אוניברסיטה בארה''ב שילמה למעלה ממיליון דולר כופר להאקרים שהשתלטו על שרתיה 4004
אוניברסיטת קליפורניה בסן פרנסיסקו (UCSF) שילמה לאחרונה להאקרים כופר בסך 1.14 מיליון דולר, כדי לקבל בחזרה שליטה על נתונים שההאקרים הצפינו לאחר שפרצו לשרתי האוניברסיטה.

תאגיד השידור הבריטי – ה-BBC – דיווח כי בזכות טיפ אנונימי, כתביו עקבו אחר המשא ומתן שהתנהל בין האוניברסיטה לבין ההאקרים ברשת האפלה. לדברי ה-BBC, התוקפים השתמשו בתוכנת כופר בשם Netwalker, ודרשו בתחילה 3 מיליון דולר בתמורה להסרת הנעילה של הנתונים.

לדברי האוניברסיטה, התקרית נגעה רק לחלק מוגבל מתשתית מערכת המידע של בית הספר לרפואה באוניברסיטה, ולא השפיעה על הטיפול בחולים או על מחקר הנוגע למגיפת הקורונה.

במקרה דומה לפני מספר שבועות, סירבה אוניברסיטת המדינה של מישיגן להיענות לבקשת הכופר, וכתוצאה מכך הפורצים פרסמו מסמכים כספיים ומידע אישי משרתי האוניברסיטה.

לדברי היורופול (סוכנות המודיעין הפלילי של האיחוד האירופי), במקרים כאלה "הקורבנות צריכים לא לשלם את הכופר, בגלל שהתשלום מממן את הפושעים ומעודד אותם להמשיך בפעילות הבלתי חוקית שלהם. הקורבנות צריכים לדווח על המקרים למשטרה כדי שרשויות אכיפת החוק יוכלו לעצור את הפעילות הפלילית".
קישורים
אוניברסיטת קליפורניה שילמה יותר ממיליון דולר להאקרים במתקפת כופרה - אנשים ומחשבים
כיצד האקרים סחטו 1.14 מיליון דולר מאוניברסיטת קליפורניה בסן פרנסיסקו - BBC
פרסום תגובה למאמר

פרסומים אחרונים במדור "חדשות"


הצג את כל התגובות | הסתר את כל התגובות

האשמת ה״קורבן״ 721505
יש להתיחס לכניעה של הנסחטים כאל עבירה פלילית. פחות חמורה מעבירות אחרות, כנראה, אבל להכנע לעבריין שסוחט ממך מליונים ולא להתקשר מיד לשלטון החוק צריך להגמר בסנקציות המופעלות גם נגדך. קנס כספי גבוה, למשל. ההרתעה צריכה להיות כפולה - גם להרתיע את הסוחט וגם את הנסחט.
האשמת ה״קורבן״ 721612
נכון שכמו שעבירת השוחד לא מתקיימת בלי שני צדדים שמשתפים פעולה, כך גם עבירת הסחיטה. אלא שבעבירת הסחיטה הנסחט משתף פעולה על כרחו, בנסיונו להגן על דברים שחשובים לו יותר מסכום הכופר.
כאשר הנסחט הוא אדם, זה לא הגון להשית עליו עונש בנוסף לכופר ששילם, אבל אם המדינה תופסת את הסחטן לדעתי יש לה הצדקה מוסרית לחלט את הכופר.
כאשר הנסחט הוא גוף עסקי או ציבורי זה סיפור יותר מעניין. אני בעד להעניש אותם על שיתוף פעולה עם פושעים.
הבעיה היא שהטלת אחריות אישית על ההנהלה הולכת ופסה מן העולם. אני אזכיר את הבנקאים במשבר 2008 ואת BP במשבר דליפת הנפט הגדולה בהיסטוריה. סעיף 2. בתגובה 656621
האשמת ה״קורבן״ 721727
סיבה אפשרית נוספת לאיסור על היסחטות היא הגנתה על הנסחט העומד בפרץ מפני תביעות הניזוקים מכך.
האשמת ה״קורבן״ 721730
שילטון החוק עצמו נוהג להכנע לסחיטות.
מבצע אנטבה הוא לא הסיום הטיפוסי לאירועים כאלו.

