מהו משא ומתן עם האקר?
משא ומתן עם האקר הוא תהליך שבו צד מותקף, כגון ארגון או אדם פרטי, מנסה לתקשר עם תוקף סייבר (האקר)
כדי לנהל דיון לגבי תנאי שחרור מידע שנגנב, הסרת וירוס כופר שהושתל במערכת, או סיום מתקפה אחרת.
במקרים רבים, ההאקר דורש תשלום כופר בתמורה לשחרור המידע או להפסקת הפגיעה.
במצב כזה, המשא ומתן נועד להשיג תנאים נוחים יותר או לצמצם את הנזק האפשרי.
לדוגמה, ייתכן שמנסים להפחית את גובה הכופר, להשיג הוכחה לכך שההאקר באמת מחזיק במידע
או לגבות הבטחה שלא יפגע במידע נוסף.
משא ומתן עם האקר הוא תהליך מסובך ומלא סיכונים.
ההחלטה אם לנהל משא ומתן תלויה בגורמים רבים, כגון חומרת המתקפה, הערכות סיכון, שיקולים חוקיים וכלכליים.
יש להיעזר במומחים ולשקול כל צעד בקפידה, כאשר המטרה היא למזער נזקים ולהימנע מלהיכנס
למלכודת תקיפות עתידיות.
תהליך המשא ומתן עם האקר
תהליך המשא ומתן עם האקר הוא מורכב ומסוכן, ומחייב גישה זהירה ומושכלת.
התהליך מערב מגוון שלבים, שכל אחד מהם דורש שיקול דעת מקצועי ומודע לסיכונים.
להלן השלבים המרכזיים בתהליך המשא ומתן עם האקר:
זיהוי המתקפה והערכת הנזק
השלב הראשון הוא זיהוי סוג המתקפה שבוצעה, בין אם מדובר בכופרה (Ransomware), גניבת מידע (Data Theft),
או תקיפה מסוג אחר.
יש להעריך את היקף הנזק שנגרם, כולל:
אילו קבצים או מערכות הוצפנו או נפרצו.
סוג המידע שנגנב או הושחת.
ההשלכות הפוטנציאליות במקרה שהמידע ייחשף או שהמערכות יישארו נעולות.
הערכת הנזק חשובה כדי להבין עד כמה ניתן להתמודד עם המצב ללא כניעה לדרישות ההאקר,
כמו גם להערכת חשיבות המידע שנמצא תחת סיכון.
ניהול משא ומתן פנימי בארגון
בשלב זה, מקבלי ההחלטות בארגון (או הפרט שנפגע) צריכים להחליט אם לשקול בכלל לנהל משא ומתן עם ההאקר.
יש להיוועץ באנשי מקצוע, כגון מומחי סייבר, יועצים משפטיים, ומנהלי סיכונים, כדי לבחון את האפשרויות:
שימוש בגיבויים: האם יש גיבויים זמינים שיכולים להחזיר את המערכות לפעולה?
אופציות משפטיות: האם יש השלכות חוקיות לתשלום כופר? האם יש אפשרות להפעיל גורמי אכיפה או ביטוח סייבר?
קבלת החלטה אם לנהל משא ומתן
לאחר הערכת כל הגורמים, על הצד הנפגע להחליט אם הוא מעוניין להיכנס לתהליך משא ומתן עם ההאקר
או לבחור חלופות אחרות, כגון:
שחזור הנתונים מגיבויים.
פנייה לרשויות אכיפת החוק או לגורמים משפטיים.
פנייה לחברת אבטחת סייבר שתסייע בטיפול בתקיפה מבלי לשלם כופר.
אם הוחלט לנהל משא ומתן, חשוב לקבוע את המסגרת והכללים למו”מ.
פתיחת ערוץ תקשורת עם ההאקר
ברוב המקרים, ההאקר עצמו יספק אמצעי תקשורת (כגון דוא”ל או פלטפורמת מסרים מוצפנת) שבה ניתן ליצור איתו קשר.
