אבטחת מידע ארגונית
בעלי עסקים – כך תמנעו את "חטיפת" המחשב שלכם והמידע היקר שמאוחסן בו
מאת: שלומי אדר, מומחה לאבטחת מידע וביטחון.
בשנה האחרונה יותר ויותר בעלי עסקים נסחטים ונדרשים לשלם כופר תמורת שחרור הקבצים והמידע העסקי שננעל במחשב. תופעת דרישת הכופר הוויראלית (Ransomware) הולכת ומתרחבת, עשרות אלפי מחשבים ביום ננעלים ע"י תוכנות כופר. לרוב מתקבלת הודעה למחשב האישי שדורשת תשלום כופר בעבור גישה לקבצים חיוניים בתמורה לתשלום כספי. ברגע זה המחשב הופך ל-" בן ערובה" בידי האקרים עצמאיים או האקרים ששייכים לארגוני פשיעה בינלאומיים. בדרך כלל ההתקפות הללו מגיעות מעבר לים כאשר סטטיסטיקה עדכנית לשנת 2015 מראה שהמוקד מגיע בעיקר מרוסיה, מאמריקה הלטינית ומסין.
בניגוד למתקפות הסייבר המוכרות לציבור כמו למשל וירוסים המופצים במטרה להשחית את המערכת ולגרום לה לנזקים או "סוסים טרויאניים", תוכנות כופר (Ransomware) מטרתן העיקרית היא להחזיק את המידע של המשתמש כ-"בן ערובה". מתוך הנחת יסוד סבירה שאנשים השקיעו זמן רב במידע המצוי במחשב ויש לו חשיבות כלכלית עצומה עבור המשך תפקודו של העסק.
איך זה קורה?
בפועל המהלך מתרחש ע'י החדרה של וירוס או תוכנה זדונית אחרת. משפחת ההאקרים מנצלים פרצת אבטחת מידע או חולשה או היעדר של מערכות אבטחת מידע (או חוסר תפקוד שלהן) ובמקום למחוק את המידע או להשחית אותו תוכנת הכופר בדרך כלל פשוט מצפינה את הקבצים במחשב, וחוסמת את הגישה אליהם ואז מתקבלת הודעה שדורשת תשלום בעבור שחרור הקבצים. הדרישה לתשלום לתוקף הינה על פי רוב באמצעות תהליך תשלום "מאובטח" כגון באמצעות שימוש באמצעי תשלום דוגמת-ביטקוין אמצעי זה מאפשר להאקרים לקבל תגמול כספי מחד ולשמר את אנונימיותם האבסולוטית מבלי שפרטיהם יהיו ידועים למשלם ו/או לרשויות אכיפת החוק.
התופעה של דרישת כופר מדאיגה ביותר, כאמור עשרות אלפי מחשבים ביום ננעלים ע"י תוכנות כופר. ואכן מדובר באירוע פלילי של סחיטה לכל דבר, פוטנציאל הפגיעה בעסקים/אנשים פרטיים הוא אינסופי,והשתלטותם וחדירתם בכוח של האקרים למחשבים מהווה גורם משמעותי שבפועל משבית תפעולית עשרות אלפי עסקים כיום עם פוטינציאל לפגיעה תפעולית ותדמיתית של מיליוני עסקים בעתיד.
כך תמנעו מראש מהמחשב להפוך לבן ערובה:
- גיבוי – זהו הפתרון היעיל ביותר . כדאי לגבות את המחשב / המידע החיוני בתדירות גבוהה. הגיבוי הוא קריטי במקרה של דרישת כופר וויראלי. כל עסק צריך להחליט על תדירות הגיבוי למשל באופן יומי או שבועי. המשמעות היא למעשה הגבלת הנזק עד למועד הגיבוי הטוב האחרון, תחת מצב חמור ביותר בו המידע העסקי אבד לעד או שחודשים או שנים רבות של עבודה ירדו לטמיון או נמצאות כ-"בני ערובה" בידי האקר או ארגון עברייני.
- מקורות לא ידועים – מומלץ שלא לפתוח דואר אלקטרוני ממקורות לא ידועים, מוטב שלא להוריד קבצים שמקורם זהותם של השולחים אינו ברור, ככל שהדבר אפשרי מוטב להימנע מגלוש באתרים שיכולים להיות זדוניים ולא להתפתות וללחוץ על קישורים לאתרים לא מוכרים. אין זה סוד שהאקרים רבים מתחזים ושולחים למשתמש, אימיילים, לינקים או קישורים בצורת הודעה תמימה. כל לחיצה על לינק כזה עשויה להפוך את המחשב לבן ערובה. לרוב אגב אלו נשלחים לכאורה מגוף מוכר אבל כזה שהמשתמש בכלל לא היה איתו בקשר וזוהי כמובן "נורה אדומה" משמעותית.
