מלחמת הצללים החדשה: אירוע שירביט הוא קריאת השכמה

האם מדינה זרה עומדת מאחורי מתקפת הסייבר על חברת הביטוח שירביט, או שמדובר "רק" באירוע פלילי? השאלה המתבקשת לקוחה מ"העולם הישן" ומתפיסות מיושנות. במרחב הסייבר היא פחות רלוונטית. זה עולם שאין בו גבולות ברורים – לא בין מדינות, לא בין "המדינה" לפושעים, ולא בין טרור לפשיעה.

כתבות נוספות באתר מקור ראשון:
– צה"ל נערך להתפרצות הקורונה בעזה ובכפרי יו"ש
– הזדמנות שלא תחזור: פרישת מזוז פותחת פתח לתיקון מימין
– מסביב לעולם, תרומה חברתית או תוצרת מהכפר: מארזי אוכל עד הבית

חלק מהמדינות נעזרות בארגוני טרור או פשיעה  בסייבר, ולעיתים אף מסייעות להם באופן מוחשי או בהעלמת עין, כאשר היעד המותקף נמצא במדינה שנחשבת יריב או אויב. למשל, רוסיה וסין לא ממש מצטערות על התקפה הפוגעת בתאגיד אמריקני גדול ומביכה את מעצמת הסייבר הגדולה בעולם. הנזק עלול להיות עצום. פגיעת סייבר במוסדות פיננסיים, כמו חברות ביטוח ובוודאי בנקים, עלולה לגרום לאובדן אמון הציבור במוסדות הללו, עד כדי אסון כלכלי וחברתי.

האם יש מדינות שמעוניינות להפוך את ישראל ליעד למתקפות סייבר? בהחלט, במיוחד לאור העובדה שהיא נחשבת אחת המדינות המתקדמות בעולם בהגנת סייבר, ותעשיית הגנת הסייבר שלה היא מהמובילות בעולם.

במקרה של שירביט עדיין רב הנסתר על הגלוי. הפרשה נמצאת בעיצומה, אך היא יכולה להיות בגדר קריאת השכמה, לקראת המעבר לשלבים הבאים בהגנת הסייבר הלאומית – הן על מוסדות מדינתיים הן על גופים פרטיים.

התשתית קיימת: ישראל הייתה בין המדינות הראשונות בעולם שזיהו את איום הסייבר המתעצם, והיא הקימה מערך הגנה לאומי – תחילה בהתמקדות בתשתיות קריטיות, ומאוחר יותר בהסתכלות על המרחב האזרחי כולו. ישראל פיתחה אסטרטגיית הגנת סייבר שמורכבת משלוש שכבות: שכבה של "עמידות", שתפקידה להקטין את האיום באמצעות "היגיינה" קבועה; שכבה של חוסן שנועדה לתת מענה מיידי במקרה של התקפה חמורה, באמצעות החברות עצמן בסיוע המדינה; ושכבה של הגנת סייבר ברמה הלאומית, שרובה באחריות גופי המודיעין הלאומיים.

מטה הסייבר שהקים ראש הממשלה בשנת 2012, ישירות תחתיו, הפך למערך בשנת 2015. כיום עומד בראשו יגאל אונא, לשעבר בכיר בשב"כ. מערך הסייבר הלאומי משתף מידע בין גופים שונים ומקבל מידע מחו"ל באמצעות שיתופי פעולה בינלאומיים.

האיום מתעצם במהירות. פעולות שבעבר רק תוקפים בודדים ידעו לבצע, הפכו לפשוטות יותר. יריבים ואויבים מתקדמים ביכולותיהם, ואסור להגנה לקפוא על השמרים. לפני כמה חודשים חווינו מתקפות על תשתיות מים וגופים נוספים. "חורף הסייבר" עתיד להתעצם, ומוקדם מהצפוי.

מצד עצמה, המתקפה על חברת הביטוח איננה מהחמורות או מהמתוחכמות ביותר. מדובר בחברת ביטוח קטנה יחסית. הנזק שעלול להיגרם מחשיפת פרטי הלקוחות שלה מוגבל. בנובמבר 2014 כבר עמד המגזר הפיננסי בישראל בפני איום גדול בהרבה: סוחט אלמוני איים לפרסם פרטים של לקוחות בנק לאומי, דבר שעלול היה לגרום משבר עצום במגזר הבנקאי כולו. בדיעבד התברר כי את הפרטים גנב עובד לשעבר בחברת לאומי קארד, והוא נשפט ונכלא. מעצרו בוצע באמצעות שיתוף פעולה בין המשטרה לגופי סייבר, בשלב שבו היה חשש שמדינה זרה עומדת מאחורי המתקפה.

קבוצות של האקרים שתוקפות חברות כמו שירביט, משתמשות בדרך כלל בשיטות המכונות "דיוג", התחזות, phishing בלעז. פעמים רבות נשלחים לעובדים אימיליים המתחזים לגורם אחר, כדי לקבל סיסמאות שמאפשרות גישה לכלל הרשת. במקרים מתוחכמים במיוחד נערכות מתקפות מתקדמות ממושכות, שבהן החדירה למחשבי המותקף נמשכת זמן רב. תקיפה עקבית מתקדמת מכונה בשפה המקצועית APT – Advanced Persistent Threat. תקיפה כזו יכולה להימשך אפילו שנים, אם התוקפים מצליחים להתגנב אל רשתות היעד ולשהות שם לאורך זמן בלי להיחשף.

