N12 - מתקפת סייבר: מה גודל הסיכון ואיך מתמודדים איתו נכון?

שורת מתקפות הסייבר האחרונות הכוללת התקפות נגד חברת הביטוח שירביט, בית החולים הלל יפה, והאתרים המקבלים שירות משרתי חברת "סייברסרב", העלו לכותרות את מה שרבים מאנשי הטכנולוגיה אומרים כבר שנים: מי שלא יגן על הנכסים הדיגיטליים שלו, לפחות כמו שהוא מגן על הנכסים הפיזיים שלו, עלול לספוג נזק רב. אחד המאפיינים של אירוע התקפת סייבר הוא המהירות שבה חברה שהותקפה הופכת מקורבן שאומד נזקים, לאחראי לנזק שנגרם לאחרים כתוצאה מההתקפה. למעשה, בזמן שהחברה נמצאת תחת התקפה ולמעשה משותקת, ובעוד בעלי החברה מתמודדים עם ההשלכות הקשות שהתקפת הסייבר גורמת לעסק באופן מיידי, הרי שבמקביל לקוחות החברה הופכים בבת אחת לאנשים שאיבדו את הפרטיות שלהם כאשר מידע רב עליהם, לעיתים המידע האינטימי והפרטי ביותר, לדוגמה בעקבות דליפת המידע מהאתר אטרף, הופך נגיש לכל מי שחפץ בכך.

מרגע שהמידע שאוחסן בשרתי החברה העסקית או הרשות הציבורית נמצא בידיים זדוניות, כאלה שלעיתים בוחרות להוציא את המידע כדי לגרום נזק, מדובר במשחק עם חוקים שונים לגמרי, משחק קשוח למדי, "אני רואה את הדברים דרך שתי פריזמות: הראשונה, כעו"ד העוסק בתחום ונקרא על ידי חברה שנמצאת בעיצומו של אירוע. פעמים רבות מדובר על אירוע טראומתי הגורם לנזקים כבדים ולעיתים משך הזמן עד לחזרה לשגרה עשוי לקחת מספר שבועות ארוכים. החברה לא יכולה לעבוד ונגרם נזק כספי, יש כמובן נזק מול הלקוחות, יש תביעות ואיומים בתביעות, ובמקביל נדרשת התדיינות מול הרשות להגנת הפרטיות ורגולטורים נוספים, וצריך לדעת לנהל את האירוע בצורה רגועה, שקולה ולא היסטרית", מסביר עו"ד דן אור-חוף, מייסד ובעלים של פירמת עו"ד 'אור-חוף' העוסקת בטכנולוגיה, סייבר והגנת מידע. אור-חוף גם ייסד עם שותפים מאירופה וארה"ב חברת ייעוץ בינלאומית בתחום הגנת מידע וסייבר שנקראת Strand Advisory, ופורום שנקרא IDPF למומחי הגנת מידע בישראל, "הפריזמה השנייה היא מתוך זווית הראיה של היותי חבר במועצה הציבורית להגנת הפרטיות, גוף סטטוטורי המייעץ למשרד המשפטים, גופי הממשלה וועדות הכנסת בנושאי חקיקה בתחום הגנת הפרטיות. דרך העבודה במועצה אנחנו רואים ונוגעים בתהליכי חקיקה ומבינים כיצד המדינה רוצה, או נמנעת מלקדם מדיניות בנושא הגנת הפרטיות במגוון היבטים. דרך הפריזמה הזאת, ניתן לראות שבשנים האחרונות המדינה מקדמת הקמה של מאגרי-על לשימוש המדינה, אולם אין לה אסטרטגיה סדורה בנושא, היא איננה מקיימת סקרי סיכוני הגנת פרטיות מלאים לפני שהיא מניעה פרויקטים מהסוג הזה, ואין במשרדי הממשלה ממוני הגנת פרטיות שכל עניינם הוא לייעץ ולהנחות את פעילות הממשלה בהקשר לניהול מידע אישי. מאגרי-על יוצרים, לכאורה, תועלות למדינה הנובעות מאיסוף וריכוז מידע רב והיכולת לעבד ולנתח אותו, אולם אין מספיק תכנון לפרטיות לפני מעשה והתוצאה היא סיכון גבוה ולא מנוהל לשימוש בלתי מורשה במידע ולדליפה שלו".

