ה-ICO (משרד נציב המידע), רשות עצמאית שהוקמה בבריטניה כדי לשמור על הזכויות למידע והגנת פרטיות שפועלת בקשר עם המשרד הממשלתי לדיגיטל, תרבות, מדיה וספורט¹. גוף זה משמש כרגולטור עצמאי בתחומי הגנת מידע וחופש מידע, עם אחריות מרכזית על-פי חוק הגנת הנתונים 2018 (DPA) וחוק חופש המידע 2000 (FOIA). כמו-כן, גוף זה מחזיק במספר תפקידים רגולטוריים סטוטורים נוספים. על-רקע עליה חדה בהתקפות כופרה, שהופכות יותר ויותר מזיקות - מגמה שצפויה להימשך, פרסמה לאחרונה הנחיה בנושא "כופרה (ransomware) וציות לאבטחת מידע"². ההנחיה, הערוכה כשמונה תרחישים לאירועי סייבר, מציגה את הפרשנות של ICO לאירועים האלה ומציעה דרכים לצמצום סיכוני כופרה. ונזכיר כי רק לפני כמה חודשים התבשרנו על התקפת כופרה הגדולה ביותר בארה"ב (על חברת קולוניאל פייפליין) שגרמה לשיבובים בתחבורה האווריית היבשתית במספר מדינות בארה"ב ואילצה את הממשל הפדרלי, בין היתר, להשתתף במימון תשלומי הכופר לפצחנים. להנחיה זו של ICO, אף שאינה מחייבת מבחינה משפטית, יש השפעה רבה כיוון שהיא משמשת את ה-ICO ככלי בבואו לבחון הטלת צעדי אכיפה נגד גופים המגישים הודעות על הפרת מידע הנובעות מתקריות כופר. להלן עיקרי הנחיה:

תרחיש 1: תחכום התוקף

התקפות בסגנון 'אקדח פיזור' (Scatter gun) הנן שיטת התקפה נפוצה. זהו סוג של תקיפה שאין להן מטרה ספציפית. לדוגמה, התוקף עשוי לשלוח אלפי הודעות דיוג (Phishing) בניסיון להדביק לפחות קורבן אחד, יהיה אשר יהיה, בתוכנת הכופרה. לאור זאת חברות קטנות ובינוניות צריכות לשקול השגת הסמכת Cyber Essentials על-ידי המרכז הלאומי לאבטחת סייבר ("NCSC") על-מנת להגביר את יכולות ההגנה שלהם מפני התקפות שכיחות אלה. באשר לארגונים גדולים יותר, ממליצה ICO ליישם גם את תקן ISO27001 לניהול אבטחת מידע.

תרחיש 2: פריצה לנתונים אישיים

חוק אבטחת המידע הבריטי מטיל על ארגונים בהם בוצעה התקפת סייבר בכלל, והתקפות כופרה בפרט, אחריות לקבוע האם האירוע הביא לפגיעה בנתונים אישיים. יש לקחת בחשבון שמבחינת הרגולטור, גם אובדן זמני של גישה לנתונים אישיים, כגון עקב כך שהנתונים הוצפנו ו/או כיוון שנדרש זמן כדי לשחזר גיבוי, הנו אקט שמהווה פגיעה בפרטיות. מצב שכזה של אובדן גישה לנתונים אישיים מהווה פגיעה במידע אישי. עם זאת אין בכרח חובת לדווח על האירועים האלה ל-ICO בכל פעם שמתרחשת בפגיעה בנתונים אישיים.

תרחיש 3: הודעות על הפרה

קיימת חשיבות לערוך מבדקי חדירה וזליגת מידע בעת עריכת הערכת סיכונים לאחר התקפת כופרה. כמו-כן יש לבחון בעת סקירת הסיכונים לאחר אירוע כופרה, האם נלקחה בחשבון ההנחה שהנתונים הוצאו מהארגון על-ידי האקר. ארגון שדיווח במהלך התקפת הסייבר שלא הוצאו נתונים, צריך לקחת בחשבון שה-ICO יצפה בלוגים (רג'סטרי) של מערכת ה IT שלהם כדי לאמת זאת. אם לא ניתן לבצע בדיקה שכזו עשוי ה-ICO לבסס את קביעתו על נסיבות ההתקפה [זהות האקר ומאפייני התקיפה] כדי לקבוע אם היה להאקר "אמצעים, מוטיבציה והזדמנות" לגנוב נתונים אישיים ממערכת המחשב.

תרחיש 4: אכיפת החוק

ה-ICO ממליץ לנפגעי כופרה לפנות לרשויות אכיפת החוק (כגון Action Fraud או המשטרה) במקביל להודעות שנקבעו במסגרת חוק אבטחת מידע (ה-GDPR של בריטניה) או חוקים אחרים.

