האם מדינה זרה עומדת מאחורי מתקפות הסייבר האחרונות נגד חברות ישראליות?

בעקבות מתקפות הסייבר נגד שירביט ועמיטל, עולה השאלה האם יש מדינות שמעוניינות להפוך את ישראל ליעד מועדף למתקפות סייבר? פרופ' אביתר מתניה ועמיר רפפורט בפרשנות אודות האירועים האחרונים 

BIGSTOCK/Copyright: TeroVesalainen

האם מדינה זרה עומדת מאחורי מתקפת הסייבר על חברת הביטוח הישראלית שירביט או שמדובר "רק" באירוע פלילי? השאלה, הלכאורה מתבקשת, לקוחה מן העולם הישן ומתפיסות מיושנות. במרחב הסייבר היא פחות רלוונטית. זה עולם שאין בו גבולות ברורים – לא בין מדינות, לא בין המדינה לפושעים, ולא בין טרור לפשיעה.

חלק מהמדינות נעזרות בארגוני טרור או פשיעה בסייבר, ולעיתים אף מסייעות לארגונים אלה באופן מוחשי – או לפחות על ידי העלמת עין מפעילותם – כאשר היעד המותקף נמצא במדינה שנחשבת יריב או אויב. למשל, רוסיה וסין לא ממש מצטערות על שום התקפה שפוגעת בתאגיד אמריקאי גדול, ומביכה את מעצמת הסייבר הגדולה בעולם. הנזק עלול להיות עצום. למשל, פגיעת סייבר במוסדות פיננסים, כמו חברות ביטוח ולבטח בנקים, עלולה לגרום לאובדן האמון הציבורי במוסדות אלה, עד כדי אסון כלכלי וחברתי.

האם יש מדינות שמעוניינות להפוך את ישראל ליעד מועדף למתקפות סייבר? בוודאי, במיוחד לאור העובדה שישראל נחשבת לאחת המתקדמות בעולם בהגנת הסייבר, עם תעשיית מהמובילות בעולם בתחום (שנייה במערב רק לארצות הברית).

האיום מתגבר במהירות מסחררת, וחורף הסייבר רק ילך ויתעצם

במקרה של שירביט עדיין רב הנסתר על הגלוי. הפרשה נמצאת בעיצומה, אך היא יכולה להיות בגדר קריאת השכמה לקראת המעבר לשלבים הבאים בהגנת הסייבר הלאומית, הן על מוסדות מדינתיים והן על גופים פרטיים.

התשתית קיימת: ישראל הייתה בין המדינות הראשונות בעולם לזהות את איום הסייבר המתעצם ולהקים מערך הגנה לאומי – תחילה תוך התמקדות בתשתיות קריטיות, ומאוחר יותר במבט על המרחב האזרחי כולו. ישראל פיתחה אסטרטגיית הגננת סייבר שמורכבת משלוש שכבות: שכבה של "עמידות", שתפקידה להקטין את האיום על ידי "היגיינה" קבועה של סייבר; שכבה של חוסן, שנועדה לתת מענה מידי ויעיל במקרה של התקפה משמעותית כמו במקרה של שירביט, על ידי החברות עצמן בסיוע המדינה; ושכבה של הגנת סייבר ברמה הלאומית, שנמצאת ברובה באחריות גופי המודיעין הלאומיים.

מטה הסייבר, שהוקם על ידי ראש הממשלה בשנת 2012, ישירות תחתיו, הפך ל"מערך" בשנת 2015. כיום עומד בראש המערך יגאל אונא, לשעבר בכיר בשב"כ.

מערך הסייבר הלאומי משתף מידע בין גופים שונים ומקבל מידע מחו"ל באמצעות שיתופי פעולה בינלאומיים. העניין הוא, שהאיום מתעצם במהירות מסחררת. מה שנחשב היה למורכב, ורק תוקפים בודדים ידעו לעשות לפני שנתיים או שלוש, הפך לפשוט יותר היום ומתבצע על ידי רבים. יריבים ואויבים מתקדמים ביכולותיהם, ואל להגנה לקפוא על השמרים: לפני מספר חודשים חווינו מתקפות על תשתיות המים, ובהמשך מתקפות על גופים נוספים, וחורף הסייבר רק ילך ויתעצם – מוקדם ממה שניתן היה לחזות עד לא מזמן.

