רגע לפני סוף השבוע של חג הפסחא, מרקס אנד ספנסר נפגעה מאחת מפריצות הכופר הקשות ביותר שידעה המדינה בשנים האחרונות. קמעונאיות גדולות אחרות, כמו קואופ, הלכו בעקבותיהן במהרה. ההשפעה הפיננסית הכוללת של שני אירועי תקיפה אלה בלבד מוערך עד 440 מיליון ליש"ט.
אך האמת היא שרוב תוכנות הכופר אינן מכוונות לארגונים בעלי פרופיל גבוה כמו אלה. במקום זאת, גורמי האיום רודפים מספר גדול יותר של חברות קטנות יותר, שלרבות מהן אין את המשאבים או הידע הדרושים כדי להגן על עצמן כראוי. כפי שמראה מחקר חדש, זה עולה להן ביוקר. עם חקיקת אבטחת סייבר חדשה בדרך, בניית חוסן צריכה להיות בעדיפות דחופה.
תשלום דרך האף
בריטניה הייתה זה מכבר מטרה מרכזית עבור גורמי כופר, הודות לעושרה היחסי ולכלכלתה הדיגיטלית מאוד. אבל יש הבדל של עולם ומלואו בין פריצה על ידי כופר לבין גניבת ו/או הצפנת נתונים. היגיינת סייבר טובה יותר וגילוי ותגובה משופרים יכולים שניהם להפחית משמעותית את ההשפעה. למרבה הצער, נראה שזה לא קורה, על פי מחקר של Sophos.
השמיים ספק אבטחה שנשאל למעלה מ-200 מנהיגים בתחום ה-IT והסייבר בבריטניה, כחלק ממחקר רחב יותר שסקר את תגובותיהם של 3400 קורבנות תוכנות כופר. מצב תוכנות הכופר בבריטניה בשנת 2025 מגלה כי 70% מדהימים מקורבנות בריטניה הוצפנו את הנתונים שלהם, גבוה בהרבה מהממוצע העולמי של 50%, והנתון של 46% שדווח על ידי קורבנות בריטניה בשנת 2024.
לפי שני המדדים, זה מדאיג. נראה כי זה מראה שפחות קורבנות של תוכנות כופר מחזיקים בתובנות הדרושות להם לגבי סביבת ה-IT שלהם כדי להבין שהם נפגעו. ההבדל בין Co-op ל-M&S היה שהראשונה השקיעה ביכולות תגובה לאירועים, שסימנו חשד לפריצה, ואפשרה לה לנתק את המערכות שלה לפני שניתן היה להצפין אותן. ההשפעה של הפריצה שנוצרה הייתה פחות חמורה לאחר מכן.
ייתכן כתוצאה מכך, קורבנות בבריטניה חשו שאין להם ברירה אלא לשלם לסוחטנים שלהם, 103% מדרישת הכופר בממוצע, נתון גבוה בהרבה מהממוצע העולמי של 85%. זה חשוב אף יותר משום שדרישת הכופר החציונית בבריטניה הייתה 5.4 מיליון דולר (3.9 מיליון ליש"ט) בשנה שעברה - זה יותר מכפול מ-2.5 מיליון דולר (1.9 מיליון ליש"ט) שדווחו בסקר הקודם. כ-89% מדרישות הכופר היו על סך מיליון דולר ומעלה, לעומת 1% בשנת 71.
"הניסיון שלי מצביע על כך שקצב ההצפנה קשור קשר הדוק למהירות שבה מתגלה מתקפה, ולעתים קרובות גם לשאלה האם עזרה חיצונית בתגובה לאירועים נרשמה מוקדם מספיק במהלך ההתקפה", אומר צ'סטר וישנייבסקי, מנהל מערכות מידע מדעיות בשטח הגלובלי של Sophos, ל-ISMS.online. "ארגונים עם ניטור 24/7 וכלי EDR/XDR בדרך כלל מצליחים יותר לעצור התקפות בעיצומן. לעתים קרובות מדי, קורבנות מזהים את ההתקפה רק כשהם מקבלים את פתק הכופר, וזה מאוחר מדי."
איפה הם טועים?
פגיעויות מנוצלות (36%), הודעות דוא"ל זדוניות (20%) ופרצות אישורים (19%) היו הגורמים העיקריים לגישה ראשונית בקרב קורבנות תוכנות כופר שנשאלו על ידי Sophos. כדי להתמודד עם איומים אלה ואחרים, ספק האבטחה ממליץ על תוכנית בת ארבע נקודות:
מְנִיעָה: צמצם את הגורמים הטכניים והתפעוליים הנפוצים ביותר להתקפה על ידי בניית חוסן.
