הנחיה חדשה לטיפול בתביעות כופרה

על-רקע הגידול בהתקפות סייבר והעלייה בהיקף תביעות הביטוח, פרסם לאחרונה איגוד השוק של לויד'ס (LMA) הנחיה לטיפול בתביעות כופרה (ransomware) המבוצעת במסגרת התקפת סייבר¹. דהיינו, מתקפה באמצעות התקנת תוכנה זדונית המצפינה קבצים ומונעת בכך מהמשתמשים גישה לנתונים ו/או למערכת המחשב. התכלית של תקיפה שכזו, שלעיתים כוללת גם גונבת נתונים בין אם לצורך הרתעה ובין אם לצורך איום לפרסם או למכור נתונים גנובים (אם הקורבן יסרב לשלם את הכופר), היא לגבות תשלום מהארגון שנפגע בתמורה לקוד המקנה גישה לקבצים/מערכות המחשב. לאור מעמדו כשוק ביטוח וביטוחי משנה, הפועל כשוק חלקי-הדדי שבתוכו מספר רב של תומכים פיננסיים, המקובצים בסינדיקטים, קולו של לויד'ס משפיע על תחום הביטוח בעולם כולו, ומכאן החשיבות לנהלים שהוא מוציא. בהקשר לכך יש לציין כי במדינות רבות ישנה חקיקה והוראות רוגלציה בתחום הסייבר, כגון נהלים המתייחסים לפשיעה פיננסית ולסיכונים הקשורים בתוכנות כופר, שפרסמו מחלקה של משרד האוצר האמריקני לבקרת נכסים זרים (OFAC) והרשת למלחמה בפשיעה הפיננסית בארה"ב (FinCEN). הנחיה זו של ה-LMA אינה מתייחסת להוראות מעין אלה ואינה גוברת עליהן.

על ההנחיה

הנחיה לטיפול בתביעות כופרה נועדה ליידע את המבטחים על השיקולים המרכזיים שיש לקחת בחשבון בעת הערכת תביעות כופר, וכן לספק למבוטחים ולמבטחים סיוע והכוונה. אירועי כופרה כוללים בד"כ מספר צדדים (מבוטח, מתווך, מבטח, יועמ"ש וגורם המנהל משא-ומתן עם האקר) וכן רגולטורים שונים הנוגעים בדבר, כך שכדי שבעלי העניין המרכזיים יוכלו להתמודד בצורה מושכלת עם האיום נדרשת מסגרת מוסכמת. דבר זה קריטי כיוון שלא אחת ארגונים במצבים כאלה נדרשים לקבל החלטות בזמן קצר, מה שהופך את התכנון מראש לרכיב קריטי בהבטחת עמידת הארגון בדרישות המבטחים והרגולטורים (בעיקר כדי להבטיח כי תשלום כספי הכופר עומד ברגולציה של הלבנת הון ו/או מימון טרור).

הוראות הנחיה

על-מנת להבטיח כי הארגון נערך בצורה מיטבית להתקפות הכופר נדרש מכל מי שמעורב בכך להחזיק מחד בתוכנית ציות מבוססת סיכונים ומאידך לנהל תיעוד, וזאת בין היתר כדי לצמצם סיכונים רגולטורים. צעדים שננקטו על-ידי מבוטחים כדי למקסם את מוכנותם למתקפת סייבר, הצגת השקעה שהוציא הארגון לצורך אבטחה והדרכה בתחומים קשורים, וכן גישה פתוחה לקיום דיאלוג עם הרגולטורים במקרה של אירוע כופרה עשויים לסייע בצמצום הסיכון שהארגון יהיה חשוף לסנקציות. כלל הזהב במקרה זה הוא לתעד כל שלב בתהליך בדיקת הנאותות. דבר זה עשוי להיות קריטי בהליכים מול הרגולטורים כדי להוכיח עמידה בדרישות הלבנת הון. כמו-כן תיעוד שכזה יכול גם לסייע למבטחים בבחינת בקשות להסכמה לתשלום כופר שהתבצע, אם הדבר נדרש על-פי תנאי הפוליסה.