האינטרס הכללי הוא אכן לא להכנע לסחיטה.
זה אידיאל שקשה לעמוד בו.
ובינתיים, אצלנו 729118
ynet: "שירביט סירבה לשלם כופר, הפורצים ממשיכים להדליף מידע".
ובינתיים, אצלנו 729139
יש נהלים / כללים במשא ומתן במקרים כאלו ?
כופר 729145
נראה שהתפתח קודם דיון סביב השאלה החוקית, אבל הנקודה הכי מעניינת בעיני לא עלתה בו: עושם רושם שאיסור בחוק לשלם כופר להאקרים עשוי לאיין אירועים מהסוג הזה (כמו גם בעיות דומות, כמו תוכנות כופר). אמנם מצד אחד קורבנות סחיטה לאחר חקיקה כזו יהיו במצב קשה יותר‏1, אבל מצד שני - צפויים להיות הרבה פחות קורבנות כאלה.

כמובן שאיני מצפה שהאקרים יעלמו כליל, אבל אני כן צופה שהבעיה תהפוך למשמעותית פחות חמורה: מכירת מידע גנוב בשוק-החופשי היא הרבה פחות אטרקטיבית ממכירתו חזרה לקורבן, ותוכנות-כופר יאבדו את ערכן הפיננסי עבור מפיציהן.

מה הטיעונים נגד חקיקה כזו?

(ובהערת אגב, אני מוכרח להודו בשימחה לאידה של שירביט).

1 מבחינה חשובה המצב דווקא פשוט יותר: לא תעמוד בפניהן הדילמה הקשה האם להענות לדרישות הסוחטים, והסיטואציה מלתכחילה תנוהל פשוט כתרחיש בו המידע דלף\נמחק באופן בלתי הפיך.
כופר 729148
חקיקה, כידוע, ניתן להפר.
אם מישהו יחטוף את הבן שלך וידרוש עבורו כופר של מאה אלף שקל (שלצורך הדיון אתה היכול לשלם), החוק יהיה הדבר האחרון שימנע ממך לשים בחשאי שקית עם כסף מתחת אבן מסוימת ביער.
ומעבר לזה - הענשה כפולה של קורבן הסחיטה נשמעת כמו בעייה מוסרית משמעותית, הלא כן?
ובעיה נוספת - ממתי אתה זכאי לומר לי מה לעשות עם הכסף שלי? הוא שלי. ואני אתרום אותו למי שאני רוצה.
כופר 729151
החקיקה עליה דיברתי לא אמורה לחול על אנשים פרטיים, אלא רק על חברות מסחריות (במיוחד כאלה המחזיקות מאגרי מידע על אנשים וגופים אחרים). ומן הסתם אפשר לקבוע ענישה שתבטיח שהחוק לא יופר - אבל אלה כבר פרטים טכניים.

ממילא מה שבעיקר יבטיח את אי-הפרתו של החוק, זו העדר הדילמה להפר אותו. מן הסתם קבוצות האקרים לא יטרחו להשקיע אנרגיה ומשאבים ולא יקחו את הסיכון בסחיטת חברות כאשר הן יודעות שהחוק אוסר על אותן חברות לשלם להן.

היפותטית, אם כל המנכ"לים יהיו מתאגדים ומחליטים באופן פומבי לא לשלם לסחטנים זה היה משיג את אותו אפקט. אלא שאפילו אם זה היה קורה, עדיין אם חברה כלשהי הייתה מסחטת למנכ"ל היה אולי משתלם להפר את התחייבויותיו ולשלם לסוחטים.

לעומת זאת, חקיקה צפויה לייצר שיווי משקל מתואם בו כולם משפרים את מצבם.

ובהערה צדדית: אני לא רואה כאן שום הענשה כפולה של קורבנות הסחיטה, ו-"אני" (כלומר, המדינה) אומר לך כל הזמן מה מותר לך לעשות עם הכסף שלך (אתה לא באמת צריך ממני דוגמאות, נכון?) ואני בספק אם מלבד אנרכיסטים קיצוניים יש מי שרואה בכך בעיה עקרונית.
כופר 729153
מסכים שלגבי חברות זה ענין אחר, והאפקטיביות שונה.

לגבי הסייפא - כבר כששכתבתי את זה ידעתי שזה קצת בעייתי, אבל הדוגמאות שעלו לי בראש הן יחסית ''קיצוניות'' - אסור לי לקנות סמים, מתחת גיל כלשהוא אסור לי לקנות משקאות חריפים (גם שם נדמה לי שהאיסור הוא על המוכר), ונתינת מתנות יש לה מגבלות כאלה ואחרות. אין לי הרבה דוגמאות שאוסרות עלי לשלם למישהו כסף בעבור משהו. אם אתה רומז לדוגמאות שבהן המדינה לוקחת ממני כסף - כאלה יש הרבה, אבל זה כיוון אחר.
כופר 729155
>> אין לי הרבה דוגמאות שאוסרות עלי לשלם למישהו כסף בעבור משהו.

