סחיטת סייבר: לשלם או לא לשלם?

לעולם המושגים של מתקפות הסייבר נכנס באחרונה המונח "סחיטת סייבר". הכוונה היא לאיום שמגיע לארגון מהאקר שזהותו לא ידועה, שנותן אולטימטום לארגון: שלמו לי סכום ניכר או שאפרסם את המידע הרגיש שיש בידי ואגרום לכם נזק. כאשר הארגון מקבל את ההודעה, נוצרת מיד דילמה עסקית ומוסרית: האם להיכנס למשא ומתן עם התוקפים? האם לשלם להם? האם לפנות למשטרה?

בכנס שנערך אתמול (ב') במשרד עורכי הדין הרצוג פוקס נאמן בתל אביב הביע ניצב בדימוס יואב סגלוביץ', לשעבר ראש אגף החקירות במשטרה, עמדה נחרצת: בוודאי שאסור לשלם, יש לפנות מיד למשטרה. סגלוביץ' התייחס לנושא בהיבט הפלילי ולהבנתו, מי שמאיים לגנוב ממך כסף – המשטרה צריכה לחקור את העניין.

יש הגיון בטענה זו, אלא שבמקרה שלנו, הנושא הוא הרבה יותר מורכב. המילה "סחיטה" מבלבלת במקרה זה וייתכן שזו הסיבה שסגלוביץ' הביע את דעתו על כך כפי שהביע.

השוני הוא שבניגוד למקרי סייבר אחרים, בהם התוקפים-ההאקרים לפעמים מזוהים עם ארגון כלשהו, כאן הם לא מזוהים כלל וכלל, ואין לארגון אפשרות לתת למשטרה קצה חוט לאן לפנות. מה גם שבמרבית המקרים הפעילות העוינת לא נעשית מישראל, ומרדף אחר עבריינים בחו"ל אינו עניין קצר. זו בדיוק הנקודה, משום שבמקרים כאלה, הזמן הוא עניין קריטי, כפי שהזמן הוא קריטי במקרה של התקף לב. מתן מענה נכון ומידי במקרה של סחיטת סייבר מכתיב את תוצאות האירוע, בדיוק כמו אופן פעילותו של הצוות הרפואי במקרה של התקף לב.

אם ארגון מפעיל באופן מידי קו הגנה שכולל שורה של אנשים שכל אחד מומחה בתחומו, שמתפקדים כחמ"ל מתורגל וכל אחד יודע מה הוא צריך לעשות, הסיכוי שההאקר יבצע את זממו פוחת.

סחיטה בסייבר מול סחיטה במקרה של חטיפה

עו"ד מוטי קריסטל, מומחה לניהול משאים ומתנים שישתתף בכנס CYBERSure 2015 של אנשים ומחשבים, שיתקיים ב-25 בחודש. הוא אמנם עורך דין על פי השכלתו, אבל פעילותו בתחום של משא ומתן עם סחטנים קיברנטיים אינה כלל במישור המשפטי, אלא קרובה יותר לתחום הפסיכולוגי וכמובן – לזה הכלכלי-עסקי. הוא מיישם ניסיון רב שנים מעבודתו בשירות הממשלתי-ביטחוני.

הוא משווה סחיטות סייבר לאירוע חטיפה שבו החוטף מודיע על כוונתו לבצע את הפעולה ויש תקשורת איתו או עם נציגיו. או אז עולה הדילמה האם לנהל איתו משא ומתן, לבצע פעולה מבצעית לשחרור החטופים או לפעול במקביל.

השיקולים של ארגון איך לנהוג הם חלק ממערכת של ניהול סיכונים והערכת מצב. אם הגוף שמאוים מחזיק בידיו נתונים רגישים על כרטיסי אשראי של לקוחות, ברור שאם אותם האקרים יממשו את איומיהם ייגרם נזק בהיקף גדול יותר מזה שייגרם לארגון אם יגיעו איתם להסדר. יש גם את עניין החשיפה והשלכותיה: כמו כל גוף עסקי, ארגונים במגזר הפיננסי מבוססים על אמון של הלקוחות שלו. המחשבה הראשונית אומרת שגוף פיננסי יפעל נכון אם יפנה למשטרה, אלא שהתוצאה של החקירה יכולה להיות קריסה שלו או חשיפה לאלפי תביעות אישיות.

להיכנס למשא ומתן – אבל לא בהכרח לשלם

הפרקטיקה בתחום נוטה יותר לצד של להיכנס למשא ומתן, אבל לא בהכרח לשלם. אם נחזור להיבט הפסיכולוגי, הרי שידוע מתוך הניסיון הרב במקרים של חטיפות שאחת המטרות של החוטפים היא תשומת הלב. עצם העובדה שאותו האקר מצליח להעמיד על הרגליים ארגונים שלמים, מערב גורמים חיצוניים וגורם להרבה מאוד אנשים להזיע היא בשבילו כל הסיפור. ואם על הדרך גם ירוויח כמה דולרים – מה טוב.

אם כבר מחליטים על ניהול משא ומתן, נשאלת השאלה: כמה לשלם? למאיים יש רף מסוים, לחברה יש הערכה כמה היא יכולה לשלם ובדרך כלל נפגשים באמצע. התשלום מבוצע לאחר שמוודאים שהמאיים אמנם לא יבצע את הפעולה שהוא מאיים לבצע ושכל העניין יישמר בחשאיות.

איפה עובר קו הגבול? כרגיל, בחוק. המומחים מדגישים שכל הפעולות שהם עושים עבור הארגונים הם חוקיות לחלוטין ואינם חורגים משום נורמה של שיתוף פעולה עם עבריינים פליליים.

בשורה התחתונה: במקרים של סחיטת סייבר, כאשר יש איום ממשי אבל אין אפשרות לזהות את העומדים מאחוריו, טובת הארגון ולפעמים גם טובת הציבור מחייבת תשלום כופר מסוים שלאחריו נעשים תהליכים מאוד מורכבים של הפקת לקחים, סתימת פרצות והערכות למצבים דומים. אלא שבכל מקרה, נגד סחטנים, מאיימים ועבריינים יש לפעול על פי חוק, ולהפעיל את אנשי החוק.

מתעניינים בסייבר? רוצים לשמוע עוד? הירשמו לכנס CYBERSure 2015 של אנשים ומחשבים.