משברי סייבר (שאינן הונאות טכנולוגיות כמו BEC) הם מטבעם מוטי טכנולוגיה וניתן לסווגם לשלושה סוגי תקיפות. הראשון, נוזקה (Malware) המשבשת את הפעילות העסקית של הארגון בהתקפות מסוג DDOS. השני, התקפות כופרה (Ransomware) בהם מוצפנים קבצי מערכת וקבצי מידע קריטיים לארגון והחברה נדרשת לשלם עבור מפתחות הצפנה לשחזור הקבצים. במהלך השנה האחרונה הולכים ומתרבים המקרים של "סחיטה כפולה" (Double Ransomware) במהלכה התוקפים גם מזליגים מידע רגיש ממאגרי המידע של החברה, ודורשים סכום נוסף על מנת למנוע פרסום המידע או למנוע מכירתו בדארקנט. השלישי, סחיטה אסטרטגית, מטורגטת, במהלכה מחזיק התוקף במידע ייחודי (סודות מסחריים, מידע בעל חשיבות לאומית) כבן ערובה.
כבכל משבר סייבר, גם באירועי כופרה או סחיטה קיברנטית, מוקדש קשב ניהולי רב לקרב הטכנולוגי. פריסה רחבה של צוותי התערבות (Incident Response) הפועלים בצורה מתודית ומהירה לאיסוף ראיות פורנזיות, לחקירת עומק על היקף הפגיעה ברשת הארגונית ולאחר פרק זמן מסוים - לפריסת יכולות טכנולוגיות לבלימה, הדיפה, ומאוחר יותר לשחזור ושיקום.
אולם לצד המאמצים הטכנולוגיים, חשוב לקיים ערוץ תקשורת אפקטיבי ומקצועי עם התוקף, אשר מסייע לצוותי ההתערבות, למנהל המשבר ולמקבלי ההחלטות להיחלץ מהמשבר עם מינימום נזקים לטווח הקצר והארוך.
להשיג ארבע מטרות
באירועי כופרה או סחיטה משאיר התוקף "פרטי התקשרות". לעיתים תהיה זו כתובת א-מייל בשירותי דואר אלקטרוני (Protonmail, Tuta) מוקשחים יותר מהדוא"ל הרגיל, ולעיתים, במיוחד כאשר מדובר ב"זכייני כופרה", דרך תוכנת מסרים ייעודית (Chatbot) שבעבר פעלה רק בדפדפנים מיוחדים (TOR), אולם עם "הפנים ללקוח" פועלת כבר גם בדפדפנים רגילים. תקשורת אפקטיבית צריכה להתחיל מוקדם ככל האפשר ולשרת ארבע מטרות:
הראשונה, הבנת היקף האירוע. שיתוף פעולה הדוק בין הנושא ונותן, והמידע שהוא יודע לזקק מתוך התקשורת עם התוקף, ובין צוותי הפורנזיקה - מסייעים בשלבים הראשונים של התקיפה בהבנת היקף האירוע מבחינת מידת הפגיעה בארגון והיקף דלף המידע. מבנה דרישת הכופר וסוג הדרישה (שפה, פורמט, דרך ההצגה, גובה הדרישה) מנותחים ומעובדים על בסיס הידע והניסיון המקצועי, ומשתלבים בתוצר המוצג למקבלי החלטות מוקדם ככל הניתן.
השנייה, בניית פרופיל התוקף. להבדיל מהתמונות - אפילו במגזין זה - "קבוצות התקיפה" אינם אוסף של חנונים בקפוצ'ון. מדובר בתעשיית פשיעה שגלגלה בשנת 2020 מעל 20 מיליארד דולר. תעשיית הכופרה מתחלקת בין קבוצות תקיפה מ"ליגת העל", חלקן מתבססות על כלי תקיפה מדינתיים או מגובות ביכולות סייבר מעצמתיות ; "זכייני כופרה", אשר מקבלים זיכיון מקבוצות אלו תמורת כ-20% מגובה הכופר הנגבה ; וקבוצות תקיפה מן "הליגה הלאומית" אשר נוקטות פעמים רבות בשיטת דייג ברשת: מי שנופל - נופל, ואם הוא לא משלם - הם עוברים הלאה. מדובר, אם כן, בבני אדם עם רצונות, שאיפות, וכן - גם חולשות. לכן, התקשורת איתם תתנהל לעיתים כדמות אב, לעיתים כאיש IT נואש ולעיתים כיפיפייה יוונית. הכל על מנת לפזר בשיח עוגנים פסיכולוגיים שיאפשרו בשלבים מאוחרים יותר לנצלם להשגת יעדי המשא ומתן. בניית הפרופיל הפסיכולוגי נעשה מתוך הטקסטים ומניתוח עומק של דפוסי התנהגות בתקשורת הבין-אישית: החל מקצב ההתכתבות (א-מייל, DM בטוויטר, או שיחה מהירה בטלגרם), דרך מבנה השפה, הפרשי השעות, בחירת הביטויים והמילים של התוקף, ועוד.
