Blog & Updates
״2020 היתה השנה עם הכי הרבה מתקפות כופרה״
(עו"ד סיגל שלימוף, נציגת לוידס בישראל, שותפה מייסדת, גרוס, אורעד, שלימוף ושות׳)
18.8.2020
ביום ד׳ ה-5.8.2020, קיימנו Webinar בשיתוף עם ISACA, בנושא מתקפות כופרה. ה-Webinar כלל הרצאה ופאנל מומחים בהנחיית רם לוי, מייסד ומנכ״ל Konfidas. משתתפי הפאנל: רפ"ק אלעד (בילי) בליבאום, מפקד מרכז הסייבר הארצי, סייבר להב 433, משטרת ישראל; רפ"ק גלעד בנט, ראש מדור אסטרטגיה ומדיניות, חטיבת הסייבר סיגנט, משטרת ישראל; רננה פרידליך, דירקטורית וראשת תחום הגנת סייבר גלובלי, PayPal; מוטי קריסטל - מומחה למשא ומתן במצבי משבר, Nest Consulting; עו״ד סיגל שלימוף, נציגת לוידס בישראל, שותפה מייסדת, גרוס, אורעד, שלימוף ושות׳; ברק ג׳אן, ראש תחום ביקורת סייבר, אגף הביקורת הפנימית, בנק דיסקונט; יובל שגב, ראש מרכז מתודולוגיה ובדיקות חוסן, מערך הסייבר הלאומי; אלי זילברמן - כספי, מייסד שותף וראש תחום Konfidas, IR
לנוחיותכם, ריכזנו את עיקרי הדברים שעלו ב-Webinar:
מגמות בעולם הכופרה
״המגמה לא ייחודית לישראל... זה עסק כלכלי שפוגע בכולם וזה מתרחב...״ (יובל שגב, ראש מרכז מתודולוגיה ובדיקות חוסן, מערך הסייבר הלאומי)
-
ישנה מגמה גלובלית ומתרחבת של נזקי סייבר ההולכים וגדלים. כמו כן, כמות סוגי מתקפות הכופרה (וריאנטים) מתרחבת.
-
למרות שאנו רואים עלייה ברורה במספר תקיפות הכופרה בעולם, ומעריכים שזה המצב גם בישראל, מספר הפניות שמגיעות למערך הסייבר הלאומי לא גדל בצורה משמעותית. מדובר במאות פניות במהלך השנה האחרונה, בעיקר מעסקים קטנים. ניתן לייחס את מיעוט הפניות לחוסר מודעות של הציבור לאופציה של קבלת סיוע.
-
הבדל חשוב בין ממוצע לתוחלת בגובה דרישת התשלום במתקפות כופרה - הדרישה לתשלום הממוצעת היא כ-300,000 דולר אבל התוחלת היא כ-10,000 דולר. התקיפות המוכרות לציבור מהתקשורת הן תקיפות ענק, בהן סכומי תשלום הכופר משמעותיים. בפועל, רוב תקיפות הכופרה פוגעות בעסקים קטנים ודרישות התשלום בהתאם - התוקפים מתאימים את סכום דמי הכופר לרמת הפעילות של העסק.
-
מבחינת סיוע שמערך הסייבר הלאומי מספק במקרים של תקיפות כופרה - ארגונים במגזר הציבורי (כמו עיריות, בתי חולים ועוד) פונים ומקבלים סיוע. לעומת זאת, לגופים גדולים במגזר הפרטי יש בד״כ אפשרויות תגובה אוטונומיות והם לרוב לא פונים לקבלת סיוע.
-
מערך הסייבר הלאומי פועל להעלאת המודעות לכך שיש למי לפנות לקבלת סיוע במקרה של מתקפת סייבר.
-
מבחינת היערכות ארגונית להתמודדות עם אירוע סייבר, מומלץ להיערך בצורה פרואקטיבית - להיערך למניעת תקיפה באמצעות כלי הגנה ולתרגל את המעבר לגיבוי.
