מתקפת כופרה הצפינה את כל השרתים שלכם. תוקף דורש $300K ב-Bitcoin תוך 72 שעות. הגיבוי לא עובד. הלקוחות מחכים. הדירקטוריון שואל שאלות. יש לכם 3 שעות להחלטה. זה אינו תרחיש היפותטי – זו המציאות עבור מאות חברות ישראליות ובינלאומיות מדי שנה.
שיקולים לתשלום (כן)
- הגיבוי לא ניתן לשחזור – וזה המצב ב-58% מהמקרים
- כל שעת Downtime עולה יותר מהכופר עצמו
- המתקפה היא Double Extortion – גם מידע גנוב ומאיים פרסום
- תהליך שחזור יארך שבועות vs. מפתח פענוח שמגיע תוך שעות
- חברת הביטוח ממליצה לשלם לאחר ניתוח עלות-תועלת
שיקולים נגד תשלום (לא)
- אין ערובה לקבלת מפתח – 30% מהחברות ששילמו לא קיבלו גישה מלאה
- תשלום ממן את הפשע ומוביל למתקפות נוספות (לפעמים על אותה חברה)
- OFAC Sanctions – תשלום לקבוצות מסוימות (Lazarus, Evil Corp) הוא עבירה פלילית בארה"ב
- שחזור מהגיבוי, גם אם איטי, מבסס ביטחון לטווח ארוך
- חשיפה ציבורית של "שילמנו" פוגעת באמינות הארגון
לפני כל החלטה
עצרו כל פעולה ב-IT. בודדו את הרשת. התקשרו ל-IR Firm מיידית (לא לאחר שעה). אספו עדויות. רק לאחר מכן שקלו תשלום – בעזרת עורך דין ומומחה IR.
תהליך החלטה מומלץ
- 1הכנת Damage Assessment: מה הוצפן? מה עובד? מה ה-RPO הריאלי מגיבוי?
- 2ניתוח עלות Downtime: כמה עולה כל שעת אי-פעילות? הכפילו ב-שבועות שחזור.
- 3בדיקת ה-Group: מי תקף? האם הם תחת Sanctions? האם ידוע שנותנים מפתחות?
- 4ייעוץ משפטי: חובות דיווח לרשויות (FBI, PPA), חשיפה לאחריות.
- 5החלטה ותיעוד: תיעדו את ההחלטה ואת הנימוקים לDue Diligence עתידי.
ארגון שהכין Incident Response Plan ו-Immutable Backups לפני המתקפה לעולם לא יגיע לדילמה זו. ה-ROI של ₪30K על Backup Solution הוא $300K שלא משולמים לתוקף.
כופרהRansomwareIRכופרDecision Framework