לתופעה אלא מתווה דרך בה מדינה ובשאיפה מדינות הנקשרות בברית יכולות להקשות עד מאוד על מלאכתם של תוקפי הכופרה.
ההנחה הראשונה היא שללא חקיקה ואכיפה השוק מזמין מקרי כופר חוזרים ונשנים ואין בנמצא וכנראה לא תהיה טכנולוגיה שתמנע מתקפות כופרה או תאפשר בקלות לשחזר קבצים ש"טופלו". מאידך – חברה שנתקפה ולא נקטה בהכנה להתמודדות מספקת עם התקפת כופרה – עלולה להתמוטט אם לא תשלם כופרה. ולכן אחד מהאתגרים הוא שאם על פי חוק יאלצו עסקים קטנים ובינוניים יסרבו לתשלום כופר חברות עלולות לקרוס כלכלית.
פתרונות אפשרות להקמת קרן לאומית לביטוח מנזקי סייבר שתפצה כל מי שיעמוד בדרישות חוק ונמנע לשלם כופר. קרן כזו יכולה לקום בשיתוף חברות ביטוח. תנאי להכלת הביטוח עמידה בסטנדרטים הקבועים על ידי גורם סייבר ממלכתי על חוק להגנה ממתקפות סייבר לעסקים קטנים ובינוניים (אפשר תוכנה תומכת המגדירה לעסק הקטן כיצד להגן על עצמו). כך באמצעות חוק זה יעדדו עסקים קטנים ובינוניים להגן על עצמם בצורה שיטטית יותר. למשל – הכנת גיבוים בצורה המבטיחה חסינות לגיבוי, עדכוני תוכנה בזמן, הדרכת עובדים נגד פישינג, הכנת ההנהלה לטיפול במשברי סייבר, מבחניPENTESTING
רק מי שיבדק וימצא כעומד בסטנדרטים שנקבעו על ידי רשות הסייבר הלאומית (מערך הסייבר) יהיה זכאי לאותו ביטוח מידי הקרן המיוחדת להגנה מכופרה.
כך רבים מהעסקים בישראל יהיו מוגנים הרבה יותר מאשר כיום ממתקפת סייבר. במידה והתפיסה תמומש הדבר ימנע במקרים רבים התקפות של עובדים לסחיטה על בסיס גניבת מידע (insider threat) בכדי – מכיוון שהם ידעו שהעסקים בדרך כלל לא ישלמו. במידה והפרוייקט יצליח יתכן וחלק מהתוקפים ימנעו לתקוף את כתובות ה- IP של ישראל.
החוק המוצע והקרן לתמיכה באלו שעומדים בחוק וסטנדרטים - לא ימנע התקפות כלליות בריסוס עולמי שלא מכוונות לישראל.
כיום מרבית התקפות הסייבר אינן ממוקדות – העובדה שעסקים בישראל לא ישלמו כופר לא תמנע במקרים רבים התקפה עליהן. לכן חשוב בהמשך לצור אמנה בינלאומית שתהפוך התייחסות זו להתייחסות בינלאומית. במידה ותתקיים אמנה כזו יתכן וכמות התקפות הכופרה בעולם המערבי לפחות תפחתנה.
***
שבתאי שובל – מומחה לניהול משברי סייבר וחוקר עמית במכון למדיניות נגד הטרור של המרכז הבין תחומי
אילוסטרציה: Bigstock
האם על פי החוק במדינה ואמנות בינלאומיות מותר לשלם כופרה (כופר עבור שחרור קבצים מוצפנים, גניבת מדיע והשבתו בתמורה לכופר וכדומה)? אם תשאלו את האלה הזו את ראשי מערך הסייבר, המפקחת על הבנקים, המפקח על הביטוח התשובות יהיו לפעמים מבולבלות או סותרות.
כיום יש בשוק פוליסות המאושרות על ידי המפקח על הביטוח שמבטיחות לחברות החזר על דמי הכופר שישלמו במקרה של אירוע כופרת סייבר. במילים אחרות – המדינה אישרה בפועל פוליסה שמאפשרת לשלם לארגון פשע בינלאומי – דבר האסור או לפחות סותר לכאורה את החוק ואת רוח החוק מאבק בארגוני פשיעה. יותר מכך – חוק איסור הלבנת הון, חוק איסור מימון טרור, חוק הבנקאות וחוק ניירות ערך – חוקים אלה ורוחם עומדת בסתירה מוחלטת להשלמה בשתיקה או בהסכמה לתשלום כופר על ידי חברות פרטיות וציבוריות. לאחרונה הודתה רשות מקומית בישראל שבחרה לשלם כופר במקום לסבול את ניזקי הכופרה. כך שגם רשויות סטטוריות – האמורות לאכוף חוקים – נוטות לבצע את העבירה לכאורה של תשלום כופר.
