יום אחד קיבל ג'וזף, מנכ"ל חברת מחשבים גדולה מהחוף המערבי בארה"ב, קישור משונה לדף אינטרנט. כשהקליק עליו, הוא ראה רק שעון עצר, שהתחיל לספור לאחור שבוע בדיוק, וסכום: 50 אלף דולר - הכופר שהוא נדרש לשלם על מנת שמערכות המחשב הרגישות של החברה ישוחררו. הייתה שם גם אזהרה: אם שעון העצר יגיע לסיומו, סכום הכופר יגדל ל־100,000 דולר. "זה סוג של גאונות", מפטיר ג'וזף, "לנצל את הפחדים האנושיים שלנו ולגרום לפניקה. הוא מתקשר איתך דרך האתר ואז הוא מנתק מגע לשמונה שעות ואין לך מושג איפה הוא".
עוד כתבות למנויים:
- אפשר לעשות הכול עם טלפון: להקים אולפן בבית
נכנסת לפניקה?
"הייתי מבוהל, יצאתי מדעתי. מה שלא עשיתי, למזלי, זה להוציא את כל העצבים על הבחור. התחלתי את השיחה איתו בלהגיד לו שאני מוכן לשלם 2,000 דולר. הוא ענה שהוא מוכן לרדת ל־20,000 דולר. אמרתי לו שיש לנו גיבויים וכל העסק לא שווה מבחינתי אפילו 1,000 דולר, אבל האמת שהם הצפינו את הגיבויים שלנו ולא הייתה לנו דרך להשתמש בהם".
גם פנייה לאף-בי-איי בשאיפה שיאתרו את התוקף לא הועילה. "הדבר היחיד הטוב שיצא מיצירת הקשר עם האף-בי-איי היה שיכולנו להגיד ללקוחות שיצרנו קשר עם הארגון. הם אמרו לנו: 'אנחנו לא ממליצים לכם לשלם, אבל הדרך היחידה שלכם לצאת מזה היא לשלם'. בסוף אין שום ברירה. מבחינתנו זו סחטנות, בהגדרה, ועבור התוקפים זה עסק".
לדברי ג'וזף, האירוע היה קשה במיוחד בגלל הלקוחות שנפגעו: "אתה גם רוצה לפתור את הבעיה אבל גם להסביר את המצב ללקוחות, ולתמרן בין הדברים האלה זה היה קשה מאוד. לקוחות התקשרו אליי ובכו בטלפון. אמרו לי שזה הסוף, שהם יצטרכו לפטר את כולם. שזה יגמור אותם אישית. לקוחה אחת, אולי בבדיחה, אמרה שהיא תיאלץ לעבוד ברחוב. תחושת האחריות שחשתי שמוטלת עליי הייתה נוראית".
בסוף נאלץ ג'וזף להתפשר עם ההאקר ולשלם לו. רק אז שוחררו המערכות והכל חזר לקדמותו. "האירוע היה מאוד טראומטי עבורנו - לחברה, ללקוחות, למשפחה", הוא אומר. "חשבתי לשמור את השיחה עם התוקף, אבל הרגשתי שזה טראומטי בשבילי. זה היה תהליך כאוב, קשה לי לדבר על זה. זה כמו הלם קרב בשבילי".
קשה להאמין, אבל ג'וזף עוד יצא בזול. מה שנשמע כמו סצנה דרמטית בהגזמה מסרט מתח הוא משהו שקורה מדי יום, בעולם וגם בישראל, לעיתים בסכומים גבוהים בהרבה. מדובר במתקפות הסייבר הנפוצות ביותר כיום, שמכונות מתקפות כופרה (ransomware). מישהו לוקח לך את מערך המחשבים כבן ערובה, בלי שתדע מי הוא ואיפה הוא נמצא. הוא קוצב לך כמה ימים להשיג את סכום הכופר ולשלם לו בביטקוין, המטבע הווירטואלי שלא ניתן למעקב. כמו שג'וזף גילה, אין טעם לפנות למשטרה – אין להם כמעט מה לעשות, ואם תנסה להתחכם עם ההאקר הסכום רק יגדל. בינתיים אתה מפסיד סכומי כסף אדירים על כל יום שהמערכת שלך משותקת. תפנים, חביבי – הדרך הפחות כואבת היא לשלם להם.
למרות הדימוי הנפוץ של האקרים כנערים חנונים עם קפוצ'ון, מאחורי המתקפות נמצאים ארגוני פשיעת סייבר אכזריים ובעלי עוצמה. הארגונים הללו מפעילים טכנולוגיות פריצה שמשתפרות מדי יום, כלי נשק זדוניים, ששמם לבדו מהלך אימים על עולם העסקים: החל מ־WannaCry, ששימשה למתקפה רבתי בכל העולם ב־2017, ועד כלים מהדור החדש כמו Maze, GrandCrab, Ryuk/Sodinokibi ו־WastedLocker.
