דעה | על המדינה למנוע בכל דרך תשלום כופר להאקרים
למרות שיש בידי מדינות כלים משפטיים למנוע תשלום כופר לארגוני פשע בינלאומיים – בפועל אין בנמצא מדינה שאכן מבצעת אכיפה של החוק על גופים פרטיים
שבתאי שובל
| 29/10/2021
bigstock
המתקפה המוצלחת על בית החולים הלל יפה הדגימה עד כמה קרובות התקפות הכופרה לאיים לא רק על הכלכלה אלא גם על שירותים חיוניים. כיום מרבית מדינות ה OCED נותנות בפועל חסות ואפילו לגיטמציה למתקפות הסייבר.
למרות שיש בידי מדינות אלו כלים משפטיים למנוע תשלום כופר לארגוני פשע בינלאומיים – בפועל אין בנמצא מדינה שאכן מבצעת אכיפה של החוק על גופים פרטיים. יותר מכך ברבות ממדינות OECD נמכרות פוליסות ביטוח הכוללת החזר על תשלומי כופרה לארגוני פשע בינלאומיים.
פשע בחסות המדינה
מכיוון שחברות ביטוח מפוקחות על ידי המדינות השונות ההיתר למכור פוליסות ביטוח הכוללות החזר תשלום כופר – הופכות את פשע נוזקות הכופרה לפשע בחסות המדינה. אם לא די בכך, בכך שהן לא משתמשות בכלים משפטיים אלה למניעת תשלומי כופרה לפשע המאורגן של תוקפי הכופרה, מדינות המערב למעשה מאפשרות פריחה של שוק הפוגע בביטחונם. ואכן כמות המתקפות על חברות פרטיות ותאגידים ממשלתיים מחמירה ותעוזתם מתעצמת.
פרצות האבטחה בשוק הפרטי שמשמשות את האקרים הפליליים, משמשים גם למתקפות שמשויכות למדינות כגון סין, רוסיה קוריאה הצפונית ואיראן, גם אם לא תמיד ניתנו לכך הוכחות חד משמעיות. כך או אחרת, השלמה עם התקפות הסייבר במגזר הפרטי כמוה כהשלמה עם פגיעותו הביטחונית של המערב. האם מדינות המערב מסוגלות להתגונן? האם יסכינו מדינות אלה להתאגד סביב מלחמה שיטתית כוללת בתוקפי הכופרה כיצד הן צריכות לפעול?
אם תשאלו את המפקחת על הבנקים, המפקח על הביטוח וגורמי ממשל אחרים, האם מותר לשלם כופר לשחרר קבצים שהוצפנו, התשובות יהיו מבולבלות או סותרות. אם לא די בכך, כיום יש בשוק פוליסות המאושרות על ידי המפקח על הביטוח שמבטיחות לחברות החזר על דמי הכופר שישלמו במקרה של אירוע כופרת סייבר.
במילים אחרות – המדינה אישרה בפועל פוליסה שמאפשרת לשלם לארגון פשע בינלאומי – דבר האסור או לפחות סותר לכאורה את החוק ואת רוח חוק מאבק בארגוני פשיעה. יותר מכך – חוק איסור הלבנת הון, חוק איסור מימון טרור, חוק הבנקאות וחוק ניירות ערך – חוקים אלה ורוחם עומדת בסתירה מוחלטת להשלמה בשתיקה או בהסכמה לתשלום כופר על ידי חברות פרטיות וציבוריות.
המצב לא שונה בהרבה ברבות מהמדינות בעולם. אם תשלום כופר היה נאכף כעבירה (מאחר ובעליל תשלום לארגון פשע בינלאומי הוא עבירה פלילית) – יתכן שהחברות היו מתאמצות יותר להגן על עצמן ממתקפות אלה.
חוסר האונים מול התופעה והחשש שאי תשלום כופר הוא בבחינת "גזירה שהציבור לא יכול לעמוד בה" – הפך את תשלום הכופר לנורמה מקובלת. למעשה הרשויות לא רק שלא אוכפות מניעת תשלום ה"פרוטקשן" לארגוני פשע אלא אפילו מאפשרות אותו. כאשר גם הרשויות
עומדות נכלמות וחסרות פתרון
המלחמה בהון השחור, חקיקת מיסוי מול תאגידי הענק הגלובליים ושיתופי פעולה מול פשע בינלאומי וטרור יצרו תשתית שמאפשרת להילחם גם בפגעי נזקי מתקפות הכופרה. נדרשים כמה צעדים שכמכלול יביאו לצמצום משמעותי בשימוש בהתקפות כופרה.
