המדינה: דווחו על מתקפת כופרה – וזכו להגנה מפני אחריות פלילית

הצוות לאבחון ולטיפול בנושא פשיעה והונאות במרחב הדיגיטלי פרסם היום (ד') את המלצותיו לגיבוש מדיניות להתמודדות עם מתקפות כופרה. בין ההמלצות: גופים פרטיים שידווחו על מתקפה לפני שישלמו את דמי הכופר יזכו להגנה מפני אחריות פלילית וגופי ממשלה יידרשו לאישור משפטי בדרג גבוה בטרם העברת תשלומי כופר.

ההמלצות מתבססות על עלייה ניכרת – הכפלה ואף יותר מכך – שחלה, לפי ההערכות, בין 2019 ל-2020 הן בהיקף הנפגעים ששילמו תשלומי כופר בעקבות מתקפות כופרה, והן בסכום דמי הכופר הממוצעים ששולמו. בישראל נרשמה בתקופה האמורה עלייה של 50% בהיקף מתקפות הכופרה שדווחו. נתונים אלה נמוכים באופן ניכר מנתוני האמת לגבי המתקפות בפועל.

"תשלום כופר", נכתב בהמלצות, "הוא פעולה בלתי רצויה, שכן הוא לא מסייע בהשבת המצב לקדמותו ועלול לסמן את המותקף כיעד למתקפות נוספות, לסייע לתוקפים במימון פעולות בלתי חוקיות נוספות. במקרים רבים, התוקפים הם עבריינים שעלולים להדליף או למכור את המידע, גם אם הם קיבלו את תשלום הכופר". עם זאת, חברי הצוות הגיעו למסקנה שאין מקום להטיל איסור גורף על תשלום כופר, גם במקרים שבהם המתקפה מכוונת כלפי גופי ממשלה, תשתיות קריטיות, חברות ציבוריות ועוד.

ההמלצות ביחס לגופים פרטיים ולגופי מדינה

ביחס לגופים פרטיים שהותקפו, קובעים חברי הוועדה כי "במקרה מתקפה יש לדווח לאלתר על המתקפה והתשלום, אם בוצע, לרשויות המדינה הרלוונטיות; ויש להביא לידיעת הציבור שבנסיבות מסוימות תשלום דמי כופר עלול לגבש נגד המשלם אחריות פלילית, בין היתר בגין מימון טרור או הלבנת הון, לצד הסיכון לעבירה על הוראות OFAC במישור הבין לאומי". הצוות ממליץ לשקול תנאים שבהם הסיכון לאחריות פלילית יצומצם, אם הגוף המותקף ידווח על המתקפה עוד בטרם התשלום לרשויות האכיפה והרגולטורים.

באשר לגופי מדינה שהותקפו בכופרה, נכתב בהמלצות כי "בעצם התשלום משמעותו עלולה להיות שהמדינה תהיה מעורבת בדבר עבירה. יש לשקול קבלת אישור מוקדם מגורם משפטי בכיר לאחר התייעצות עם גופי הגנת הסייבר וגופי הביטחון או האכיפה הרלוונטיים; ויש לחייב את משרדי הממשלה לדווח לגופים הרלוונטיים במקרה של מתקפת כופרה".

בקשר לאיסור פרסום אודות המתקפות, קובע הצוות ש-"מנגנון איסור הפרסום שבחוק הישראלי מספק תוצאה טובה ויש לשקול להכילו גם על מתקפות כופרה".

"יש לגבש מדיניות ממשלתית כוללת בנושא מתקפות הכופרה"

עו"ד ערן דוידי, מנכ"ל משרד המשפטים, שעומד בראש הוועדה להתאמת המשפט לאתגרי החדשנות והאצת הטכנולוגיה, ושמינה את צוות הבדיקה, אמר כי "האצת הטכנולוגיה מביאה עימה אתגרים רבים, בהם מתקפות הכופרה, המהוות כיום את אחד מאיומי הסייבר הגדולים העומדים לפתחנו. מספרן ההולך וגדל של מתקפות אלה מחייב אותנו לגבש מדיניות ממשלתית אחידה וכוללת, שתספק מענה בזירות הפליליות, המיסוייות והרגולטוריות".

הצוות התבקש למפות את תופעת ההונאות במרחב הדיגיטלי ולהמליץ על תכנית לגיבוש מדיניות להתמודדות עם מתקפות כופר. בראשו עמד ד"ר חיים ויסמונסקי, מנהל מחלקת הסייבר בפרקליטות המדינה, והוא כלל נציגים של משרד המשפטים, מערך הסייבר הלאומי, הרשות להגנת הצרכן וסחר הוגן, הרשות לאיסור הלבנת הון ומימון טרור, רשות המיסים ומשטרת ישראל. במסגרת עבודת הצוות, התבצעה סקירה משווה לנעשה בתחום בעולם, ונמצא כי נכון להיום אין מדינה שגיבשה מדיניות מוכללת להתמודדות עם תופעת מתקפות הכופרה, על אף שמדובר בתופעה נפוצה מאוד, שגורמת נזק בהיקף עצום לארגונים רבים.