חברות ענק, מפעלים וגם ארגונים ממשלתיים, עיריות ובתי חולים עומדים מול המתקפות האלה חסרי אונים. דוח של חברת EMSISOFT מעלה שהיקף הסכומים אשר שולמו ככופר בארצות־הברית לבדה בשנה שעברה מגיע ל־7.5 מיליארד דולר. אין מי שימנע את הפריצה, אין מי שיביא לדין את הפושעים. במשך זמן רב המוצא היחיד היה לשלם את הכופר הנדרש ולקוות שבשבוע הבא לא יתקוף אותך מישהו אחר.
תשאלו את חברת גרמין, שכל השרתים שלה נחסמו בסוף יולי על ידי ארגון הפשע הרוסי אוויל קורפ (Evil Corp). לפתע, הלקוחות לא הצליחו להתחבר למידע שלהם, בהם גם טייסים שנעזרים במערכת לתכנון הטיסות. החברה דיווחה על תקלה טכנית שתתוקן בהקדם, אבל בתוך שעות פשטה השמועה שגרמין נדרשה לשלם כופר של עשרה מיליון דולר. גרמין היא חברה שמגלגלת ארבעה מיליארד דולר בשנה, היא יכולה להרשות לעצמה. ובכל זאת, לקח להם ארבעה ימים להבין שאין להם ברירה. את הפצעים של אובדן אמון הלקוחות והפסד ההכנסות ילקקו בגרמין עוד זמן רב.
אבל יש מה לעשות. הגאות במתקפות הכופר ברחבי העולם מביאה לפריחה של תעשייה חדשה, זן חדש של אנשי מקצוע ויועצים, שנקראים לדגל כשקורה אירוע. ראשונים מגיעים "צוות התגובה" - לרוב אלה גופים פרטיים או אנשי אנשים עצמאיים שהם כמו המשטרה והימ"מ של עולם המחשבים. הם מטפלים בזיהוי המתקפה ובבידוד המחשבים המותקפים, מנסים לשחרר את מערכת המחשב בת הערובה. באירועים גדולים מעורבים גם עורכי דין, יועצי תקשורת ומומחים לניהול משברים וסוכני ביטוח. אבל איש המפתח באירועים האלה הוא מנהל המשא ומתן.
זה בדיוק כמו שזה נשמע: כמו בסרטים, הוא זה שפותח בדיאלוג עם התוקפים. הוא מתמקח, מתחזה, מתחנף, מיתמם, עושה הכל כדי להפחית את הסכומים שדורשים התוקפים או לחלץ מהם עוד מידע. יש חברות בינלאומיות שמשגרות מומחי משא ומתן לאירועי כופר לפי קריאה ומדי פעם אף פועלות בישראל, ויש גם מנהלי משא ומתן ישראלים, חלקם אפילו נהנים ממוניטין בינלאומי ונקראים למשימות תיווך אצל חברות בחו"ל. הביקוש למנהלי מו"מ הולך וגדל, והידיים שלהם מלאות בעבודה.
גם ג'וזף הבין שלבד הוא לא יכול, ולכן פנה אל עו"ד מוטי קריסטל, שם מוכר בענף הכופרה. בעברו היה קריסטל עובד משרד הביטחון ומשרד ראש הממשלה, ובין השאר שימש בצוותי המשא ומתן המדיני מול ירדן והפלסטינים. מאז הוא עוסק בניהול תהליכי משא ומתן במסגרת חברת NEST שהקים, ובשמונה השנים האחרונות הוא עוסק כמעט אך ורק במו"מ באירועי סייבר. "אפשר לחלק את השוק לאלה שכבר חטפו מתקפת כופר ולאלה שעוד יחטפו מתקפת כופר", הוא אומר בנחרצות. "זו מגפה, ברמה של תאונות הדרכים. בעידן הביטקוין ותוכנות המחשב זה הופך קל כל כך, ועם מיעוט סיכונים זה פנומנלי".
הקורבנות הן חברות ענק או גם בינוניות וקטנות?
"יש שתי רמות פשיעת כופרה. ברמה הפשוטה, הפושעים מגיעים באופן רנדומלי לעסקים קטנים ובינוניים. אני קורא לזה 'קציר חיטים': רואי חשבון, עורכי דין, אדריכלים. הם נועלים את הקבצים שלהם, והם רוצים כסף. כשהתחלתי זה היה 10,000 שקל, היום זה עומד על כמה מאות אלפי שקלים. התעריף עולה כל שנה.
