ביום שלישי, ה-1 לדצמבר, רשות שוק ההון, ביטוח וחיסכון ומערך הסייבר הלאומי דיווחו על אירוע של דליפת מידע מחברת הביטוח שירביט. בהמשך לכך, התברר שקבוצת האקרים אנונימית – הפועלת תחת השם BlackShadow – פרצה לשרתי החברה והשיגה גישה למידע רגיש המצוי ברשותה. קבוצת ההאקרים יצרה קשר עם שירביט באמצעות אפליקציית הטלגרם ודרשה ממנה תשלום של 50 ביטקוין (כמיליון דולר) עבור אי-הפצת המידע.

 

התוקפים הציבו לחברת שירביט אולטימטום, לפיו אם שירביט לא תעביר את התשלום עד יום שישי בשעה 9:00 בבוקר, דרישת הכופר תוכפל ותעמוד על 100 ביטקוין. לאחר 24 שעות נוספות, דרישת הכופר תוכפל פעם נוספת ותעמוד על 200 ביטקוין. אם שירביט לא תעביר את התשלום במועד זה (יום שבת בשעה 9:00 בבוקר), הזהירו התוקפים, המידע ימכר למרבה במחיר.

 

גורמים מטעם חברת שירביט ניהלו משא ומתן עם תוקפים, ובסופו של ההליך הוחלט כי החברה לא תיענה לדרישות הכופר. כתגובה לכך, קבוצת ההאקרים מימשה את איומיה והחלה לפרסם מידע רגיש – כדוגמת צילומים של תעודות זהות ורישיונות נהיגה, התכתבויות ווטסאפ וחשבוניות מס של לקוחות החברה.

 

הדילמה הניצבת בפני שירביט

מתקפת הסייבר על חברת שירביט מגיעה על רקע פרסום מזכר בנושא מתקפות סייבר ותשלומי כופרה על-ידי המשרד לפיקוח על נכסים זרים במשרד האוצר האמריקאי (OFAC). המזכר, שפורסם לפני כחודשיים, מבהיר כי קורבנות של מתקפות סייבר המעבירים תשלומי כופרה לגורמים המצויים תחת סנקציות של הממשל האמריקאי עשויים להיות חשופים לקנסות ותביעות אזרחיות תחת משטר של אחריות קפידה – כלומר, גם אם הם לא ידעו, ולא היו צריכים לדעת, שמקבל תשלום הכופרה הוא גורם הנתון תחת סנקציות של הממשל האמריקאי.

 

לאור התפתחות זו, שירביט נמצאת במצב מורכב. מן הצד האחד, אם החברה תיענה לדרישות התוקפים, ובדיעבד התברר שמדובר בגורמים המצויים תחת סנקציות של הממשל האמריקאי, שירביט עשויה להיות חשופה לקנסות ותביעות אזרחיות. מן הצד האחר, אם שירביט תסרב לדרישות התוקפים – כפי שאכן קרה – התוקפים עשויים לממש את איומם ולפרסם מידע רגיש של החברה. פרסום המידע הרגיש עשוי לפגוע במוניטין החברה ואף לחשוף אותה לתביעות מצד הגורמים שפרטיהם נחשפו.

 

הדילמה הניצבת בפני חברות אבטחת הסייבר

חברות אבטחת הסייבר המסייעות לשירביט בניהול האירוע נמצאות במצב בעייתי, גם הן. על-פי המזכר שפרסם ה-OFAC, חברות המסייעות לקורבנות של מתקפות סייבר – בין אם מדובר במוסדות פיננסיים המסייעים בעיבוד תשלום הכופרה ובין אם מדובר בחברות אבטחה המספקות שירותי ייעוץ ותגובה למתקפות סייבר – עשויות להיות חשופות לתביעות אזרחיות, אם התברר שהתשלום הגיע לגורם המצוי תחת סנקציות. בהתאם לכך, אותן חברות נדרשות להעריך אילו שירותים הן רשאיות לספק, תוך שהן שוקלות את הסיכון הכרוך בסיוע לקורבנות של מתקפות סייבר בביצוע תשלומי כופרה.

 

חוסר הוודאות הניצב בפני הגורמים המעורבים

הדילמות הניצבות בפני שירביט – כמו-גם חברות האבטחה שמסייעות לה בניהול האירוע – מתעצמות משתי סיבות מרכזיות. ראשית, זהות התוקפים אינה ידועה. המזכר מבהיר שתשלומי כופרה לגורמים המצויים תחת סנקציות עשויה לגרור תביעות אזרחיות, אך במקרים רבים, לרבות המקרה הנוכחי, זהות התוקפים אינה ידועה. אם זהות התוקפים נותרת אנונימית, הרי שברמה הפרקטית, השלכות המזכר אינן ברורות.

שנית, לא ברור אילו שירותים חברות אבטחה וייעוץ רשאיות לספק לקורבנות של מתקפות סייבר, כדוגמת שירביט. המזכר מדגיש שחברות המסייעות בהעברת (“facilitate”) תשלומי כופרה עשויות להיות חשופות לסנקציות אזרחיות, אך הוא אינו מפרט אילו פעולות נחשבות לסיוע בתשלום דמי הכופר. האם חברות הייעוץ והאבטחה רשאיות לסייע לשירביט בניהול המשא ומתן? האם הן רשאיות לסייע לה בבניית תכנית תגובה? שאלות אלה, למרבה הצער, נותרו ללא מענה. מדובר במזכר חדש יחסית ועדיין לא ברור כיצד ייאכף בפועל.

 

לסיכום, מתקפת הסייבר על חברת שירביט מדגימה את חוסר הוודאות שהמזכר האמריקאי משית על הגורמים המעורבים באירועי סייבר: הקורבנות מצויים בדילמה האם לשלם את דמי הכופר ולשאת בסיכון של תביעות אזרחיות (במקרה שהתשלום יגיע לגורם המצוי תחת סנקציות), או לסרב לדרישת הכופר ולשאת בסיכון שאיומי התוקפים ימומשו; וחברות אבטחת וייעוץ סייבר מצויות בחוסר ודאות ביחס לשאלה אילו שירותים הן רשאיות לספק לקורבנות, מבלי להיות חשופים לסנקציות אזרחיות מצד הממשל האמריקאי.

 

המזכר עשוי להשפיע גם על דפוסי הפעולה של ההאקרים. אם בעקבות המזכר קורבנות למתקפות סייבר אכן יימנעו מלשלם דמי כופרה לגורמים אנונימיים (מתוך החשש שבדיעבד התברר שמדובר בגורמים המצויים תחת סנקציות), הדבר עשוי להוביל האקרים לבקש תשלומי כופרה בדרכים אחרות. כך, למשל, במקום לבקש תשלום בדמות ביטקוין שיועבר לכתובת אנונימית, האקרים עשויים לדרוש שתשלומי הכופרה יועברו לחשבונות בנק מזויפים, הנחזים להיות לגיטימיים.

 

מאת עו"ד נמרוד קוזלובסקי, ראש מחלקת טכנולוגיה ורגולציה במשרד הרצוג פוקס נאמן ועידו שדה, מתמחה במחלקה.