כאן חשוב לשמור על קור רוח ולא למהר להיענות לדרישות מבלי להבין את הכוונות והמטרות של התוקף.
בשלב זה יש:
לבקש הוכחות לכך שההאקר באמת מחזיק במידע (אם מדובר בגניבה) או יכול לשחרר את ההצפנה
(אם מדובר בכופרה).
לשמור על טון מנומס, ישיר וללא איומים.
איומים מחמירים את המצב.
גיוס מומחי משא ומתן ואבטחת סייבר
כדאי להכניס לתהליך מומחי משא ומתן המתמחים בתקיפות סייבר, שיודעים לנהל תקשורת עם האקרים בצורה מקצועית.
מומחים אלה יכולים לעזור בהפחתת הסכום המבוקש או בניהול התהליך מבלי להגדיל את הסיכונים.
ניהול המשא ומתן
בשלב המשא ומתן עצמו, יש להקפיד על כמה עקרונות מרכזיים:
הימנעות ממחויבות מהירה: חשוב לא למהר ולהתחייב לתשלום לפני שמבינים את כל תנאי העסקה.
בחינת האקר לעומק: האם יש מידע נוסף על ההאקר? האם הוא חלק מקבוצה מוכרת?
היסטוריית המתקפות של ההאקר מסייעת להעריך את מידת האמינות שלו.
הפחתת דרישות: ניסיון להפחית את גובה הכופר, לקבוע תנאים ברורים למסירת המידע,
ולנהל משא ומתן על לוחות הזמנים יכול להקטין את הנזק.
קבלת החלטה סופית לגבי תשלום
אם התקבלו כל הפרטים הדרושים והצד הנפגע החליט לשלם, חשוב לבצע את התשלום בצורה בטוחה,
תוך שימוש בערוצים מאובטחים.
לרוב האקרים דורשים תשלום במטבעות קריפטוגרפיים, מה שמקשה על המעקב אחרי התשלום.
לפני התשלום יש לוודא כי:
יש בידכם הוכחה מספקת שההאקר יכול לעמוד בהתחייבויותיו.
ניתן לבצע את התשלום בצורה שלא תחשוף אתכם לעוד מתקפות.
ניטור ומעקב לאחר התשלום
גם לאחר תשלום הכופר ושחרור המידע או ההצפנה, יש לוודא שההאקר אכן מקיים את ההתחייבות שלו
ולא משתמש במידע בשנית.
שלב זה כולל:
ניטור שוטף של המערכות כדי לוודא שלא הושארו דלתות אחוריות שיאפשרו מתקפה נוספת.
עבודה עם מומחי אבטחת סייבר כדי לחזק את המערכות ולהקטין את הסיכוי לתקיפות עתידיות.
דיווח לרשויות הרלוונטיות, אם הדבר נדרש מבחינה חוקית.
הפקת לקחים ובניית מנגנוני הגנה עתידיים
בסופו של התהליך, חשוב להפיק לקחים ולהשקיע באבטחת המידע לעתיד:
יישום אמצעי אבטחת סייבר מתקדמים.
גיבוי תכוף של מידע חשוב.
הדרכת עובדים לזיהוי תקיפות פישינג ואיומים אחרים.
שיקולים עיקריים בניהול משא ומתן עם האקר
ניהול משא ומתן עם האקר הוא תהליך מורכב שמחייב קבלת החלטות מושכלת,
והתחשבות בשורה של שיקולים קריטיים.
משא ומתן עם האקר מציב אתגרים רבים ודורש שיקול דעת מושכל.
החלטות בנוגע לתשלום כופר, מעורבות רשויות, הערכת הנזק והפעלת מומחים מקצועיים חייבות להיעשות בזהירות רבה
תוך הבנת כל הסיכונים הכרוכים בכך.
המטרה הסופית היא למזער את הנזק ולהבטיח את ההגנה העתידית על המידע והמערכות.
