משרד המשפטים ממליץ: דווחו לפני שאתם משלמים כופר

הצוות לאבחון וטיפול בנושא פשיעה והונאות במרחב הדיגיטלי פרסם את המלצותיו לגיבוש מדיניות להתמודדות עם מתקפות כופר | בין ההמלצות: גופים פרטיים שידווחו על מתקפה בטרם תשלום הכופר יזכו להגנה מפני אחריות פלילית | גופי ממשלה יידרשו לאישור משפטי בדרג גבוה בטרם העברת תשלומי כופר

האקר בפעולה | צילום אילוסטרציה: Andrey_Popov, שאטרסטוק

מתקפות כופרה הן תקיפות שמטרתן הדבקת מחשב (או רשת מחשבים) של הקורבן, לטובת הצפנתו או הצפנת הקבצים המאוחסנים בו. לאחר ההדבקה, דורש התוקף העברת תשלום כופר כתנאי לפתיחת ההצפנה, לרוב במטבע מבוזר. בשנים האחרונות אנו עדים למספר הולך וגדל של מתקפות כופרה, שגורמות לנזקים רבים ונרחבים, בראש ובראשונה לקורבנות המתקפות עצמם, אך גם לחברה כולה. על פי הערכות במגזר העסקי, בין 2019 ל-2020 חלה עלייה ניכרת (הכפלה ואף למעלה מכך) הן בהיקף הנפגעים ששילמו תשלומי כופר בעקבות מתקפות כופרה מקוונות, והן בסכום דמי הכופר הממוצעים ששולמו על-ידי הנפגעים.

על-פי האינטרפול, קיימת מגמת עלייה חדה במספר מתקפות הכופרה (בפרט נגד בתי חולים) הונאות סייבר ופרצות נתונים. גם הסוכנות האירופית לאבטחת מידע ורשתות (ENISA) ציינה בדו"ח המסכם לשנת 2021 כי איום הסייבר הנפוץ ביותר במהלך שנת 2021 היה מתקפות כופרה.

במסמך מדיניות של ממשלת אוסטרליה, פורסמה הערכה לפיה ברחבי העולם מתרחשת מתקפת כופרה על עסק בכל 11 שניות ומשוער כי הנזק הגלובלי ממתקפות כופרה בשנת 2021 יגיע ל- 20 מיליארד דולר.

בשנת 2020 התקבלו ב- FBI כ- 2,500 דיווחים על מתקפות כופרה ושיעור הנזק המדווח הכולל בארה"ב – על יסוד דיווחים עצמיים – הוא כ- 29 מיליון דולר אמריקני. מדובר בעלייה של כ-%300 משנת 2019.

הרשות לאכיפת פשעים פיננסיים דיווחה כי במחצית הראשונה של 2021 סך תשלומי הכופר בארה"ב עמד על 590 מיליון דולר (לעומת כל שנת 2020 אז סך תשלומי הכופר בארה"ב עמד על 416 מיליון דולר).

על פי הערכות של חברות פרטיות ,בין 2019 ל- 2020 חלה עלייה של למעלה מ- 300% בהיקף תשלומי הכופר שבוצעו בפועל על-ידי הנפגעים ,כאשר בשנת 2020 שולמו ברחבי העולם למעלה מ- 400 מיליון דולר.

לצד זאת, חלה עלייה של כ- 170% בגובה תשלום הכופר הממוצע בארה"ב בקנדה ובאירופה לכל מתקפה נתונה (מכ- 115,000 לכ- 312,000 אלף דולר).

משכך, גם בישראל לא נותרו מאחור וצוות לאבחון וטיפול בנושאי פשיעה והונאות במרחב הדיגיטלי מונה ע"י מנכ"ל משרד המשפטים, עו"ד ערן דוידי, במסגרת דיוני הועדה להתאמת המשפט לאתגרי החדשנות והאצת הטכנולוגיה בראשותו. הצוות התבקש למפות את תופעת ההונאות במרחב הדיגיטאלי ולהמליץ על תכנית לגיבוש מדיניות להתמודדות עם מתקפות כופר. על פי הערכות בין השנים 2019-2021 התקבלו בישראל 413 דיווחים בגין מתקפות כופרה, כאשר בין השנים 2019 ל-2020 נרשמה עלייה של 50% במספר הדיווחים. בתוך כך, צוות הבדיקה מעריך כי נתונים אלה נמוכים באופן ניכר מנתוני האמת לגבי מתקפות כופרה שמתרחשות בפועל כלפי אזרחים ותאגידים ישראליים.

עבודת הצוות, בראשות מנהל מחלקת הסייבר בפרקליטות המדינה, ד"ר חיים ויסמונסקי, כללה עבודת מטה נרחבת ושמיעת גורמי מקצוע בתחום. עוד במסגרת עבודת הצוות, התבצעה סקירה משווה לנעשה בתחום בעולם, ונמצא כי נכון להיום אין אף מדינה שגיבשה מדיניות הוליסטית להתמודדות עם תופעת מתקפות הכופרה, על אף שמדובר בתופעה נפוצה מאוד הגורמת נזק בהיקף עצום לארגונים רבים (ראו נתונים המופיעים מטה בהודעה זו). כמו כן פורסם קול קורא ובו התבקש הציבור להעביר התייחסויות בשורה של סוגיות.