"ברמה היותר מורכבת מדובר בכנופיות עם נוזקה (malware) מאוד מתוחכמת. הם חודרים למחשבים, הם גרים במחשבי הארגון, לומדים את הארגון, מבינים את היקף העסקים, את שיטות הכניסה, מגיעים גם לגיבויים שנועדו להתגבר על התקפות סייבר. אחרי כמה שבועות הם מגיחים ברגע הנכון, סטטיסטית זה קורה בסופי שבוע, ואז הם נועלים את הקבצים, נועלים את הגיבוי, ודורשים מיליוני דולרים: מיליון, שניים, שלושה. בשלב הזה החברה משותקת, והדרך היחידה היא להגיע למו"מ עם ההאקרים".
בזמן השיחה שלנו קריסטל יושב עם לפטופ פתוח והסמארטפון במקביל. עד מהרה מתברר שהוא עוסק, בזמן אמת, בניהול משא ומתן עם פושע סייבר. לבסוף הוא מתרצה ומספר שמדובר בתוקף מצפון-קוריאה שהשתלט באמצעות כופרת Ryuk האימתנית על מחשבים של חברה גרמנית ועצר את פעילותה. האיש שמהצד השני של המיילים המוצפנים דרש 310 ביטקוין, ששוויים יותר משלושה מיליון דולר. קריסטל מציג את עצמו כחבר של המנכ"ל ומעריך באוזניו שיוכל לשכנע את המנכ"ל לשלם 80־90 ביטקוין. התוקף עונה: 285. קריסטל עולה ל־100.
קריסטל מגחך. באותו שלב צוות תגובה של מומחי סייבר ישראלים כבר הצליח לשחזר את המערכת, אבל הוא ממשיך בהתכתבות עם התוקף, מנסה לברר אם יש לו עוד כלים בארסנל, למשל נתונים שהוציא מהחברה. "בינינו? אני גונב זמן. אני ממשיך לנהל איתו מו"מ, אבל בקרוב אתפייד מהאירוע כי לא באמת צריך לשלם פה", הוא אומר.
אז יכול להיות שאפשר להסתדר בלי מנהל מו"מ?
"תראה, בדצמבר־ינואר ניהלתי אירוע עבור חברה ענקית בארה"ב, חברה של חמישה מיליארד דולר, 250 אלף עובדים. ביקשו מהם כופר של שני מיליון דולר. בהתחלה הם התחכמו, לא ענו, אז החוטפים הכפילו להם את הכופר לארבעה מיליון דולר. הם חכמים הפושעים, נותנים לך סכום כזה שאתה לא אמור לחשוב פעמיים אם לשלם או לא. הנזק אם לא תשלם יהיה יותר גדול".
זה מצב של חוסר אונים מוחלט.
"בדיוק. הייתי מעורב באירוע עם קבוצה רוסית, מהיותר אלימות, שעשו מתקפת סחיטה על חברה ואיימו למכור את המידע שלה. החלק המשעשע היה שבעל המניות הראשי בחברה הסתובב כל הזמן ולא הפסיק להגיד, 'אני לא מוכן שיסחטו אותי, אני לא מוכן שיסחטו אותי'. השותף שלו אמר לו שהסכום שדורשים מהם לא שווה את ההתעסקות עם זה. אחרי חודשיים וחצי של משא ומתן בווטסאפ הם שילמו וקיבלו בחזרה את המערכת. ואז ביקשתי מהחוטפים לכתוב לי מסמך ולציין שהם בכלל נתנו שירות: מבחן עמידות בפני פריצה. נתתי את המכתב לבעלים ואמרתי לו, 'אתה רואה? בכלל לא שילמת כופר'".
"באירוע אחר נכנסתי בשלב מאוחר, ובינתיים המנכ"ל, חוץ מלקלל את התוקף, ניהל איתו תקשורת נוראית. אנשים לא מיומנים - או שהם מאוד נבהלים ומוכנים לשלם הכל מיד, או שהם מאוד תוקפניים. זה מאפיין מנהלים ישראלים עם גישת ה'למה־מה? מה תעשה לי?'. ואז אני נכנסתי וניסיתי להרגיע את ההאקר, והוא מאוד שמח וכתב לי: 'מה, הוא משוגע? הוא מדבר כאילו הוא עומד לפני כלוב אריות'".
האקר עם רגשות?
"מבחינת המנהלים יש מנוולים שמשתקים להם את הביזנס. מבחינתי, אלה שותפים לעסקים. אם אני רוצה להגיע לעסקה, שבסופו של דבר היא הזולה ביותר, אז צריך להתייחס אליהם כאל שותפים עסקיים. אני מנהל את החזית, את הדיאלוג מול התוקף, ואני משדר תחושה של שליטה באירוע מול ההנהלה והדירקטוריון בגלל שהעוצמות הרגשיות שלהם מאוד גדולות. עם ניסיון של עשרות מקרים, יש לי פרספקטיבה רחבה על הדינמיקה של האירועים. למרות שאין לי שום הבנה בסייבר, יש לי הבנה בבני אדם, ובעזרת האנשים הטכנולוגיים אני יכול להעריך את מצב הגיבוי, לזהות את וקטור התקיפה, לתעדף מערכות קריטיות, ולהשתמש בזה במו"מ מול התוקף".