- אבטחת מידע– מומלץ לוודא שבכל עמדת מחשב בעסק מותקנים אמצעי אבטחת מידע עדכניים ותקינים ולבצע בדיקות פנימיות שאכן תוכנות כופר לא יכולות לפרוץ. מומלץ גם להטמיע פתרונות Endpoint Security וכמובן להגביל הרשאות למידע, להגביל הרשאות אדמיניסטרטור וכיו"ב.
- תרבות סייבר ארגונית – ההתייחסות בעסק לנושא ביטחון מידע צריכה להיות בראש סדר העדיפויות. כל עסק צריך להטמיע תרבות של התנהגות סייבר בארגון, וליידע את העובדים על האיומים השונים לרבות תופעת הכופר הוויראלי. מומלץ להגדיר מדיניות ברורה בעת שימוש ב-Outlook, כניסה למיילים וללינקים לא מוכרים אשר עלולים לנעול את הקבצים.
- לא לנהל מו"מ עם "טרוריסטים"- במידה והמחשב הותקף והתקבלה הודעה לתשלום כופר והמידע "ננעל" ההמלצה היא לא לשלם את תשלום הכופר אותו דורשים העבריינים. מדיניות שמוכיחה את עצמה כמעט תמיד היא Never to negotiate with terrorists – לא מנהלים מו"מ עם טרוריסטים. לרוב, התשלום שהאקרים דורשים עבור שחרור הקבצים הוא עשרות עד מאות דולרים לשחרור של מחשב, כיוון שלא מדובר על סכומים אסטרונומים אנשים נוטים פשוט לשלם כדי לשחרר את המידע שלהם. במידה ומחליטים לשלם (וזו החלטה לא מומלצת בכלל כאמור לעיל) מעבר לכך שאין כל בטוחה שאכן המידע ישוחרר לאחר התשלום, הרי שחשוב להקפיד לשלם באופן שלא חושף את המשתמש לעוד הונאות ולעוד "עוקצים", הרי מקבלי התשלום אינם נמנים על ל"ו צדיקים אלא מראש כבר ידוע שהם עבריינים שלא בוחלים בביצוע פשיעה חמורה. לדוגמא יש תוכנות שדורשות תשלום הכופר באמצעות מתן פרטי כרטיס אשראי או הקלדה באתר של פרטי PayPal וכו', זהו כמובן דבר שאסור לעשות בשום פנים ואופן ופתח להונאות נוספות וגניבת כספים בנוסף לנעילת הקבצים.
- חשוב לדעת שתמיד יש סיכוי שההאקרים לא ישחררו את המידע והקבצים או ידרשו תשלום כופר נוסף. ברוב המקרים גם לא מומלץ לנסות לפצח את ההצפנה, זה פשוט לרוב בלתי אפשרי בוודאי במשאבים של עסק פרטי או מיחשוב אישי – מרבית התוכנות הזדוניות עושות שימוש במפתחי הצפנה RSA ברמה 2048 ביט ואף הצפנות חזקות יותר, "ניחוש" או Brute Forcing הופך פשוט לבלתי אפשרי ובלי המפתח שנמצא אצל התוקף המאמץ לשחזור הקבצים לרוב פשוט לא יצלח ולכן העיקר צריך להתמקד במניעה, במודעות ובגיבוי המידע באופן איכותי, תדיר מספיק ומאובטח.
לסיכום, התופעה אינה מוגבלת רק למחשבים, שרתים, מחשבים ניידים וכו', אלא לאחרונה התחילה לתפוס תאוצה גם בטלפונים סלולריים ובפרט בסמארטפונים שרצים על מערכת ההפעלה Android.
התוקפים בדרך כלל בונים על נעילת קבצים אחרים שיש למשתמש בעיקר קשר רגשי אליהם וחוסר יכולת לשחזר. למשל תמונות, סרטונים (בהרבה מקרים יש תמונות של חבר, מכר או קרוב שנפטר או תמונות של גדילת הילדים וכיו"ב ואנשים מוכנים לשלם כדי לא לאבד את הזיכרונות האישיים החשובים) וכמובן גם אנשי קשר ולכן גם שם ההמלצות תקפות כולל גיבוי של הנתונים החשובים ועבודה עם בסיס נתונים ענן זמן-אמת שמגבה הכל בזמן אמת (כך שמייד מגובה כל איש קשר חדש או שינוי בקיים, מגובה כל תמונה חדשה שמצולמת, כל הגדרה של פרופיל וכיו"ב).