בשלוף: נשק אוטומטי, סמים, שוחד, כליה.
כופר 729170
נשק אוטומטי - האיסור הוא לא על הקנייה אלא על האחזקה/מכירה. וככלל, זה בסדר שיש מוצרים שאסורים למכירה כמו נשק אוטומטי (שנזקו ברור) וכליה (שנזקה ברור לתורם - ברמה מסוימת זה כמו תשלום לזנות, שגם הוא לא חוקי במקומות מסוימים - ובזה זה שונה לחלוטין מהמקרה הנדון).
מכל אלה שוחד הוא הדבר היחיד שנראה לי דומה למקרה הנדון - אני משלם למישהו כדי שיעשה פעולה שתיטיב עימי, עקב מעמדו החריג. זה קצת דומה ל'אני משלם למישהו כיון שהוא סוחט אותי'. רק שבראשון נותן השוחד הוא בבירור הפושע, ואילו כאן דוקא הסוחט הוא הפושע מלכתחילה.
כופר 729177
כשאתה כותב על מישהו שקונה נשק שלא כדי להחזיקו - אני מניח שאתה מתכוון למשהו כמו תיווך בסחר בנשק? גם עליו יש מגבלות רבות.

לטעמי האנלוגיות לסחר באיברים להשתלה, פונדקאות ומין-בתשלום הן דווקא לא רעות בכלל‏1. אני חושב שריבוי הדוגמאות ואופיין מספיק כדי לבסס היטב שהטיעון הכללי והגורף "למדינה אסור לומר לך לעשות עם הכסף שלך" לא מחזיק מים.

1 כמובן שהסיטואציות שונות, ובשל כך גם עמדותי לגבי האיסורים הנ"ל אינן זהות. אני רק מתכוון לכך שבכל אחד מהמיקרים האלה האופן בו המדינה אומרת לך מה מותר לך לעשות עם הכסף שלך הוא דומה.
כופר 729182
הטיעון הכללי אינו מוחלט, ויש לו כמו לכל כלל יוצאים מהכלל (שכידוע בעיקר מעידים על הכלל).
שים לב למשל שכל הדוגמאות האכן-לא-רעות שהבאת‏1 כוללות פגיעה גופנית משמעותית בנותן השירות - כשזה מן הסתם מה שהביא את המחוקק לשים קו ברור שמאחוריו יש דברים לא ראוי לסחור בהם. במקרה של תשלום כופר אין שום פגיעה פיזית בנותן השירות, נהפוך הוא.

1 לקרוא 'ריבוי' לשלוש דוגמאות מבין עשרות אלפי המקרים שבהן מותר לי לעשות בכספי כרצוני זה ניסוח מעניין.
2 ולא לחינם בתוך הקו נמצאים מאות ואלפי דברים שרכישתם מזיקה למדי, מממתקים לילדים דרך סופגניות, אקונומיקה וחומרי ניקוי ועד אלכוהול וסיגריות למיניהן.
כופר 729181
אסור לך לשלם במזומן מעל סכום מסוים. אתה לא יכול להעביר העברה בנקאית למישהו בלי לספר למה. אתה לא יכול גם לקבל העברה בנקאית (מחו''ל, אולי מתוך הארץ אפשר) בלי לספר למה.
כופר 729184
'בלי לספר למה' זה לא איסור על המעשה, זה רק נסיון לבצע רישום סביר של הפעולות, כמו גם ענין המזומן.
העניין בדוגמאות האלה אינו איסור הפעולה, אלא מנגנון עקיבה שיתרונותיו (וחסרונותיו) לצידו.
כדאי לאור התגובות להבהיר את הנקודה הלא-שחור-לבן: במקום להילחם בטענה הש"ל "אין שום דבר שמגביל נתינת כסף על ידי אזרח למטרה כלשהיא", ראוי להתמודד מול הטענה "יש ערך גבוה מאד לחופש של האזרח להשתמש בכספו ככל העולה על רוחו לתועלתו האישית. הערך הגבוה הזה מתבטא בחוק, כך שרק במקרי קיצון‏1 מושמות הגבלות על השימוש הזה".

1 שרובם כוללים אפשרות לגרימת נזק פיזי מהותי
כופר 729187
העקרון ברור. בפועל בשם הדאגה לטובת הכלל מונעים מהפרט לשלם במזומן, ובעקיפין לצבור מזומנים במזרן כי כשתגיע השעה אי אפשר לשלם איתם. זה לא מעקב, זה איסור.