ארגון פשעי כופרה מתנהל בהרבה מקרים כמו חברה עסקית: יש תוכנית עבודה, גיוס עובדים, מחקר ופיתוח, ואפילו שירות לקוחות. יש שירותי השכרה של תוכנות פריצה, כשהשוכר משלם שיעור מוסכם מסכום הכופר ששדד. פעמים רבות הסכום מבוסס על מחירון מסודר, שמתייחס להיקף הפעילות וההכנסות של החברה המותקפת. הקורבנות המבוהלים מצידם, יכולים לקבל מדריך לתשלום כופר: איך פותחים ערוץ הידברות בדארקנט, הרשת האפלה שבה הכל קורה, איך רוכשים ביטקוין ואיך משלמים. הארגון יסייע בכל שאלה ואפילו יבטיח תמיכה טכנית לאחר השבת המערכת שחטפו לפעולה.
לכן המשימה הראשונה של כל מנהל מו"מ היא לברר מי התוקף שמולו: האם זו מתקפת כופרה חובבנית או שמא פעילות של אחד מארגוני הפשיעה הגדולים, כמו שקרה לגרמין. במקרים מסוימים מדובר בעובד שמבקש להתנקם במעסיק שלו, כמו שקרה לאתר הבגידות אשלי מדיסון. יש ארגונים שנופלים קורבן לפשע של ארגוני ביון מדינתיים של צפון־קוריאה, סין או איראן, כמו שקרה לחברת סוני. כשהמתווך מבין את המוטיבציה של התוקף, הוא יכול להעריך האם ניתן יהיה להתמקח על המחיר, ובעיקר – האם התוקף יוכל לספק את הסחורה, להחזיר את המערכות לפעולה. לא תמיד זה המצב.
גם יעל (שם בדוי), מנכ"לית של חברה מסחרית עם לקוחות בישראל ובארה"ב, חוותה את זה על בשרה. היא זוכרת את הרגע שהתייצב במשרדה סמנכ"ל ההנדסה של החברה ודיווח על מתקפת הכופר. "הוא עומד לבן כסיד ואומר 'נראה לי שיש בעיה'", היא מספרת, "ואז הוא מקריא את המייל שכתוב בו שלתוקף יש ביד נתונים שלנו, ואם לא נשלם לו אז המידע יימחק מהמערכת, יופץ בדארקנט וגם ייעשה בו שימוש. אתה נמצא באי־ודאות ביחס לעוצמה, להיקף, לחומרה, למשמעות. אין לך כלים להבין האם התוקף הוא יחיד או רבים, האם הוא נמצא ברוסיה, בסינגפור או בווייטנאם, ואולי זה על רקע לאומני... כל המחשבות בעולם עוברות באותו רגע בראש".
מה הדבר שבאותו רגע הכי מדאיג אותך?
"הכי מדאיג אותי הם הלקוחות. אחרי זה ההמשכיות העסקית, המוניטין, בעלי המניות. אבל לקוחות זה הלחץ, כי כחברה זה מה שיש לך. אתה רוצה להגן על הביזנס שלך, על המוניטין של החברה שלך".
מה הרגשת?
"זה כאילו פורצים לך הביתה, זה לא נעים. זה גם מלחיץ כי אתה לא יודע לאן זה עלול עוד להתגלגל. ומה אם אני לא אעמוד בדדליין שלו? ואיך אני אשלם לו? ואולי יומיים אחרי זה אני אהיה חשוף לבן דוד שלו, שיתקוף אותי שוב?"
התוקף דרש סכום של כ־25,000 שקל. יעל הנחתה את העובדים שלא לתקשר עם התוקף ופנתה לאנשי המו"מ של חברת קריטיקל אימפקט, שהוקמה על ידי יוצאי היחידה למו"מ של צה"ל. אחד ממייסדיה, דורון הדר, משרת יותר מ־20 שנה ביחידה ומשמש כיום כמפקדה במילואים. החברה גייסה למשימה אנליסטית שאיתרה את מיקומו ומאפייניו של התוקף, ופסיכולוג מבצעי שהשלים את הפרופיל המלא שלו. המידע הזה איפשר להם להבין שהתוקף לא העריך עד הסוף כמה רגיש המידע שחטף, ולהניח הוא אכן ישלים את חלקו ולא ינסה לסחוט סכומים נוספים.
עשרה ימים מורטי עצבים נמשך האירוע, עד שהכסף הועבר לתוקף והוא שיחרר את המערכת. "זה כמו פוסט־טראומה", אומרת יעל, "אחרי זה אתה נהיה קצת פרנואיד ומקשיח את כל אמצעי ההגנה".
יורי קוגן הגיע לעולם המשא ומתן בפשעי כופר אחרי 26 שנים במשטרת ישראל, בין השאר ביחידה לניהול משא ומתן של המשטרה. לצד צה"ל, אלה שני המקומות היחידים בישראל שמכשירים אנשים לתפקיד ניהול משא ומתן מול חוטפים. אחרי המשטרה עבד במה שהוא מכנה, “תפקידי מודיעין במשרד ראש הממשלה”. אפשר לומר שהחיים הכינו אותו להיות מתווך בפשעי סייבר בינלאומיים.
לדבריו, גם הוא וגם אחרים שפועלים בתחום נשאבו אליו בשל הביקוש הגובר. "קלות ההצלחה של פשעי סייבר היא פשוט מטורפת", הוא אומר, "יש אמירה – לא שלי – שהכסף מונח פה על הרצפה, ואידיוט מי שלא עושה את זה. אבל אתה רואה שארגוני פשיעה קלאסיים גם נכנסים לזה, ואפשר לקנות קיט כופרה בדארקנט בסכומים לא גבוהים, ולעבוד בשיטה של הפצה לכל עבר".
יש מושג מה ממדי הבעיה?
"כמו בפשיעה הקלאסית גם כאן שיעור הפשיעה הלא־מדווחת עולה עשרות מונים על הפשיעה המדווחת. מחקר של ג'וניפר מצא כי בשלוש השנים האחרונות אירועי הכופר עלו במאות אחוזים. זה מגיע להיקף של מיליארדי דולרים. בתקופת הקורונה יש עלייה של 35 אחוז בגלל שכולם עובדים אונליין, גם כאלה שלא עבדו לפני כן".
מה היקף התופעה בישראל?
"אני לא יודע להגיד, אבל אני מעריך שיש מספר אירועים בשבוע".
דן לוינסון, מומחה להגנת סייבר בחברת פורס מז'ור, אומר שבחודש האחרון היה מספר גדול של אירועים, שבחלקם הוא טיפל ישירות. חברה ישראלית אחת שילמה שלושה וחצי מיליון דולר להאקרים במקום לספק שהיה אמור לקבל את הכסף, וחברה נוספת ששילמה כופר של יותר ממיליון דולר. "בין אם זה כופרה, הנאות כספיות או סחיטות, זו מכה שהחברות העסקיות בישראל עוד לא התחילו להבין אותה”, אומר לוינסון. “עד שזה קורה להן”.
מקרה מתוקשר נוסף של מתקפת האקרים מתוחכמת התרחש בחודש מאי, כשארגון פשע תקף את משרד עורכי הדין הניו־יורקי גרובמן־שיר־מיזלסוזקס באמצעות REvil, אחד מכלי הפריצה המרושעים ביותר כיום. התוקפים לא הגיעו לשם במקרה: מדובר באחד המשרדים הגדולים בעולם לייצוג כוכבי קולנוע ומוזיקאים. ברשימת הלקוחות שלהם אפשר למצוא את אלטון ג'ון, רוברט דה נירו, ברברה סטרייסנד, וגם חברות כמו פייסבוק, סוני, HBO ו־Imax. החוטפים השתלטו על 756 ג'יגה־בייט של מידע אישי ופרטים על הלקוחות המפורסמים, חלקם אינטימיים ביותר. התוקפים דרשו 21 מיליון דולר וגם פירסמו מכתבים עסקיים של מדונה כהוכחת רצינות. ראש המשרד, עו"ד אלן גרובמן, סירב להיכנע לסחטנות. התגובה הייתה הכפלת דרישת הכופר ל־42 מיליון דולר, תוך חשיפת סלב נוסף ואיום לפרסם מידע מפליל עליו: נשיא ארה"ב דונלד טראמפ. אחרי זה השתרר שקט. הכופר המוגדל, אפשר לנחש, שולם במלואו.
אבל המקרים המגיעים לתקשורת הם רק קצה הקרחון של התופעה, שהופכת בלתי ניתנת למניעה: מאות מתקפות כופר ששודדות מיליארדי דולרים מעיריות, בנקים, קרנות פנסיה. בינואר התפרסם שחברת השירותים הפיננסיים הבריטית Travelex הושבתה למשך שבועיים עקב סירובה לשלם כופר בגובה שלושה מיליון ליש"ט, עד שבסופו של דבר נאלצה לשלם שישה מיליון ליש"ט. לעומתה, אוניברסיטת קליפורניה בסן־פרנסיסקו יצאה בזול, אחרי שמנהל המשא ומתן ששכרה הפחית את הכופר שנדרש ממנה משלושה מיליון דולר ל־1.14 מיליון "בלבד". ואלה דוגמאות מקריות. סקר שוק עולמי של חברת סופוס מצא שיותר ממחצית הארגונים בעולם הותקפו במתקפת כופרה בשנה האחרונה.
המצב בישראל מזעזע לא פחות. לפי דוח של מערך הסייבר הלאומי, בשנת 2019 התקבלו דיווחים על כ־200 מתקפות כופרה בישראל, אבל ההנחה שלהם היא שהיו הרבה יותר אירועים שכלל לא דווחו. כמה אנשים שדיברנו איתם דיווחו למשל על אירוע שנשמר תחת איפול: מתקפה על חברת החשמל, שהסתיימה בתשלום כופר בסכום של שש ספרות. לפני כשנתיים נאלצה המועצה האזורית חוף אשקלון לשלם כופר בגובה 19 אלף שקל. באפריל הותקפה חברת ההיי־טק הביטחוני הישראלית ורינט במתקפת כופרה, וכך גם בתי חולים ומשרדי עורכי דין. באחד המקרים הותקפה חברה שלוש פעמים תוך זמן קצר על ידי האקרים שונים.
בכל האירועים הללו משחקים מתווכי המשא ומתן תפקיד מרכזי. בהיעדר כל הכנה אחרת הם הסיכוי האחרון של הקורבנות להקטין את הנזק. "מנהלי החברה מצפים שאנהל בחוכמה את התקשורת עם התוקף, ושאם יחליטו לשלם אז אגיע לעסקה במחיר מופחת", אומר קריסטל. "ברוב המוחלט של המקרים אני מצליח להוריד את הסכומים".
הם יודעים שאתה איש משא ומתן מקצועי?
"אני מתחפש, אני מתאים את רמת האנגלית שלי, את הזהות שלי. לפעמים אני הבן של הבעלים, לפעמים אני אישה. זה אל”ף־בי”ת של ניהול משא ומתן עם חוטפים. זו ההצגה שלי. בכלל רציתי להיות שחקן, לא עורך דין ולא איש מו"מ. אתה נכנס לתוך דמות, והיא תמיד תלויית מצב והקשר תרבותי. באחד המקרים אמרתי להם שאני בנקאי השקעות, אבל הם קלטו שאני מנהל מו"מ מקצועי מטעם חברת האבטחה. בסוף האירוע הם כתבו לי: 'היה לעונג לנהל איתך מו"מ, ואנחנו מקווים לפגוש בך עם לקוחות אחרים'".
מה אתה יודע על האיש שמנהל איתך משא ומתן?
"אתה מנסה לזהות קבלת החלטות: האם הוא חייב ללכת להתייעץ בכל רגע או שיש לו את המנדט להחליט. כמה גבוה הוא בהיררכיה של אותו גוף פשע. באירוע בתחילת השנה הגעתי לתקשורת טובה עם התוקף וביקשתי ממנו מידע – איך חדר למערכת, באיזה כלים השתמש, וקיבלתי תשובות. המידע הזה חסך ללקוח הרבה זמן וכסף בהתאוששות מהאירוע".
קוגן אומר שהניסיון לאפיין את התוקף נמשך כל זמן האירוע. בחלק מהמקרים נקראים מומחים לבניית פרופיל כדי להעריך את הסיכונים, כמו במקרה של יעל: "בסוף זה ניהול סיכונים מתמיד. אתה יכול לזהות את הקבוצה, להעריך בכמה אתה יכול לסגור איתם. זה יכול להיות ילד שדורש סכומים בלתי הגיוניים. זה יכול להיות ארגון פשיעה קלאסי, שגם עוסק בסחר בסמים או בבני אדם. זה יכול להיות עובד מחשבים בחברה שהוצא לחל"ת ועבר לצד השני. לפעמים אתה לא יכול לדעת עם איזה גורמים אתה מתעסק. בסוף האירוע כרטיס הסים בטלפון שלי ייגרס והטלפון ילך לשחות בים".
לדבריו, הכלל הראשון במו"מ עם תוקף הוא לא לשקר: "צריך להניח שהוא יודע הכל. באחד המקרים איש המחשבים בחברה אמר לתוקף, 'אין לי את הסכומים האלה, מאיפה אני אשלם לך כזה דבר?' אז התוקף שלח לו את הדוח האחרון של החברה לרשויות המס ואמר: 'אל תשקר לי. בזה הרגע הכופר שלך מוכפל'. נקודת המוצא צריכה להיות שהתוקף לא הגיע אליך במקרה. הוא אסף מודיעין עליך, יכול להיות שהוא ישב חודשים אצלך ברשת".
המידע שאוספים ארגוני הפשע יכול להכות את הקורבנות בתדהמה. לארגון מייז, אחת מקבוצות פשיעת הסייבר הגדולות בעולם, יש אתר אינטרנט, כמו לכל חברה שמכבדת את עצמה. איתי מאור, מחברת אינטסייטס הישראלית, מספר כי באתר הועלה לאחרונה דוח שהכין ארגון הפשע על תקיפה מסוימת שלהם. הדוח כלל את שם החברה, שמות כל מומחי המחשב והמשא ומתן שגויסו לאירוע, וגם הערכת הנזק הכולל שנגרם לחברה. השורה התחתונה הייתה שאם החברה הייתה פשוט משלמת את הכופר זה היה נגמר בהרבה פחות כסף מבחינתה.
