מתקפת סייבר על חברת שעוני הכושר החכמים גרמין

נדרשת לשלם 10 מיליון דולר לתוקפים שהצליחו לחטוף את שרתיה ולהשבית את שירותיה לחלוטין. מאחר וסביר כי התוקפים השיגו מידע רגיש על המשתמשים, אייל פינקו ממליץ כיצד להתגונן בשלב זה

צילום: מתוך אתר החברה garmin.com

ביום חמישי האחרון החלו להצטבר תלונות לקוחות של חברת גרמין (Garmin) אודות שירותיה, שחדלו מלפעול, לרבות האפליקציה המאפשרת סנכרון נתונים משעוני היד וממכשירי הניווט של החברה למכשיר הטלפון הנייד. אפליקציות תכנון הטיסה של החברה, המשמשת חברות תעופה להזנת נתיבי הטיסה של מטוסים, על פי תקינת ה- FAA, חדלו אף הן מלפעול.

בתחילה, טענה החברה כי מדובר בעבודות תחזוקה, ולאחר מכן (ועד כתיבת שורות אלו) פרסמה באתר החברה ובפרופיל הטוויטר שלה כי שירותיה מושבתים, כמו גם שירות הלקוחות שלה (לרבות באמצעות סמס, אימייל ושירות הצ'ט).

אך למעשה, החל משעות הבוקר של יום חמישי, ספגה החברה מתקפת סייבר מסוג "כופרה" (Ransomware attack) על שרתיה ומחשביה. גרמין נדרשה לשלם עשרה מיליון דולר לתוקף שהצליח לחטוף את שרתי החברה ולהשבית כליל את שירותיה.

כתגובה למתקפה ניסה צוות ה-IT של החברה להדמים מרחוק את כל המחשבים והשרתים ולהשתלט על הנוזקה, אך ללא הצלחה. בשלב הבא, התבקשו העובדים לכבות את המחשבים הקרובים אליהם, ושרתי החברה כובו מקומית גם הם על ידי צוות ה-IT. קווי הייצור של החברה בטאיוון הושבתו אף הם.

על פי דיווח של ״פורבס״, החברה החליטה על מדיניות של שמירת דיסקרטיות מוחלטת ואי-הפצת מידע. עובדי החברה תודרכו שלא להדליף מידע ולשמור על שתיקתם. למרות מדיניות זו, היו עובדים שפרסמו ציוצים בטוויטר על מצב החברה ועל כך שבוצע ניסיון לשחזר מידע מתוך שרתי הגיבוי של החברה, אך גם אלו התגלו כנגועים. כמו כן, למרות ניסיונות החברה לשמור על איפול תקשורתי, מסתמן כי התוקפים החלו בהזלגת מידע אל מחוץ לחברה ובפרסומו עוד בטרם החל תהליך הצפנת הקבצים ו"חטיפת" השרתים, כך שהנזק שנגרם לחברה החל עוד בטרם נצפתה ה"חטיפה" בפועל.

סביר להניח שתזמון התקיפה, לפני סוף השבוע, לא היה מקרי, אלא נבחר כך שיגרום לנזק תדמיתי ולפגיעה רחבה יותר במוניטין החברה. לראייה, גם מניות החברה הגיבו בהתאם: מאז פרסום דבר התקיפה צנחה מניית גרמין בבורסה האמריקאית בכ- 3.5%. סביר יהיה להניח שאם החברה לא תתגבר על התקלה בימים הקרובים והמערכות תחזורנה לפעולה, תצנח המנייה בצורה משמעותית עוד יותר.

מימד נוסף שראוי להדגיש בתקיפה זו הוא יכולתם לכאורה של התוקפים להגיע לכל ציוד קצה שנמכר ללקוחות ולכל אפליקציה המותקנת בטלפון סלולרי. כלומר, התקיפה על שרתי החברה אפשרה לתוקפים להשיג נגישות למידע אינטימי. משמעותה של נגישות זו היא שקיים ברשות התוקפים, ככל הנראה, מידע רב ערך על לקוחות החברה, כפי שאוחסן בשרתי הנתונים שלה, כולל מידע על התנהלותם והרגליהם (במיוחד יהיה מעניין אם יהיו לקוחות אשר יזוהו כלקוחות העובדים במערכות ביטחוניות על פי מיקומיהם והרגליהם היום יומיים).

מעבר לכך, סביר יהיה להניח שבאמצעות התקיפה השיגו התוקפים יכולת עקרונית לחדור לכל שעון משעוני החברה ולכל טלפון סלולרי של המשתמשים בהם מותקנת אפליקציה של החברה.

מניתוח ראשוני על התנהלות הנהלת החברה במשבר הנוכחי, שהחל כמשבר סייבר, עולה כי החברה פעלה עד כה באופן הגורם לה לאבד את אמון עובדיה ולקוחותיה, באופן אשר צפוי לגרום לאובדן עסקי ולפגיעה במוניטין החברה.

במקום לנצל את המצב ולפעול בשקיפות החליטה הנהלת החברה להסתיר את המתרחש, אולי מתוך ההנחה שחלופת הגיבוי תאפשר להתגבר יחסית מהר על תקיפת הכופר. אך ברגע שחלופה זו לא צלחה לכאורה, המשיכה וממשיכה החברה בהסתרת המצב מקהל לקוחותיה, מהלך אשר עלול להוביל אותה לא רק לפגיעה כלכלית ישירה ולפגיעה במוניטין, אלא גם לאיום משמעותי של תביעות עתידיות על חשיפת מידע ופרטיות.

יהיה נכון להניח, על פי התנהלות החברה בימים האחרונים, כי המידע האמיתי אודות הנעשה ונזקי התקיפה לא יפורסם במלואו על ידי החברה.

על כן, ומכיוון שהתוקפים השיגו ככל הנראה נגישות למידע על לקוחות ואולי אף יכולת חדירה לשעונים החכמים ולטלפונים ניידים בהם מותקנות אפליקציות החברה, המלצתי היא (ובדגש על העובדים בארגונים ביטחוניים), להסיר מיידית את האפליקציה מהטלפונים הניידים, להפעיל תוכנת אנטי וירוס (גם אם היא מאפשרת כיסוי הגנתי צנוע ביותר) ולא לעשות שימוש בשעונים החכמים, לפחות עד אשר יתקבל מידע נוסף אודות התקיפה ותוצאותיה.

אולי יעניין אותך גם