מה היא בעצם ההגדרה להתקפת סייבר?

"בעיקרו של דבר התקפת סייבר היא פעולה שעל פי רוב מגיעה עם כוונת זדון ומטרתה לחדור ללא רשות למערכות מידע, כאשר הפעולה לא משרתת את האינטרס של המותקף. זה יכול להיות לצרכי שיבוש פעילות – לדוגמה, התקפות השחתה של דפי אינטרנט שנעשות לעתים ממניעים לאומניים, ולעתים התוקפים עושים זאת כדי להתרברב ולהתאמן. יש כמובן הרבה התקפות על רקע כלכלי שמטרתן גניבה או סחיטת כסף מהחברה המותקפת. היריעה רחבה למדי אבל כולה מתנקזת לכך שנעשית פעולה של חדירה ללא רשות או הרשאה למערכות מידע והיא יוצרת נזק ופוגעת באינטרסים של בעלי מערכות המידע. יוצא מן הכלל היא פעילות של האקרים לבנים אשר חודרים למערכות בכדי להתריע על בעיות אבטחה, וזאת בכדי לאפשר לבעלי החברות לסגור את הפרצה שהתגלתה אצלם לפני שהאקרים זדוניים ישתמשו בפרצה כדי לתקוף".

מהם סוגי התקפות הסייבר הנפוצות?

"התקפות כופר הפכו לנפוצות ביותר. מדובר בהתקפות שבהן התוקפים חודרים למערכות המידע של הארגון המותקף, מצפינים את המידע שנמצא על מערכות המידע הללו, ודורשים מהחברה המותקפת כופר כספי על מנת לשחרר את המידע מההצפנה. אם החברה המותקפת לא יכולה או מסוגלת לשחזר את המידע המוצפן מהגיבויים שלה, היא יכולה להגיע למצב בו היא מושבתת מפעילות באופן מוחלט. אלה התקפות נפוצות ורואים אותן קורות בתדירות גבוהה, שאף הולכת וגדלה. יש גם התקפות שנועדו לסחוט את החברות המותקפות לא באמצעות הצפנת המידע של החברה המותקפת, אלא בצורה אחרת. התוקפים מייצרים העתקים למידע שבידי החברה המותקפת והם מאיימים לפרסם את המידע דרך אתרים מסוימים ברשת, ובאופן הזה מנסים לסחוט חברות לשלם להם כדי שהם לא יפיצו את המידע.

יש גם התקפות כלכליות המתבצעות פעמים רבות באמצעות 'פישינג'. בדרך כלל מטרגטים או מכוונים את ההתקפה לאנשי כספים בחברה, ולקשר שיש בין חברה לספק או לקוח. התקפות מסוג זה נבנות בהדרגה ובאמצעותן התוקפים מצליחים לפרוץ לדוא"ל של אנשי מפתח ומשתמשים בתיבת הדואר כדי להונות אנשי קשר עסקיים של המותקף. לדוגמה, התוקפים מחקים הודעה של איש הכספים ושולחים מייל דרך תיבת המייל של המותקף עם בקשה ללקוח להעביר תשלום קונקרטי לחשבון בנק אחר מהרגיל. הלקוח מקבל את המייל ומעדכן את פרטי התשלום ומעביר סכום כספי לחשבון המבוקש וכמובן שפרטי החשבון החדשים הם של התוקפים, ובדרך זו התשלום של הלקוח עובר לידי התוקפים ולא לידי החברה עצמה.

