בשנה האחרונה חלה עלייה משמעותית במתקפות סייבר על עסקים, ארגונים ואזרחים. מתקפות כופרה עלולות להוביל לנזקים משמעותיים לעסק – אובדן ימי עבודה, עלויות שחזור, אובדן מידע עסקי ומידע על לקוחות ואף להשבתת העסק. בנוסף לכך, המתקפה עלולה לפגוע ולהשפיע על הלקוחות ולחשוף מידע אישי ורגיש. זיכרו – יש לכם אחריות כלפי הלקוחות שלכם!
כופרה היא תוכנה מזיקה הנועלת את המחשב ומונעת מהמשתמשים גישה לקבצים או לתוכנות, בדרך כלל באמצעות הצפנת מידע, ודורשות תשלום כופר בתמורה להשבת הגישה.
הבשורה הרעה – אם לא נערכתם מראש, יש מעט מאוד שתוכלו לעשות לאחר מתקפת כופרה.
הבשורה הטובה – יש מה לעשות עכשיו.
מערך הסייבר הלאומי חיבר מדריך קצר המסביר מהי דרישת כופרה, מה עושים במקרה שנתקפתם וחשוב מכך – כיצד ניתן להגן על הקבצים והמידע הדיגיטלי מבעוד מועד.
צעדים פשוטים להגנה על המידע והקבצים
הגנת סייבר היא תחום מקצועי שדורש טיפול וייעוץ של אנשי ונשות מקצוע, לכן ההמלצה הראשית היא להיעזר בהם. בכל זאת, בתור התחלה, ניתן לנקוט במספר צעדים ראשוניים ובסיסיים כדי להיערך מראש.
- בצעו גיבויים – בתקיפה מסוג כופרה, שחזור המידע מגיבוי יסייע להתאושש במהירות יחסית ולחזור לתפקוד. גיבוי הוא עותק המידע הדיגיטלי שאינו מאוחסן על המחשב אלא במיקום נפרד. ניתן לבחור לגבות רק קבצים ונתונים חשובים. מומלץ לגבות את כל המכשירים שברשותך. מומלץ לגבות במקביל הן בהתקן אחסון חיצוני והן בענן. חשוב לבצע התנתקות בסיום הגיבוי ולהטמיע אימות דו-שלבי.
- התקינו תוכנות הגנה בסיסיות – התקינו תוכנות אנטי וירוס ו"חומת אש" מספק אמין על כל המכשירים. תוכנות אנטי וירוס מצריכות עדכוני תוכנה וסריקה על בסיס קבוע כדי להישאר יעילות. מומלץ להגדיר התקנת עדכונים אוטומטית בתוכנות אלו.
- הקפידו על עדכוני תוכנה – הקפדה על עדכון מערכת ההפעלה והתוכנות היא אחת הדרכים היעילות ביותר למנוע מתקפת סייבר. הגדירו עדכונים אוטומטיים אחת ליום. מומלץ לתעדף במיוחד סגירת חולשות חמורות ונפוצות שעליהן מתריע מערך הסייבר.
- גלו עירנות להודעות דיוג ומתחזים והתנהלו בזהירות –אם יש לכם ספק, צרו קשר ישירות עם השולח/ת באמצעי תקשורת אחר. כדאי לשים לב גם לקבצים המצורפים בדוא"ל, במקרה שהיישום או מערכת ההפעלה מתריעים מפני חשד לשימוש לא ראוי בצרופות, לא לאשר את פתיחת הקובץ ובמיוחד בסיומות הבאות: EXE, .VBS, SCR. כמו כן יש להיזהר מסיומות כפולות כגון AVI.EXE, DOC.SCR, המנסה להסוות קבצים זדוניים.
