מחר זה יכול לקרות אצלכם

סחיטת הכופר מחברת סאפיינס
יונתן קורפל

לפני כחודש דווח בקול ענות חלושה במדיה בארץ כי חברת התוכנה הישראלית סאפיינס, שמניותיה נסחרות בישראל ובארה"ב גם יחד, אולצה לשלם דמי כופר בסך רבע מיליון דולר להאקרים אלמונים. דמי הכופר הועברו בביטקוין מטשטש עקבות. התוקפים ניצלו את העובדה שבשל מגפת הקורונה רבים עברו לעבוד מביתם, מה שהקשה על אבטחת מערכות המידע. הדיווח על הסחיטה פורסם ב"כלכליסט", והוא הועתק כמעט כלשונו בכמה אתרי אינטרנט משניים בודדים. בתום ימים בודדים גם התהודה החלשה הזאת נדמה, וכאילו לא היו דברים מעולם.

התופעה של סחיטת דמי כופר באמצעות היכולת לפגוע במערכות המידע של ארגונים היא תופעה נרחבת למדי, והיקפה בהחלט עולה על הפרסום לגביה. לכל הגורמים הנוגעים בעניין יש אינטרס שהחשיפה על עצם קיום מתקפה תהיה מינימלית, אם בכלל. הפושעים הרי לא רוצים להתגלות, והארגונים הנפגעים לא מעוניינים לפרסם שהם בחזית הסיכון, שהם כשלו, ובטח לא ששילמו כופר – אם זהו המקרה. גם רשויות החוק אינן מעוניינות שיוודע שמקרים כאלה ואחרים נמצאים בטיפולן, או שהן מעורבות בעניין.

כל מי שבקיא בנושא יודע עד כמה התופעה נפוצה. לדוגמה, חברת ורינט האמריקאית-ישראלית שמניותיה נסחרות בנאסד"ק, חוותה לפני כשנה ניסיון מתקפה כזה. בחרתי בחברה זו משום שעיסוקה בפיתוח וייצור תוכנות אבטחה, וכן ניתוח ומודיעין עסקי לארגונים בשוק הביטחוני והמסחרי. במקרה זה החברה זיהתה את המתקפה ובלמה אותה כנראה מבעוד מועד. אבל חשוב לשים לב לעובדה, שאפילו חברה שאבטחת מערכות היא חלק מישותה, איננה חסינה מלהוות יעד למתקפה.

כאשר מדברים על סחיטה וכופר בתחום מערכות המידע (RANSOMWARE = כופרה) מתכוונים בדרך כלל למתקפה שמתמצית בהצפנת קובצי מערכת המידע, מה שמונע מבעלי המערכת גישה אליה, ומחיקתם אם וכאשר לא משולם סכום הכופר בפרק זמן נתון. אבל חשוב להבין כי הסחיטה יכולה להתבצע גם בצורות אחרות. לפני שנים לא מעטות שימשתי כדירקטור בחברה ציבורית שנסחרת בבורסה של תל-אביב. גורמים עבריינים מחו"ל חדרו למחשב פרטי בביתו של אחד ממנהלי החברה, שהעביר לביתו מידע רב של החברה כדי לעבוד גם מהבית. כך הגיעו בעלי כוונות הזדון לחומר רגיש של החברה, שאותו הם איימו לפרסם אם לא ישלמו להם דמי כופר בסך מיליוני שקלים. שיתוף פעולה של הנהלת החברה עם המשטרה הביא לאיתור העבריינים שפעלו מחו"ל, ולפתרון הבעיה. אם כי מניות החברה נפגעו מיידית כאשר הפרשה התפרסמה.

מתקפות סחיטה יכולות גם לנסוק לרמה של נזקים לאומיים. כך אירע למשל לפני כשש שנים, כאשר עובדים מחברת לאומי קארד טענו שבידם נמצא מאגר נתוני לקוחות הבנק עצמו. מוביל הפרשה ממשכנו החדש בתאילנד דרש כופר גדול מאוד, כמו גם חסינות משפטית. על פי פרסומים בתקשורת, יו"ר הבנק, כמו גם הממונה על הבנקים בבנק ישראל, נטו להיענות לדרישות העבריינים, בין היתר בנימוק שפרסום המידע של כל לקוחות הבנק ברשת האינטרנט, עלול לגרום נזק אפילו עד כדי הורדת הדירוג הפיננסי של מדינת ישראל. פעולה של משטרת ישראל הביאה למעצר הנוגעים בדבר, כולל החשוד המרכזי שעליו שמו ידם בחו"ל.

באמצעות המאמר הזה אני מבקש לעורר את המנהלים ואת אנשי המקצוע בכל הארגונים בכל התחומים. בעת הזאת מערכות המידע הן חלק מהתשתית המרכזית של כל ארגון, ועל האחראים להגביר את מודעותם לסיכונים ולדרכי המניעה. אני גם סבור שיש לגרום לכך שיצאו הנחיות ברורות לארגונים על איסור תשלומי כופר, שכנראה רבים מהם מבצעים מתחת לרדאר. היכן ההנחיות והתקנות הברורות כיצד חברות חייבות להגן על מערכות המידע שלהן? אם נחזור למה שקרה בחברת סאפיינס, אני מבקש להבין כיצד קורה שחברה ציבורית משלמת כופר, והחיים נמשכים כתיקונם. האם לארגון שמניותיו מוחזקות על ידי הציבור אין חובה לפרסם בפומבי את שאירע, ולהעניש לאור יום את מי שכשל? אני רוצה להאמין שהארגון עירב מאחורי הקלעים את משטרת ישראל ואת ה-FBI, אולם הערפול והנמכת הטון עד כדי הדממתו, מסייעים לעבריינים ולא למתגוננים מפניהם.

שיתוף ב facebook
Facebook
שיתוף ב twitter
Twitter
שיתוף ב linkedin
LinkedIn
שיתוף ב whatsapp
WhatsApp
שיתוף ב email
Email

6 תגובות

  1. Sapiens תוכנה פורצת דרך
    בשנות השמונים היתה נדבך מרכזי
    בקריירה שלי ב IT

  2. של כל ארגון. הארגונים תלויים מאוד במערכות המידע. והמנהלים של היום לא מבינים עד כמה.

כתיבת תגובה

האימייל לא יוצג באתר.

פרסום תגובה מהווה הסכמה לתנאי השימוש באתר.
התגובות יפורסמו לפי שיקול דעת העורך.

עשוי לעניין אותך