מתקפות הסייבר לא מתחשבות בנגיף

התקפות סייבר רבות על המגזר הפרטי החלו מאז יום שני השבוע. גם עסקים קטנים ופרטיים, לא רק ארגונים גדולים או מוסדות ממשל, כולם על הכוונת: עורכי דין, סוכני ביטוח, רואי חשבון. בגל הראשון של מגפת הקורונה נדרש לנו זמן על מנת לעכל את "שעת הכושר" של תוקפי הסייבר. היה מי שסבר שאם יש מגפה ואם יש סגר אז האקרים ועברייני רשת לא יפעלו. אך המציאות עלתה על כל דמיון. זה התחיל מזליגת מידע בחברת תעופה גדולה ועד לניסיון או ניסיונות לתקוף את מתקני המים של מדינת ישראל, כך לפי גורמים זרים.

מתקפות סייבר נעשו מתוחכמות יותר ויותר וקשות לזיהוי, מה שמעלה את הסבירות ליפול כקורבן. תגובה מהירה ונכונה בעת מתקפת סייבר או אף בעת חשד למתקפה תאפשר חזרה מהירה יותר לשגרה ואף צמצום של היקפי הנזק הפוטנציאלי.

אנו מבינים כי יותר ויותר ארגונים ועסקים התארגנו לגל השני, רכשו ונתנו תוקף למערכות המחשב והתוכנה שברשותם כגון, אנטי וירוס, פייר-וול ועוד אמצעי הגנה. כאן המקום להמליץ להשקיע את המאמץ הדרוש על מנת לעמוד בדרישות החוק ולא פחות חשוב להתכונן לשעת התקפה שאין לדעת מתי תבוא ובאיזה היקף – אך התקפה כזאת בו תבוא.

חשוב לציין ולהדגיש כי מתקפת סייבר יכולה להיות באמצעי אחד כגון, נזק, ריגול, כופר ועוד, ויכולה להיות משולבת. 

מה ניתן לעשות בכל אחד מהמקרים:

ישראל היא מדינה מאוד דיגיטלית, כמעט בכל בית בישראל אחד מבני המשפחה בעל יכולת דיגיטלית ברמה כזאת או אחרת. אולם, אני ממליץ לעקוב אחר ההמלצות של מערך הסייבר הלאומי.

הגישה לקבצים במחשב נחסמה ומופיעה דרישת כופר. מה לעשות?

1. לנתק את המחשב מכל מכשיר אחר ומכוננים חיצוניים, במידה שיש.
2. לצלם בטלפון החכם את הודעת הכופר שמופיעה על מסך המחשב.
3. לבדוק האם קיים גיבוי "נקי" של המידע המוצפן, בין אם על גבי דיסק חיצוני ובין אם בשירותי ענן. אם קיים גיבוי – לפני ביצוע הגיבוי מומלץ לבצע פירמוט של המחשב.
4. לגלוש לאתר –No More Ransom, אתר המסייע למשתמשים שחווים מתקפת כופר באמצעות אוסף של כ-40 כלים לשחרור הצפנה הנמצא ברשותו.

הודעת מערכת מכלי האנטי וירוס או חומת האש המותקנת על המחשב הביתי המתריעה לגבי קובץ או אתר חשודים. מה לעשות?

1. לקרוא את תוכן ההודעה ולהבין במה מדובר.
2. לצלם את ההודעה למקרה שיהיה צורך להציג אותה לגורם מוסמך.
3. לקרוא את ההמלצות שרשומות בהודעה שקפצה ובמידת האפשר למחוק את הקובץ. חשוב לשים לב שהמחיקה תיעשה רק לקבצים שהכרתם את שמם ותכולתם.

תקיפה בה תוקף משנה את התוכן של אתר האינטרנט. מה לעשות?

1. להעלות אתר חליפי או עמוד סטטי חליפי ולעדכן את חברת האירוח והאחסון של האתר.
2. לעדכן את הלקוחות שמשתמשים באתר ו/או רשומים בו על האירוע.
3. לבצע הערכת נזק ולבדוק האם רק צורתו של האתר השתנתה, או שהתוקף גם שתל תוכנות זדוניות ווירוסים. מומלץ לבצע הערכת נזק בסיוע גורם מקצועי.
4. מומלץ לוודא שהמחשב שומר את הלוגים לטובת תחקור האירוע בהמשך.
5. לשחזר את הגיבוי המאובטח האחרון של תוכן האתר על מנת להעלות אותו שוב.

בכל מקרה מומלץ להסתייע באנשי מקצוע בתחום על מנת להביא לסיום האירוע בהקדם ותוך פגיעה מינימלית.

פרצו למחשב וייתכן שמחזיקים בתמונות או מידע הקיים עליו. מה לעשות?

1. במידה שיש מידע הקשור ללקוחות, יש לעדכן אותם על האירוע.
2. לדווח על האירוע באמצעות מילוי טופס ושליחתו לרשות להגנת הפרטיות.
3. לנתק את המחשב מהרשת באופן מיידי על מנת שהתקיפה לא תתפשט למחשבים אחרים.
4. לוודא שתוכנת האנטי וירוס וחומת האש מעודכנות לגרסה האחרונה.
5. לבצע גיבוי של כל המידע החשוב על גבי כונן חיצוני או בשירותי ענן – מומלץ להריץ את תוכנת האנטי וירוס וחומת אש טרם ביצוע הגיבוי כדי לוודא שהמידע לא מכיל קבצים זדוניים שעלולים לחזק את המתקפה ואת אחיזת התוקף במידע.
6. יש להעביר את המחשב ל- "Safe mode"-  במצב זה מופעלים השירותים ההכרחיים להפעלת המחשב בלבד, כך במידה שהווירוס מתוכנת להפעלה אוטומטית המעבר למצב זה עשוי למנוע ממנו לחדור אליו. עם זאת, נציין כי ישנם תוקפים מתוחכמים שיודעים לנצל לטובתם גם מצב זה.
7. לבצע סריקת וירוסים באמצעות תוכנת האנטי וירוס המותקנת על המחשב.
8. אם תוכנת האנטי וירוס איתרה וירוסים יש להסיר אותם בעזרת התוכנה או באופן ידני. במידה שמדובר במחשב הארגוני מומלץ לדווח ישירות לצוות המחשוב.
9. רק לאחר ביצוע כל הפעולות ובירור מול טכנאי מוסמך בלבד כי הווירוסים הוסרו לחלוטין, ניתן לחבר את המחשב בחזרה לרשת.