-
בהתייחס לתפקיד המדינה במלחמה בפשיעת סייבר - מערך הסייבר מזמין את הצופים לשלוח הצעות בהקשרי מודעות, רגולציה, תמריצים וטכנולוגיה, המערך ייבחן את ההצעות ואת אפשרויות היישום שלהן (119 או contact@konfidas.com).
פניה לרשויות החוק והאכיפה
״עם כל ההגנות הטכניות השרשרת החלשה היא המרכיב האנושי״ (רפ"ק אלעד (בילי) בליבאום, מפקד מרכז הסייבר הארצי, סייבר להב 433, משטרת ישראל)
״כחלק מתהליך ההכנה לקראת משבר, חברה צריכה לשאול את עצמה באיזה שלב היא מוכנה להכניס את המשטרה לתוך העניין הזה...״ (רפ"ק גלעד בנט, ראש מדור אסטרטגיה ומדיניות, חטיבת הסייבר סיגנט, משטרת ישראל)
-
על פי נתוני משטרת ישראל, אין שינוי בכמות תקיפות הכופרה ב-2020. עם זאת, סביר כי הנתונים לוקים בחסר שכן מדווחים רק כמה עשרות מקרים בשנה.
-
תשלום כופר אינו עבירה פלילית. בחלק מהמקרים, כאשר הרגולטור מחייב דיווח על תשלום כזה, גופי האכיפה יהיו מודעים לכך.
-
רוב קבוצות הכופרה המוכרות לגופי החוק פועלות מחוץ לישראל, לכן המשטרה פועלת כדי להחשף לתקיפות בארץ ככל הניתן, על מנת לסייע בחקירות בינלאומיות בנושא. לעומת זאת, בתחומי פשיעת סייבר אחרים כמו פישינג למשל ישנה יותר מעורבות של קבוצות תקיפה ישראליות.
-
ככל שנוצרת הזדמנות לתשלום, קונסיסטנטי נוצר קשר בין סוחטים - תשלום כופר מעודד תשלום נוסף. אנשים וחברות נתפסים כ״סחיטים״ כשהםלאחר שמסכימים לשלם, כך שפעמים רבות גורם שנסחט יסחט גם בשנית ויותר. לכן מומלץ לא לשלם דמי כופר אלא להשקיע את אותו הכסף בחזרה לכשירות בעזרת מומחים, ובכך אולי למנוע נסיון סחיטה נוסף.
-
קיים מנגנון פעולה אופרטיבי בין המשטרה ומערך הסייבר הלאומי בכל הקשור לפשיעות סייבר. תפקיד המשטרה בא לידי ביטוי בעיקר בחקירות בינלאומיות, במישור האכיפתי וההגנתי. המשטרה לא מעורבת בסיוע לארגונים בחזרה לשגרה לאחר תקיפה.
-
המרכיב החלש ביותר מבחינת אבטחת מידע הוא המרכיב האנושי - מומלץ לתרגל, בדגש על תרגילי מנהלים, כדי שבזמן אמת יקבלו את ההחלטות הנכונות. תרגילים לכל העובדים חשובים גם הם על מנת לייצר הסברה שוטפת וקבועה במטרה להימנע מנפילה מהנדסה חברתית.
-
כחלק מתהליך המוכנות להתמודדות עם אירוע כופרה, חשוב להחליט מראש באיזה שלב מערבים את המשטרה - יש למשטרה אפשרויות לחיבור בזמן אמת למו״מ מול התוקף ולשימוש בצירים מודיעיניים כדי לסייע להגיע לפתרון האירוע.
-
נקודה חשובה נוספת בתהליך המוכנות להתמודדות עם אירוע כופרה היא הגדרה מראש של מספר הימים בהם ארגון יכול להרשות לעצמו להיות מושבת (לארגון ענק יהיה קשה יותר להיות מושבת מספר ימים, מה שעשוי להשפיע על ההחלטה בדבר תשלום של דמי הכופר).
-
איך מגישים תלונה? יש אפשרות מקוונת נגישה ביותר, כך שהתלונה מטופלת ע״י גורם מקצועי ובהקדם - מומלץ להשתמש בערוץ הזה.
פרקטיקה ב-Fortune 500
״בשנה/שנתיים האחרונות נתקלתי בתופעה מעניינת – התוקפים משיגים גישה לארגון, לוקחים את המידע הרלוונטי, ואז מתקינים ransomware שכמובן מקשה על החקירה.״ (רננה פרידליך, דירקטורית וראשת תחום הגנת סייבר גלובלי, PayPal)
-
תופעה שנהפכה נפוצה יותר ויותר בתקיפות כופרה בשנים האחרונות - התוקפים גונבים מידע ורק אז מטילים את הכופרה - מה שמקשה על הארגון לזהות את דלף המידע. הרבה פעמים כחלק מתהליך החקירה וההתמודדות של הארגון עם אירוע הכופרה מוחקים את העדויות לדלף מידע, כך שלוקח זמן לגלות שלמעשה מדובר באירוע כופרה כפול.
-
מגמה נוספת שהופכת פופולריות יותר בשנים האחרונות היא תקיפות כופרה דרך שרשרת האספקה, בה התוקפים משתמשים בגישה לרשת של הקורבן. טיפול באירוע מסוג זה הוא לרוב יותר מורכב מבחינת האחריות המשפטית.
-
גם בחברות גדולות עם תוכנית כתובה וסדורה, לא תמיד הדברים עובדים לפי הספר במקרה של תקיפה.
-
גם אם ארגון עומד בכל הדרישות הרגולטוריות (complaint), זה לא מבטיח שהוא מאובטח (Secured).
-
מבחינת הכדאיות של תשלום כופר, ההערכה תלויה בסיכון ואין תשובה אחת נכונה. לדוגמא ארגונים העוסקים בחיי אדם כמו בתי חולים ותשתיות קריטיות עלולים לבחור לשלם את דמי הכופר.
-
ישנם ארגונים בארצות הברית שבוחרים לנהל את התגובה לאירועים דרך outside counsel כדי לאפשר חיסיון עורך דין-לקוח. לעיתים גם תשלום הכופר לתוקפים מתבצע דרך עורכי הדין החיצוניים לחברה.
-
במקרה שארגון בוחר לשלם את הכופר, קיים סיכון שהתשלום לא יוביל לשחזור של המידע. כמו כן, קיים סיכון לתקיפות חוזרות.
-
ארגונים בעלי maturity גבוה יותר נוהגים לתרגל סימולציות של כופרה, ולא רק על יבש (tabletop) אלא גם על רטוב (live hack). התרגול מאפשר חוויה של אירוע ובחינה אמיתית של רמת המוכנות הארגונית בנושא.
ניהול אירוע סייבר כצוות תגובה ראשונית
״כשההנהלה מעורבת היא מבינה שזה לא נגמר בזה שרכשו מערכת עם שם יפה, צריך להשקיע בתהליכים״ (אלי זילברמן - כספי, מייסד שותף וראש תחום Konfidas, IR)
-
אנחנו ממליצים על 8 שלבים פרקטיים לטיפול באירוע סייבר:
-
מעבר לשגרת חירום וכינוס צוות ניהול משבר - אירוע שמשפיע על כל המחלקות בחברה.
-
גיבוש צוותי העבודה: פורנזיקה, הכלה, פרטיות, רגולציה ועוד - בכל צוות יש מי שמוביל ומנחה (שילוב של עובדי הארגון ויועצים חיצוניים).
-
ביצוע פעולות הכלה - הורדת שרתים, החלפת סיסמאות, החלת 2FA - כל מה שצריך וניתן לבצע כדי לעצור את התפשטות האירוע מהתפשטות.
-
סגירת הפרצה (לאחר שצוות פורנזיקה איתר את Patient 0).
-
וידוא כי כל המכונות נקיות מהכופרה - כדי למנוע מצב בו מחשב לא נקי מחובר לרשת - מה שעשוי להדביק את הרשת (במיוחד במקרים בהם ההתפשטות אוטומטית).
-
ניטור - חשוב שיהיו ״עיניים״ 24/7 על נכסי החברה המוגדרים כחשובים.
-
חזרה מגיבוי - חשוב לדאוג לגיבוי לגיבוי שכן שחזור הגיבוי עלול להדביק אותו.
-
פתיחת ערוץ תקשורת מול התוקפים לניהול מו״מ.
-
-
הציפיות מגופי החוק הן ברמת המודיעין וברמת ההיערכות - כאשר הרגולטור מנחה את הארגונים ומציב רף שמוביל לכך שההנהלה מעורבת - זה מקפיץ את רמת המוכנות. ראינו בשטח את התוצאות של נב״ת 361 שהוביל לעליית רמת המוכנות של הבנקים בנושא.
-
דגשים מבחינת מוכנות ארגונית להתמודדות עם אירוע סייבר:
-
מינוי צוות מראש
-
ביצוע תרגילי סימולציה לפי תרחישים רלוונטיים.
-
במידה ויש אירוע - מומלץ מאד לא לנסות לטפל בו לבד אלא לערב צוות מומחה, במקרים רבים טיפול ראשוני לא מקצועי עלול לגרום נזק.
-
ניהול מו״מ עם תוקפים
״בחצי שנה האחרונה, Ransomware as a Service מתחיל להיות כלי בידי מתחרים עסקיים״ (מוטי קריסטל - מומחה למשא ומתן במצבי משבר, Nest Consulting)
-
אחת השאלות הראשונות והחשובות שצריך לשאול במקרה של תקיפה היא: האם האירוע מטורגט? ישנה אבחנה ברורה בין שני סוגים של תקיפות כופרה:
-
לא מטורגט/Carpet Bombing - מתקפה רחבה שאינה מכוונת לארגון ספציפי, בד״כ מכוונות לעסקים קטנים ובינוניים, לרוב מאופיינת ע״י דרישת כופר נמוכה (החל מ-150-1,000 דולר כעמדת פתיחה), רמת תחכום לרוב לא גבוהה, וכלי הצפנה לא מפותחים (צוותי IR טובים בד״כ ידעו להגיע לגיבוי או לפצח את ההצפנה).
-
מטורגט: מספר מצומצם של ארגוני תקיפה גדולים שמבצעים Strategic Ransom - התוקפים נכנסים למערכת, שוהים בה 6-8 שבועות, לומדים אותה. דרישות הכופר מתחילות מ-10-12 מיליון דולר (ארגונים שמשלמים לרוב ישלמו סכומים שמתחילים מ-5 מיליון דולר).
-
-
ניהול מו״מ עם תוקפים מאפשר למנהל המו״מ לדלות לידים חקירתיים משמעותיים - כאן שיתוף פעולה בין הסקטור הפרטי לגופי האכיפה הוא בעל פוטנציאל רב.
-
מנהל מו״מ בעקרון נמנע מלהמליץ ללקוח לשלם או לא, אלא מציג את העסקה הטובה ביותר שניתן להשיג.
-
חשוב מאוד להגדיר מראש את בעלי התפקידים בצוות ניהול אירוע סייבר בארגון בצורה ברורה וחד משמעית.