צעדים אלה כוללים אמנה בינלאומית של מדינות OECD שתכלול התחייבות של החברות באמנה לפעול בכמה דרכים: איסור מוחלט וברור על תשלום כופרה – החוקים הקיימים, חוקי איסור הלבנת הון וחוקים המכוונים נגד ארגוני פשע - מאפשרים מניעת כופרה ללא שינויים מפליגים בחוק. אך איסור תשלום כופר אינו מספיק. צריך להגן על הנפגעים מנזקי כופרה.
כאן מגיעים שני אמצעים נוספים כחלק מהחבילה הנכללת באמנה: הקמת קרן בינלאומית להחזר הפסדים בעקבות נזקי מתקפות כופרה (מאחר ולא ישולם הכופר) והגנה מפני תביעות נזיקים לחברות שלא שולמו כופר ובלבד שעמדו בסטנדרטים של הגנה ובעיקר התאוששות מנזקי פגיעת כופרה. שינוי פרדיגמה זה, איסור תשלום כופרה ומאידך פיצוי והגנה לחברות שאכן הגנו על עצמן בצורה סבירה – יהוו חסם משמעותי בפני המשך התפוצצות שוק נוזקת הכופרה.
חשיבות צמצום התפתחות תחום הכופרה היא גם בטחונית לכן צמצום האפקטיביות של התקפות הכופרה על ישראל – אינטרס בטחוני. המדינה לא באמת מתמודדת עם חשיפת המגזר הפרטי להתקפות סייבר. נדרשת הגנה מתביעות ייצוגיות וקרן להגנה מנזקי תקיפות סייבר בתמורה ליישום סטנדרטים גבוהים של הגנת סייבר. רק חקיקה ושיתוף פעולה בין מגזרי יכולים להביא לצמצום התופעה ועל הדרך לשפר את ההגנה ממתקפת הסייבר האירנית הצפויה בעת מלחמה.
ההצעה שהובאה כאן אינה מבטיחה פתרון מיידי לתופעה, אלא מתווה דרך בה מדינה ובשאיפה מדינות הנקשרות בברית יכולות להקשות עד מאוד על מלאכתם של תוקפי הכופרה. כאשר נקשה על תוקפי הכופרה נשפר את מערכת החיסון של המשק הישראלי גם מההתקפות הצפויות של איראן.
ההנחה הראשונה היא שללא חקיקה ואכיפה השוק מזמין מקרי כופר חוזרים ונשנים ואין בנמצא וכנראה לא תהיה, טכנולוגיה שתמנע מתקפות כופרה או תאפשר בקלות לשחזר קבצים ש"טופלו".
מאידך – חברה שנתקפה ולא נקטה בהכנה להתמודדות מספקת עם התקפת כופרה – עלולה להתמוטט אם לא תשלם כופרה. ולכן אחד מהאתגרים הוא שאם על פי חוק יאלצו עסקים קטנים ובינוניים לסרב לתשלום כופר חברות – הם עלולים לקרוס כלכלית.
חלק מהפתרון הוא הקמת קרן בינלאומית לביטוח מנזקי סייבר שתפצה כל מי שיעמוד בדרישות חוק ונמנע לשלם כופר. קרן כזו יכולה לקום בשיתוף חברות ביטוח שיתנו את הפיצוי בעמידה בסטנדרטים הקבועים על ידי גורם סייבר ממלכתי על חוק להגנה ממתקפות סייבר לעסקים קטנים ובינוניים.
כך באמצעות חוק זה יעדדו עסקים קטנים ובינוניים להגן על עצמם בצורה שיטטית יותר. למשל – הכנת גיבוים בצורה המבטיחה חסינות לגיבוי, עדכוני תוכנה בזמן, הדרכת עובדים נגד פישינג, הכנת ההנהלה לטיפול במשברי סייבר, מבחני חדירות (Penetration Test).
רק מי שיבדק וימצא כעומד בסטנדרטים שנקבעו על ידי רשות הסייבר הלאומית (מערך הסייבר) יהיה זכאי לאותו ביטוח מידי הקרן המיוחדת להגנה מכופרה. כך רבים מהעסקים בישראל יהיו מוגנים הרבה יותר מאשר כיום ממתקפת סייבר.
אמנם מרבית התקפות הסייבר אינן ממוקדות – אך העובדה שעסקים בישראל יהיו מוגנים יחסית ולא ישלמו כופר תקטין את משטח התקיפה העתידי למתקפה אירנית. חשוב בהמשך לצור אמנה בין לאומית שתהפוך תפיסה זו לבינלאומית. במידה ותתקיים אמנה כזו יתכן וכמות התקפות הכופרה בעולם המערבי לפחות תפחתנה.
שבתאי שובל – מומחה לניהול משברי סייבר וחוקר עמית במכון למדיניות נגד הטרור של המרכז הבין תחומי.