כשלעצמה, המתקפה על שירביט איננה מהחמורות או מהמתוחכמות ביותר. מדובר בחברת ביטוח קטנה יחסית. הנזק שיכול להיגרם מחשיפת פרטי הלקוחות שלה מוגבל. בנובמבר 2014 כבר עמד המגזר הפיננסי בישראל בפני איום גדול הרבה יותר: סוחט אנונימי איים לפרסם פרטים של לקוחות בנק לאומי, דבר שעלול היה לגרום משבר אמון עצום במגזר הבנקאי כולו. בדיעבד, התברר כי הפרטים נגנבו על ידי עובד לשעבר בחברת לאומי כארד, והוא עמד למשפט ונשלח למאסר. מעצרו בוצע באמצעות שיתוף פעולה בין המשטרה לגופי סייבר נוספים, שהגיעו לעזור למשטרה בכלים ובמומחיות, באותו שלב שהיה חשש שמדינה זרה עומדת מאחורי המתקפה על הבנק.

קבוצות של האקרים, שתוקפות חברות כמו שירביט, משתמשות בדרך כלל בשיטות המכונות "דיוג", התחזות, phishing בלעז. פעמים רבות נשלחים לעובדים אימיליים המתחזים לגורם אחר, כדי לקבל סיסמאות שמאפשרות גישה לכלל הרשת. במקרים מתוחכמים במיוחד נערכות מתקיפות מתקדמות ממושכות, שבהן החדירה למחשבי המותקף נמשכת זמן רב. תקיפה עקבית מתקדמת מכונה בשפה המקצועית  APT – Advanced Persistent Threat. תקיפה כזו יכולה להימשך אפילו שנים, אם התוקפים מצליחים להתגנב אל רשתות היעד ולשהות שם לאורך זמן, מבלי להיחשף. 

באופן כמעט שגרתי, חלק מהתוקפים מצפינים מידע במחשבי היעד המותקף, ודורשים כופר כדי לשחרר את ההצפנה, על מנת שאותו גוף יוכל להמשיך לתפקד. אחרים מאיימים בפרסום המידע, כמו במקרה של שירביט. למעשה, הפרסום של המידע נועד רק לאיים על החברה. אם לא תשלם את הכופר – הוא יימכר לגורמים פליליים ב"רשת האפלה", הדארקנט. שם יש פעילות רבה.

רוב פושעי הסייבר אינם מבזבזים את זמנם בשכבה הגלויה של האינטרנט. המידע שנסרק על ידי גוגל הוא בבחינת קצה הקרחון, אחוזים בודדים מן המידע שקיים ברשת באמת. רוב הקרחון נסתר, מתחת לפני המים. בדארקנט.

פשיעת הסייבר נישלה את פשיעת ״העולם הישן״ מראש סדר האיומים

קל להסביר את ההיגיון שמאחורי המחירים ברשת האפלה. למשל, מאגר של פרטי כרטיסי אשראי גנובים שווה פחות כסף ממידע רפואי גנוב באותו היקף, משום שאת מספרי כרטיסי האשראי הגנובים הבנקים ממהרים לבטל, בעוד שמידע רפואי ממשיך להיות בעל ערך במשך שנים ארוכות. גופים כמו חברות תרופות או חברות ביטוח נזקקים לו. תמיד יימצא מי ש"ילבין"  מידע כזה עבורן, ויפיק ממנו ערך, בכסף.