הצוות כלל נציגים של משרד המשפטים, מערך הסייבר הלאומי, הרשות להגנת הצרכן וסחר הוגן, הרשות לאיסור הלבנת הון ומימון טרור, רשות המסים, ומשטרת ישראל.

Inner article

עיקרי ההמלצות

הצוות הדגיש כי תשלום כופר, בין אם על-ידי גופים מדינתיים, בין אם על-ידי תאגידים מסוגים שונים ובין אם על-ידי אנשים פרטיים – הוא בבחינת פעולה בלתי-רצויה שכן הוא אינו מסייע בהשבת המצב לקדמותו, עשוי לסמן את המותקף כיעד למתקפות נוספות, לסייע לתוקפים במימון פעולות בלתי חוקיות נוספות וכי במקרים רבים מבצעי המתקפה הינם עבריינים שעשויים להדליף או למכור את המידע גם אם קיבלו את תשלום הכופר המבוקש.

 יחד עם זאת, חברי הצוות הגיעו למסקנה כי אין מקום להטיל איסור גורף על תשלום כופר, גם במקרים בהם המתקפה מכוונת כלפי גופי ממשלה, תשתיות קריטיות, חברות ציבוריות וכדומה.

 ביחס לגופים פרטיים תחת מתקפה:

  • במקרה של מתקפה יש לדווח לאלתר על המתקפה והתשלום (ככל ומבוצע) לרשויות המדינה הרלוונטיות.
  • יש להביא לידיעת הציבור כי בנסיבות מסוימות תשלום דמי כופר עלול לגבש כנגד המשלם אחריות פלילית בין היתר בגין מימון טרור או הלבנת הון ,כמו גם הסיכון לעבירה על הוראות OFAC במישור הבין-לאומי.
  • לשקול פרמטרים או תנאים בהם הסיכון לאחריות פלילית יצומצם ככל והגוף המותקף ידווח על המתקפה עוד בטרם התשלום לרשויות האכיפה והרגולטורים הרלוונטיים וישתף עמן פעולה.

 ביחס לגופי מדינה תחת מתקפה:

  • עצם התשלום משמעותו עשויה להיות כי המדינה עצמה תהיה מעורבת בדבר עבירה.
  • לשקול קבלת אישור מוקדם מאת גורם משפטי בכיר ביותר לאחר התייעצות עם גופי הגנת הסייבר וגופי הביטחון או האכיפה הרלוונטיים.
  • חיוב משרדי הממשלה בדיווח לגופים הרלוונטיים במקרה של מתקפת כופרה.

 עיקרי ההמלצות בנוגע לאיסור פרסום:

פרסום תקשורתי יכול בנסיבות מסוימות להעצים את האפקט שרוצה להשיג התוקף בפרט במתקפות אשר נועדו למטרות טרור. מנגד, עומדות זכויות כבדות משקל המתנגשות עם האינטרסים המוגנים ובהם זכות הציבור לדעת, חופש העיתונות וזכות נושאי המידע להגנה על המידע האישי שלהם.

לעניין זה, הצוות הגיע למסקנה כי מנגנון איסור הפרסום הקבוע בדין הישראלי מספק תוצאה טובה ועל כן יש לשקול להכילו גם על מתקפות כופרה.

בהמשך לכך, הצוות הציע מספר כללים מנחים בנוגע לתהליך הבקשה וההוצאה של צווי איסור פרסום, בהקשר של מתקפות כופרה, בהם כלילת המידע הפרוץ תחת איסור הפרסום ( בניגוד איסור פרסום רק על עבודת הגורמים החוקרים), הגבלת יכולת הרגולטורים להעביר הלאה את המידע לאחר הדיווח, קביעת מגבלות זמן להגשת בקשה לצו איסור פרסום, תיעדוף איסור פרסום מטעמי הגנה על המידע שנפרץ (ולא רק טובת החקירה), איסור הדהוד מידע שנפרץ והופץ ע"י הפורצים ועוד.

 מנכ"ל משרד המשפטים, עו"ד ערן דוידי, העומד בראש הוועדה להתאמת המשפט לאתגרי החדשנות והאצת הטכנולוגיה, ומינה את צוות הבדיקה: "האצת הטכנולוגיה מביאה עימה אתגרים רבים, בהם מתקפות הכופרה המהוות כיום את אחד מאיומי הסייבר הגדולים העומדים לפתחנו. מספרן ההולך וגדל של מתקפות אלו מחייב אותנו לגבש מדיניות ממשלתית אחידה וכוללת שתספק מענה בזירות הפליליות, המיסויות והרגולטוריות. אני מודה לצוות הבדיקה על עבודתו בגיבוש ההמלצות שייבחנו ע"י הוועדה בראשותי במטרה לאפשר למדינת ישראל להתמודד בצורה המיטבית עם הונאות במרחב הדיגיטלי".

Inner 620/130

מומלץ עבורך

כתיבת תגובה