בשנה האחרונה הוגשו שתי הצעות חקיקה בבריטניה שהתמקדו בנושא תשלומי כופר על ידי עסקים בריטים. התמקדות זו מצד ממשלת בריטניה עשויה לאותת על שינוי לקראת הוצאה לאור של תשלומים כאלה או להותיר עסקים בפני בחירות קשות. דן רייווד בוחן את הפרטים.
בשנה שעברה, ממשלת בריטניה החלה בפעולות דיכוי נגד פושעי סייבר באמצעות הצעת חקיקה דבר שיהפוך את תשלום הכופר לבלתי חוקי עבור מגזרים מסוימים. באופן ספציפי, גופים ציבוריים ומפעילי תשתיות לאומיות קריטיות - כולל שירות הבריאות הלאומי (NHS), מועצות מקומיות ובתי ספר - ייאסרו מלשלם דרישות כופר. עסקים אחרים שאינם מכוסים על ידי האיסור יידרשו להודיע לממשלה על כל כוונה לשלם.
שר הביטחון דן ג'רוויס אמר כי ההצעה נועדה "לנפץ את מודל העסקים של פושעי סייבר" ולהגן על שירותים חיוניים. לדבריו, באמצעות עבודה עם התעשייה, "אנו שולחים מסר ברור שבריטניה מאוחדת במאבק נגד תוכנות כופר".
התייעצות זו נמשכה 12 שבועות (מ-14 בינואר עד 8 באפריל 2025) והציעה:
- איסור ממוקד על תשלומי כופר עבור תשתיות לאומיות קריטיות מוסדרות והמגזר הציבורי.
- משטר למניעת תשלומים באמצעות תוכנות כופר.
- משטר דיווח חובה על אירועים.
צעדים אלה ייצגו את החקיקה הבריטית הספציפית הראשונה שנועדה להתמודד עם תוכנות כופר, במטרה המרכזית להגן על שירותים ציבוריים ותשתיות קריטיות מפני שיבושים.
קריסטל מורין, אסטרטגית בכירה בתחום אבטחת הסייבר ב-Sysdig, אמרה בתגובה כי שיפור דיווח על אירועי כופר אינו תגובה מהירה אלא התאמה אסטרטגית לנוף איומים המתפתח במהירות.
"אירועים מתוקשרים בשנה האחרונה הדגימו כיצד תוכנות כופר יכולות לשבש שירותים קריטיים ולהשפיע על חיי היומיום", אמרה. "אירועים אלה מראים כי מתקפות סייבר, מבודדות ככל שייראו, מהוות סיכונים ממשיים לביטחון הלאומי ולרווחת הציבור."
תגובה חיובית
היועצת ומומחית המדיניות ג'ן אליס מציינת את "התגובה החיובית באופן גורף" להתייעצות הממשלתית סביב רעיון האיסור. היא טוענת שזה נובע בין היתר מכך שחברות רוצות להיות מסוגלות לומר ללקוחות שהן אינן מסוגלות מבחינה חוקית לשלם כופר ופשוט פועלות לפי החוק.
היא גם מציינת כי יש הסבורים כי תוכנות כופר מונעות אך ורק למטרות רווח וכי הסרת מניע הרווח תבטל את הפשע. עם זאת, עובדה זו מתעלמת מגורמים כמו מעורבותן של קבוצות פשע מאורגנות המקושרות לפעילויות אלימות יותר, כולל סחר בבני אדם.
"זה לא מתחשב בהיקף הכסף שמרוויחים או בחוסר באכיפה יעילה", אומר אליס. "התוקפים פועלים ללא עונש ויכולים למקד את הארגונים הפגיעים ביותר בעלות נמוכה לעצמם."
"זה גם מתעלם מהעובדה שאנחנו פועלים באינטרנט גלובלי. איסור בבריטניה אינו מגן על ארגונים מפעילות המתרחשת במקומות אחרים."
גורם חדש
בעוד שההתייעצות ממתינה לשלב הבא שלה, התפתחות נוספת צצה באוקטובר כאשר חבר הפרלמנט בראדלי תומאס הציג הצעת חוק פרטית בשנת 2025. הצעת החוק תדרוש מחברות העומדות בקריטריונים ספציפיים לדווח לממשלה על כל סחיטה בסייבר או מתקפת כופר בתוך מסגרת זמן מוגדרת.
