כדי לצלוח משבר סייבר באופן הטוב ביותר, נדרש, לשכור שירותים של חמישה בעלי מקצוע: מומחה למערכות מידע ותוכנה, חברה לשחזור נתונים, מומחים בניהול משא ומתן, עורך דין ומומחים בתחום המטבעות הקריפטוגרפיים. לכל אחד מהפעולות יש תרומה משלימה לטיפול במשבר הסייבר.
מומחה למערכות מידע ותוכנה:
מומחה למערכות מידע ותוכנה נדרש כדי להבין באיזו מתקפה הארגון מצוי, איזה מאגרים מצויים בשליטת התוקף, מה היקף השליטה של התוקף. האם התוקף השלים כבר את המתקפה, או שהוא עוד לא סיים? האם התקיפה נעשתה באמצעות תוכנה שהושתלה במחשב, ואם כן, איזה? תוכנת פרסום (adware), רוגלה (spyware) או נוזקת כופר (ransomware), או שמדובר בנוזקה ללא קבצים (fileless). האם התקיפה היתה ברכיב התוכנה, החומרה, התקשורת, או הנדסה אנושית. האם מקור התקיפה הוא מהאינטרנט, מעובדי הארגון או משרשרת ההספקה. האם מאחרי התקיפה עומדים נערים מזדמנים, ארגוני תקיפה או מדינות.
מידע לא מדויק בשלב זה, עשוי להביא לשרשרת שגיאות נגררות.
חברות לשחזור נתונים
לתקיפת סייבר כמה תכליות, חלקן נועדו לגניבות מידע. במקרים אלו, עיקר הנזק של הארגון הוא עצם חשיפת המידע הארגוני ופגיעה בסודותיו המסחריים והעסקיים ובפרטיות עובדיו, ספקיו, לקוחותיו, משתמשיו או תורמיו. אולם, לעיתים, הנזק הוא לא רק חשיפת הנתונים, אלא הצפנתם או השחתתם ומניעת גישה אליהם, פעולה שמשליכה על המשך תפקוד הארגון. במקרים, כאלו, חברה המשחזרת את הנתונים יכולה לצמצם את הנזק המידי של הרציפות התפקודית.
מומחים בניהול משא ומתן
לניהול משא ומתן כמה היבטים. חלקם קשורים ל״נושא״ וחלקם קשורים ל״נותן״. מידת הלחץ שכל צד מצוי בו יכולה להשליך הן על המחיר שכל צד ישלם על העסקה והן על מהירות סגירת העסקה.
כמובן, שניהול משא ומתן דורש ניסיון ויכולות אישיות, אך במשא ומתן של מתקפת סייבר, קיימת גם חשיבות לידע רלוונטי על פרופיל התוקפים, אמינותם, אופן התנהגותם, חולשותיהם, חזקותיהם ומידת הסכנה הנשקפת ממענה או אי מענה לדרישותיהם.
עורך דין
בשעת תקיפת סייבר, הצורך בהצטיידות בעורך דין היא קריטית. מעורבות עורך דין נדרשת מלא מעט סיבות, להלן העיקריות שבהן:
דיווח: לפי תקנה 11 לתקנות אבטחת מידע, במקרה סייבר בארגון, קיימות שתי חובות על הארגון: תיעוד האירוע ודיווח עליו לרשות הפרטיות. בתיקון 13 נקבע, כי אי תיעוד מקרה סייבר עשוי לגרור עיצום מנהלי של 1,000 ש״ח למאגר הנדרש לרמת אבטחה בסיסית, 20,000 ש״ח למאגר מידע הנדרש לרמת אבטחה בינונית, ו-80,000 ש״ח למאגר מידע הנדרש לרמת אבטחה גבוהה. אי דיווח לרשות הפרטיות על מקרה הסייבר עשוי לגרור עיצום מנהלי של 80,000 ש״ח למאגר מידע הנדרש לרמת אבטחה בינונית, ו-320,000 ש״ח למאגר מידע הנדרש לרמת אבטחה גבוהה.
מלבד חובת הדיווח לרשות הפרטיות, לעיתים כדאי לדווח למערך הסייבר הלאומי או ליחידת הסייבר במשטרת ישראל, לפי העניין.
תיעוד: כמו כן, מלבד חובת התיעוד האמורה, התיעוד נדרש לצורך התגוננות מפני תביעות נזיקין. ארגון שחווה מתקפת סייבר הוא חשוף לשלושה סוגים של תביעות אזרחיות:
- במקרה של נזק: פיצויי נזיקין.
- במקרה של אי שמירת חוק או תקנה: תביעות פיצויים מכוח הפרת חובה חקוקה.
- במקרים מסוימים: פיצויים לדוגמה, ללא הוכחת נזק.
הלבנת הון: מלבד סוגיות הדיווח והתיעוד, קיימת סוגיה חשובה של ״הלבנת הון״, שכן, תשלום כופרה לגופים המנויים ברשימה השחורה של הרשות להלבנת הון או למדינות הנתונות תחת סנקציות בינלאומיות (כאיראן, צפון קוראה או גופים רוסיים) – מהוה עבירה חמורה על החוק.
הכרה בהוצאה לצורכי מס: תשלום כופרה במטרה לאפשר לעסק לחזור לפעול, צריך להיות מפוקח היטב מבחינה משפטית, כדי שיהיה מוכר כהוצאה לצורכי מס. סעיף 32(16) לפקודת מס הכנסה אוסר על הכרה כהוצאה על תשלום שיש יסוד להניח שנתינתו מהוה עבירה לפי כל דין.
אנשי מקצוע מתחום המטבעות קריפטגרפיות
בדרך כלל, הדרך לשלם כופרה לתוקפי סייבר, הינה באמצעות מטבעות קריפטוגרפיים. מנגד, לפי הנחיות הרשות להלבנת הון, תשלום כופרה מהוה ״דגל אדום״, ואין למכור מטבעות קריפטוגרפיים למטרה זו. על כן, יש להיעזר באנשי מקצוע מתחום המטבעות הקריפטוגרפיים ובייעוץ משפטי הדוק.