אחת הסיבות לקלות הבלתי נסבלת שבה מצליחים התוקפים להשתלט על מערכות מחשבים היא חוסר המודעות של מרבית הציבור להיקפה העצום של פשיעת הכופרה. אם המערכת שלכם מגובה היטב, כך שהתוקפים לא מגלים את הגיבוי, מומחה מחשבים יוכל לשחזר את המערכת ולעקוף את החסימה. במרבית המקרים גם אם יש גיבויים הם נעשים ברשלנות. "אני מתחנן בפני כל אדם שאני עובד איתו", אומר קריסטל, "יש לך הגנת סייבר? אם יש לך משמעת גיבוי, אתה לא צריך לענות לתוקפים בכלל". דוד סיון, מומחה מחשבים והבעלים של חברת CPO, מוסיף: "אירוע כופר הוא אירוע שאם לא הייתי ערוך אליו מראש, ברוב המקרים תמצא את עצמך משלם".
קריסטל, סיון ואחרים מסבירים כי הסכימו להתראיין כדי לעורר מודעות לחומרת הבעיה. היעדר המודעות לסכנה הברורה והמיידית נובע ממסך אדיר של טשטוש, הסתרה והכחשה שאופף את הזירה. חברות שמותקפות ומשלמות כופר עושות הכל כדי להסתיר את המקרה או למזער אותו אם התגלה. אחת ההנחיות הראשונות של מנהלי המשא ומתן ללקוחות הוא לתדרך את העובדים לשמור על חשאיות ולא להוציא דבר לרשתות החברתיות. שילוב בלתי מובן של מבוכה ובושה והחשש לפגיעה בעסקים גורם לחברות לא לדווח על הפשע, ומקל עוד יותר על עבודתם של הפושעים.
כך קורה שחברות עסקיות שטרם הותקפו, בהן כאלה שמחזיקות בכספים שלנו או בפרטים אישיים שלנו, מתנהלות בשלווה כמו פרות במרעה, לא מבחינות בזאבים שאורבים סביבן. "עולם העסקים הוא כמו וילה בג'ונגל, אבל אין לזה מודעות", אומר קוגן, "לא דואגים לשרידות, לגיבויים, להדרכת עובדים. לפני כמה שבועות טיפלתי באירוע כופרה עם חברה בינונית. הם היו בטוחים שלא יתקפו אותם כי הם קטנים. סבבה, אז הם חטפו אירוע עם כופר של כמה מאות אלפי דולרים".
כך קרה גם לאתי דנה. הצרות שלה התחילו כשאבא שלה, הבעלים של החברה המשפחתית י. דנה, עידכן אותה שהוא לא מצליח להפעיל את מערכת המחשב. כשלעצמו זה לא היה מפתיע, אבל כשניגשה לעזור לו הבינה לפתע את גודל הצרה. "זה מה־זה מתסכל. הצלחתי לחלץ את הקבצים מהשרת, אבל אחרי כמה ימים הם הצליחו לחטוף אותם שוב, וזה הפך לעוד יותר גרוע", היא מספרת. "הייתה לי גם הודעה במייל שאם לא נשלם אז הם לא ישחררו את זה. פתאום אתה חסר אונים, אתה רואה שאין קבצים, אין מידע על הלקוחות. גם שנתיים לא היו מספיקות לשחזר את זה. אם אתה לא משחרר את הקבצים, אתה לא יכול להמשיך לעבוד".
ניסית לדבר עם התוקפים?
"אין עם מי. אני שולחת מייל והוא חוזר. המייל שלהם כתוב מוזר באנגלית באותיות גדולות, בכלל לא ידידותי".
הסכום שדרש התוקף היה מתחשב ביותר: 7,000 שקל בלבד. דנה יצרה קשר עם סיון. ההנחיה הראשונה שלו הייתה לשלם ולקבל את מפתח ההצפנה במהירות. כדי לעשות את זה, משפחת דנה הייתה צריכה ללמוד פרק בהלכות ביטקוין. "בשמונה בערב, כשהחלטנו שאין מה לעשות ואין ברירה, נסענו להוציא כסף והלכנו ל'ביטקוינס' באחד העם. שילמנו שם בצורה שעד היום אני לא מבינה, דרך מחשב והדארקנט. אתה לא מקבל קבלה, לא מקבל חשבונית, אתה לא יכול לדעת אם זה עבר או לא עבר".
איך אבא שלך הגיב?
"הוא היה המום. הוא איבד את זה... 'מה? מה???" למי אני משלם?'. היינו במשרד מהבוקר עד הלילה והוא התחרפן. כל הזמן הוא היה על קוצים – תבדקי, תבדקי, תבדקי. אנשים מבוגרים לא רגילים לדברים האלה. לוקח להם זמן להבין מה זה מיילים, אז לך תסביר להם מה זה כופר".