סוג נוסף של התקפות נפוצות הוא זה של עובדים העובדים בארגון ופוגעים בו במכוון. המניע יכול להגיע מתוך יצר נקמנות, כדי להשיג מאווים ורצונות אישיים, ולפעמים רק בשביל לייצר רווח כלכלי, תוך שאותם עובדים מנצלים את נקודות התורפה של החברה בגלל הידע הפנים ארגוני שבידם. תקיפה שכזו יכולה להתפתח למגוון מעשי הונאה, מעילות, גניבת כספים וגניבות קניין רוחני של חברה. לניהול של אירועים כאלה יש רגישות גבוהה כי פעמים רבות לוקח זמן להבין מי ביצע את ההתקפה, מה המניעים של אותו עובד, מה הנזק שהוא יצר, לרבות נזק לא רק לחברה, אלא גם ללקוחותיה".

אלו נזקים אפשריים יכולים להיווצר לחברה עסקית כתוצאה מהתקפת סייבר מוצלחת?

"נזקים כספיים, השבתת הפעילות העסקית של החברה, תובענות ייצוגיות נגד החברה שמגיעות מצד אנשים שנפגעו, פגיעה במוניטין, קנסות המוטלים על ידי רגולטורים ירידה בערך המניה ועוד".

כיצד אדם פרטי או עסק/חברה יכולים להימנע מהתקפת סייבר?

"אי אפשר להימנע. כן אפשר להקטין סיכונים ולהקטין את הנזקים כשההתקפה מתרחשת. אבטחת מידע טובה תקטין את הסיכונים, תאפשר לבלום חלק מהמתקפות. הכנה טובה ומינוי נושאי תפקיד יאפשרו לחברה לנהל את האירוע ולהתמודד איתו טוב יותר.

כאדם פרטי, בהיבט האישי, אני יכול לבצע פעולות לא מסובכות במכשיר הסלולר שלי כדי לצמצם סיכונים, אולם אני ממשיך לקבל שירותים מחברות ומוסדות ואין לי יכולת לאבטח את המידע בעצמי. אני ממליץ להיות צרכן נבון ומודע גם בהקשר הזה ולבדוק מה החברות מצהירות לגבי מה שהם עושים עם המידע שאני נותן להם וכיצד הן מאבטחות אותו, ולא להשתמש בשירותים מפוקפקים. באופן כללי, לחברות ופלטפורמות גדולות ומוכרות יש בדרך כלל יתרון והן נוהגות להגן על עצמן טוב יותר".

אם גורם עוין מצליח להשתלט על מידע פרטי שנשמר בידי חברה, מה האחריות של החברה?

"כל חברה שמחזיקה מידע אישי ומזהה על בני אדם פרטיים מחויבת באבטחת המידע מתוקף חוק הגנת הפרטיות וחובה עליה לעמוד בדרישות ולפעול לפי התקנות הנגזרות מהחוק. אם התקפת הסייבר הצליחה בגלל שהחברה לא עמדה בדרישות ובתקנות האמורות, הרי שהחברה הפרה את החוק. במידה ונגרם נזק ישנה עילה לתביעה מצד בני האדם שהמידע הפרטי עליהם נחשף, ובמידה רבה זו המציאות כיום כאשר ישנן יותר ויותר תביעות ייצוגיות נגד חברות שמידע מהמערכות שלהן דלף החוצה וחשף פרטים על אנשים פרטיים. אם לאדם יש בסיס לטעון כנגד החברה שהם לא עשו את הנדרש ולא השקיעו מאמץ סביר ובהתאם לנדרש בחוק להגן על הפרטים שלו ולאבטח את המידע, שמסתובב עכשיו ברחבי הרשת והרשת האפילה (ה'דארקנט'), אזי יש לו עילה לתביעה. זו לא רק תביעה של הפרת חוק, אלא גם תביעה נזיקית על מעשה רשלני שגרם לנזק. כמובן שכל מקרה הוא לגופו, יש מקרים שבהם הרשלנות היא מובהקת וברור שהחברות לא פעלו באופן רציני בהקשר של אבטחת מידע, ואף אחד לא מופתע שבנסיבות הללו התקיפה הצליחה. במקביל, יש מקרים בהם יש תקיפות מתוחכמות שהצליחו על אף שיש מערכות הגנה מתוחכמות. הצלחת התקפה לא תעיד בהכרח על רשלנות, ופעמים רבות נבדקת פעילות החברה כדי להבין האם היא פעלה באחריות ועשתה מאמץ סביר למנוע את הצלחת תקיפת הסייבר ובהתאם אם היא נושאת באחריות לדליפת המידע".

