מערך הסייבר הלאומי מציג: כך תתגוננו מתקיפות כופרה

בעקבות העלייה בהיקף ובחומרת מתקפות הכופרה בתקופה האחרונה, השיק היום מערך הסייבר הלאומי קמפיין נרחב להעלאת המודעות של הציבור, ובעיקר של עסקים, למשמעויות התקיפה ולדרכים להתגונן מפניה.

הקמפיין מבוסס על עדויות ומקרים אמיתיים של עסקים שהותקפו במתקפת כופרה וחוו נזקים משמעותיים – אובדן ימי עסקים, עלויות שחזור, אובדן מידע על לקוחות ואי יכולת לחייב תשלומים. בעלי העסקים שהשתתפו בתשדיר, חלקם בשמם המלא, הסכימו לחשוף את הסיפור שלהם כדי לסייע לעסקים אחרים להיערך מראש ולהתגונן מבעוד מועד.

מתקפת כופרה, לרוב למטרות סחיטה פיננסיות, נועלת ומצפינה את המידע על מערכות המחשב ודורשת סכום לשחרורו. מניתוח מתקפות הכופרה שדווחו למערך עולה, כי הן החלו לרוב באמצעות שליחת דוא"ל עם הודעת דיוג או באמצעות חדירה דרך ממשקים חשופים לרשת האינטרנט, בפרט ממשקי גישה מרחוק כגון RDP או ציודVPN  ארגוני, וכן שרתי Web. שיטה נוספות שנצפתה היא ניצול נקודת תורפה בספק שמחובר ללקוחותיו והתפשטות ממנו הלאה.

"לא רק שתקיפות כופרה הפכו נפוצות יותר, הן גם נהיו בוטות ונועזות יותר", מסביר יובל שגב, ראש מרכז טכנולוגיות מתקדמות במערך הסייבר הלאומי. "תוקפים לא רק מצפינים את מערכות המחשוב הארגוניות, אלא גם גונבים את המסמכים והמידע ומאיימים לפרסמם ברשת. ארגון שכבר הותקף ולא נערך מראש עם גיבוי יעיל  יתקשה מאוד להתאושש. בנוסף, רוב מתקפות הכופרה שראינו בארץ היו יכולות להימנע באמצעות פעולות הגנה בסיסיות".

המענה למתקפות מסוג זה, מסבירים במערך הסייבר, הוא בעיקר ביצוע גיבויים עיתיים וסגירת חולשות, אך לא רק. לדברי ארז תדהר, מנהל אגף CERT במערך הסייבר הלאומי, "מאירועי הכופרה שהתקבלו אצלנו ניתן לראות, כי חברות המסתמכות על גיבויים בלבד, ללא סיוע של חברות לטיפול באירוע (IR), מוצאות עצמן מתגלגלות בתוך תקיפת כופרה זמן ממושך יותר, דבר המוביל להפסד כספי אדיר".

במערך פרסמו מדריך ייעודי לאזרח, לעסקים קטנים ולארגונים גדולים. בנוסף, מעמיד המערך מענה לציבור בחיוג ישיר 119. במערך ממליצים להיעזר באיש/אשת מקצוע וחברות סייבר לתכנון ולהטמעה של שיטות ההגנה המתאימות לארגון.

המערך מציין חמישה צעדים פשוטים להגנה מבעוד מועד ולצמצום הסיכוי להיפגע ממתקפת כופרה:

צמצום משטח חשיפה וסגירת ממשקים לא נחוצים – מומלץ להשתמש בממשקים מאובטחים לגישה מרחוק – טכנולוגיית VPN משולבת במנגנוני הזדהות חזקה – דו-שלבי ואף רב-שלבי – במיוחד לאור המעבר לעבודה מרחוק.

לשים לב למתחזים בדוא"ל ולהודעות דיוג – אם יש לכם ספק, צרו קשר ישירות עם השולח באמצעי תקשורת אחר. כדאי לשים לב גם לקבצים המצורפים בדוא"ל. במקרה שהיישום או מערכת ההפעלה מתריעים מפני חשד לשימוש לא ראוי בצרופות, לא לאשר את פתיחת הקובץ ובמיוחד בסיומות הבאות: EXE, VBS, SCR. כמו כן, יש להיזהר מסיומות כפולות, כגון AVI.EXE, DOC.SCR, המנסה להסוות קבצים זדוניים.

תוכנות הגנה בסיסיות וסגירת חולשות – התקינו תוכנות אנטי וירוס ו"חומת אש" והגדרת עדכוני תוכנה אוטומטיים לכל המערכות הטכנולוגיות בארגון. מומלץ לתעדף במיוחד סגירת חולשות חמורות ונפוצות שעליהן מתריע מערך הסייבר.
גיבויים – בתקיפה מסוג כופרה, שחזור המידע מגיבוי יסייע להתאושש במהירות יחסית ולחזור לתפקוד. גיבוי הוא עותק המידע הדיגיטלי שאינו מאוחסן על המחשב אלא במיקום נפרד. בגיבוי בתוכנת ענן, מומלץ להגדיר אימות דו-שלבי.

הכנת תוכנית פעולה למקרה של תקיפה – היערכות מבעוד מועד תסייע בצמצום וניהול נכון בעת משבר, ובכלל זה התקשרות עם חברת IR, שתאפשר לזהות את נתיב התקיפה ולנקות את רשת המחשוב או התשתיות שהודבקו לפני השחזור מהגיבויים כדי למנוע הישנות התקיפה לאחר ההתאוששות.

במקרה של מתקפת סייבר ניתן לדווח גם באופן אנונימי למערך הסייבר הלאומי בחיוג חירום 119.