סייבר

30 באוקטובר, 2022

מתקפות כופרה - עדכון בנוגע לדו"ח צוות המשנה בנושא פשיעה והונאות במרחב הדיגיטלי

 

ביום 23.10.2022 פרסם צוות המשנה בנושא פשיעה והונאות במרחב הדיגיטלי דו"ח המסכם את פעילות הצוות ואת המלצותיו. הצוות,בראשות ד"ר חיים ויסמונסקי, מנהל מחלקת הסייבר בפרקליטות המדינה, הוקם על-ידי מנכ"ל משרד המשפטים בדצמבר 2021, ופעילותו התייחסה לתופעות הבאות: מתקפות כופרה, הונאות פורקס (הצעת מוצרי השקעה פיקטיביים) והונאות דיוג (פישינג).
על פי הנחיית מנכ"ל משרד המשפטים, התמקד צוות המשנה בתופעת מתקפות הכופרה במטרה לגבש מדיניות ממשלתית הוליסטית להתמודדות עם התופעה.

 

האם ובאילו תנאים יש לאסור על תשלום כופר
ככלל, במרבית מדינות העולם אין איסור ייחודי גורף על תשלום כופר במסגרת מתקפת כופרה. עם זאת, במדינות רבות ישנה המלצה (לא מחייבת) שלא לשלם דמי כופר.

 

המלצת צוות המשנה היא כי אין מקום להטיל איסור גורף על תשלום כופר, לרבות על גופים ציבוריים או ממשלתיים.
עם זאת, תשלום כופר, בין על-ידי גופים מדינתיים, בין על-ידי תאגידים מסוגים שונים ובין אם על-ידי אנשים פרטיים הוא בבחינת פעולה בלתי רצויה מהטעמים הבאים: תשלום הכופר לא מבטיח את השבת המצב לקדמותו; הוא עשוי לסייע לתוקפים במימון פעולות לא חוקיות נוספות; עלול לסמן את המותקף כמטרה עתידית למתקפות כופרה נוספות; וכן, אינו עולה בקנה אחד עם דרישת שחזור המידע באמצעיים ראויים במקרה של אסון (כפי שקבוע ב GDPR ובתקנה 17(ב) לתקנות הגנת הפרטיות (אבטחת מידע)).

 

צוות המשנה מציע את דרכי הפעולה הבאות
  • פרסום המלצה רשמית ופומבית לכלל הציבור שלא לשלם כופר ולדווח על המתקפה וכן על התשלום (ככל שהוא מתבצע) לאלתר לרשויות המדינה הרלבנטיות.
  • פרסום הבהרה כללית בדבר הסיכון לגיבוש אחריות פלילית בנסיבות מסוימות של תשלום כופר בגין עבירות כגון מימון טרור או הלבנת הון כמו גם הסיכון לעבירה על הוראות OFAC (מחלקת בקרת נכסים זרים במשרד האוצר בארה"ב) במישור הבינלאומי. יש לשקול פרסום פרמטרים או תנאים בהם הסיכון יצומצם.
  • קיום תהליך בחינה של תשלום כופר במקרה של מתקפת כופר על גופי מדינה. יש לשקול לקבוע כי יתקבל אישור מוקדם לתשלום דמי כופר מאת גורם משפטי בכיר, לאחר התייעצות עם גופי הגנת הסייבר וגופי הביטחון או האכיפה הרלבנטיים.

 

המלצות צוות המשנה בנוגע לאיסור פרסום:
פרסום תקשורתי עשוי להעצים את האפקט שרוצה להשיג התוקף במתקפת כופרה, בפרט אם היא נועדה למטרת טרור. מנגד, עומדות זכויות כבדות משקל כגון זכות הציבור לדעת, חופש העיתונות וזכות נושאי להגנה על המידע האישי שלהם.
לדעת צוות המשנה, מנגנון איסור הפרסום הקבוע בדין הישראלי מספק תוצאה טובה, מכיוון שרשויות האכיפה יכולות לפעול להוצאת צווי איסור פרסום והם יכולים להינתן במעמד צד אחד במהירות יחסית (ראו סעיפים 70(ד), 70(ה), 68(ב(1) ו- 70(א) לחוק בתי המשפט[נוסח משולב], תקנה 87 לתקנות ההגנה (שעת חירום)). יצוין, כי צוות המשנה לא בחן לגופו של עניין את הצעת חוק איסור פרסום זמני של מתקפות סייבר, התשפ"ב-2022.

 

צוות המשנה ממליץ כדלקמן

  • יש לשקול במקרים מתאימים להגביל את צו איסור הפרסום, כך שיותר לדווח לכל הרגולטורים הרלבנטיים ללא דיחוי, כאשר לאחרונים לא יותר לפרסם את המידע הלאה, עד להסרת איסור הפרסום.
  • יש לשקול לקבוע מגבלות זמן לבקשה לצו איסור הפרסום.
  • יש לפרט במסגרת צו איסור הפרסום וככל הניתן, פרטים בדבר סוג הארגון המותקף, הערכה בדבר היקף המידע האישי המצוי בידי הארגון, סוג המידע האישי, קיומם של משקיעים פרטיים (במקרה של חברה מונפקת) במטרה להציג בפני השופט כמה שיותר שיקולים נוגדים פוטנציאליים לשיקול שמכתיב איסור פרסום.
  • ראוי לבסס את הבקשה לצו איסור הפרסום וכן את ההחלטה, כך שהיא תתייחס לא רק לאיסור פרסום מטעמים של טובת החקירה בנוגע למתקפת הכופרה, אלא גם לאיסור פרסום מטעמי הגנה על המידע ובפרט המידע האישי. בהתאם לכך, איסור הפרסום יחול לא רק על פעולותיהם של גורמי הביטחון ורשויות האכיפה אלא גם באופן ישיר על המידע הפרוץ עצמו. אם מבצעי המתקפה יחליטו להפיץ המידע ברבים, הרי שפרסומו – ייאסר.

 

בכל מקרה של דרישה לתשלום כופר, מומלץ לפנות לקבלת ייעוץ משפטי בטרם נקיטת פעולה כלשהי.

לעיון בדו"ח המלא >

הסקירה לעיל הינה בבחינת תמצית. המידע הכלול בה נמסר למטרות אינפורמטיביות בלבד ואין במידע כדי להוות ייעוץ משפטי.

בכל שאלה או הבהרה בנושאים המפורטים במזכר זה, ניתן לפנות לאנשי הקשר שלכם במשרדנו או ל:

לני_צבעוני

לני צבעוני

עורכת דין