לפי קוגן, הנטייה של החברות הגדולות לשמור על המתקפות בסוד – כמו גם היעדר הרגולציה בתחום – הם האחראים לחוסר המודעות לסכנה. "בית משפט בארה"ב חייב עכשיו חברה לחשוף פרטי אירוע של חשיפת מידע על לקוחותיה, שקרה ב־2018", הוא אומר. "החברה כתבה דוח מפורט אבל הסתירה אותו, ועכשיו היא נתבעה על ידי הלקוחות שרוצים לראות האם פרטיהם נחשפו. מצד שני יש לחצים על המנכ"לים. לקוח שטיפלתי באירוע אצלו כשהיה באמצע תהליך מסחרי אמר לי: 'אם המשקיעים שלי, שאני כפסע מקבלת ההשקעה מהם, ידעו על זה - הם ימשכו את ההשקעה'".
מול המתקפה־רבתי של פושעי הסייבר יש תגובה רפה של רשויות אכיפת החוק, שלא לומר אוזלת יד מוחלטת. מערך הסייבר מוכן לעזור בעצות, אבל הוא כמעט שלא מתערב, וגם אז יכולתו למנוע תשלומי כופר מוגבלת ביותר. המשטרה פשוט אינה רלוונטית: לך תגיש תלונה על פושע שיושב בקייב או בפיונגיאנג. הרשויות האמריקאיות מוציאות צווי חרם על פושעי סייבר מוכרים, ה־FBI אפילו הכריז על פרס למי שיביא מידע שיוביל לתפיסתם. ההצלחה אפסית.
מישהו סחט אותך, שילמת מיליון דולר, ואין לך אפילו למי להגיש תלונה.
קריסטל: "נכון. לפחות פעמיים הצלחנו לזהות קצה חוט לחוטפים ונתנו את זה לאף־בי־איי. אם היו עושים מאמצים מדינתיים... לכולם הרי יש אותו אינטרס: לרשויות החוק הישראליות, לאמריקאים, לאף־בי־איי, אבל האיתור של הפושעים דורש משאבים אדירים. לפי מיטב הבנתי אין שיתוף פעולה גלובלי למרות שהפשיעה פוגעת בכלכלות בצורה בלתי רגילה. העולם המערבי משלם למזרח אירופה, לרוסיה, לסין, לצפון־קוריאה. רשויות החוק רק צופות".
מי שנכנס לוואקום האכיפתי הן חברות הביטוח. בעולם שבו אין סיכוי למצוא את הפושע ולהחזיר את הכסף, החברות הגדולות דואגות לבטח את עצמן מפני נזקי סייבר. עילית כספי, המשנה למנכ"ל כלל ביטוח ומנהלת חטיבת הביטוח הכללי בחברה, אומרת שפוליסות ביטוח הסייבר נכנסו כבר לפני כחמש שנים אבל בתקופה האחרונה הן זוכות להתעניינות רבה. "מי שחווה את הסיפור הזה, בשבילו זו הצלה. היו מקרים שכל טובי המומחים לא הצליחו לפתור ואנחנו נאלצנו לשלם את הכופר".
"ביטוח הסייבר הוא לא מוצר חדש, אבל בשונה מהתחומים האחרים כאן הביטוח הפך להיות מכבה האש, האמבולנס, ואם תרצה גם הזק"א שמגיע ראשון לאירוע", אומר שי סימקין, המרכז את תחום ביטוח הסייבר בחברת האודן הבינלאומית, שמרכזה בלונדון. "הביטוח מחזיק את היד ללקוח, מנחה אותו מה לעשות ומספק לו את התמיכה של גופים טכנולוגיים גדולים, שמשולמים על ידי הביטוח. באירועי דליפת מידע עם היבטי פרטיות גם מפעילים משרדי עורכי דין כדי להגן על המותג".
סימקין אומר שעד כה שילמו חברות הביטוח עשרות מיליארדי דולר בתביעות סייבר, וזה הענף הצומח ביותר בעולמות הביטוח. ולא, לא צריך לדאוג לרווחיות של חברות. פרמיות ביטוח הסייבר הולכות וגדלות בשנים האחרונות והיקף השוק שלהן הולך וגדל. סימקין מעריך שבשנתיים הקרובות יצטרפו מרבית החברות בעולם לביטוח סייבר. ככה יוצא שתעשיית פשעי הסייבר, שמגלגלת מיליארדי דולרים בשנה, מפרנסת תעשיות־משנה של מומחי התמודדות עם סייבר וחברות ביטוח, עם מחזורי פעילות של עוד מיליארדי דולרים. ומי שמשלם את המחיר הם הלקוחות – כלומר אנחנו.