למרות שיש בידי מדינות כלים משפטיים למנוע תשלום כופר לארגוני פשע בינלאומיים – בפועל אין בנמצא מדינה שאכן מבצעת אכיפה של החוק על גופים פרטיים
bigstock
המתקפה המוצלחת על בית החולים הלל יפה הדגימה עד כמה קרובות התקפות הכופרה לאיים לא רק על הכלכלה אלא גם על שירותים חיוניים. כיום מרבית מדינות ה OCED נותנות בפועל חסות ואפילו לגיטמציה למתקפות הסייבר.
למרות שיש בידי מדינות אלו כלים משפטיים למנוע תשלום כופר לארגוני פשע בינלאומיים – בפועל אין בנמצא מדינה שאכן מבצעת אכיפה של החוק על גופים פרטיים. יותר מכך ברבות ממדינות OECD נמכרות פוליסות ביטוח הכוללת החזר על תשלומי כופרה לארגוני פשע בינלאומיים.
פשע בחסות המדינה
מכיוון שחברות ביטוח מפוקחות על ידי המדינות השונות ההיתר למכור פוליסות ביטוח הכוללות החזר תשלום כופר – הופכות את פשע נוזקות הכופרה לפשע בחסות המדינה. אם לא די בכך, בכך שהן לא משתמשות בכלים משפטיים אלה למניעת תשלומי כופרה לפשע המאורגן של תוקפי הכופרה, מדינות המערב למעשה מאפשרות פריחה של שוק הפוגע בביטחונם. ואכן כמות המתקפות על חברות פרטיות ותאגידים ממשלתיים מחמירה ותעוזתם מתעצמת.
פרצות האבטחה בשוק הפרטי שמשמשות את האקרים הפליליים, משמשים גם למתקפות שמשויכות למדינות כגון סין, רוסיה קוריאה הצפונית ואיראן, גם אם לא תמיד ניתנו לכך הוכחות חד משמעיות. כך או אחרת, השלמה עם התקפות הסייבר במגזר הפרטי כמוה כהשלמה עם פגיעותו הביטחונית של המערב. האם מדינות המערב מסוגלות להתגונן? האם יסכינו מדינות אלה להתאגד סביב מלחמה שיטתית כוללת בתוקפי הכופרה כיצד הן צריכות לפעול?
אם תשאלו את המפקחת על הבנקים, המפקח על הביטוח וגורמי ממשל אחרים, האם מותר לשלם כופר לשחרר קבצים שהוצפנו, התשובות יהיו מבולבלות או סותרות. אם לא די בכך, כיום יש בשוק פוליסות המאושרות על ידי המפקח על הביטוח שמבטיחות לחברות החזר על דמי הכופר שישלמו במקרה של אירוע כופרת סייבר.
במילים אחרות – המדינה אישרה בפועל פוליסה שמאפשרת לשלם לארגון פשע בינלאומי – דבר האסור או לפחות סותר לכאורה את החוק ואת רוח חוק מאבק בארגוני פשיעה. יותר מכך – חוק איסור הלבנת הון, חוק איסור מימון טרור, חוק הבנקאות וחוק ניירות ערך – חוקים אלה ורוחם עומדת בסתירה מוחלטת להשלמה בשתיקה או בהסכמה לתשלום כופר על ידי חברות פרטיות וציבוריות.
המצב לא שונה בהרבה ברבות מהמדינות בעולם. אם תשלום כופר היה נאכף כעבירה (מאחר ובעליל תשלום לארגון פשע בינלאומי הוא עבירה פלילית) – יתכן שהחברות היו מתאמצות יותר להגן על עצמן ממתקפות אלה.
חוסר האונים מול התופעה והחשש שאי תשלום כופר הוא בבחינת "גזירה שהציבור לא יכול לעמוד בה" – הפך את תשלום הכופר לנורמה מקובלת. למעשה הרשויות לא רק שלא אוכפות מניעת תשלום ה"פרוטקשן" לארגוני פשע אלא אפילו מאפשרות אותו. כאשר גם הרשויות
עומדות נכלמות וחסרות פתרון
המלחמה בהון השחור, חקיקת מיסוי מול תאגידי הענק הגלובליים ושיתופי פעולה מול פשע בינלאומי וטרור יצרו תשתית שמאפשרת להילחם גם בפגעי נזקי מתקפות הכופרה. נדרשים כמה צעדים שכמכלול יביאו לצמצום משמעותי בשימוש בהתקפות כופרה.
צעדים אלה כוללים אמנה בינלאומית של מדינות OECD שתכלול התחייבות של החברות באמנה לפעול בכמה דרכים: איסור מוחלט וברור על תשלום כופרה – החוקים הקיימים, חוקי איסור הלבנת הון וחוקים המכוונים נגד ארגוני פשע - מאפשרים מניעת כופרה ללא שינויים מפליגים בחוק. אך איסור תשלום כופר אינו מספיק. צריך להגן על הנפגעים מנזקי כופרה.
כאן מגיעים שני אמצעים נוספים כחלק מהחבילה הנכללת באמנה: הקמת קרן בינלאומית להחזר הפסדים בעקבות נזקי מתקפות כופרה (מאחר ולא ישולם הכופר) והגנה מפני תביעות נזיקים לחברות שלא שולמו כופר ובלבד שעמדו בסטנדרטים של הגנה ובעיקר התאוששות מנזקי פגיעת כופרה. שינוי פרדיגמה זה, איסור תשלום כופרה ומאידך פיצוי והגנה לחברות שאכן הגנו על עצמן בצורה סבירה – יהוו חסם משמעותי בפני המשך התפוצצות שוק נוזקת הכופרה.
חשיבות צמצום התפתחות תחום הכופרה היא גם בטחונית לכן צמצום האפקטיביות של התקפות הכופרה על ישראל – אינטרס בטחוני. המדינה לא באמת מתמודדת עם חשיפת המגזר הפרטי להתקפות סייבר. נדרשת הגנה מתביעות ייצוגיות וקרן להגנה מנזקי תקיפות סייבר בתמורה ליישום סטנדרטים גבוהים של הגנת סייבר. רק חקיקה ושיתוף פעולה בין מגזרי יכולים להביא לצמצום התופעה ועל הדרך לשפר את ההגנה ממתקפת הסייבר האירנית הצפויה בעת מלחמה.
ההצעה שהובאה כאן אינה מבטיחה פתרון מיידי לתופעה, אלא מתווה דרך בה מדינה ובשאיפה מדינות הנקשרות בברית יכולות להקשות עד מאוד על מלאכתם של תוקפי הכופרה. כאשר נקשה על תוקפי הכופרה נשפר את מערכת החיסון של המשק הישראלי גם מההתקפות הצפויות של איראן.
ההנחה הראשונה היא שללא חקיקה ואכיפה השוק מזמין מקרי כופר חוזרים ונשנים ואין בנמצא וכנראה לא תהיה, טכנולוגיה שתמנע מתקפות כופרה או תאפשר בקלות לשחזר קבצים ש"טופלו".
מאידך – חברה שנתקפה ולא נקטה בהכנה להתמודדות מספקת עם התקפת כופרה – עלולה להתמוטט אם לא תשלם כופרה. ולכן אחד מהאתגרים הוא שאם על פי חוק יאלצו עסקים קטנים ובינוניים לסרב לתשלום כופר חברות – הם עלולים לקרוס כלכלית.
חלק מהפתרון הוא הקמת קרן בינלאומית לביטוח מנזקי סייבר שתפצה כל מי שיעמוד בדרישות חוק ונמנע לשלם כופר. קרן כזו יכולה לקום בשיתוף חברות ביטוח שיתנו את הפיצוי בעמידה בסטנדרטים הקבועים על ידי גורם סייבר ממלכתי על חוק להגנה ממתקפות סייבר לעסקים קטנים ובינוניים.
כך באמצעות חוק זה יעדדו עסקים קטנים ובינוניים להגן על עצמם בצורה שיטטית יותר. למשל – הכנת גיבוים בצורה המבטיחה חסינות לגיבוי, עדכוני תוכנה בזמן, הדרכת עובדים נגד פישינג, הכנת ההנהלה לטיפול במשברי סייבר, מבחני חדירות (Penetration Test).
רק מי שיבדק וימצא כעומד בסטנדרטים שנקבעו על ידי רשות הסייבר הלאומית (מערך הסייבר) יהיה זכאי לאותו ביטוח מידי הקרן המיוחדת להגנה מכופרה. כך רבים מהעסקים בישראל יהיו מוגנים הרבה יותר מאשר כיום ממתקפת סייבר.
אמנם מרבית התקפות הסייבר אינן ממוקדות – אך העובדה שעסקים בישראל יהיו מוגנים יחסית ולא ישלמו כופר תקטין את משטח התקיפה העתידי למתקפה אירנית. חשוב בהמשך לצור אמנה בין לאומית שתהפוך תפיסה זו לבינלאומית. במידה ותתקיים אמנה כזו יתכן וכמות התקפות הכופרה בעולם המערבי לפחות תפחתנה.
שבתאי שובל – מומחה לניהול משברי סייבר וחוקר עמית במכון למדיניות נגד הטרור של המרכז הבין תחומי.
