גלובס - עיתון העסקים של ישראלאתר נגיש

המרכז הרפואי הלל יפה. תקיפת כופרה בארגון היא לרוב שלב סופי מתוך שרשרת אירועים / צילום: אייל פישר

גל של תקיפות סייבר כוון נגד מטרות בתחום הבריאות בישראל במהלך הסופ"ש, כך לפי מערך הסייבר הלאומי. התקיפות סימנו 9 בתי חולים ומוסדות בריאות כמטרה, אך לא נגרם נזק ובמערך הסייבר אמרו שהצליחו לחסום את כולן.

כדי להבין, למדוד ולהעריך את המחיר האמיתי של מתקפות הכופרה, חשוב להבין את סך ההוצאות הכרוכות בהתמודדות מול התקיפה ועם השלכותיה:

1. ביטוח סייבר - ביטוח מפני תקיפות סייבר הפך בשנים האחרונות למרכיב חשוב בארגונים. מתוך הסקר שביצעה סייבריזן, 52% מהחברות דיווחו שבארגונן קיים ביטוח סייבר, בעוד שרק מחציתן העידו כי הביטוח כיסה את כלל הוצאות הארגון כתוצאה מהתקיפה. על כן, חשוב להבין האם ביטוח הסייבר הנרכש אכן מכסה את תשלום הכופר ואת הנזקים הנלווים לתקיפה, מה הסכום המקסימלי אותו תשלם חברת הביטוח ומה גובה ההשתתפות העצמית.

2. ייעוץ משפטי - במקרה של תקיפת כופרה הארגון יאלץ לשכור צוות משפטי אשר ינחה כיצד לפעול, מהן חובות הדיווח החלות על הארגון, האם הארגון חשוף לתביעות בעקבות התקיפה מבעלי מניות או לקוחות וכיצד על הארגון לעבוד מול רשויות החוק השונות. עלויות הייעוץ המשפטי תלויות רבות בגודל הארגון וסוג התעשייה אליה משתייך, והן עשויות להגיע לעשרות אלפי דולרים.

3. ניהול תקשור התקיפה לבעלי המניות, ללקוחות ולעולם - חברות מחויבות להודיע על היותן קורבן לתקיפת סייבר תוך מספר ימים ממועד הידיעה, כך על פי תקנות GDPR באירופה ותקנות HIPPA ואחרות בארה"ב. מערך התקשור יעשה לרוב בהובלה או בתמיכה של חברת יחסי ציבור (PR) חיצונית ויכלול ייעוץ מיוחד בנוגע לניהול משברים. בנוסף מרבית הארגונים יחוו פגיעה תדמיתית ברמת חומרה משתנה, בעוד מערך התקשור יפעל לטובת מזעור הנזקים ככל שניתן. מתוך הסקר עולה כי 53% מהנשאלים דיווחו שארגונם סבל מפגיעה תדמיתית חמורה לאחר שחווה מתקפת כופרה.

4. חקירה טכנית של האירוע - תקיפת כופרה בארגון היא לרוב שלב סופי מתוך שרשרת אירועים, בהם התוקף הצליח לחדור לרשת הפנימית של החברה, להשתלט על נכסי מפתח ולבסוף להצפין קבצים ומסמכים חשובים ולעיתים אף להדליפם.

כדי להתגבר על מתקפת הכופרה, על הארגון לבצע פעולת תיקון (Remediation). עליו להשבית ולמחוק את כל נכסיו של התוקף ברשת ולחסום בזריזות את נקודות החולשה דרכן הצליח התוקף להיכנס לרשת הארגונית. במידה ושלב זה לא יבוצע, התוקף יוכל לחזור אל הרשת הארגונית ואירוע התקיפה יחזור חלילה.

עפ"י תוצאות הסקר שנערך, 80% מהחברות שהותקפו בעבר חוו תקיפה שנייה, לעיתים אפילו על ידי אותה קבוצת תקיפה. לשם כך, חברות זקוקות לשירותים מתקדמים של חקירה ושחזור האירוע, תיקון נזקים וחסימת דרכי גישה. מעטים הארגונים שמסוגלים לבצע פעולות אלו בעצמם ולכן הם נזקקים לשכור שירותי Incident Response מחברות המתמחות במתן שירותים אלו.

