לשלם או לא לשלם

"שלום רב, קיים ברשותי המון מידע על אודות לקוחות הבנק שלכם. את הפרטים דליתי ישירות ממאגר הנתונים שלכם. אני אדם שנפגע על ידי הארגון שלכם די קשות, וכרגע יש לי צורך בסכום כסף גדול לשיקום חיי... אם תחליטו לבחור בדרך הלא חכמה, בעיניי, שהיא לרדוף אחריי, אולי תצליחו להבין מי אני, אבל זה ייקח הרבה זמן והנזק שייגרם לכם הוא גדול בהרבה ממה שיעלה לכם להגיע להסדר איתי". המכתב הזה נחת בתיבת הדואר האלקטרוני של דוברת בנק לאומי ב־30 באוקטובר 2014. מדובר בהתגשמות אחד הסיוטים הגדולים ביותר של כל ארגון כלכלי, ובמיוחד ארגון כמו בנק, שאובדן אמון הלקוחות יכול להביא לקריסתו.

במקרה של בנק לאומי התשלום שנדרש היה שלושה מיליון שקל. ההתלבטות הייתה קשה, כפי שהעיד מאוחר יותר יו"ר הבנק, דוד ברודט, במשפטו של הסוחט, אלירן רוזנס, עובד לשעבר של חברת לאומי קארד, שנתפס לאחר חקירה משטרתית מאומצת.

ברודט סיפר במשפט: "כשהמכתב הגיע הייתי בניו־יורק. אני זוכר את התאריך הזה טוב מאוד (...) לא רק שזה היה יום ההולדת שלי, אלא שקוד הפתיחה של המייל (המוצפן) ששלח רוזנס היה תעודת הזהות האישית שלי (...) זה יצר מעין תחושה שזה כוון אליי. המכתב מאוד הדאיג אותי. הוא יצר אצלי תחושה לא טובה לגבי פוטנציאל הנזק שטמון בו. היינו במה שנקרא חרדה יומיומית. אני מדבר ממש על אי־שינה ודאגה (...) נחתתי בארץ ב־5.11 ונסעתי ישר לישיבה גדולה אצל פרקליט המדינה, שי ניצן. פחדנו שאם הסחיטה תיוודע הציבור ימשוך את החסכונות שלו (...) בנק בנוי ככה שאם כל המפקידים מושכים את הכסף בעת ובעונה אחת, אין לו כסף לשלם לכולם. זה אירוע חריג לא רק בישראל אלא בעולם כולו".

מתוך חשש לתסריט הקיצוני ביותר, ברודט שלח לניצן מכתב שבו הציע להיענות לדרישותיו של רוזנס, ואף להציע לו חסינות מפני העמדה לדין פלילי. במכתב — שנחשף בחדשות ערוץ 2 — כתב ברודט: "לאור הנסיבות המיוחדות של האירוע והנזק הפוטנציאלי העצום... יש לאפשר התקדמות בהצעת עסקת חסינות לסוחט".

עו"ד בועז קניג

בסופו של דבר הוחלט שהבנק ינהל מו"מ עם רוזנס, בידיעת הפרקליטות, במטרה למשוך זמן כדי לנסות לאתרו. במהלך המו"מ הבנק אף שלח לרוזנס "דמי רצינות" של כמה אלפי דולרים, אבל רשויות החוק איתרו את רוזנס בתאילנד והמשטרה עצרה אותו לפני שהועבר לו התשלום שדרש. בינואר 2015 הוגש נגדו כתב אישום. עו"ד בועז קניג, שמייצג את רוזנס, אמר ל"ממון" כי רוזנס הודה בחלק מהעבירות, וטוען כי עמדת הפרקליטות בעניינו "חורגת מכל פרופורציה. לא התרחש בסופו של יום כל נזק, ומדובר בבחור צעיר ללא כל עבר פלילי שעבד במשך כמה שנים לשביעות רצון מנהליו בבנק לאומי, עד שהוחלפה שדרת הניהול והיחס אליו השתנה ללא כל סיבה והוא נדחק אל מחוץ לבנק, ללא סיבה ובניגוד לסיכומים והבטחות מפורשות שניתנו לו".

המספרים קפצו פי שניים

בעולם מתגברת לאחרונה התופעה של "סחיטת סייבר", או סוחטה (ransomware) — האקרים חודרים למחשבים של ארגון ומאיימים: שלמו לנו כך וכך או שנגרום לכם נזק. זה יכול להיות פרסום פרטים רגישים ממאגרי המידע של החברה — רשימת לקוחות, סודות מסחריים — או נזק לפעילות המחשבים, שיתוק כספומטים, שיתוק מכונות הנשלטות על ידי מחשבים ועוד. שיטה נוספת היא "חטיפת מידע" — חסימת קבצים חשובים של הארגון באמצעות הצפנת הגישה אליהם. ההאקר מאיים שאם לא ישולם לו הכופר, הוא לא יפתח את ההצפנה והקבצים יאבדו.

האקרים פורצים למחשבים של חברות גדולות כמו גם של חברות קטנות ושל אנשים פרטיים. בכנס שערך לפני כמה שבועות משרד עורכי הדין הרצוג פוקס נאמן בנושא, הציג ד"ר אבישי קליין ממחלקת האינטרנט והסייבר במשרד נתונים על הזינוק במקרי סחטנות הסייבר. לפי הנתונים — שאספה חברת סימנטק — אם בשנת 2013 היו 4.1 מיליון סחיטות סייבר בעולם, ב־2014 קפץ המספר ל־8.8 מיליון.

דוד ברודט

הדילמה של ארגון שנסחט ברורה: לפעול כפי שהחוק דורש ולפנות למשטרה, או לשלם כדי למנוע נזק גדול לחברה. "אני יכול להבין את העמדה של ברודט", אומר בעל חברה ידועה בתחום אבטחת המידע. "האינסטינקט הראשוני הוא להגיד: 'אנחנו לא נכנעים לסחטנים', אבל בארגון עסקי מסתכלים על כל דבר בעיניים עסקיות, וזה מה שהוא עשה. בבחינה עסקית טהורה היה לו משתלם יותר לשלם".

גם עו"ד מוטי קריסטל, מומחה לניהול מו"מ ולניהול משברים, שייעץ בשנים האחרונות לחברות רבות בארץ ובעולם שנקלעו לסיטואציות דומות, אומר כי יש מקרים שבהם הוא ממליץ לשלם, ומקרים אחרים שבהם הוא ממליץ לא לשלם, לפי הנסיבות: "יצא לי לעבוד הרבה עם עסקים בשוק הרוסי שנסחטו. הגישה של הארגונים שם היא מאוד כוחנית, של 'תביא לי את הראש של הבן אדם', אבל לפעמים זה לא אפשרי. אני מסביר להם שגם אם לא נצליח במו"מ עם הסוחט, המטרה שלי היא להוריד את מחיר העסקה, לקנות לנו עוד קצת זמן באולטימטום, עד שנבין בדיוק מה יש לו ביד ואם כדאי לשלם. אני מסביר להם שאם המשמעות של 'אין עסקה' היא פגיעה בתשתיות, בשירות ובמוניטין של החברה — אז לפעמים צריך לשלם. אבל אני רק יועץ וההחלטה היא תמיד של המנכ"ל".

הטלפון והפקסים קרסו

על דבריו של קריסטל יחתום גם מאיר (שם בדוי), בעל מפעל מתכות מהצפון, ששילם בסופו של דבר להאקרים שחדרו למערכות המחשב שלו. הוא מספר: "המכונות במפעל מופעלות על ידי מחשבים. יום אחד לפני כשנה וחצי, באחד המחשבים הופיעה הודעה באנגלית, בכתב גדול אדום, ולפיה פרצו לנו למחשבים והצפינו את הקבצים כך שלא נוכל לפתוח אותם. בדקנו וראינו שבאמת אנחנו לא מצליחים לפתוח את הקבצים. בהודעה גם היה כתוב שכל ניסיון לפגוע בתוכנה או להסיר אותה יוביל להשמדה מלאה של כל הקבצים. נתנו לנו שבוע להעביר סכום מסוים בביטקוין (בהיותו של הביטקוין מטבע וירטואלי, קשה לעקוב אחרי ההעברות שלו — צ"ש) לכתובת מסוימת. בהתחלה חשבתי לעצמי: למה שאכנע לדרישות שלהם? אבל לאט־לאט הבנתי שאין ברירה. זה פגע לנו במחשבים נוספים ובמכונות שמחוברות אליהם. גם מערכות הטלפונים והפקסים שלנו קרסו, וכל הזמן הזה — כמו בסרטים — אתה רואה את השעון שצירפו ההאקרים להודעה שלהם כשהוא הולך וסופר לאחור. הזמנו אנשי מחשבים וצילצלנו לחברות מאזור המרכז שיש להן מומחיות בעניין הזה, ואף אחד לא הצליח לפתור את הבעיה. הבנו שצריך לשלם".