בניית הפרופיל מהווה נדבך הכרחי לשלב בו תתקבל החלטה האם לשלם את הכופר. כלל האצבע קובע כי ככל שקבוצת התקיפה ידועה יותר ופרופיל התוקף מובהק יותר, כך גדל הסיכוי שהתוקף יכבד את "כללי התעשייה", ויפעל בהתאם להגיון העסקי של תעשיית הכופרה: אם שולם הכופר המוסכם - אתה עומד בהתחייבות לספק את מפתחות ההצפנה. רבים שואלים את השאלה המתבקשת האם לתת אמון בפושעי רשת? התשובה המעשית היא שאין לתת אמון בתוקפים, אולם יש להסתמך הן על ההיגיון הפנימי של אותו תוקף, כפי שהצלחת לפרפל מתוך האירוע, והן על ההיגיון העסקי של התוקף.
המטרה השלישית היא לשרטט עבור מקבלי ההחלטות את "מחיר-האין-עסקה". כהמשך ישיר לשתי המטרות הקודמות, על איש המקצוע לבוא בפני מקבלי ההחלטות עם אמירה ברורה על מידת נחישות התוקף לממש את איומו, וככל הניתן, ובשיתוף הצוותים הטכנולוגיים, על מכלול המשמעויות (טכנולוגיות, עסקיות, ובמידת הצורך והידע - רמת החשיפה המשפטית והרגולטורית) של אי-תשלום.
המטרה הרביעית היא ניהול משא ומתן לאור יעדים המוגדרים על-ידי מנהל המשבר: (א) משא ומתן לאיסוף מידע. מידע שמסייע לפיצוח החקירה הטכנולוגית, או מידע שיוביל לאיתור התוקפים ; (ב) משא ומתן לרווח זמן, בעיקר במקרים בהם הצוותים הטכנולוגיים יכולים להחזיר את החברה לפעילות ללא תשלום כופר ; (ג) משא ומתן לעסקה - במקום בו החליטו ההנהלה והדירקטוריון כי "מחיר האין-עסקה" גבוה יותר מהנזק שייגרם אם לא ישולם כופר (שפעמים רבות מכוסה על-ידי חברת הביטוח). במקרים אלו מתנהל משא ומתן על נושאים כמו הפחתת גובה הכופר והבטחת מימוש העסקה.
ניהול מו"מ ע"פ יעדם מוגדרים
באירועי כופרה וסחיטה קיברנטית משא ומתן עם התוקף הוא מרכיב חיוני בניהול המשבר. זהו למעשה חוד החנית של היכולות המקצועיות של הנושא ונותן. לצד הצוותים הטכנולוגיים, יועצים משפטיים ויועצי תקשורת, הנושא ונותן משתתף בבניית תמונת האירוע, במתן תשומות מקצועיות מתוך הדיאלוג עם התוקף, ובניהול משא ומתן על-פי יעדים המוגדרים על-ידי מקבלי ההחלטות. בהשאלה מעולם אחר, יפים גם כאן דבריו של הנשיא קנדי בנאום ההכתרה שלו: Let us never negotiate out of fear but let us never fear to negotiate.
הכותב הוא מומחה למשא ומתן וניהול משברים. מייסד ומנכ"ל קבוצת Nest Negotiation Strategies, המספקת שירותי ייעוץ, ליווי והכשרת משא ומתן מורכב וניהול משברים ברחבי העולם. ניהול משברים ומשא ומתן באירועי סייבר כולל משא ומתן באירועי סחיטה בהם מוחזק מידע רגיש כ"בן ערובה" בידי האקרים, ניהול אירועי כופרה (Ransomware) וניהול משבר שבמרכזו פריצה למערכות מידע והשבתה או שיבוש הפעילות העסקית. במסגרת זו מפרסם ומרצה בנושא בארץ ובחו"ל