ביטוח סייבר
״אם ב2018 היה פיק, ב-2019 היתה ירידה, 2020 חוזרת ובגדול - אנחנו עדים למתקפות Ransomware משמעותיות, הן בתכיפות והן בסכומים״ (עו״ד סיגל שלימוף, נציגת לוידס בישראל, שותפה מייסדת, גרוס, אורעד, שלימוף ושות׳)
-
על פי נתונים שאוספות חברות הביטוח, כ-30% מתיקפות הסייבר בישראל הן תקיפות כופרה. בשנת 2020 חלה עלייה משמעותית הן בתכיפות והן בסכומים של תקיפות אלה, ואנחנו רואים בין עשרות למאות תקיפות בשנה בישראל.
-
אין דרישה לדיווח למשטרה כתנאי להפעלת הביטוח.
-
אם הותקפתם, הפעולה הראשונה שמומלץ לעשות היא להודיע לביטוח. מעבר לכך שחברת הביטוח תכניס לתמונה את המומחים המתאימים לניהול נכון של האירוע, אי דיווח מיידי עשוי לגרום למבוטח להפסיד את זכותו לכיסוי הביטוחי.
-
רוב התקיפות מסתיימות ללא תשלום הכופר. ההעדפה היא תמיד לא לשלם - בראש ובראשונה מטעמי מוסר ואתיקה, על מנת לא לעודד את המשך פועלה של תעשייה משומנת.
-
בנוגע לשאלת קיומו של ניגוד עניינים בין המבוטח לביטוח מבחינת תשלום הכופר - האינטרס של הצדדים משותף כמעט תמיד. בפוליסת ביטוח יש בד״כ מרכיב של Business Interruption - לפיו חברת הביטוח משלמת על התקופה בה העסק מושבת. לכן שני הצדדים חותרים לחזור לפעילות בהקדם האפשרי.
-
חברות הביטוח משמשות בעצם כרגולטור אזרחי - הן למעשה מרימות את רמת אבטחת המידע בשוק בכך שהן דורשות רמת מוכנות גבוהה מארגונים.
-
מעבר לחשיבות העליונה שברכישת ביטוח סייבר לארגון, חשוב לוודא כי גם לספקים איתם עובד הארגון יש ביטוח סייבר:
-
במידה וספק מותקף יש לו גב כלכלי וסביר יותר שיוכל לעמוד בהתחייבויות שלו.
-
אנו רואים כי פריצות רבות מתרחשות דרך שרשרת האספקה של ארגונים, לכן יש חשיבות עליונה בהבטחת רמת ההגנה של הספקים איתם הארגון עובד.
-
ביקורת פנים בזמן משבר סייבר
״הקשר עם המל״פ מאד הדוק, הם בעצם משמשים כ-4 tier לטובת האירוע״ (ברק ג׳אן, ראש תחום ביקורת סייבר, אגף הביקורת הפנימית, בנק דיסקונט)
-
תפקיד ביקורת הפנים הוא לספק הסתכלות על ניהול והשלכות אירוע סייבר מקצה לקצה, בצורה רוחבית, כגוף שלא לוקח צד בטיפול האקטיבי. נקודת מבט ייחודית זו, מאפשרת לביקורת להציף בתוך הארגון נקודות חשובות שהמערך האקטיבי עשוי לפספס.
-
לאחר הטיפול במשבר, תפקיד הביקורת יהיה בהמלצות - איך אפשר לשפר את מערך ההגנה, איזה ממשקים צריך לייצר מול גורמי האכיפה, וכו׳.
-
ה-מל״פ (מרכז לאומי פיננסי) משמש כ-4 tier ומאפשר לשפר את מערך ההגנה - מספק מודיעין רלוונטי (נושאים חמים, חיזוק קווי הגנה מכל ההיבטים), מאגד קבוצות פנימיות רלוונטיות (למשל קבוצות של הבנקים עם גופי האכיפה למטרות שיתוף מודיעין על תקיפות המשותפות לבנקים כולם).
-
חשוב ואפקטיבי מאוד לתרגל תרחישי שולחן עגול, בדגש על תרגילי הנהלה.
לצפיה בהקלטת ה- Webinar המלאה