המידע שנגנב ממאגרים רפואיים הוא כל כך מבוקש על ידי פושעים בכל העולם, עד שבתי חולים וקופות חולים נדרשים למאמצים עליונים כדי להגן עליו. במקרים רבים, המאמצים נעשים מעט מידי, או מאוחר מידי. כך היה גם בסינגפור. בשנת 2018 נגנב שם מאגר ענק של  פרטים רפואיים, שכלל גם מידע על מצבו הרפואי המדויק של ראש הממשלה. למרבה המבוכה, מידע זה דלף לאינטרנט. הבושה הייתה גדולה במיוחד, משום שסינגפור נחשבת לאחת המדינות המתקדמות בהגנת סייבר, עם מנגנונים ממשלתיים קפדניים ויעילים, שמודעים היטב לכל הסכנות.  

למידע אודות לקוחות שירביט יהיה ביקוש בדארקנט, ללא ספק – בין אם האקרים ישתמשו בפרטים האישיים להונאות פיננסיות עתידיות, ובין אם הלקוח יהיה ארגון טרור או מדינה שמתעניינים בפרטים אישיים של דמויות מסוימות.

כאשר מתבצעת תקיפת כופר על חברה או ארגון מדינתי, אחת השאלות המידיות היא אם לפרסם פרטים אודותיה או לנהל דיאלוג סמוי עם הפצחנים. יש חברות שמעדיפות לשלם את הכופר, כמו חברת אנרגיה גדולה באירופה, במקרה שאירע רק לאחרונה ולא פורסם. במקרה של בנק לאומי ב-2014 לא שולם שום כופר, אך הטיפול בפרשה בוצע בפרופיל תקשורתי נמוך מאוד. במקרה של שירביט פורסמו הודעות הן על ידי מערך הסייבר והן על ידי החברה עצמה, שנסחרת בבורסה. כופר לא שולם וכבר לא ישולם, כנראה.

ועכשיו, לקצת פרופורציה: בנק לאומי, ובטח שירביט, אינם הראשונים בעולם שעמדו בפני ניסיון סחיטה. הם גם לא האחרונים. אלו גם לא הפרשיות הגדולות בעולם העסקי הגלובלי, שחווה תקיפות כאלו השכם והערב.

כיום כבר ברור כי פשיעת הסייבר, ככלל, נישלה את הפשיעה של העולם הישן מראש סדר האיומים הפליליים. המספרים מדברים בעד עצמם: בתקיפות סייבר בארצות הברית לבדה נגנבים בכל שנה סכומי כסף גדולים הרבה יותר מסך השלל של מעשי הפשיעה ה"מסורתיים", ובהם כייסות, גניבות של רכוש וכסף מזומן ואף מעשי שוד מזויין, עם או בלי כובע גרב על הראש. שוד בצהרי יום של סניף בנק או פריצה מתוחכמת לכספות הפכו פאסה. גניבה ומרמה באמצעי סייבר קורצים הרבה יותר: השלל יכול להיות עצום, ואין חשש להשאיר טביעות אצבע מוחשיות בזירת הפשע. וכמו בפשע המאורגן של פעם, כך גם בעולם החדש יש ארגוני פשיעה. הטכנולוגיה משחקת לטובת חברי הארגונים: אמצעי התקשורת ביניהם מגוונים, כמעט אינסופיים.

אפילו  חברת הענק האמריקאית לוקהיד מרטין נפלה קורבן לתקיפת APT: ב-2011 נודע, שיצרנית המטוסים והמערכות הביטחוניות מהגדולות בעולם הייתה נתונה למתקפת סייבר, שנמשכה כמה שנים. פורסם כי בפריצה נגנבו מלוקהיד מרטין תכניות מטוס הקרב המתקדם, ה-F-35, שהיה אז בפיתוח. אחד מיתרונותיו של מטוס ה-F-35 החדשני הוא "חמקנות", כלומר יכולת לטוס מעל שטחי אויב מבלי להתגלות על ידי מערכות מכ"מ. החמקנות הושגה על ידי שילוב של פיתוח מבנה חדשני למטוס תוך שימוש בחומרים חדישים, שלא היו מקובלים עד אז בעולם התעופה. למטוס גם מרכיבים מתקדמים בתחום בקרת האש והחימוש, בהתבסס על ידע רב שפותח במשך שנים, והיה חלק מליבת הסוד של הפיתוח המשותף לארה"ב ולכמה מבנות בריתה.