- הכינו תוכנית מגירה למקרה של תקיפה – הערכות מבעוד מועד יסייע בצמצום וניהול נכון בעת משבר ובכלל זה התקשרות עם חברת IR שתאפשר לזהות את נתיב התקיפה ולנקות את רשת המחשוב או התשתיות שהודבקו לפני העלייה מגיבויים כדי למנוע הישנות התקיפה לאחר ההתאוששות.
בכל חשד לאירוע סייבר חייגו 119 למערך הסייבר הלאומי
המלצות ודגשים לעסקים
בעלי ובעלות עסקים, מחשוב הוא לא משחק – מומלץ להיעזר לטובת ההיערכות באנשי ונשות מקצוע בתחום. הנה השאלות שכדאי לשאול את איש או אשת המיחשוב שלך על מנת לוודא שהעסק מוכן:
- האם יש גישה מרחוק למידע? בידקו האם הגישה מאובטחת כראוי, חשוב לבדוק את אופן ההזדהות והכניסה ולהגדיר שימוש בדרכי התחברות מאובטחים.
- האם עמדות הקצה מוגנות מפני פגיעה? יש להגן על עמדות הקצה מפני חדירת פוגענים באמצעות כלים להגנה על עמדות קצה
- האם המערכות והיישומים מעודכנים? חשוב לבצע עידכוני אבטחה באופן קבוע כיוון שהם מגנים מפני איומים חדשים
- למי יש גישה למערכת? הרשאת יתר היא פתח לסכנה, הגדירו הרשאות רק על פי הצורך ולזמן מוגבל
- האם תוכלו להתאושש ממתקפה? וודאו שהמידע שלכם מגובה ובידקו שהוא אכן תקין ואפקטיבי באמצעות ביצוע יזום של ניסיון לשחזר מידע אחת לתקופה. בידקו כי הגיבוי נשמר באופן מאובטח ומנותק ממקור המידע.
גם את העסק שלך קטן וכביכול אין סיבה שיספוג תקיפה – ישנן תקיפות ריסוס רחבות שמתבססות על ניסיון מאסיבי להעלות גופים בחכה ללא אינטרס או אבחנה בין סוגי הארגונים. הן דומות לפושע בעולם הפיזי שמנסה למצוא פירצה אקראית כדי לגנוב כסף ללא אבחנה אם מדובר בדירה או בפנטהאוז. ישנן כמובן גם מתקפות ממוקדות ומתוחכמות, בהן הגופים שנתקפו, היו יעד ישיר מכוון אך חשוב לדעת כי כל עסק וארגון עשויים לפול גם מבלי שיהוו מטרה בפני עצמם.
חשוב להבין איך עובדת מתקפת סייבר ולהפנים כי כל עסק, גם אם הוא קטן, נמצא בסיכון. זו הסיבה לצורך להיערך מראש, ישנן מתקפות סייבר שאינן מבחינה בין ארגונים שונים וכל תכליתן למצוא חולשה ולנצלה במהירות וביעילות. היעזרו באנשי ונשות מקצוע ובידקו – האם אתם מוגנים?
המלצות היערכות לארגונים
מנהלים ומנהלות – האם אתם ערוכים?
שאלו את הגורם האמון על הגנת הסייבר בארגון האם שלושת הצעדים הבאים בוצעו –
- יש לוודא שהפעלת פקודות מאקרו ביישומי office מנוטרלת. במידה וארגונכם אינו עושה שימוש בפקודות מאקרו כלל, ניתן לבחון שימוש בהגדרה "הפוך את כל פקודות המאקרו לבלתי זמינות ללא הודעה", שתמנע את הפעלת פקודות המאקרו ולא תאפשר למשתמש בחירה לאפשר הפעלתן בזמן פתיחת הקובץ. במידה ולא ניתן לבצע ביטול רוחבי, יש למזער למינימום ההכרחי את בעלי ההרשאה להשתמש בו וליישומים הנדרשים בלבד, וליישם בקרות מפצות דוגמת עדכון מנועי AV ויישום חוקים לזיהוי אנומליה, מימוש חתימה דיגיטלית על פקודות מאקר מאושרות ומוגדרות ועוד. מומלץ להגדיר כברירת מחדל, שימוש ב- View Protected לצפייה בקבצים שמקורם ברשת האינטרנט, במיקומים בלתי בטוחים, או שהגיעו כצרופות בדוא"ל.