איזה מקרה קיצון זה לשלם במזומן?
כופר 729194
ספציפית, אגב, יש לי בעייה עם האיסור הזה, ובעיקר שהוא עבר בשקט בלי שום דיון ציבורי.
כופר 729212
גם לי. פגיעה מובהקת בזכויות הפרט, מתוך כניעה לארה''ב שהשליטה את הוראות הלבנת הון על העולם המערבי כולו.
כופר 729188
הטענה ש"יש ערך גבוה מאד לחופש של האזרח להשתמש בכספו ככל העולה על רוחו" זקוקה לעוד צעד אחד לפחות כדי להיות מיושמת לכניעה של חברות/ארגונים לדרישות כופר.

אני חושב שיש הרבה הגיון לאסור על גופים שבידם מאגר נתונים על לקוחותיהם להיכנע לסחיטות, ואולי כדאי אפילו לאסור עליהם לשלם במטבעות סייבר כמו ביטקוין ודומיו לשום גוף ומשום סיבה. על אזרחים לא הייתי רוצה להטיל מגבלות כאלה.
כופר 729193
מצד אחד אני מבין ומזדהה עם הטיעון. מצד שני, האם אתה לא רוצה שהחברות ינקטו אמצעים כדי להגן על המידע הזה - יעלה כמה שיעלה?
זה שבטווח הארוך זה *אולי* יעזור להקטנת הסחיטות, מה זה יעזור לך שעכשיו חשבון הבנק שלך חשוף לכל דורש (לצורך הויכוח)?
כופר 729210
אבל הטיעון הוא שהדברים פועלים בדיוק הפוך מכפי שאתה מציגם. אני מציע לאסור על כניעה לסחטנים כאמצעי להגן על מידע. האיסור פועל לטובת המטרה הזו, לא כנגדה.
כופר 729213
האיסור (אולי) פועל בטווח ה(כמה?)ארוך. בטווח הקצר, מי שנחשף היום לסחיטה נפגע ממנו - בוודאות.
כופר 729218
אני משער שהאיסור יהיה אפקטיבי מהרגע בו הוא יכנס לתוקף. כל מה שצריך הוא להפוך אותו לפומבי (והוא הרי יהיה פומבי מטבעו).
כופר 729223
למה? איסורים אחרים (כמו על התקהלויות בזמן קורונה) אפקטיביים במיידית?
אם היום ב-‏9 בבוקר יוצא חוק שאסור לשלם לסחטנים, האם זה היה מונע מהסוחטים של שירביט לפרסם את פרטי תעודת הזהות שלך ב-‏11:00?
וזה עוד לפני שדנו בכך שמה שזה יגרום זה שכל נסיונות הסחיטה האלה יבוצעו במחשכים, כי לא לסוחט ולא לנסחט תהיה מוטיבציה לפרסם את הסיפור ברבים. כמו בהרבה מקרים הרבה יותר נפוצים והרבה פחות דרמטיים, השוק מיד יעבור לעבוד בשחור.
כופר 729224
לא, גם אם החוק היה נכנס לתוקפו היום לשירביט זה כבר לא היה עוזר. אני לא מבין את הפואנטה של ניסוי המחשבה הזה. הנושא הוא הקורבנות העתידיים.

התשובה ל-"למה?" היא פשוטה: כי מהשנייה שהאיסור יהיה פומבי, סחטני הסייבר יחשבו מסלול מחדש. אולי עדיין ישתלם לגנוב מידע (כדי למכור אותו לצד ג') - אבל הרבה פחות. תוכנות כופר יהפכו לסתם אקט ונלדיסטי. מי יטרח להשקיע בפיתוחן והפצתן - ועוד עם כל הסיכונים הכרוכים בכך - כאשר ידוע מראש שכסף לא יצא מזה?

לגבי "ניסיונות סחיטה" במחשכים - כבר עברנו על הנקודה הזו, לא? גם אם זה אולי יכול היפותטית להתרחש, זה בוודאי יהיה אירוע נדיר וייחודי (פשוט בגלל האופן בו הנהלה תאגידית פועלת). זה די והותר בכדי לשנות את מערך התמריצים שמניעים את פושעי הסייבר ולהשיג את המטרה.
כופר 729150
מזכיר לי את הטיעונים שמעלות עובדות מין נגד הטלת סנקציות על מי שמשתמש בשירותיהן - זה משאיר אותן לבד במערכה ודוחף את הפעילות מתחת לרדאר של רשויות החוק.
(לא מציג דעה בעד או נגד, ולא משווה בין הסיטואציות. אבל הטיעונים עצמם דומים)