כמה שנים לאחר הפריצה, גילו מומחים דמיון רב בין מטוס הקרב הסיני ה-J-20, שנמצא בשלבי פיתוח, ובין ה- F-35, שנכנס, בינתיים, לשימוש מבצעי בכמה צבאות (בחיל האוויר הישראלי הוא נקרא "אדיר"). כמה תמונות של המטוס הסיני הבא, שכבר פורסמו, ממחישות זאת. ההשערה היא, שהסינים השתמשו בפירות הפריצה הממוחשבת כדי "להעתיק" את המטוס.

לאחר התקיפה, פירסמה לוקהיד מרטין עצמה מודל לתיאור השלבים של תקיפת סייבר עקבית ומתקדמת, תחת הכותרת "שרשרת ההרג של הסייבר", ובאנגלית: The Cyber Kill Chain. החברה למדה לקח כואב מהפרשה, שינתה באופן מוחלט את גישתה להגנת סייבר, והחלה להשקיע משאבים אדירים כדי למנוע פריצות נוספות.

בשנים האחרונות, תקיפות ענק הן כמעט דבר שבשגרה. רשת המלונות מאריוט, למשל, מסובכת כיום באלפי משפטים, בגלל דליפת מידע של לקוחות מן המחשבים שלה. כך גם רשת הקמעונאות האמריקאית טארגט.

המתקפה על פייראיי: ארה״ב משערת כי מדובר בפעולה רוסית

ומה קורה כאשר היעד לתקיפת סייבר הוא דווקא חברת אבטחת סייבר?

זה בדיוק מה שקרה באירוע הסייבר החמור באמת של השבוע הזה – התקפה על חברת אבטחת הסייבר האמריקאית פייראיי (FireEye), שנזקיה עדיין אינם ידועים. מנכ"ל פייראיי אמר בראיונות בארה"ב כי ההתקפה הייתה כל כך מתוחכמת, עד שאין שום ספק שמדינה בסדר גודל של מעצמת סייבר עומדת מאחוריה.

בארה"ב הועלו השערות כי מדובר במאמץ רוסי , גם בגלל שפייראיי אחראית על אבטחת מערכות בחירות בארה"ב, כולל בבחירות האחרונות לנשיאות. ייתכן, כי בזמן שהחברה הייתה עסוקה עד הקצה באבטחת הבחירות, פרצו האקרים לחצר האחורית שלה. לא ברור עדיין מה יהיו ההשלכות של התקיפה על לקוחות החברה, רבים מהם גם בארץ.

התקיפות על גורמים בישראל עדיין אינם בסדרי הגודל של ארצות הברית. ואולם, את קריאת ההשכמה מאירוע שירביט, אפשר לדמות גם להתקפה על המשחתת אח"י אילת לאחר מלחמת ששת הימים. אז, החליט חיל הים לקחת את האסון כאמצעי מדרבן לתהליך משמעותי של הפקת לקחים והיערכות חדשה, עד כדי השגת עליונות ימית מוחלטת במלחמת יום הכיפורים.

באותה מידה, צריכים להילמד מאירוע שירביט לקחים משמעותיים, גם במגזר הפרטי וגם הציבורי, כדי שמדינת ישראל על כל מגזריה תמשיך להיות מובילה בהגנת סייבר גם בתוככי החצר שלה, ולא רק ביצוא של טכנולוגיות הגנה.

 פרופסור אביתר מתניה הוא מקים ולשעבר ראש מערך הסייבר הלאומי (2012-2017) וראש התכניות לתואר שני בלימודי ביטחון ובלימודי סייבר – פוליטיקה וממשל באוניברסיטת תל אביב. עמיר רפפורט הוא פרשן "מקור ראשון" ומייסד "סייברטק". בחודשים הקרובים ייצא לאור ספרם בנושא סייבר, בהוצאת כנרת זמורה ביתן, בישראל וברחבי העולם.

 

אולי יעניין אותך גם