בדיקות שיש לנקוט בתביעות כופרה

הסעיפים הבאים בהנחיה מיועדים לדיווח של מבטחים למבוטח באירועי כופרה. מבטחים עשויים לקבוע התניות לפיהן על המבוטח לערוך הדרכות מסוגים שונים בפוליסה. ההנחיה מניחה שהכיסוי הוא על בסיס החזר וכי ההחלטה הסופית אם לשלם את הכופר מוטלת על המבוטח. א) עם גילוי אירוע תקיפת סייבר מסוג כופרה, צריכים המבטחים לדרוש מהמבוטחים לבצע את הפעולות הבאות: - לתעד כל שלב בתהליך בדיקת הנאותות, כדי להוכיח עמידה בדרישות הלבנת הון ומימון טרור. תיעוד זה גם יסייע למבטחים, בעת בחינת בקשות לקבלת שיפוי בגין תשלומים ששולמו להאקרים; - להקים ערוץ תקשרות מחוץ לתקשרות הארגונית (והתואמת לתקנות) כדי לאפשר תקשורת מאובטחת עם אנשי מפתח ארגון, יועצים, מתווכי ביטוח ומבטחים (או נציגיהם); - להתקשר עם אנשי מקצוע מוסמכים ומנוסים בתחום אבטחת מידע (DFIR) ויעוץ בתחום הכופרה. הבחירת באיש אבטחת מידע צריכה להיעשות בהסכמה מראש ובכתב של המבטחים, בין אם ניתנה במפורש בתגובה לבקשה ישירה, או בין אם היועץ נבחר ממאגר יועצים שהועמד לרשות המבוטח. - יש לקיים ערוץ להתייעצות שוטפת עם עם מומחים בתחומי ה-DFIR. ב) לפני השתתפות במשא-ומתן, על מבטחים לדרוש מהמבוטח: - לעמוד בדרישות החובה ולהודיע לרשויות אכיפת החוק או הרגולטורים הרלוונטיים; - לשקול אם ראוי להגיש תלונה על פשיעה באינטרנט (ל-2IC3) או לדוח פעילות חשודה (SAR) או דיווח שווה ערך אחר (בהתאם לחוק החל); - להכיר בכך שטיפול מוקדם, שקיפות ושיתוף פעולה עשויים לסייע בזיהוי/מעקב אחר האקר ולספק רמת הגנה למבוטח; - לשקול אם להתקשר עם האקר, לאחר יידוע גורמי אכיפת החוק, הרגולטורים הרלוונטים ויועצים בתחום הסייבר; - לשקול את היקף ההצפנה והאם היא השפיעה על גיבויים; - לשקול האם גיבויים הנם ברי קיימא, שלמים ומספיקים לשחזור מערכות קריטיות, נתונים ופעולות וכן להעריך כמה זמן זה הליך שכזה של שחזור צפוי לקחת; - לשקול את ההשפעה הכוללת על מערכות, תפעול ועסקיו של המבוטח; - לשקול האם נתונים עברו סינון, ואם כן, אזי הם סוג הנתונים הקיים מצוי בסיכון והאם הבעיות הפוטנציאליות הקשורות אליהם דווחו; ג) בתהליך בדיקת נאותות מצופה ממבוטח שמגיש בקשה לשיפוי בגין תשלום כופר: - כל החלטה של המבוטח לבצע תשלום כופר צריכה להתקבל רק לאחר שקילת הדברים הבאים: o האם מוצו דרכים אחרות? o האם התשלום חוקי? o האם יש סיבה משכנעת אחרת לא לשלם? o האם התשלום מצריך הסכמה של המבטח, המנהל של המבוטח או כל גורם אחר? - האם, בשלב כלשהו של התהליך, עלו אינדיקצות כלשהן המבססות קשר ממשי או חשד לקשר עם גורם המעורב בהתקפה, או חשדות המעוררים חששות לכך שהתוקף נוגע בטרור או במימון טרור. אם כן אזי יש לדון, לפני התשלום, בצעדים שעל מבוטח לבצע (בסיוע של יועצי DFIR) בצעדים שיש לנקוט עם מומחי אבטחת מידע ועם רשויות אכיפת החוק, כדלקמן:

ניתוח בלוקצ'יין

1) בדוק את כתובת הארנק או זיהוי הנמען בטרנזאקציה של המטבע הדיגיטלי באמצעות מאגרי מידע המנוהלים על-ידי רשויות המדינה האחראיות על המלחמה בהלבנת הון; 2) ערוך ניתוח בלוקצ'יין כדי להעריך את העסקות ו/או הארנקים הקשורים למזהה/ארנק של הנמען: א. ערוך הצלבה היסטורית של ארנק לטרנזאקציות שבוצעו עמו ועם ארנקים שהיו עמו בקשר באמצעות רשויות האכיפה; ב. סקור עסקות היסטוריות המקושרות לארנק; ג. בחן דמי כופר ששולמו בעבר; ד. בדוק את מזהה הארנק מול כל מסדי נתונים אחרים הנגישים. 3) במידת האפשר, הפעל את חילופי המטבעות הווירטואליים המשמשים בעסקה באמצעות מאגרי מידע המוחזקים בידי רשויות האכיפה הרלוונטיות;