בהציגו את הצעת החוק, ציין תומאס כי כיום אין דרישה מחברות לחשוף מתי בוצע תשלום כופר, למרות הנטל הכספי שתשלומים כאלה מטילים. הצעתו תדרוש מכל חברה הרשומה במסגרת חוק החברות 2006 עם מחזור שנתי של מעל 25 מיליון ליש"ט - או אחריות על תשתית לאומית קריטית - להודיע לממשלה תוך 72 שעות מרגע הפיכתה לקורבן.
יידרש דוח נוסף אם יבוצע תשלום כלשהו על ידי החברה או צד שלישי מטעמה, שוב תוך 72 שעות. תומאס הודה בחששות בנוגע לפגיעה בתדמית, אך אמר כי הגנות משפטיות חזקות יבטיחו כי הדוחות יישארו חסויים אלא אם כן ייחשב כי גילוי המידע הוא לטובת האינטרס הלאומי.
"היעדר דיווח חובה, במיוחד עבור תשלומי כופר, משאיר נקודה עיוורת מסוכנת בביטחון הלאומי שלנו", אמר. "כאשר חברות מדווחות על תשלומים אלה, סוכנויות הביטחון שלנו מקבלות מידע חיוני לגבי מי המטרה וכיצד מתפתחות ההתקפות".
מורין אמר כי דיווח חובה אינו נועד להבייש ארגונים אלא לחיזוק ההגנה הקולקטיבית. "כאשר ארגונים מדווחים על אירועים, צוותי אבטחה מקבלים תובנות לגבי טקטיקות ופגיעויות מתפתחות, מה שמאפשר להם להגיב מהר יותר ולמנוע נזק נרחב יותר."
היא הוסיפה כי בעוד שחששות בנוגע לתדמית מובנים, המסגרת המוצעת כוללת אמצעי הגנה להגבלת הגילוי למקרים חריגים. "מערכת דיווח חובה אך 'נטולת בושה' מכירה במציאות זו".
הרתעת התקפות כופר
אליס, שבחנה את ההצעות, אמרה ל-ISMS.online כי היא אינה מאמינה שאיסור תשלומים ארצי ירתיע באופן משמעותי התקפות. "רוב הקורבנות מותקפים באופן אופורטוניסטי משום שהם מחוברים לאינטרנט. הדבקות פשוט קורות."
"אני לא חושבת שאיסור תשלומים יהיה יעיל אלא אם כן הוא יהיה גלובלי", אמרה. "התוקפים יסתגלו".
בנוגע לדיווח, אמר אליס שהמפתח הוא נורמליזציה של גילוי. "אנחנו צריכים להוציא את העוקץ מהדיווח ולשפר את ההבנה שלנו לגבי מה שקורה. אנחנו לא יכולים לעשות את זה אם אנשים לא מדווחים."
"דיווח לא יפתור את הבעיה, אבל הוא ייתן לנו מושג טוב יותר על היקפה האמיתי."
לגבי השאלה האם עסקים עדיין ישלמו בסתר אם יונהג איסור, אמרה אליס שקשה לחזות זאת. היא שוחחה עם בעלי עסקים שמאמינים שלא תהיה להם ברירה אם יתמודדו עם איום קיומי.
היא גם הדגישה את ההשפעה הפוטנציאלית על ביטוח סייבר. "אם התשלום אינו חוקי, הביטוח לא יכסה אותו. במקום זאת, חברות הביטוח יצטרכו לכסות את עלויות ההתאוששות, מה שעשוי להוביל אותן לדרוש אמצעי חוסן חזקים יותר."
הצעת החוק של תומאס צפויה לקריאה שנייה במאי, ושתי ההצעות נועדו להגביל את תשלומי הכופר. עם זאת, עבור עסקים שבהם נראה כי תשלום הוא האפשרות היחידה, החלופות עשויות להיות מוגבלות.
מחקר מ Sophos בשנת 2025 נמצא שכמעט 50% מהחברות שילמו כופר כדי לשחזר את הנתונים שלהן. מחקר נוסף הצעה שואפת לשפר את סטנדרטים של חוסן עבור עסקים בבריטניה.
בסופו של דבר, נראה שרוב בעלי העניין תומכים בדרישות הדיווח, אך השאלה האם לשלם תהפוך למורכבת יותר תחת חובה חוקית. עכשיו זה הזמן עבור ארגונים לחזק את החוסן ולהחליט האם הם יכולים לשרוד מבלי לקנות את דרכם החוצה מפשעי סייבר.