תשע שעות לפני תום האולטימטום, מאיר נכנע והעביר להאקרים את הכסף. "אחרי שהעברתי את הכסף חיכיתי בקוצר רוח כל הלילה כדי לראות אם הקוד שנתנו לי לפתיחת הקבצים הוא נכון. בבוקר כשהתעוררתי רצתי מיד למפעל, ולשמחתי רוב הקבצים נפתחו".

הסכום שדרשו ממאיר לשלם לא היה מאוד גבוה. מדובר היה בהאקרים מחו"ל, שלא ייעדו את סחטנותם ספציפית למפעל שלו, אלא פרצו למחשבים של ארגונים רבים ושלחו לכולם אותה הודעת סחיטה, בתקווה שחלקם ייענו וישלמו. בעקבות האירוע הזה השקיע מאיר כסף רב בתוכנות שיגנו על המחשבים שלו ודאג לגבות את כל הקבצים.

ויש גם אנקדוטה מצחיקה: "לפני כמה חודשים קיבלנו מייל מגוף ביטחוני מוכר, שהיה מצורף אליו קובץ כבד, וכדי לקבל את הקובץ היינו צריכים לכבות את תוכנת האנטי־וירוס. אמרתי לאיש המחשבים שלי שזה בסדר ושאני מכיר את הגוף הזה, וזה אחרי שבמשך שנה וחצי לא העזתי לעשות דבר כזה. צחוק הגורל הוא שדווקא הקובץ הזה היה נגוע בווירוס, ששלח בשמי מיילים לכל החברות שאיתן אני בקשר".

גם יוסי מלכי, מנכ"ל חברת "זמן אמת", עבר לפני שנה מתקפת סייבר למטרות סחיטה והחליט לשלם. "זמן אמת" משווקת חומרה ותוכנה לנוכחות עובדים ולבקרת כניסה ומספקת שירותים לשורה ארוכה של גופים ממשלתיים. ברשימת לקוחותיה המכון הביולוגי בנס־ציונה, משכן הכנסת, שגרירויות, משרד המשפטים ובתי סוהר. בראיון ל"7 ימים" סיפר מלכי: "גילינו שאי־אפשר לפתוח את כל קובצי האופיס במחשבים. כדי לקבל קוד שיפתח את ההצפנה, נדרשנו לשלם 500 דולר בביטקוין (עד מועד מסוים), אחרת התשלום יוכפל. אנשי מחשבים המליצו לנו לשלם, וכך עשינו".

ל"ממון" נודע כי בחודשים האחרונים נתונות גם כמה חברות מתחום הפורקס (פעילות במטבע חוץ) למתקפה של סחיטות סייבר. החשד הוא שמדובר בקבוצות סוחטים שיושבות באחת ממדינות חבר העמים. ההאקרים שלחו לחברות צילומי מסך שהעידו כי חדרו למערכות שלהן. אחד ממנהלי החברות — שביקש להישאר בעילום שם — הודה בפנינו כי הותקף, אך טען שהחברה לא שילמה את הכופר: "שלחו לי צילומי מסך וטענו שיש להם ביד פרטים של לקוחות שלנו. מערכות המחשב שלנו מופרדות לגמרי, כך שיש את מערכות המחשב של החברה ובנפרד את מערכות המחשב שמשרתות את הלקוחות. מצילומי המסך שהם שלחו לנו הבנתי שהם לא חדרו לתוך התוכנה שמשרתת את הלקוחות, ולכן החלטתי לא לשלם".