- יש לבטל יכולת של משתמשים להריץ קבצי הרצה ולמנוע כניסתם לרשת הארגון באמצעות ערוץ המייל. קבצים בעלי סיומת כגון .js .vbs עלולים לכלול נוזקות ועל כן יש למנוע הכנסתם בצורה לא מבוקרת לארגון. יש להגדיר כברירת מחדל, כי בעת לחיצה על קובץ מסוג זה, הוא ייפתח באמצעות עורך טקסט (דוגמת Notepad).
- מומלץ להסיר הרשאות ניהול מקומיות בתחנות קצה.
השתלטו לי על המידע – מה ניתן לעשות?
קודם כל מומלץ להיעזר באנשי מקצוע שיוכלו להעריך את המצב, מומלץ לדווח ישירות אלינו בחיוג 119. מעבר לכך אלו הפעולות הראשונות שנמליץ ליישם:
- ניתוק מהרשת – יש לנתק מיידית את המחשב מרשת התקשורת, לרבות רשת האינטרנט ואמצעי הגיבוי ולהימנע מהמשך עבודה על המחשב עד להסרה מלאה של הכופרה או הסרת החשד לקיומה.
- וידוא אי נגישות קבצים – ודאו כי הקבצים הדיגיטליים אינם נגישים כתוצאה מפעילות כופרה, ולא מתקלה טכנית. בדקו האם סיומת הקובץ השתנתה וכי אכן הקבצים "אינם קריאים", על ידי שימוש בתוכנות העריכה הסטנדרטיות (דוגמת Word).
- החלפת סיסמאות – החליפו מיידית את סיסמאות הגישה לכל החשבונות שלכם, לשירותי ענן ולמערכות פיננסיות באמצעות מחשב או סלולרי שלא נפגע מהכופרה.
- מניעת חיבור התקנים – אל תחברו למחשב התקנים חיצונים, אמצעי מחשוב וציוד היקפי נוסף. הכופרה עשויה להתפשט אליהם או למנוע גישה לקבצים הדיגיטליים שבהם.
- בדיקת תקינות התקנים חיצוניים– (למתקדמים) בדקו את תקינות תוכנם של אמצעי אחסון חיצוניים על ידי בדיקה מקדימה של תוכנם באמצעות אמצעי עדכני לזיהוי נוזקות כגון אנטי וירוס אשר יופעל על מחשב ייעודי בנפרד ובמנותק מנותק מהרשת שנפגעה מהכופרה.
- הנחיות להסרת הכופרה – בדקו האם ישנם הנחיות פרטניות להסרת ההצפנה באמצעות גלישה לאתר www.nomoreransom.org. אתר זה הוקם על-ידי רשויות אכיפת חוק וחברות אבטחת מידע בכדי לסכל את פעילותם של האקרים, המעורבים בהפצת כופרות. גם אם לא איתרתם הנחיות מתאימות, מומלץ שלא למחוק את הקבצים שהוצפנו, כיוון שיתכן שהנחיות מתאימות יפורסמו בהמשך.
- המחשב שהותקף משמש לצרכי עבודה? דווחו על האירוע לגורם מקצועי רלוונטי בארגון. אל תקבלו החלטות מהותיות ללא ייעוץ מקצועי הולם. בדקו מול הלשכה המשפטית את החובות כלפי גורמי צד-שלישי (רגולטורים ולקוחות לדוגמה), לרבות חובת דיווח. בדקו האם פוליסות הביטוח הקיימות ברשותך מספקות מענה לאירועי סייבר, לרבות קיומה של כופרה. צרו קשר עם המרכז המבצעי של מערך הסייבר הלאומי הזמין 24/7 בחיוג ישיר 119.
