© כל הזכויות שמורות לברנע ג'פה לנדה משרד עורכי דין

Together is powerful

מתקפות כופר – המלצות חדשות של משרד המשפטים

נוכח התגברות מקרי ההונאה במרחב הדיגיטלי, גיבש משרד המשפטים המלצות לקביעת מדיניות להתמודדות עם מתקפות כופר. ההמלצות נוגעות לגופים פרטיים וממשלתיים.

 

בשנת 2021 התקבלו במוקד מערך הסייבר 12,739 פניות מאזרחים וארגונים בנוגע לאירועי סייבר, לרבות אירועי כופר. בסך הכול בשנים 2019-2021 דווחו 413 אירועי מתקפת כופרה, כאשר הערכה היא כי מספר האירועים שארע בפועל ולא דווח גבוה משמעותית.

 

ההמלצות החדשות הן חלק מבחינה מקיפה שנערכת במשרד המשפטים בעניין התמודדות רשויות האכיפה עם אירועים אלה ובכלל זה, בעניין תמיכה בגופים המותקפים בטיפול באירוע, סיוע למי שנפגע מהונאות במרחב הדיגיטלי, חקירה ואכיפה.

 

ההמלצות שמתפרסמות כעת נוגעות לשני היבטים של התמודדות עם אירועי כופר ואירועי סייבר. ההיבט הראשון נוגע לשאלת תשלום הכופר והשני לנושא הפרסום של אירועים.

 

ברמה העקרונית, הצוות קובע כי תשלום כופר הוא פעולה בלתי רצויה, בין היתר כיוון שתשלום לא מסייע בהשבת המצב לקדמותו, מעודד הישנות של תקיפות כאלה, מממן פעילות בלתי חוקית ולא מבטיח כי המידע לא ייחשף בעתיד. יחד עם זאת, הצוות לא ממליץ להטיל איסור גורף על תשלום כופר, ומכיר בצורך של גופים לשמור על גמישות בהתמודדות עם אירועי כופר. המלצות אלה עולות בקנה אחד עם העמדות שפרסמו בעולם בנושא זה.

 

 

הצוות מבדיל בין גופים פרטיים לציבוריים וגיבש עבורם המלצות שונות: 

 

המלצות – גופים פרטיים

 

1. על גופים אלה לדווח לאלתר על המתקפה ועל התשלום – במידה ויבוצע – לרשויות הרלוונטיות.

 

2. על הרשויות לשקול פרמטרים ותנאים בהם הסיכון לאחריות פלילית בגין ביצוע התשלום יצומצם, ככל שגופים אלה ידווחו על מתקפה טרם תשלום הכופר וישתפו פעולה עם הרשויות.

 

3. יש לידע את הציבור כי ישנן נסיבות בהן תשלום דמי כופר עשוי להביא לאחריות פלילית כנגד המשלם, בין היתר בקשר עם מימון טרור ו/או הלבנת הון בישראל וכן עבירות במישור הבינלאומי על הוראות OFAC (Office of Foreign Assets Control), הכוללות רשימה של גורמים אליהם חל איסור לבצע תשלומים.

 

המלצות – גופים ממשלתיים

 

1. גופים ממשלתיים יידרשו לאישור משפטי בדרג גבוה בטרם העברת תשלומי כופר וזאת תוך היוועצות עם גורמים מקצועיים בתחום הגנת הסייבר והביטחון.

 

2. גופים ממשלתיים צריכים לדעת כי עצם התשלום משמעותו עשויה להיות כי המדינה תהיה מעורבת בדבר עבירה.

 

3. יש לחייב משרדי ממשלה לדווח לגופים הרלוונטיים במקרים של מתקפת כופרה.

 

פרסום תקשורתי

 

בנוסף, הצוות מפרט לגבי ההיבטים החיוביים והשליליים של פרסום תקשורתי של מתקפות כופרה ועומד על המתח שבין זכות הציבור לדעת, חופש העיתונות וכו', לבין מתן תהודה למתקפות – ובפרט למתקפות שנועדו למטרות טרור ולפגיעה בביטחון הלאומי.

 

לעניין זה, הצוות הגיע למסקנה כי מנגנון איסור הפרסום הקבוע בדין הישראלי מספק תוצאה טובה ועל כן יש לשקול להכילו גם על מתקפות כופרה, והציע מספר כללים מנחים בנוגע להליכי בקשה והוצאה של צווי איסור פרסום בהקשר זה.

 

בהקשר זה הצוות מזכיר את חובות הדיווח שכבר קבועות בדין הן לרשות הגנת הפרטיות, הן לרגולטורים הענפיים והן לנושאי המידע והציבור, כאשר מדובר בחברות ציבוריות.
המלצות אלה מחדדות את הסיכונים בפניהם עומד גוף במצב של מתקפת כופרה או אירוע סייבר ומדגישות את הצורך להיערך מבעוד מועד לאירועים אלה.

 

 

***

מחלקת הרגולציה במשרד ברנע ג'פה לנדה עומדת לרשותכם בכל שאלה בסוגיות סייבר, פרטיות ואבטחת מידע, ובסוגיות נוספות.

***

תגיות: מתקפת כופרה | מתקפת סייבר