מה אתה ממליץ לחברה שביצעו נגדה התקפת סייבר מוצלחת?

"הדבר הראשון שהחברה צריכה לעשות הוא לוודא שמנהל אבטחת המידע שלה מודע לאירוע. תפקידו של מנהל אבטחת המידע הוא להניע ניהול אירוע מתודולוגי בהתאם למדיניות סדורה ופרוטוקולים קיימים. לאנשי המקצוע ולחברות הטובות יש ספר הפעלה מעודכן ומוכן מראש לאירוע כזה והמצטיינות שבהן אף ערכו תרגולים כדי להכין את עצמן לזמן אמת. כל חברה שאוגרת כמות גדולה של מידע או מידע רגיש באופי שלו חייבת מנהל אבטחת מידע שידע להיות מוכן לניהול ראשוני של האירוע. מנהל אבטחת מידע בחברות קטנות הוא בדרך כלל נותן שירות חיצוני. ואכן, מרגע גילוי הפריצה מתחיל גיוס חירום של אנשי מקצוע שמתמחים בניהול אירוע שכזה. מגייסים חוקרי מחשבים ואנשי מערכות מידע שידעו לבצע פעולות ראשוניות בכדי להקטין נזקים. במקרים רבים מנתקים מחשבים מהרשת ומשביתים חלק או את כל המערכות כדי להקטין נזק שנגרם או בשביל להפסיק את גרימת הנזק שהמתקפה גורמת. אנשי התגובות לאירועים הם האנשים הנדרשים לפעול במהירות יחד עם אנשי מערכות המידע של החברה.

לתוך הקלחת מצטרפים אוסף של אנשי מקצוע נוספים שתפקידם לסייע בניהול האירוע המורכב. המנכ"ל והיועץ המשפטי חייבים לקבל דיווח ולהיות מעורים בפרטי האירוע. יש לגייס גם יועצים משפטיים ורגולטורים כמונו שיש להם מומחיות ספציפית בתחום הזה ומכירים את התרחישים של התפתחות אירוע מסוג זה, מאחר ומרגע שמגלים את התקיפה נוצר אוסף של דינמיקות ואינטראקציות עם לקוחות, הרשות להגנת הפרטיות, עורכי דין המייצגים את הנפגעים בהתקפה, רגולטורים ספציפיים כדוגמת הפיקוח על הבנקים, הרשות לניירות ערך או המפקח על הביטוח, המבטחים של החברה המותקפת, עיתונאים ואנשי תקשורת ועוד גורמים נוספים. במצב שנוצר צריך לתת מענה במגוון תחומים והיבטים, באופן מסונכרן ובמקביל. אם מדובר במתקפת כופר, יש לגייס מומחה לניהול משא ומתן עם התוקפים – יש אנשי מקצוע מצוינים מסוג זה המתמחים במו"מ עם התוקפים ושתפקידם למצות את האפשרויות הקיימות מבחינת משא ומתן. אירוע שכזה יכול לקחת ימים ושבועות, משרדנו היה מעורב כמה וכמה פעמים באירועים שלקח לחברה למעלה מחודש להתאושש מהם. צריך לאמוד נזקים, להקים מחדש מערכות מידע, להטמיע מערכות הגנה, לשקם את מאגרי המידע, ועוד פעולות נוספות רבות. מדובר בתהליך שיכול לקחת זמן ויוצר לחברה שהותקפה חוויה טראומטית. זהו אירוע מורכב והוא דורש אנשי מקצוע בעלי יכולת, ידע וניסיון כדי להתמודד איתו כראוי".