הֲגָנָה: הגנו על נקודות הכניסה הנפוצות ביותר עבור גורמי כופר, כגון נקודות קצה הכוללות שרתים. כלי אנטי-כופר ייעודיים יסייעו לחסום ולבטל הצפנה זדונית.
זיהוי ותגובה: עצרו ובלימו התקפה מהר ככל האפשר לפני שתספיק לגרום נזק משמעותי. ארגונים שאינם מסוגלים לעשות זאת באופן עצמאי יכולים להשתמש במערכת זיהוי ותגובה מנוהלת (MDR).
תכנון קדימה: הקימו תוכנית תגובה לאירועים כדי לייעל את ההתאוששות ממתקפה. גיבויים קבועים מחוץ לאתר ולא מקוונים גם יאיץ את ההתאוששות.
"פושעי סייבר מנהלים ארגונים יעילים ביותר; הם מחפשים תפוקה מינימלית, מקסימום מזומנים, כך שסגירה כפולה של הדלתות הדיגיטליות שלכם משמשת כגורם מרתיע משמעותי", טוענת לורן וילסון, מנהלת טכנולוגיות ראשית בשטח ב-Splunk. "אבל לא מספיק רק למנוע - צריך להיות מסוגל לזהות, להגיב ולהתאושש כדי באמת למתן את ההשפעה הרחבה יותר של תוכנות כופר."
הגיע הזמן ליישר קו
ייתכן שמנהיגי IT ואבטחה בבריטניה יצטרכו לבחון מחדש את תוכניות העמידות שלהם בפני תוכנות כופר לאור חקיקה עתידית. הצעת חוק חדשה לאבטחת סייבר וחוסן is מוגדר לאסור תשלומי כופר עבור ספקי ממשלה ותשתיות קריטיות (CNI). הדבר יכניס לתחום ארגונים חדשים (כמו ספקי שירותי ניהול תשתיות קריטיים). וסביר להניח שהוא גם יחייב דיווח מהיר ומקיף יותר על אירועים, ניהול סיכונים של צד שלישי ואבטחת שרשרת אספקה חזקה יותר. ייתכן שהוא יטיל קנסות גדולים יותר ובוודאי יעביר יותר סמכויות לרגולטורים בתעשייה. הוא גם שואף להתאים אותו לתקני NIS 2, ISO 27001, ISO 27002 ותקני ומסגרות אבטחה אחרים.
זוהי הזדמנות מצוינת עבור אלו שכבר עובדים על תקן ISO 27001 להקדים את הדרישות החדשות הללו ולחזק את חוסן הסייבר שלהם בצורה יעילה מבחינת עלות וזמן. וילסון אומר ל-ISMS.online כי תקנים כאלה "תוכננו כדי להעלות את הבשלות הסייבר באופן שמועיל לכולם".
היא מוסיפה: "דבר אחד משותף לתקנים כמו NIST או ISO 27001 הוא סיוע לארגונים להתמקד בביצוע היסודות הנכונים. בקרת גישה, תיקונים קבועים, שימוש באימות רב-גורמי והדרכה לכל העובדים. אמנם קל יותר לומר מאשר לעשות, אך התמקדות ב'יסודות' הללו יכולה לתרום רבות להביס אחוז גבוה של מתקפות סייבר."
וישנייבסקי מסופוס מסכים עם הערך של סטנדרטים של שיטות עבודה מומלצות.
"ניתן למנוע את רוב ההתקפות על ידי פריסה עקבית של בקרות בסיסיות ברחבי המערכת", הוא טוען. "הדו"ח האחרון שלנו על יריבים פעילים מראה שרוב מקרי הכופר מתחילים בגניבת אישורים או בפגיעויות שלא תוקנו, שתיהן מכוסות על ידי מסגרות תאימות."
עם זאת, לא ניתן לטפל בתאימות לחוקים בבידוד, מסכם וילסון.
"יש לראות זאת כחלק מאסטרטגיית אבטחת סייבר הוליסטית הכוללת אנשים, תהליכים וטכנולוגיה", היא מסכמת. "ארגונים צריכים להשקיע בחוסן. משמעות הדבר היא הבנת סיכונים, בניית הגנות והבטחה שאם הפעילות יוצאת מהאינטרנט, זמן ההשבתה ממוזער."