ההמלצות הבאות מיועדות לגורמים המקצועיים, זה ממש למתקדמים אבל חשוב שתדעו מה עוד כדאי לעשות:
- מומלץ לצור סגמנטציה ברשת – עמדות קצה לא יכולות לדבר עם כל העמדות ברשת, הרשאות של המשתמש ושל התחנה להגיע למיקומים ספציפיים תמנע מהכופרה להגיע לכל הרשת.
- מניעת אפשרות לשמירת קבצים על עמדות הקצה – ניהול של כל הקבצים בשרת מרכזי בארגון עליו אני מגן באמצעי הגנה שתמיד יישארו מעודכנים (יותר קל לניהול) וגם בשרת זה נדרש ליישם מנגנון הרשאות כך שכופרה תהיה מוגבלת בגישה לכל הקבצים על השרת.
- מניעת הורדה של קבצים לרשת הארגון ככלל, אם נדרש יעבור מנגנון של בדיקה בעמדה המיועדת לכך ("עמדת הלבנה") אשר סורקת באמצעות מספר מנועי AV כל קובץ שמגיע לרשת.
- באמת למתקדמים – כל קובץ המופעל במחשב רץ במצב "מבודד" כך שאין לו השפעה על קבצים או על התחנה בכלל, ענין של הגדרות בGPO שיאפשר מניעת הרצה מלכתחילה של הכופרה והצפנה הקבצים על התחנה (יש אפשרות להגדיר את זה בWIN 10 ללא רכישה של כלי חיצוני).
שאלות ותשובות נפוצות
יש נטייה לחשוב כי עסקים קטנים לא סובלים מתקיפות כופרה, חשוב להבין שתקיפות כופרה עשויות להתרחש כפשע אקראי לטובת מידע, שיבוש או מסיבות אחרות, אנו עדים לעלייה בתקיפות הכופרה והן עשויות לפגוע בכל אחד ואחת. הפתרון הוא היערכות מראש. ריכזנו עבורכם מספר תשובות לשאלות נפוצות.
תוכנה זדונית הנועלת את המחשב ומונעת מהמשתמש גישה לקבצים או לתוכנות שברשותו, בדרך כלל באמצעות הצפנת המידע. בתקיפת כופרה מוצגת למשתמש דרישה לשלם דמי כופר תמורת השבת הגישה והחזרת היכולת להשתמש בקבצים או בציוד.
אם המחשב שלך נתקף בנוזקת כופרה, יש מעט מאוד מה לעשות כדי להשיב את הגישה לקבצים ולמידע שקיים על המחשב או ברשת הארגונית שלך. לכן, היערכות מראש, ובעיקר גיבוי של המידע, יכול לצמצם את הנזק העסקי שיכול להיגרם מאובדן המידע.
- לרוב, תופיע על המסך הודעה כי המחשב הותקף והקבצים הוצפנו. בנוסף, ההודעה לרוב תכלול מידע כיצד ניתן ליצור קשר עם התוקפים ומהו סכום הכופר המבוקש במטבעות וירטואליים בתמורה לשחרור הקבצים והשבת הגישה. לעיתים ההודעה מכילה איום לפרסום החומר שעל המחשב ומופיעה בה ספירה לאחור שלאחר מועד זה דרישת התשלום תגדל או שלא ניתן יהיה לשחזר את הקבצים.
- מצב זה יכול להתבטא גם בתצורות נוספות כגון:
- לא ניתן לגשת לקבצים ומופיעה הודעת שגיאה על כך שהקובץ פגום או שהסיומת שלו שגויות.
- נפתח חלון שהמשתמש לא יכול לסגור.
- בספריות שונות יופיעו קבצים עם שמות כגון "כיצד לפענח את הקבצים".