אנחנו יודעים שיש חברות שמשלמות כופר עבור גישה למידע, או עבור אי פרסום המידע שנגנב מהן, האם ניתן לדעת בוודאות שהמידע לא יפורסם?

"יש לא מעט חברות שמשיקולים תועלתניים בוחרות לשלם כופר מתוך ראיה שזו טובת הארגון. החברה לא יכולה להיות בטוחה שהמידע לא יודלף, אבל יש בכל זאת מידה מסוימת של בטחון כי יש הרבה קבוצות תוקפים שהם שחקנים חוזרים. רבות מהתקיפות אינן ספורדיות המבוצעות על ידי גוף אחד ומספיק שקבוצת תקיפה כלשהיא קיבלה תשלום ובכל זאת לא עמדה בסיכום, ופעם הבאה היא לא תקבל את מבוקשה, כך שאם האינטרס של התקיפה הוא קבלת כסף, הרי שישנה רמת סבירות גבוהה שאם משלמים לתוקפים, המידע לא ידלוף ויפורסם לעיני כל, וגם לא בדארקנט, אם כי כאמור, אין בטחון לכך".

עו"ד דן אור-חוף, עוסק בתחום הטכנולוגיה, סייבר והגנת מידע, מייסד ובעלים אור חוף משרד עורכי דין

האם יש מדיניות כללית באשר לתשלומים לתוקפים? הרי ניתן להגיד שככל שימשיכו לשלם, כך האינטרס של התוקפים יגבר.

"אני מניח שמערך הסייבר בישראל ואולי גם גורמים נוספים במדינה שהיו רוצים שיהיה חוק מדינה שאוסר לשלם כופר כדי להסיר את המניע הכלכלי מהשולחן. מנקודת המבט של המדינה אפשר להצדיק זאת, הן במובן של הפחתת התמריץ להתקפות כלכליות והן במניעת תשלום לגורמים המקושרים למדינות אויב. אני מניח שיש גם חברות שהיו שמחות לכזה חוק שהיה מסיר מהן את ההתלבטות אם לשלם את הכופר, או לא. צריך להבין, יש כאן מלחמה המתקיימת ממש ברגעים כאלה והעורף שלנו מותקף ונלחם ועולות לא מעט שאלות במלחמה הזאת, כמו למשל, האם חברה צריכה לקחת אחריות אם היא מותקפת כחלק ממלחמה בין מדינות? חברה שמותקפת נמצאת במצב בעייתי מאוד שקשה להבין אותו אם לא חווית אותו בעצמך. מי שלא חווה כזה אירוע לא מבין את רמת הטראומה שעוברת חברה שחוותה כזה אירוע. הדבר עוד לא חלחל מספיק לחברות ועדיין יש חברות ישראליות שלא מוכנות לאירועים שכאלה. אמנם זה נשמע קלישאתי אבל התובנה הזאת חייבת לחלחל לחברות: השאלה היא לא אם תותקפו, אלא מתי תותקפו, והחברות צריכות להיות מוכנות ולהשקיע משאבים בעניין. במקביל, אני מאוד מקווה שתהיה מדיניות מוסדרת של המדינה הכוללת סיוע ממשי לחברות ולאזרחי ישראל להתמודד עם התופעה, בהדרכה, בסיוע בזמן אמת, ובמקרים הנכונים – להתייחס להתקפות הללו כפיגוע טרור לכל דבר ועניין".

ראיון עם עו"ד דן אור-חוף, העוסק בתחום הטכנולוגיה, סייבר, והגנת מידע, מייסד ובעלים אור חוף משרד עורכי דין

תביעות בגין נזקי התקפת סייבר

מצאתם טעות לשון?