5. בניה מחדש של רשת התקשורת הארגונית (IT) - על מנת שהארגון יוכל לבצע מעבר של חזרה לשגרה לאחר אירוע תקיפה, עליו לבנות מחדש חלקים ברשת ה-IT שזוהו כפגיעים ולעיתים אפילו לשחזר את הרשת כולה. למעשה, כל עוד תהליך זה לא הסתיים, הארגון אינו יכול לחזור לפעילות מלאה והוא ימשיך להיפגע.

על פי תוצאות הסקר, 66% מהארגונים חוו הפסד בהכנסות לאחר שחוו מתקפת כופרה בארגון, כאשר אחת מסיבות המפתח להפסדים היא הפסקת הפעילות השוטפת. בקרב ארגון יצרני, עלות השבתת קו ייצור יכולה אף להגיע לעלות של מיליוני דולרים, תלוי במשך ההשבתה ובזמן שייקח להחזיר את קו הייצור לתפקוד מלא. אירוע כזה יגרום לפגיעה כלכלית חמורה לארגון בכל יום שעובר.

6. תשלום הכופר ושחזור הקבצים - תשלום הכופר אינו מומלץ ואף אסור על פי חוק במדינות מסוימות, יחד עם זאת, ארגונים רבים ממשיכים לשלם את דמי הכופר, כאשר 60% מהנשאלים בסקר העידו שארגונם שילם את דרישת הכופר לתוקפים. תהליך תשלום הכופר עצמו אינו הליך פשוט וזאת משום שלא מדובר בעסקה רגילה כמובן.

המורכבות באה לידי ביטוי הן מבחינת מיסוי והן מבחינת העברת הכספים, שלרוב כוללת שימוש במטבעות קריפטוגרפים (Cryptocurrency). בדרך כלל ארגונים יעזרו בחברות חיצוניות המתמחות בביצוע משא ומתן עם התקופים (Ransomware Negotiator). לצד מורכבותו של תהליך התשלום, הוא אינו מבטיח קבלה של כלל המידע והקבצים הגנובים, מנתוני הסקר עולה כי 46% מהארגונים ששילמו את הכופר לא קיבלו את המידע חזרה בשלמותו.

נוסף על כל אלו, הנזק לארגון כולל פגיעה חמורה במוניטין של הארגון ובתדמית שלו. מצב זה עשוי ליצור כדור שלג מתגלגל אשר יוביל למפולת עסקית הכוללת איבוד לקוחות, פיטורים של מנהלים בכירים ועזיבת עובדים במשרות מפתח. ממצאי הסקר מצביעים על כך ש-29% מהנשאלים דיווחו על כך שהארגון נאלץ לבטל תקנים חדשים כתוצאה מנזקי המתקפה, בעוד 32% דיווחו על אובדן של עובדי בכירים כתוצאה מפיטורים או בשל גל עזיבה.

הבנת הסיכון הגדול שטמון במתקפות הכופרה חייב לעודד ארגונים להתמגן בצורה אפקטיבית. הבעיה קיימת, היא אמיתית וכאן להישאר. קבוצת התקיפה משתכללות, כלי התקיפה הופכים למתוחכמים יותר ותדירות ביצוע התקיפות עולה משנה לשנה. הנהלת החברה חייבת להתכונן ליום שחור, אבל באחריותם של מנהלי הטכנולוגיה והאבטחה למנוע מיום זה להגיע. הפתרונות בשוק לעצירת מתקפות כופרה קיימים ואף רבים מהם פרי פיתוחן של חברות ומרכזי פיתוח ישראליים, כמו פלטפורמת ההגנה של סייבריזן אשר מציעה מגוון שירותים שונים, ביניהם גם Incident Response וביטוח של מעל מיליון דולר במקרה של תקיפה. את הפתרונות צריך ליישם - מביצוע הכשרות אבטחה לעובדים, ומעבר אל פתרונות אבטחה מתקדמים, המתמחים בעצירת מתקפות סייבר מתוחכמות לפני גרימת נזק ממשי לארגון.

הכותב הוא סמנכ"ל מוצר בחברת הסייבר ההגנתי סייבריזן