חברות ישראליות מול מתקפות כופרה: האם מותר לשלם תשלומי כופר להאקרים?

אלפי חברות ישראליות מתמודדות עם מתקפות סייבר שגדלות מבחינת היקפן והשפעתן במישור הפיננסי, המוניטיני, והתפעולי. בסקר שנערך על ידי מערך הסייבר הלאומי והלשכה המרכזית לסטטיסטיקה, מסתבר שכאחד מכל חמשה עסקים בישראל (18%) "חווה תקיפת סייבר שמטרתה לגרום לבעיות של חוסר זמינות מידע, דלף מידע, או הרס והשחתה של מערכות המידע". אחוז זה עולה משמעותית (ל-42%) כשמדובר בארגונים שמעסיקים לפחות 250 עובדים, ואף סקטור במשק אינו פטור מהתופעה. היא גם לא ייחודית למדינת ישראל. ה-FBI, הבנק העולמי, והאיחוד האירופאי מדווחים כולם על עליה חדה במספר המתקפות, במיוחד בגלל קהורונה שהגבירה את התלות במרחב הסייבר.

ישנו סוג אחד של מתקפת סייבר שבולט מאוד - והוא מתקפת הכופרה (ransomware). מה מיוחד במתקפת כופרה?

ראשית, היא מתבצעת בכמה שלבים. קודם כל, ההאקרים פורצים למערכות של הארגון ומשתלטים עליהן. שנית, הם מצפינים קבצים שכוללים מידע - לעתים רגיש. השלב הבא הוא פרסום דרישת הכופר. תמורת תשלום הכופר, הארגון אמור לקבל את "המפתחות" לפיענח הקבצים, ובזה להיות מסוגל לשחרר את קבצים שהוצפנו. התשלום בדרך כלל במטבעות דיגיטליים, דבר שמקשה על זיהוי התוקפים. אם הארגון בוחר שלא לשלם, הקבצים יישארו במצב מוצפן, וקיים איום שהמידע יודלף.

מאפיינים ייחודים נוספים כוללים אפשרות של "כופר כפול", שבו התוקפים מוסיפים להצפנת קבצים דלף פומבי של מידע רגיש, שמלווה באיום לדלף נוסף אם לא ישולם הכופר. "כופר משולש" מוסיף ל"כופר כפול" שליחת דרישה נוספת, ישירות ללקוחות הארגון ,שהמידע האישי שלהם נפרץ.

מעבר לשאלה הפרקטית של כדאיות תשלום הכופרה להאקרים מבחינה עסקית, מתעוררת שאלת הליבה של חוקיות תשלומי הכופר שדורשים ההאקרים.

האם תשלומים להאקרים מותרים או אסורים בישראל?

התשובה המלאה לגבי חוקיות התשלום של כופר עדיין מתגבשת. בינתיים, מותר לשלם כופר להאקרים, בתנאי שמי שמקבל את התשלום לא שייך לגוף שהוא פסול מבחינת הרשימה של גופים כאלה שמפרסמת הרשות לאיסור הלבנת הון ומימון טרור שבמשרד המשפטים, רשימה שכוללת קבוצות טרור ומדינות שנגזרו עליהן סנקציות בינלאומיות (למשל, איראן וצפוון קוריאה, גורמים רוסיים וכו). במקרים האמורים, כשקיים חשד סביר שהאקר או הגוף שמקבל את התשלום עבורו משתייך לישות אסורה, חל איסור מוחלט על העברת תשלום כלשהו. נקודה זו מצביעה על תפקיד קריטי של המדינה בזיהוי והייחוס של קבוצת האקרים לגורם שאסור להעביר אליו תשלומי כופר.

בהקשר זה ובהתפתחות מעניינת, ביום 21.9.2021 פרסם משרד האוצר של ארה"ב עדכון להנחית ה-OFAC (הגוף האחראי שם לקביעת רשימת הגופים הפסולים) בעניין תשלומי כופר להאקרים. ההנחיה החדשה של OFAC מחדדת את הסנקציות שיוטלו על חברות שמשתפות פעולה עם גופים אלה - וזאת, בהמשך להטלה תקדימית של סנקציות על פלטפורמת הביטקוין SUEX בגלל העברת תשלומי כופרה לגורמי פשע.

גורמי אכיפה נוספים בארה"ב מגבים את הפעילות של OFAC. למשל, ה- FBI ממליץ לחברות שלא להיענות לדרישות כופר. כל החלטה של חברה אמריקאית לשלם או לא לשלם בוודאי לוקחת בחשבון את המדיניות המוצהרת של גורמי הממשל.

לעומת זאת, בישראל כאשר קבוצת ההאקרים אינה חשודה בשייכות לישות אסורה, חברה ישראלית שהותקפה עדיין חייבת בכל מקרה לבחון את האפשרות שהעברת התשלום אליו מהווה מעשה שאסור על פי חוק איסור הלבנת הון. המצב תחת חוק זה יותר מורכב, בכך שהוא מחייב גופים מסויימים במשק, בעיקר במגזר הפיננסי, לדווח לרשויות על כל העברת תשלום לגורם שאינו מזוהה ברמה הנדרשת. אך גם במצב שבו קיימת חובת דיווח, עדיין לא קיים בישראל איסור וגורף, על תשלומי כופר להאקרים שלא הוגדרו כישות פסולה. כל מקרה מחייב בדיקה פרטנית.

בשורה התחתונה, חברות ישראליות חייבות לבדוק בקפדנות את השאלה אם העברת תשלומי כופר לקבוצת האקרים מסוימת מותרת או אסורה, בהתאם לזהות התוקפים ונסיבות התקיפה, בכפוף כמובן לכל דרישות הדין שחלות על החברה. הדינמיות של המצב הרגולטורי בסוגיה מחייבת מעקב מקרוב, בעולם ובישראל.

הכותבת היא יועמ"ש וסמנכ"ל רגולציה בחברת הגנת הסייבר Konfidas