להלן השיקולים העיקריים שיש לקחת בחשבון בניהול משא ומתן עם האקר:
חוקיות
במדינות רבות, תשלום כופר לאקרים עלול להיות בלתי חוקי, בייחוד אם ההאקר משתייך לארגון טרור
או אם יש חשש שהכופר ישמש למטרות בלתי חוקיות נוספות.
תשלום כופר עלול לחשוף את הארגון או הפרט להשלכות משפטיות ואף לעבירה פלילית.
חשוב להיוועץ ביועץ משפטי לגבי החוקים החלים במדינה הרלוונטית לפני קבלת החלטה.
עידוד תקיפות עתידיות
תשלום כופר משדר מסר להאקרים שאסטרטגיית הסחיטה שלהם עובדת, וכך מעודד תקיפות נוספות בעתיד.
ההאקר עצמו ואחרים במרחב הסייבר רואים את התשלום כאות לכך שאפשר לפגוע שוב באותו ארגון או באחרים.
יש לזכור כי תשלום כופר מסייע בהפיכת מתקפות הכופרה למודל עסקי רווחי עבור ההאקרים.
חוסר ודאות
גם אם תשלום הכופר נעשה במלואו, אין כל הבטחה שההאקר יעמוד במילתו וישחרר את המידע או יפסיק את התקיפה.
ייתכן שהוא ישמור לעצמו עותקים של המידע, ימכור אותו לגורמים אחרים, או ידרוש כופר נוסף בעתיד.
לעיתים קרובות, האקרים אינם מקיימים את הבטחותיהם, ולכן הסיכון כאן הוא משמעותי.
נזק תדמיתי
ניהול משא ומתן עם האקר ושקילת תשלום כופר עלולים לגרום לנזק תדמיתי משמעותי לארגון,
בייחוד אם המידע שנגנב כולל נתונים רגישים של לקוחות או משתמשים.
אם הציבור או השותפים העסקיים יגלו שהארגון שילם כופר להאקר, הדבר עלול לפגוע באמון שלהם
בארגון וביכולות האבטחה שלו.
היקף הנזק והסיכון
בניהול משא ומתן יש להעריך את הנזק שעלול להיגרם אם לא יתקיים שיתוף פעולה עם ההאקר.
יש לשאול שאלות כמו:
האם מדובר במידע רגיש מאוד, כמו נתונים אישיים, קניין רוחני, או סודות מסחריים?
מה הנזק האפשרי במקרה שהמידע ייחשף או יימכר לגורמים עוינים?
האם ניתן לשחזר את המידע מגיבויים או חלופות אחרות, ולהימנע מלשלם כופר?
מעמד ההאקר ומטרותיו
חשוב להבין מול מי עומדים.
לא כל ההאקרים פועלים מתוך מניעים כספיים – חלקם מונעים מאידיאולוגיה או רצון לגרום לנזק.
ניסיון להבין את המניעים של ההאקר יעזור לגבש אסטרטגיה טובה יותר למשא ומתן.
במקרים מסוימים ניתן לאסוף מידע על ההיסטוריה של קבוצות האקרים מסוימות – למשל,
האם הן ידועות כקבוצות שמכבדות הסכמים או שנוטות להמשיך את הסחיטה גם לאחר תשלום הכופר.
משא ומתן כחלק מאסטרטגיה כוללת
ניהול המשא ומתן עם האקר הוא חלק מאסטרטגיה רחבה יותר שמטרתה לקנות זמן או לצמצם נזקים
תוך כדי עבודה על פתרון טכני, כמו שחזור מערכות מגיבויים או פנייה לרשויות אכיפת החוק.
משא ומתן מעניק זמן יקר שמאפשר לארגון לגבש תוכנית פעולה ולהתאושש מההתקפה.
זמינות מומחי סייבר ואבטחה
לפני כניסה למשא ומתן, חשוב להיעזר במומחים לאבטחת סייבר ובמומחי משא ומתן המתמחים בתחום התקפות הסייבר.
מומחים אלה יכולים לספק כלים וטכניקות לניהול התהליך בצורה בטוחה ויעילה, כמו גם לעזור לאתר פרצות במערכות
ולהעריך את הנזק המלא.
חברות סייבר מספקות תמיכה מקצועית או שירותים שיכולים לסייע בניהול המשא ומתן.
פנייה לרשויות החוק
מומלץ לפנות לרשויות אכיפת החוק המקומיות או הגלובליות המתמחות באיומי סייבר, כגון FBI בארה״ב
או ה-CERT במדינות אחרות.
גורמים אלו יכולים לסייע בניהול החקירה ולתת ייעוץ האם מומלץ או לא לשלם את הכופר.
האקרים יפסיקו לשתף פעולה אם הם יגלו מעורבות של רשויות החוק, ולכן יש לשקול את התזמון המתאים למהלך כזה.
הדרכה והיערכות עתידית
אם הוחלט לשלם כופר או לנהל משא ומתן, חשוב להבטיח שהארגון או הפרט ילמדו מהאירוע וישקיעו בהגנות
טכנולוגיות ואמצעי אבטחה לעתיד.
חיזוק מערך האבטחה יכול למנוע מתקפות עתידיות ולצמצם את הסיכון לאיומים דומים בהמשך.
מה לא לעשות בניהול משא ומתן עם האקר?
כשמנהלים משא ומתן עם האקר, ישנם כמה דברים חשובים מאוד שלא לעשות,
כדי להימנע מהחמרת המצב או מעשיית טעויות אסטרטגיות.
הנה כמה מהדברים שאסור לעשות:
לא למהר לשלם כופר
תשלום מהיר להאקר מבלי לבחון את כל האפשרויות או להתייעץ עם מומחים עלול להוביל לנזקים נוספים.
אין כל ערובה לכך שההאקר יעמוד במילתו לאחר קבלת הכופר, ושינוי גישה מהיר יכולה לשדר להאקר
חולשה שעלולה להוביל לדרישות נוספות בעתיד.
לא להתנהל בפאניקה או מתוך לחץ
האקרים ינסו לעיתים להלחיץ את הקורבנות על ידי קביעת לוחות זמנים קצרים או איום בהחמרת המצב
(כגון פרסום המידע או נזק נוסף למערכות).
חשוב להימנע מלקבל החלטות חפוזות או פזיזות.
יש לקחת זמן לחשוב, להתייעץ, ולהגיב בצורה מתוכננת ומחושבת.
לא להתעלם מהמקרה או להעלים עין
התעלמות מהמצב בתקווה שהבעיה “תיעלם” לא תפתור את הבעיה.
האקרים לרוב לא יוותרו ויגבירו את הלחץ.
ניהול משא ומתן מתנהל באופן שבו יש להתעמת עם המצב ישירות ולבצע הערכת סיכונים מפוכחת.
לא לחשוף יותר מידע ממה שצריך
בעת ניהול משא ומתן, יש להיזהר לא לחשוף פרטים נוספים שההאקר יכול להשתמש בהם נגדכם.
פרטים רגישים כמו מבנה הארגון, מערכות ההגנה, פרטים אישיים של עובדים או גישה לחשבונות פיננסיים
יכולים לשמש את ההאקר לנזקים נוספים.
לא לאיים על ההאקר
איומים או ניסיונות להפחיד את ההאקר באמצעות הרשויות עלולים להחמיר את המצב.
האקרים יכולים להגיב באגרסיביות, כגון מחיקת המידע, העלאת דרישות הכופר, או פגיעה נוספת במערכות.
אם מחליטים לערב את רשויות אכיפת החוק, יש לעשות זאת בצורה אסטרטגית ושקטה
מבלי לאיים על ההאקר באופן ישיר.
לא לנהל תקשורת לא מאובטחת
תקשורת עם האקר צריכה להיות באמצעות ערוצים מאובטחים ומוצפנים.
שימוש במיילים רגילים או בתקשורת ציבורית עלול לחשוף מידע נוסף או לאפשר להאקר לנטר את התקשורת.
יש להשתמש בערוצי תקשורת מוצפנים ולוודא שכל השיחות מנוהלות בצורה מאובטחת.
לא לשכוח לערב מומחים
ניהול משא ומתן מול האקר הוא תהליך מורכב וטכני, וללא ידע מקצועי עלולים להיעשות טעויות חמורות.
חשוב לערב מומחים לאבטחת סייבר ומומחי משא ומתן בעלי ניסיון בניהול סיטואציות כאלה.
הם יכולים להעריך את המצב, להציע אסטרטגיות, ולספק פתרונות טכנולוגיים שיכולים להציל את המצב
מבלי להיכנע לדרישות הכופר.
לא להסתמך על הבטחות ריקות
האקר יכול להבטיח שלא יעשה שימוש במידע שנגנב לאחר קבלת התשלום, אך אין דרך אמיתית לוודא זאת.
גם אם הושג הסכם לשחרור המידע, יש לזכור שההאקר יכול להחזיק עותקים נוספים של המידע
ולעשות בו שימוש או למכור אותו בעתיד.
לא להפר את חוקי הארגון או החוק המקומי
בחלק מהמקרים, תשלום כופר לא תואם את המדיניות הארגונית או עלול להיות מנוגד לחוק.
יש להיזהר מלהיכנס למלכודות משפטיות או לבעיות אתיות בנוגע להתנהלות מול האקרים.
במקרים כאלו, ייעוץ משפטי הוא קריטי.
לא להזניח את האבטחה לאחר המשא ומתן
גם לאחר שהבעיה נפתרת, יש סיכון רב לכך שההאקר או אחרים ינסו לתקוף שוב.
לכן חשוב מאוד לאחר האירוע לבדוק את כל מערכות האבטחה, לעדכן סיסמאות, לוודא שאין “דלתות אחוריות”
שהושארו על ידי התוקף, ולבצע בדיקות מקיפות כדי לחזק את ההגנות לעתיד.
סיוע של חברת סייבר בניהול משא ומתן עם האקרים
סיוע של חברת סייבר במשא ומתן עם האקר יכול להיות חיוני בתהליך של תקיפה סייבר.
חברות סייבר מתמחות בניהול אירועים כאלה ומציעות מספר שירותים שיכולים לסייע:
הערכת המצב והנזקים: החברה תבצע ניתוח של מהות התקיפה, היקף הנזק,
ואילו מערכות או נתונים נפגעו או נשלטים על ידי ההאקר.
ייעוץ משפטי ורגולטורי: חברות סייבר עובדות לעיתים קרובות בשיתוף עם יועצים משפטיים
כדי להבטיח שהתגובה לתקיפה עומדת בדרישות החוק והתקנות המקומיות והבינלאומיות,
כולל חוקים לגבי הגנה על פרטיות נתונים.
ניסיון מו”מ: לחברות סייבר יש מומחים למשא ומתן עם האקרים, שמכירים את הטקטיקות והטכניקות הנפוצות.
המטרה היא לנהל את המו”מ בצורה המקטינה את הסיכון ומביאה להשבת הנתונים הגנובים.
שירותי תיווך ושמירה על אנונימיות: חברה תוכל לפעול כמתווך בין העסק להאקר, תוך שימוש בכלים שמבטיחים
את האנונימיות של הצדדים, כדי למנוע סיכון נוסף לעסק.
מניעת תשלום כופר אם אפשר: במקרים רבים חברות סייבר ינסו למצוא דרכים להחזיר את השליטה במערכות
מבלי לשלם את הכופר, לדוגמה על ידי שחזור גיבויים או תיקון הפגיעות במערכת.
סיוע בתגובה לאירוע והחזרת המערכת לתפקוד: החברה תסייע בזיהוי פרצות האבטחה ותציע צעדים לתיקונן
ולהבטיח שהמקרה לא יחזור על עצמו.
במקרים של תקיפות חמורות כמו תקיפות כופרה, מעורבות של חברה מקצועית יכולה להיות קריטית
לצמצום נזקים ולניהול המשבר בצורה יעילה.