מודיעין איומים

4) עשה שימוש בטקטיקה של בדיקות הצלבה של פשיעת סייבר, טכניקות, פרוצדורות (TTPs) ומזהים ייחודיים אחרים (כגון ככתובות IP ושמות דומיין) מול המאגרים שברשויות האכיפה הרלוונטיות ומאגרי מידע מודיעיניים; 5) הרץ את שם גרסת תוכנת הכופרה באמצעות מאגרי קוד פתוח ומסדי נתונים פנימיים כדי לזהות מידע ומודיעין ממקורות פומביים וממשלתיים; 6) הפעל את שם גרסת תוכנת הכופר וכל תוכנות זדוניות אחרת קשורה דרך מאגרי מידע רלוונטיים המחוזקים על-ידי רשויות האכיפה.

אמצעי זהירות נוספים:

7) בדוק את הגורם שעומד מאחורי התקפת הכופרה כדי לקבוע האם הוא גורם אמיתי והאם המעשה אכן קשור אליו: א. האם האקר מגיב (קישוריות לאינטרנט, אדם חי)? ב. האם האקר מספק קודי פענוח שפועלים (לדוגמה מספר קבצים פתוחים)? ג. האם האקר חילץ נתונים כלשהם ממערכות המחשב הארגוני (סוג הקבצים, אם כן, יכול לסייע להעריך את היקף הפגיעה, את מערכות המחשוב של הארגון המעורבות, ואת החבויות המשפטיות הנובעות מכך)? ד. העריכו את היקף חשיפה הארגון לסיכון של סחיטה חוזרת מהאקר (נתונים היסטוריים של ספקים או רשויות אכיפת החוק, דרישות לא טיפוסיות, וכל דבר אחר שיכול להוות סימן אזהרה).

הסכמת המבוטח

כאשר מבוטח מבקש שיפוי או הסכמה ממבטח לביצוע תשלום כופר, מצופה ממנו לספק למבטח הבטחה (assurance) כי הוא פעל, בנוסף על בדיקת נאותות הנ"ל (ככל שהנסיבות איפשרו זאת), כדלקמן: א. הוא לקח בחשבון את כל הדרישות האובליגטורית (המחייבת) להודיע לרשויות אכיפת החוק או לרגולטורים רלוונטיים; ו ב. הוא הוכיח כי אין סיבה סבירה להאמין שתשלום הכופר בוצע לארגון טרור או טרור או לקדם מטרת טרור; ו ג. הוא חקר את אירוע הסייבר, בין היתר, באמצעות מאגרי המידע המנוהלים על-ידי רשויות האכיפה הרלוונטיות; ו ד. אין סיבה סבירה להאמין שתשלום הכופר בוצע לצד קשור.

סיכום

המציאות בה אירועי כופרה הפכו לשכיחים וחברות ביטוח נתבעות עקב כך לשפות תאגידים שנפגעו, הביאה את ועדת תביעות הסייבר של לויד'ס (LMA) לפרסם הנחיה לטיפול בתקריות כופר. ההנחיה שנקבעה בשיתוף עם מבטחים בשוק הלונדוני, ברוקרים ומומחים בתעשיה, מעניקים למבטחים מסגרת מנחה לטיפול בתביעות כופר. מסגרת זו מסייעת בזיהוי הבעיות המרכזיות שיש לטפל בהן כאשר שוקלים אם להתקשר עם האקר או לא. נייר זה כולל גם הוראות ספציפיות המיועדות ליועמ"שים, קציני הציות וכן רשימת בדיקות וחקירות רגולטוריות שיש לבצע על-מנת להימנע מהפרת החוק בייחוד בתחום הלבנת הון ומימון טרור. גם מבקרי פנים ומבקרי מערכות מידע יכולים להשכיל מהנחיה זו. יש להעריך לאור מעמדה של לויד'ס כי גם בישראל הנחיה תשמש מבטחים, אשר על כן מוטב כי הדרגים המקצועיים בתחום זה ובראשם קציני הציות ומומחי אבטחת מידע (DFIR) ישכילו להסתייע בכלי זה כדי לסייע לארגונים שלהם להתמודד בצורה מושכלת עם אירועי כופרה.