סגור
באנר דסקטופ כלכליסט טק
האקר האקרים סייבר

הצוות לטיפול בפשיעה ברשת ממליץ: הגנה מאחריות פלילית לגופים שידווחו מראש על מתקפה

המלצות הצוות תוצגנה היום (רביעי) בפני ועדת הרגולציה למרחב הדיגיטלי בראשות מנכ"ל משרד המשפטים ערן דוידי במטרה לגבש מדיניות בנוגע להתנהלות גופים פרטיים וציבוריים בזמן מתקפת כופר. עוד יומלץ לוועדה כי גופי ממשלה יידרשו לאישור בדרג גבוה בטרם העברת תשלומי כופר

הצוות לאבחון וטיפול בנושא פשיעה והונאות במרחב הדיגיטלי צפוי להציג את המלצותיו מול הוועדה להתאמת המשפט לאתגרי החדשנות והאצת הטכנולוגיה בראשות מנכ''ל משרד המשפטים ערן דוידי. ההמלצות מיועדות לסייע בגיבוש מדיניות להתמודדות עם מתקפות כופר שלפי נתוני הכנסת ומשרד המשפטים הפכו למכת מדינה בשנים האחרונות.
ההמלצות העיקריות של הוועדה הן: גופים פרטיים שידווחו על מתקפה בטרם תשלום הכופר יזכו להגנה מפני אחריות פלילית, גופי ממשלה יידרשו לאישור בדרג גבוה בטרם העברת תשלומי כופר וניתן יהיה לבקש במקרים מסוימים הוצאת צו איסור פרסום כדי למנוע חשיפה של אירוע עשויה לפגוע בפתרון שלו.
ההמלצות של הוועדה ישמשו לגיבוש תזכיר חוק שיועבר בתורו לכנסת, להליכי חקיקה. לא ברור מי הגורם שיציג את החוק במליאה, אך ההערכות מדברות על שר המשפטים הבא או שייבחנו אופציות של קידום החלטת ממשלה רשמית או הנחיות (כללים) שיוציא משרד המשפטים. חשוב לציין שחוק מעין זה עשוי לעכב חקיקה של חוק סייבר מקיף, שטיוטות והצעות שונות לגביו מסתובבות במסדרונות הכנסת כבר יותר משמונה שנים.
הצגת הדו''ח מבוססת, כאמור, על הזינוק בהיקף תקיפות הכופר על חברות וגורמים במשק הישראלי. על פי הערכות בין השנים 2019-2021 התקבלו בישראל 413 דיווחים בגין מתקפות כופרה, בין השנים 2019 ל-2020 נרשמה עלייה של 50% במספר הדיווחים. בתוך כך, צוות הבדיקה מעריך כי נתונים אלה נמוכים באופן ניכר מנתוני האמת לגבי מתקפות כופרה שמתרחשות בפועל נגד אזרחים ותאגידים ישראליים. חלק מתקיפות הכופר גרמו לנזק משמעותי - למשל, המתקפה שהשביתה את בית החולים הלל יפה למשך שבועות ארוכים וכן כאלה שפגעו בחברות לוגיסטיקה, ביטוח ואף חברות ביטחוניות.
הצוות בראשות מנהל מחלקת הסייבר בפרקליטות המדינה ד"ר חיים ויסמונסקי כלל נציגים של משרד המשפטים, מערך הסייבר הלאומי, הרשות להגנת הצרכן וסחר הוגן, הרשות לאיסור הלבנת הון ומימון טרור, רשות המיסים, ומשטרת ישראל.
כאמור, הצוות קבע כי תשלום כופר - בין אם על-ידי גופים מדינתיים, תאגידים מסוגים שונים או אנשים פרטיים – הוא בבחינת פעולה בלתי רצויה שאינה מסייעץ בהשבת המצב לקדמותו ועשויה לסמן את המותקף כיעד למתקפות נוספות ולסייע לתוקפים במימון פעולות בלתי חוקיות נוספות.
עם זאת, חברי הצוות הגיעו למסקנה כי אין מקום להטיל איסור גורף על תשלום כופר - גם במקרים בהם המתקפה מכוונת כלפי גופי ממשלה, תשתיות קריטיות, חברות ציבוריות וכדומה. מדובר במסקנה חשובה שעשויה לחסוך מהמותקפים את החשש שתשלום הכופר שמיועד ל"שחרר" את המידע שלהם יגרום להם להסתבכות מול רשויות החוק. עד כה הגישה המובילה באופן רשמי במצבי כופר הייתה שאין לשלם את הדרישות של ההאקרים, אולם בפועל, ברוב המוחלט של המקרים, הקורבן נאלץ לשלם את הכופר כדי לפתור את הבעיה - גם באירועים שכוונו נגד מוסדות ממשלתיים. חברות הביטוח אף מכירות בתשלום כופר כחלק מהנזק שנגרם לקורבנות התקיפה. בכל מקרה, הגישה אינה תקפה אם מדובר באירוע מלחמה או במקרים של חברות ביטוח מסוימות אם מדובר בתקיפה של גורם מדינתי.
בכל הנוגע לגופים פרטיים תחת מתקפה ההמלצות הן לדווח עליה ועל התשלום (במידה שבוצע) לרשויות המדינה הרלוונטיות. כמו כן, יש להביא לידיעת הציבור כי בנסיבות מסוימות תשלום דמי כופר עלול לגבש כנגד המשלם אחריות פלילית - למשל, בגין מימון טרור או הלבנת הון. לבסוף, יש לשקול פרמטרים או תנאים שבהם הסיכון לאחריות פלילית יצומצם ככל שהגוף המותקף ידווח על המתקפה עוד בטרם התשלום לרשויות האכיפה והרגולטורים הרלוונטיים וישתף עמן פעולה.
ביחס לגופי מדינה תחת מתקפה, עצם התשלום משמעותו עשויה להיות כי המדינה עצמה תהיה מעורבת בדבר עבירה, כך שיש לשקול קבלת אישור מוקדם מאת גורם משפטי בכיר.
״מתקפות כופרה מהוות את אחד מאתגרי הסייבר הגדולים העומדים לפתחנו", מסכם דוידי, "כחלק מעבודתה של הועדה נחשפנו לנזקים העצומים שמביאות עמן מתקפות אלה ועמדנו על הצורך לגבש כללים מנחים עבור עסקים פרטיים ומוסדות ציבור. עבודת הצוות גילתה שלמעשה אין היום אף מדינה שגיבשה כללים להתמודדות עם הונאות במרחב הדיגיטלי ושהדרך להתמודדות עם כלל האתגרים הטכנולוגיים שמביא עימו העידן החדש עדיין ארוכה״.