ישנם מספר נתיבים מרכזיים דרכם מבצעים תקיפת כופרה, בהם:
- דואר אלקטרוני: השיטה הנפוצה ביותר היא שימוש בדואר אלקטרוני המכיל קישור או צרופה שנראים תמימים, אך למעשה הם קבצים זדוניים המאפשרים גישה למחשב.
- הורדת קבצים: הורדת קבצים שונים מאתרי אינטרנט המכילים נוזקות שמנצלות פרצות אבטחה בדפדפנים.
- תוכנות חינמיות: שימוש בתוכנות חינמיות אשר הפעלתן גורמת להדבקת העמדה בכופרה.
- חיבור מחשב מרחוק: השתלטות על מחשב אשר פתוח לחיבור מרחוק והדבקתו בכופרה באמצעות חיבור זה.
- ניצול חולשות: תוקפים מנצלים חולשות אבטחה אשר מתגלות באופן קבוע בתוכנות השונות. תוכנות אלו עשויות להיות הדפדפן ממנו המשתמשים גולשים, מערכת ההפעלה, תכנה ארגונית דוגמת מערכת השכר ועוד. לכן, חשוב להקפיד לעדכן את עדכוני האבטחה של היצרן.
ישנם סוגים שונים של תוקפים בעלי מטרות ומוטיבציות שונות. לעיתים קרובות התוקפים אינם מחפשים יעד מסוים, אלא מנסים את מזלם למול מגוון של יעדים. לרוב, יעדים שהגנת הסייבר שלהם נמוכה יחסית, והתוקפים מזהים נתיב בו הם יוכלו לפרוץ לארגון, מהווים "טרף קל" ועשויים להיפגע מתקיפת כופרה. לכן החשיבות בהגנת סייבר, היערכות ויישום המלצות הגנה.
כן. התוקפים יכולים לגשת לקבצים שעל המחשב, לצפות בהם ואף להדליפם ולהפיצם.
אם לא נערכת מראש עם גיבויים, הסיכוי לשחזר את הקבצים נמוך מאוד. גם הסיכוי להחזיר את השליטה על המחשב נמוך מאוד, אך ניתן לפנות לחברת טיפול באירועי סייבר (IR) ולנסות.
לא ניתן לדעת בוודאות שהתוקפים ישיבו את הגישה לקבצים גם לאחר תשלום הכופר. לצד זאת, חשוב לזכור שייתכן והתוקפים השיגו גישה למידע שעל המחשב וביכולתם לעשות שימוש במידע זה לצרכים נוספים.
בתקיפה מסוג כופרה, שחזור המידע מגיבוי יסייע להתאושש במהירות יחסית ולחזור לתפקוד. גיבוי הוא עותק המידע הדיגיטלי שאינו מאוחסן על המחשב אלא במיקום נפרד, ולעיתים הוא הפתרון היחיד להתאוששות ממתקפה מסוג זה. לפיכך, מערך הסייבר הלאומי ממליץ לדאוג לגיבוי הקבצים ולוודא שהגיבוי תקין. אין צורך לגבות את כל הקבצים – ניתן לבחור לגבות רק קבצים ונתונים חשובים. מומלץ לגבות את כל המכשירים שכוללים מידע דיגיטלי.
ישנן דרכים רבות באמצעותן ניתן להפחית את הסיכוי להיפגע מתקיפות כופרה. אם בבעלותך עסק, כדאי להיעזר באיש או אשת מקצוע בתחום הסייבר, למפות את סיכוני הסייבר ולהטמיע הגנות מתאימות. אלו הן חמשת המלצות הבסיס: בצעו גיבויים, התקינו תוכנות הגנה בסיסיות, הקפידו על עדכוני תוכנה, גלו עירנות להודעות דיוג ומתחזים, הכינו תוכנית מגירה למקרה של מתקפת כופרה.
- עוד באותו נושא...