המצב לא שונה בהרבה ברבות מהמדינות בעולם. חוסר האונים מול התופעה והחשש שאי תשלום כופר הוא בבחינת "גזירה שהציבור לא יכול לעמוד בה" – הפך את תשלום הכופר לנורמה מקובלת. כאשר גם הרשויות עומדות נכלמות וחסרות פתרון יש לבחון שינויי פרדיגמה בהתייחסות לתחום. ההצעה שתובא כאן אינה מבטיחה פתרון מיידי לתופעה אלא מתווה דרך בה מדינה ובשאיפה מדינות הנקשרות בברית יכולות להקשות עד מאוד על מלאכתם של תוקפי הכופרה.
ההנחה הראשונה היא שללא חקיקה ואכיפה השוק מזמין מקרי כופר חוזרים ונשנים ואין בנמצא וכנראה לא תהיה טכנולוגיה שתמנע מתקפות כופרה או תאפשר בקלות לשחזר קבצים ש"טופלו". מאידך – חברה שנתקפה ולא נקטה בהכנה להתמודדות מספקת עם התקפת כופרה – עלולה להתמוטט אם לא תשלם כופרה. ולכן אחד מהאתגרים הוא שאם על פי חוק יאלצו עסקים קטנים ובינוניים יסרבו לתשלום כופר חברות עלולות לקרוס כלכלית.
פתרונות אפשרות להקמת קרן לאומית לביטוח מנזקי סייבר שתפצה כל מי שיעמוד בדרישות חוק ונמנע לשלם כופר. קרן כזו יכולה לקום בשיתוף חברות ביטוח. תנאי להכלת הביטוח עמידה בסטנדרטים הקבועים על ידי גורם סייבר ממלכתי על חוק להגנה ממתקפות סייבר לעסקים קטנים ובינוניים (אפשר תוכנה תומכת המגדירה לעסק הקטן כיצד להגן על עצמו). כך באמצעות חוק זה יעדדו עסקים קטנים ובינוניים להגן על עצמם בצורה שיטטית יותר. למשל – הכנת גיבוים בצורה המבטיחה חסינות לגיבוי, עדכוני תוכנה בזמן, הדרכת עובדים נגד פישינג, הכנת ההנהלה לטיפול במשברי סייבר, מבחניPENTESTING
רק מי שיבדק וימצא כעומד בסטנדרטים שנקבעו על ידי רשות הסייבר הלאומית (מערך הסייבר) יהיה זכאי לאותו ביטוח מידי הקרן המיוחדת להגנה מכופרה.
כך רבים מהעסקים בישראל יהיו מוגנים הרבה יותר מאשר כיום ממתקפת סייבר. במידה והתפיסה תמומש הדבר ימנע במקרים רבים התקפות של עובדים לסחיטה על בסיס גניבת מידע (insider threat) בכדי – מכיוון שהם ידעו שהעסקים בדרך כלל לא ישלמו. במידה והפרוייקט יצליח יתכן וחלק מהתוקפים ימנעו לתקוף את כתובות ה- IP של ישראל.
החוק המוצע והקרן לתמיכה באלו שעומדים בחוק וסטנדרטים - לא ימנע התקפות כלליות בריסוס עולמי שלא מכוונות לישראל.
כיום מרבית התקפות הסייבר אינן ממוקדות – העובדה שעסקים בישראל לא ישלמו כופר לא תמנע במקרים רבים התקפה עליהן. לכן חשוב בהמשך לצור אמנה בינלאומית שתהפוך התייחסות זו להתייחסות בינלאומית. במידה ותתקיים אמנה כזו יתכן וכמות התקפות הכופרה בעולם המערבי לפחות תפחתנה.
***
שבתאי שובל – מומחה לניהול משברי סייבר וחוקר עמית במכון למדיניות נגד הטרור של המרכז הבין תחומי
