מאמרים

 הכופר במרחב הוירטואלי

מתקפות הכופר רשמו עלייה חדה בשנת 2016, כאשר מנתונים שפורסמו ניתן ללמוד כי בכל 40 שניות מתקיימת התקפת כופר. אבי נגר, מנכ"ל סקיורנט סולושנס מקבוצת אמן, סוקר את הדרכים להתגונן מפני מתקפות וקורא למדינה להתערב ולקבוע תקני אבטחה לעסקים.

אין ספק כי התקפות הכופר נתנו את הטון ויצרו בז תקשורתי רחב מאוד בשנת 2016. בשנה האחרונה נרשמה עליה חדה במספרן של תקיפות הכופר, ואין כמעט אדם שלא נפגע או מכיר מישהו שהצפינו לו את הקבצים וביקשו כסף עבור התרתם. על פי דו"ח של מעבדות קספרסקי, מתקפות כופר היו האיום המרכזי של השנה החולפת, כאשר בכל 40 שניות בממוצע התרחשה התקפה. אומנם אנו מודעים יותר למפגעים מסוג זה שקורים בישראל אך התופעה הינה גלובלית, אחד מחמישה עסקים ברחבי העולם סבל מאירוע אבטחת IT כתוצאת ממתקפת כופר השנה. אין כיום אף עסק שיכול להניח כי הוא מוגן בצורה מלאה מהתקפות מסוג זה, כל ארגון או עסק עלול להיפגע. 

במהלך התקיפה פוגען הכופר מנטרל חלקים מפעילות הארגון עד לכדי השבתה מלאה מאחר וההתקפה מונעת ממנו מלהשתמש בקבציו. על מנת שהארגון יוכל לחזור לפעילות, הוא נאלץ לשלם סכום כסף מסוים אותו דורש התוקף. במקרה של התקפה לארגון יש שלוש אפשרויות – לנסות ולפצח את ההצפנה (לבד או בעזרת מומחים), מה שלצערנו לרוב לא מצליח ; לשלם את הכופר אותו דורש ההאקר (עם תפילה שמדובר בהאקר הוגן שאכן יתיר את ההצפנה) ; או, מה שלרוב קורה – להעלות נתונים מהגיבוי (אם קיים כזה). ארגונים רבים שחוו התקפות כאלו עשו שימוש בגיבוי, אך ישנם מקרים בהם איכות הגיבוי או מידת עדכניותו נמוכה ולכן נאלץ הארגון לשלם את הכופר אותו דורש ההאקר. בכל מקרה ובכל דרך שיבחר הארגון להתמודד עם הבעיה, נדרשות בדיקות פנימיות הן לצורך ניתוח והבנה של דרך החדירה של ההתקפה וטיפולה והן בכדי לוודא כי כלי תקיפה זהה או דומה אינו נמצא "רדום" בתוך הארגון, מה שיאפשר לו לפעול ולפגוע בארגון שוב.

הפתרון – הגברת המודעות, מערכות לסינון מידע וגיבוי

 

למרות תמונת המצב הקשה וההיקף העולמי של הבעיה, המצב לא אבוד. עסקים יכולים לבצע מספר פעולות שיכינו אותם ליום שבו ינסו להתקיף אותם. הדבר הראשון שניתן לעשות הוא הגברת המודעות של עובדי הארגון להתקפות הכופר. רוב מתקפות הכופר מגיעות לארגון דרך דואר אקלטרוני זדוני הנראה כתמים ומפתה. דרך נוספת לחדור לארגון היא בעזרת התקנים חיצוניים המחוברים למחשבי הארגון (הן במשרדים והן במחשבים ניידים). אחת הבעיות היותר גדולות היא שהעדר המודעות מונעת לרוב הן גילוי בשלבים הראשונים של התקפה והן ביצוע פעולות נכונות שיכולות להקטין את השפעתה. התוצאה לרוב היא שאנשי מערכות המידע לא יידעו שהחדירה קרתה עד שזה כבר מאוחר מידי. אין ספק שהגברת מודעות וחינוך לפעולה נכונה של העובדים מקטינים באופן משמעותי את הסיכון מפני מפגעים.

יחד עם זאת, טעויות קורות ויכולת המניפולציה והתחכום של התוקפים הולכת ומשתכללת. אין מנוס משילובן של מערכות לסינון ובחינה של קבצים המגיעים לארגון הן בדוא"ל והן בדרכים אחרות, וכמובן מערכות בקרה וכח אדם זמין ומקצועי לזיהוי מיידי של פגיעה. סריקה ובקרה של מידע נכנס במכלול המסלולים כמו גם אמצעי זיהוי התנהגות חריגה בתחנות העבודה ובשרתים, יקטינו משמעותית את הסיכוי לפגיעה.

היה ונפגעתם, קיימת חשיבות גבוהה לגיבוי איכותי, מקיף ואמין המתבצע בתדירות גבוהה, כך שיהיה ניתן לשחזר את המידע בצורה הטובה ביותר ולאבד כמה שפחות מידע בין זמן הגיבוי לזמן הפגיעה. נושא הגיבויים נמצא בפתחם של ארגונים רבים מזה שנים רבות, אולם עד כה ארגונים לא מעטים נמנעו מהשקעות בגיבוי בעקבות חישובי הסתברות שונים של תרחישי אסון. מאחר ובשנה האחרונה עלו משמעותית מספר התקפות הכופר, כדאי ואף נחוץ שכל ארגון יחזיק פתרון גיבוי ברמה הגבוהה ביותר. מתקפות סייבר בכלל וכופר בפרט משנות את הפרדיגמה של ההסתברות לנזק והשבתה של מערכות המידע בארגון ומעלות את הנחיצות ביישומם של תהליכי גיבוי.

לא רק הארגונים יכולים לעזור לעצמם במלחמה נגד ההאקרים והתקפות הסייבר, המדינה צריכה לעודד עסקים להגן על עצמם. קיימים לא מעט עסקים קטנים או בינוניים שעובדים עם גופי ממשל ומוסדות כאלה או אחרים, כשהממשק אל מול גורמי מדינה הינו חלק מעבודתם השוטפת. המדינה צריכה לייצר תקן שיחייב עסקים בדרישות מינימום של אבטחת מידע וגיבוי בדיוק כפי שעסקים נדרשים להוציא רישיון עסק, לשים אזעקה ומערכות כיבוי אש על מנת לבטח ולאבטח את העסק. ניתן ואף אפשר להימנע ממתקפות הכופר, כל מה שצריך זה לפקוח עיניים ולשים לב לפעילות חריגה.

 

כותב המאמר הוא אבי נגר, מנכ"ל סקיורנט סולושנס מקבוצת אמן, המשיקה את ה-ProActive SOC





לפרטים נוספים