במקרה שהקורבן שוקל כן לשלם את הכופר, אסור לו לערב את הרשויות או גורמים מקצועיים.
מהצד השני, הסוחט יודע שהסיכוי שידווחו עליו למשטרה נהיה יותר קטן.
כופר 729152
אני לא חושב שיש סיכון רציני שהמנכ"ל והדירקטריון של חברה כמו שירביט (או של אונ' גדולה) יקחו את הסיכון לסנקציות פליליות נגדם כדי לשלם לסוחטים, ואני לא חושבים שיהיו סוחטים שיהמרו נגד ההערכה הזו. ואני גם לא חושב שיש סיכוי רציני שכל העניין ישמר בסוד אם בכל זאת זה יקרה. והכי חשוב: גם אם יתכנו נסיבות מיוחדות שיובילו לאירוע נקודתי של סחיטה מוצלחת - לפחות התופעה, כפי שהיא קיימת היום, צפויה להעלם.
כופר 729162
מסכים. הפרת החוק תגרום לכך שביטוח הדירקטורים שלהם לא ישפה אותם, ואם יש ''יהרג ובל יעבור'' של דירקטורים- זה הדבר.
כופר 729343
מסכים לחלוטין.

וזה הוביל אותי לתהיה. כי חשבתי על הצעד הבא, האכזרי: איסור פלילי על עסקים קטנים לשלם דמי חסות לארגוני פשע. אבל זה אני מניח לא יעבוד, כי ממילא, אני מניח, תשלום דמי חסות אינו מדווח בספרים של העסקים (אלא יוצא מכיסו הפרטי של בעל העסק). או שכן? אילו שירביט היתה משלמת כופר, היא היתה יכולה לרשום את זה בספרים? אני מנחש שכן, אולי לא כחלק מנוהל שגרתי אבל כשורה עם כוכבית והסבר בטקסט ארוך. אם שירביט יכולה, מינימרקט מוריס יכול? ואיך שירביט מוכיחה לרשויות המס שהיא שילמה כופר? או שאם זו לא הוצאה מוכרת אז זה בכלל לא משנה לרשויות המס?
כופר 729350
מינימרקט מוריס משלם לחברת אבטחה חוקית לחלוטין.
כופר 729511
דמי חסות הם הוצאה מוכרת בתיאוריה, אבל אכן צריך להראות שדמי החסות החסות שולמו בפועל בגין סחיטה, ורשויות המס נוהגות להעמיס קשיים על הכרה בהוצאות כאלה בגלל העניין העקרוני אבל גם כי מדובר על אובדן הכנסות למדינה (הוצאה מוכרת לרוב תהיה ממוסה ע''י הצד המקבל).
בפועל, לפחות בחלק מהמקרים, ארגוני פשע משתמשים בחברות עסקיות כדי לקבל את דמי החסות תחת סיווג עסקי סטנדרטי (בין השאר, באופן לא מפתיע, תחת שירותי שמירה). זה גם חוסך להם את הצורך להלבין את ההכנסה.
במקרה של שירביט, עקב האופי הפומבי של הפניה, יתכן שאפשר היה לשכנע את רשויות המס שמדובר בתשלום שוחד, אבל בכל מקרה סביר שזה היה מתברר בבית משפט.
כופר 729386
1 ייתכן גם שחוק כזה יעניק לחברה הגנה מפני תביעות אפשריות של הלקוחות שלהן. אני לא יודע אם המצב המשפטי היום מאפשר ללקוח שנפגע מדליפת פרטיו לתבוע את שירביט על כך שלא נענתה לדרישת הכופר, אבל אם כן זאת עוד סיבה כבדת משקל עבור חברות אחרות במצב דומה לשלם את דמי הסחיטה, בנוסף לרצון הטבעי להעלים את התקלה, עם כל הפגיעה במוניטין שקשורה בה, מעיני הלקוחות והציבור הכללי.

שאלה: האם שירביט מוכרת ללקוחותיה ביטוח סייבר?
כופר 729400
> .. לתבוע את שירביט על כך שלא נענתה לדרישת הכופר ..

נראה לי סביר יותר שהתביעה תהיה על הרשלנות בשמירת המידע. ואולי לא כדאי שהחוק יעניק חסינות מרשלנות שכזאת.
כופר 729431
ברור שהתביעה המרכזית תעסוק בענייני רשלנות, אבל הנזק נגרם גם כתוצאה מסירוב החברה להיענות לסחטנים כך ש(אולי) זה יכול להיות חלק מהתביעה.

חזרה לעמוד הראשי פרסום תגובה למאמר

מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים