როცა სახელმწიფო ჰაკერებს უხდის - რატომ გადაიხადა შვეიცარიის თავდაცვითმა გიგანტმა გამოსასყიდი და რა სიგნალს იღებს კიბერკრიმინალური ბაზარი

შვეიცარიის სახელმწიფო საკუთრებაში არსებული თავდაცვითი კონცერნის, Ruag-ის, გადაწყვეტილებამ ჰაკერებისთვის გამოსასყიდის გადახდის შესახებ ევროპაში კიბერუსაფრთხოების სფეროში სერიოზული დისკუსია გამოიწვია. მიზეზი მხოლოდ კიბერშეტევა არ არის. განსაკუთრებულ ყურადღებას ის გარემოება იპყრობს, რომ გამოსასყიდი გადაიხადა სწორედ იმ ქვეყნის სახელმწიფო კომპანიამ, რომლის ხელისუფლებაც წლების განმავლობაში ორგანიზაციებსა და ბიზნესს კატეგორიულად მოუწოდებდა, ჰაკერებთან მოლაპარაკებაში არ შესულიყვნენ.

საქმე ეხება 2025 წლის შემოდგომაზე მომხდარ კიბერშეტევას, როდესაც გამომძალველური პროგრამების გამოყენებით მოქმედმა დაჯგუფება Akira-მ Ruag-ის ამერიკულ შვილობილ კომპანიაში, Ruag LLC-ში შეაღწია და მნიშვნელოვანი მოცულობის მონაცემები მოიპარა. კლასიკური ransomware-სქემის მიხედვით, თავდამსხმელებმა კომპანიას არჩევანი დაუტოვეს: ან თანხას გადაიხდიდა, ან მოპარული ინფორმაცია გასაჯაროვდებოდა.

რამდენიმე თვის განმავლობაში შვეიცარიაში მხოლოდ კიბერშეტევის ფაქტი იყო ცნობილი. მოგვიანებით კი Ruag-ის დირექტორთა საბჭოს თავმჯდომარემ იურგ რეტელიმ შვეიცარიულ საზოგადოებრივ მაუწყებელ SRF-თან დაადასტურა, რომ კომპანიამ გამოსასყიდი მართლაც გადაიხადა.

„ჩვენ თანხა გადავიხადეთ და ყველა მონაცემი, საბედნიეროდ, უკან დავიბრუნეთ,“ განაცხადა რეტელიმ.

მისი თქმით, გადახდილი თანხა შედარებით მცირე იყო, თუმცა ზუსტი მოცულობა არ დაუსახელებია. შვეიცარიული მედიის შეფასებით, Akira-ს მსგავსი ჯგუფები ბოლო პერიოდში სტრატეგიას ცვლიან და მილიარდიანი კომპანიების ნაცვლად უფრო ხშირად საშუალო ზომის ორგანიზაციებს ესხმიან თავს, სადაც შედარებით მცირე, მაგრამ სწრაფად მისაღები გამოსასყიდის მიღება შეუძლიათ. ექსპერტების შეფასებით, ასეთი მოთხოვნები ხშირად ასობით ათასი შვეიცარიული ფრანკის ფარგლებში მერყეობს.

სწორედ აქ ჩნდება მთავარი პარადოქსი: შვეიცარიის კიბერუსაფრთხოების ფედერალური სააგენტო წლებია აცხადებს, რომ გამოსასყიდის გადახდა არ უნდა მოხდეს, რადგან ეს კიბერკრიმინალებს ახალ თავდასხმებს უბიძგებს. თუმცა იგივე პოზიცია საკუთარ პრაქტიკაში ვერ დაიცვა სახელმწიფოს კუთვნილმა ერთ-ერთმა ყველაზე მნიშვნელოვანმა თავდაცვითმა კომპანიამ.

Bundesamt für Cybersicherheit-ის ოფიციალური რეკომენდაციები პირდაპირ მიუთითებს, რომ გამოსასყიდის გადახდა არა მხოლოდ დანაშაულებრივი ქსელების დაფინანსებას უწყობს ხელს, არამედ ქმნის მოტივაციას, რომ თავდასხმები გაგრძელდეს. ამ მიდგომას იზიარებენ ევროკავშირის სააგენტო ENISA, ამერიკის FBI და დიდი ბრიტანეთის ეროვნული კიბერუსაფრთხოების ცენტრი.

თუმცა რეალობა გაცილებით რთულია.

საერთაშორისო კიბერუსაფრთხოების კომპანია Chainalysis-ის მონაცემებით, მიუხედავად სახელმწიფო რეკომენდაციებისა, ransomware-ჯგუფებმა მხოლოდ ბოლო წლებში ასობით მილიონი დოლარის კრიპტოვალუტური გადახდები მიიღეს. 2024 წელს გამოსასყიდის გადახდების მოცულობამ კვლავ ასეულ მილიონ დოლარს გადააჭარბა. ეს ნიშნავს, რომ პრაქტიკაში კომპანიების ნაწილი კვლავ არჩევს გადახდას, განსაკუთრებით მაშინ, როდესაც საქმე კრიტიკულ მონაცემებს, საწარმოო პროცესებს ან სახელმწიფო საიდუმლოებას ეხება.

Ruag-ის შემთხვევა სწორედ ამ კატეგორიას მიეკუთვნება.

კომპანია შვეიცარიის თავდაცვის ინდუსტრიის ერთ-ერთი მთავარი მოთამაშეა და მუშაობს სამხედრო ტექნოლოგიების, საავიაციო მომსახურების, კოსმოსური სისტემებისა და უსაფრთხოების პროექტების მიმართულებით. შესაბამისად, მოპარული მონაცემების შესაძლო გამოქვეყნებას მხოლოდ ფინანსური ზიანი არ შეიძლებოდა მოჰყოლოდა.

კომპანიის ხელმძღვანელობა ამტკიცებს, რომ მათი მთავარი ამოცანა ინფორმაციის დაბრუნება და პოტენციური ზიანის მინიმუმამდე დაყვანა იყო.

„ჩვენ გადაწყვეტილება კომპანიის სამეწარმეო უფლებამოსილების ფარგლებში მივიღეთ“, განაცხადა რეტელიმ.

თუმცა ეს არგუმენტი არ აკმაყოფილებს პოლიტიკოსებისა და უსაფრთხოების ექსპერტების ნაწილს.

შვეიცარიის პარლამენტის ეროვნული საბჭოს წევრმა მაურო ტუენამ გადაწყვეტილებას „კატასტროფული სიგნალი“ უწოდა.

„ახლა ამ ჰაკერულმა დაჯგუფებამ იცის, რომ კონფედერაცია მზად არის გადაიხადოს. ამით ჩვენ ძალიან ცუდი სიგნალი გავგზავნეთ,“ განაცხადა ტუენამ.

მისი შეფასებით, პრობლემაა არა მხოლოდ თავად გადახდა, არამედ ისიც, რომ კომპანიამ ამის შესახებ საჯაროდ ისაუბრა.

ეს კრიტიკა გარკვეულწილად საერთაშორისო პრაქტიკასაც ეხმიანება. ბოლო წლებში კიბერუსაფრთხოების ექსპერტების ნაწილი მიიჩნევს, რომ გამოსასყიდის გადახდის საჯაროდ დადასტურება სხვა ჰაკერულ ჯგუფებს დამატებით სტიმულს აძლევს. ასეთ შემთხვევებში მსხვერპლი ორგანიზაცია შესაძლოა მომავალი თავდასხმების სამიზნედაც იქცეს.

მეორე მხარეს კი პრაგმატული მიდგომის მომხრეები დგანან. მათი არგუმენტია, რომ როდესაც საქმე კრიტიკულ ინფრასტრუქტურას, თავდაცვის სისტემებს ან მილიონობით მოქალაქის მონაცემებს ეხება, კომპანიის მენეჯმენტს ზოგჯერ არჩევანი პრაქტიკულად აღარ რჩება.

საერთაშორისო გამოცდილება მართლაც არაერთგვაროვანია. მაგალითად, აშშ-ში Colonial Pipeline-ის გახმაურებულ საქმეში კომპანიამ ჰაკერებს დაახლოებით 4.4 მილიონი დოლარი გადაუხადა. მოგვიანებით ამერიკულმა სამართალდამცავმა ორგანოებმა თანხის ნაწილი დააბრუნეს, თუმცა შემთხვევამ აჩვენა, რომ ყველაზე მსხვილი ინფრასტრუქტურული ოპერატორებიც კი ზოგჯერ გადახდას არჩევენ.

ევროპაში კი სულ უფრო აქტიურად განიხილება საპირისპირო მოდელი. ევროკავშირის რამდენიმე ქვეყანაში მიმდინარეობს დისკუსია, უნდა აიკრძალოს თუ არა კრიტიკული ინფრასტრუქტურის ოპერატორებისთვის გამოსასყიდის გადახდა კანონით.

Ruag-ის შემთხვევა სწორედ ამ დებატის ცენტრში აღმოჩნდა.

ერთი მხრივ, კომპანიამ მიაღწია მიზანს და აცხადებს, რომ მონაცემები დაიბრუნა. მეორე მხრივ, მან პრაქტიკულად უგულებელყო ის რეკომენდაციები, რომელსაც თავად შვეიცარიის სახელმწიფო წლების განმავლობაში გასცემდა.

ბიზნესისა და უსაფრთხოების ინტერესებს შორის ეს წინააღმდეგობა დღეს კიბერუსაფრთხოების სფეროს ერთ-ერთი ყველაზე რთული საკითხია. კომპანიებისთვის პრიორიტეტი ხშირად ოპერაციების სწრაფი აღდგენაა, სახელმწიფოებისთვის კი სისტემური პრევენცია და დანაშაულებრივი ბაზრის შესუსტება.

საბოლოოდ, Ruag-ის გადაწყვეტილება შესაძლოა ერთჯერადი შემთხვევა არ აღმოჩნდეს. რაც უფრო იზრდება სახელმწიფოებისა და მსხვილი კომპანიების დამოკიდებულება ციფრულ სისტემებზე, მით უფრო ხშირად დადგება კითხვა: ჯობს გადაიხადო და კრიზისი სწრაფად დაასრულო, თუ უარი თქვა გადახდაზე და უფრო დიდი ზიანის რისკი მიიღო?

შვეიცარიის თავდაცვითი კონცერნის მაგალითი აჩვენებს, რომ თეორიული პასუხი და პრაქტიკული გადაწყვეტილება ხშირად ერთმანეთისგან მნიშვნელოვნად განსხვავდება.

წყაროები: