כך תתגוננו ממתקפות כופר בארגונים גדולים

חברות גדולות בארץ ובחו"ל נפלו בשנה האחרונה קורבן למתקפות כופר קשות. זכיינית הטלוויזיה רשת גילתה שהפרקים הבאים של "הישרדות" ו"המירוץ למיליון" הפכו לבלתי נגישים במחשביה, עקב מתקפה כזאת. חברת ורינט חוותה מתקפה מזיקה עוד יותר, כאשר תוכנת כופר השתלטה על מערכות פנימיות רבות שלה והתוקפים דרשו מיליוני דולרים כדי לשחררן. תאגידים נוספים, מפעלים ורשויות מוניציפליות בארץ ובחו"ל נפלו גם הן קורבן למתקפות כופר, שבניגוד לשמועות – לא רק שאינן 'יוצאות מהאופנה' בקרב ההאקרים, אלא דווקא משתכללות ונעשות קטלניות יותר.

"כיום הפוקוס הוא על חברות וארגונים בינוניים וגדולים. רמת התחכום, הן של המתקפה והן של הנוזקה, עלתה משמעותית", אומר אמיר כרמי, מנהל הטכנולוגיות בחברת אבטחת המידע ESET בישראל. "ההתקפות של היום הרבה יותר ממוקדות. פעמים רבות מתבצע איסוף של מודיעין לפני המתקפה, ונעשית פעולת פישינג ממוקדת. כשהמתקפה יוצאת לפועל יש חברות שנכנעות ומשלמות את הכופר. אחרות בוחרות לא לשלם, אלא להקים מחדש את תשתית המחשוב, כאשר המשמעות היא ספיגת נזקים משמעותיים. לכן חשוב שיהיו לארגון תכניות מוגדרות של ניהול סיכונים, עמידות והתאוששות מאירועי סייבר באופן כללי, ומתקפות כופר בפרט, שהן שונות במהותן ממרבית סוגי התקפות הסייבר".

אז כיצד יכולים ארגונים להתמודד כיום עם בעיית הכופר? אין לכך תשובה פשוטה, מכיוון שאבטחת מידע היא תמיד משחק של חתול ועכבר, שכל הזמן מתפתח ומשתנה. גם השקעה גדולה במערכות אבטחת מידע לא מבטיחה חסינות מוחלטת. עם זאת, ישנם כללים שיכולים להפחית משמעותית את הסיכון. אלו כמה מהם:

1. התקנת מערכות הגנה, מנגנון אנטי-ספאם ועדכוני אבטחה
על הארגון לוודא שעל מערכת המחשוב שלו מגינות מערכות אנטי-וירוס ופיירוול מתקדמות, המסוגלות לענות על איומי Zero Day. במחשבים ניידים שיוצאים מהרשת יש להתקין פיירוול ייעודי, שיגן עליהם מחוצה לה. יש צורך גם במנגנון אנטי-ספאם מערכתי, שמסוגל לעצור מיילים חשודים לפני שיגיעו לתיבות הדואר של העובדים. את עדכוני האבטחה של מערכת ההפעלה יש להתקין במהרה, רצוי אוטומטית, וכך גם עדכונים של תוכנות צד שלישי כגון Java ו-Adobe Flash/Reader.
"אין לסמוך על פתרון מחשוב שטוען להרמטיות", אומר אמיר כרמי, "יש כיום ונדורים שמצהירים שהפתרון שלהם הוא פתרון קסם שידע להתמודד עם הכל ולעצור כל מתקפה. חשוב להבין שאין ולא יכול להיות דבר כזה. לכן מומלץ להשתמש במוצרים שעובדים עם שכבות אבטחה מרובות, שיודעות להתמודד ולעצור התקפות מווקטורים שונים – כאלו מחוץ לארגון או כאלו מתוכו".

2. חפיפת העובדים על סכנות ברשת
על הארגון להבין שעובדיו הם חלק בלתי נפרד ממערך ההגנה. עליו ליישם תכנית מודעות מקיפה לאבטחת מידע, שתכלול הדרכות, עדכונים ואפילו מבחנים בנושא. עובדים שמכירים את הסכנות ואת כללי האבטחה יהיו פחות מועדים לפורענויות, כגון לחיצה על לינקים לא מוכרים בהודעות אי-מייל מסתוריות שמגיעות אליהם. יש להבהיר לעובדים שאסור להם לחבר למחשבי העדכונים התקנים חיצוניים פרטיים, דוגמת דיסק און קי.

3. גיבוי חיצוני למסמכים והקבצים החשובים ברשת
במהלך ניסיון ההצפנה של תוכנת הכופר ינסו התוקפים גם להצפין גיבויים שמאוכסנים על התקנים המחוברים פיזית לשרתים, לכן חשוב לגבות על התקנים שאינם מחוברים באופן רציף לשרתים, וכן על שירות ענן.

חברה גדולה – נזק גדול

ככל שהחברה גדולה יותר – כך גדל גם פוטנציאל הנזק, שנאמד לעתים בעשרות מיליוני דולרים. במקרים הלא נדירים בהם בוחרת החברה להקים מחדש את כל תשתית המחשוב שלה – ההפסד הוא משולש: אובדן מידע, זמן ההשבתה וזמן הבנייה מחדש. לחברות ציבוריות המשמעות היא גם צניחה תלולה בשווי המניה.

גם חברה שבוחרת לשלם לעבריינים נשארת עם בעיה משמעותית: עדיין קיים פוטנציאל לנוכחות זרה ומסוכנת במערכות המחשוב, ולכן ייתכן שגם לאחר שחרור הנעילה תבחר החברה להתקין את מערכותיה מחדש, בצורה נקיה, מה שיביא לעלויות גבוהות נוספות. כמו כן, חברה שמשלמת את הכופר הופכת למטרה גדולה יותר עבור תוקפים, שיודעים שהתקפה מוצלחת על אותה חברה תוביל בסבירות גבוהה לתשלום בפועל. 

את המדריך המלא להתגוננות ארגונים מתוכנות כופר ניתן להוריד כאן