תרחיש 5: טקטיקות, טכניקות ונהלים של תוקף

הנחיה מסכמת את הטקטיקות, הטכניקות והנהלים הנפוצים ביותר (TTPs) בהם עושים פצחנים שימוש כדי להשיג גישה למערכות IT ולחבל/לגנוב נתונים. רשימה זו מספקת גם צעדים שארגונים צריכים לנקוט כדי לצמצם את הסיכונים בתחום זה, כדלקמן: · פישינג (Phishing) - ההנחיה ממליצה שאסטרטגיית האבטחה של הארגונים תבטיח שצוות העובדים יקבל הכשרה מתאימה למודעות וזיהוי התקפות. · גישה מרחוק (Remote access) - נקודת הכניסה הנפוצה ביותר לרשת היא אמצעי גישה מרחוק שניתנת לניצול. ה ICO ממליץ לגורמים המקצועים להעריך ולתעד את פתרון הגישה מרחוק שלהם, וכן לזהות את האמצעים המתאימים בתגובה לסיכונים ולתעד זאת במדיניות גישה מרחוק (Access Control Policy). · פגיעה בחשבון מועדף (Privileged account compromise) - ה-ICO ממליץ שבדיקת האבטחה של החשבונות המועדפים תהא בעדיפות גבוהה. מומלץ לבצע הערכות סיכונים וביקורות על הרשאות, וכן להעדיף להגביל עד כמה שניתן את ההרשאות.

תרחיש 6: התאוששות מאסון

גיבוי נתונים זו אחת הבקרות החשובות ביותר לצמצום סיכוני סייבר, ובראשם כופרה. זאת כיוון שפצחנים מנסים לעתים קרובות למחוק או להצפין גיבויים. ההנחיות ממליצות לבצע ניתוח איומים של פתרון הגיבוי כדי להבטיח שתוכנית ההתאוששות מאסון שנקבעה יעילה, תוך התחשבות בשאלות הבאות: · האם הגיבוי מופרד ממערכת IT או שהוא לא מקוון (offline)? · מה צריך התוקף לעשות כדי לקבל גישה לגיבוי? · האם הארגון מסוגל לזהות שינויים בגיבוי? · איזה מכשיר או כתובת IP או שניהם יכולים לאפשר גישה למאגר הגיבוי? · כיצד הארגון יגיב אם תוקף ימחק או יצפין את הגיבוי?

תרחיש 7: תשלום כופר

ה-ICO אינו מעודד או מסכים לתשלום דרישות כופר. גם כאשר התשלום מתבצע והנתונים שוחזרו או לא נחשפו בפומבי. יש לזכור כי כלל ה-ICO ישקול את אירוע הסייבר בפני עצמו כהפרה של אבטחת מידע והגנת הפרטיות. ארגונים חייבים ליישם "אמצעים מתאימים" לשחזור הנתונים במקרה של אסון, כאשר תשלום כופר לא נחשב על-ידי ה ICO כאמצעי מתאים. גם אם הארגון משלם לבסוף כופר, עליו עדיין להניח שהנתונים לא נפגעו.

תרחיש 8: בדיקה והערכה של בקרות אבטחה

ההנחיות מדגישות מספר שיטות לבדיקה והערכה של האמצעים הננקטים בארגון, כולל: · הודעה על הפרה (Breach notification) - יש לתעד ולבדוק באופן קבוע את תוכנית התגובה לאירועים של הארגון; · ניהול חשבון (Account managemen)- יש לסקור באופן קבוע חשבונות משתמשים (users) ולבחון את רמת ההרשאות קיימות; · ניהול תיקונים (Patch management)- יש להטמיע שיטה לבדיקת נקודות התורפה הקיימות במערכת ה-IT, כולל נקיטה בצעדי תיקון; · טקטיקות התקפות (Attacks tactics) - יש להעריך באופן קבוע את בקרות האבטחה כדי להעריך את מידת יכולתם לעמוד בהתקפה; · ביקורת (Audit) - חיוני לבצע על מערכת ה-IT בארגון ביקורות שוטפות על-פי תקן אבטחה מוכר; · התאוששות מאסון (Disaster recovery) - יש לבדוק מעת לעת את תוכנית ההתאוששות מאסון של הארגון כדי להבטיח שהיא יעילה ונותנת מענה הולם. ללא ספק יישום של תוכנית זו, לא זו בלבד שתבטיח מוכנות הארגון לאירועי סייבר אלא גם היא תכין טוב יותר את הארגון לבדיקות של הרגולטור. חשוב גם כאן בישראל ללמוד מהנחיה זו.