מה המשטרה יודעת

באותו כנס, שנערך במשרד הרצוג פוקס נאמן, הציגו נואמים רבים, ובהם עורכי דין ובעלי חברות אבטחה, את הדילמות, ורבים דיברו על כך שלא פעם אין ברירה וצריך לשלם לסחטנים. בכנס השתתף גם ראש אגף החקירות לשעבר במשטרה, ניצב (בדימוס) יואב סגלוביץ', שאמר: "אני בכלל לא מבין את הדיון שמתקיים כאן. אם מישהו פרץ למחשבים שלכם ומבקש כסף, הוא עבריין, ואתם צריכים לפנות למשטרה. במשטרה יש יחידת סייבר שיודעת יפה מאוד להילחם בסוג כזה של עבריינים ויש לה הצלחות גדולות".

חלק מהנוכחים טענו לעומתו, שלמשטרה אין מספיק כוח אדם וכלים להתמודד עם כל סוגי פריצות המחשבים: "כשמדובר בבנק לאומי, כל הכוחות הטובים ביותר במדינה, כולל 8200 וכלל מטה הסייבר במשרד ראש הממשלה, התגייסו כדי לעזור ולאתר את הסוחט", אמר רפי איבגי, מנכ"ל חברת "דיפנסיה" ומומחה לתקיפות סייבר. "אבל כשמדובר בבעלי עסקים קטנים יותר, הם לא סומכים על המשטרה משום שהמשטרה מוגבלת. הרבה מהסוחטים משתמשים בתשתיות שארה"ב יצרה כדי להגן על מתנגדי משטרים אפלים. ברור שלמשטרת ישראל קשה להילחם בתשתיות האלה".

ועם זאת, בשנים האחרונות היו ליחידת הסייבר של המשטרה כמה הצלחות בלכידת האקרים שאיימו על חברות. המקרה האחרון הוא של ניר פרטוק, שעל פי כתב אישום שהוגש נגדו בתחילת החודש, שלח מכתובת מייל רוסית, תחת השם הבדוי "stopthemusic46", מכתבים לכמה חברות היי־טק, ובהם טען כי בידיו פרטי אשראי של לקוחות החברה. הוא איים כי יפרסם אותם אם לא יקבל דמי כופר בסכומים שבין 30 ל־50 אלף דולר. החברות החליטו לפנות למשטרה, ובסופו של דבר הוא נתפס.

בנובמבר 2014 הצליחה המשטרה לתפוס גם את גיא שפר (עבריין שהורשע בעבר בהחזקת חומר פדופילי), לאחר שניסה לסחוט את חברת "אי אונליין". על פי כתב האישום, הוא איים להפיץ מידע אישי מביך ופלילי על אודות אחד מעובדי החברה, וכן מידע רגיש על החברה עצמה. במכתב ששלח לחברה טען, כי פרצת אבטחה שהייתה קיימת במשך חודשים רבים גרמה לדליפת קבצים רגישים ומאגרי מידע שלה, ואף צירף לדוגמה רשימת קבצים שדלפו. לפי כתב האישום, בחלוף יומיים, לאחר שפנייתו לא נענתה, הוא פנה שוב לבכירי החברה ואיים למכור את הקבצים לחברות שונות, אם דרישותיו לא ייענו בתוך יממה.

בפרקליטות טוענים כי במשך עשרה חודשים, עד למעצרו, ניהל שפר התכתבות שכללה מאות מיילים עם מנכ"ל החברה לגבי גובה דמי הסחיטה ואופן העברתם לידיו, כשדרישת התשלום המרבית עמדה על שלושה מיליון שקל. שפר אותר בסופו של דבר במקסיקו, נעצר שם על ידי המשטרה והוסגר לישראל.

המשותף למקרים של שפר ושל פרטוק הוא שבשניהם מדובר ככל הנראה בהאקרים לא מתוחכמים מאוד, בעלי ניסיון מוגבל, שהיה למשטרה קל לעלות עליהם. במקרה של פרטוק, שכונה בתקשורת "אנלייזר דמיקולו", הוא גלש ככל הנראה ממחשב לא מוצפן, ונתפס לאחר שבדיקה של כתובת ה־IP של המחשב הובילה לבית קפה קרוב לביתו.

"בהרבה מאוד מקרים מדובר בהאקרים מתוחכמים הרבה יותר", מסביר קריסטל, "ואז אי־אפשר להגיע אליהם. אני אומר לבעלי עסקים שאליהם אני מגיע: 'תנו כבוד למי שהצליח לפרוץ אליכם למערכת. כנראה יש לו יכולות', ולפעמים, אם צריך לשלם, משלמים".