באופן כמעט שגרתי, חלק מהתוקפים מצפינים מידע במחשבי היעד המותקף, ודורשים כופר תמורת שחרור ההצפנה כדי שאותו גוף יוכל להמשיך לתפקד. אחרים מאיימים בפרסום המידע, כמו במקרה של שירביט. למעשה, הפרסום של המידע נועד רק "לאיים" על החברה. אם לא תשלם את הכופר – הוא יימכר לגורמים פליליים ב"רשת האפלה" (דארקנט).

המטוס שהועתק

רוב פושעי הסייבר אינם מבזבזים את זמנם בשכבה הגלויה של האינטרנט. המידע שגוגל סורק הוא רק קצה הקרחון, אחוזים בודדים מן המידע שקיים ברשת באמת. רוב הקרחון נסתר מתחת לפני המים, בדארקנט.

קל להסביר את ההיגיון שמאחורי המחירים ברשת האפלה. למשל, מאגר של פרטי כרטיסי אשראי גנובים שווה פחות כסף ממידע רפואי גנוב באותו היקף, משום שאת מספרי כרטיסי האשראי הגנובים הבנקים ממהרים לבטל, ואילו מידע רפואי ממשיך להיות בעל ערך במשך שנים ארוכות. גופים כמו חברות תרופות או חברות ביטוח זקוקים לו. תמיד יימצא מי ש"ילבין" מידע כזה בעבורן, ויפיק ממנו ערך, בכסף.

המידע שנגנב ממאגרים רפואיים מבוקש כל כך על ידי פושעים בכל העולם, עד שבתי חולים וקופות חולים נדרשים למאמצים עליונים כדי להגן עליו. במקרים רבים המאמצים מעטים מדי או ננקטים מאוחר מדי. כך קרה גם בסינגפור. בשנת 2018 נגנב שם מאגר ענק של פרטים רפואיים, שכלל גם את המידע על מצבו הרפואי המדויק של ראש הממשלה. למרבה המבוכה, המידע דלף לאינטרנט. הבושה הייתה גדולה במיוחד, משום שסינגפור נחשבת לאחת המדינות המתקדמות בהגנת סייבר, עם מנגנונים ממשלתיים קפדניים ויעילים שמודעים היטב לכל הסכנות.

למידע על לקוחות שירביט יהיה ביקוש בדארקנט, בין אם האקרים ישתמשו בפרטים האישיים להונאות פיננסיות, ובין אם הלקוח יהיה ארגון טרור או מדינה שמתעניינים בפרטים אישיים של דמויות מסוימות.

בתקיפות סייבר בארה"ב לבדה נגנבים בכל שנה סכומי כסף גדולים בהרבה מסך השלל של מעשי הפשיעה ה"מסורתיים", ובהם כייסות וגנבות רכוש וכסף מזומן. שוד בצהרי יום של סניף בנק כבר נחשב פאסה

כשמתבצעת תקיפת כופר על חברה או על ארגון מדינתי, אחת השאלות המיידיות היא אם לפרסם פרטים עליה או לנהל דיאלוג סמוי עם הפצחנים. יש חברות שמעדיפות לשלם את הכופר, כמו חברת אנרגיה גדולה באירופה, במקרה שאירע רק לאחרונה ולא פורסם. במקרה של בנק לאומי ב־2014 לא שולם שום כופר, אך הטיפול בפרשה בוצע בפרופיל תקשורתי נמוך מאוד. במקרה של שירביט פורסמו הודעות הן מטעם מערך הסייבר והן מטעם החברה עצמה, שנסחרת בבורסה. כופר לא שולם וכנראה כבר לא ישולם.

ועכשיו, קצת פרופורציה: בנק לאומי, ובטח שירביט, אינם הראשונים בעולם שעמדו בפני ניסיון סחיטה. כנראה הם גם לא יהיו האחרונים. אלו גם לא הפרשיות הגדולות בעולם העסקי הגלובלי, שחווה תקיפות כאלו השכם והערב.

כיום כבר ברור כי פשיעת הסייבר, ככלל, נישלה את הפשיעה של "העולם הישן" מראש סדר האיומים הפליליים. המספרים מדברים בעד עצמם: בתקיפות סייבר בארה"ב לבדה נגנבים בכל שנה סכומי כסף גדולים בהרבה מסך השלל של מעשי הפשיעה ה"מסורתיים" ובהם כייסות, גנבות רכוש וכסף מזומן ואף מעשי שוד מזוין. שוד בצהרי יום של סניף בנק או פריצה מתוחכמת לכספות הם כבר פאסה. גנבה ומרמה באמצעי סייבר קורצים יותר: השלל יכול להיות עצום, ואין חשש להשאיר טביעות אצבע מוחשיות בזירת הפשע. וכמו בפשע המאורגן של פעם, גם בעולם החדש יש ארגוני פשיעה. הטכנולוגיה משחקת לטובת חברי הארגונים: אמצעי התקשורת ביניהם מגוונים, כמעט אינסופיים.

אפילו חברת־הענק האמריקנית לוקהיד־מרטין נפלה קורבן לתקיפת APT: ב־2011 נודע שיצרנית המטוסים והמערכות הביטחוניות, מהגדולות בעולם, הייתה נתונה למתקפת סייבר, שנמשכה כמה שנים. פורסם כי בפריצה נגנבו תוכניות של מטוס הקרב המתקדם F35, שהיה אז בפיתוח. אחד מיתרונותיו של ה־F35 החדשני הוא חמקנות, כלומר יכולת לטוס מעל שטחים בלי להתגלות במערכות מכ"ם. החמקנות הושגה באמצעות פיתוח מבנה חדשני, תוך שימוש בחומרים חדישים שלא היו מקובלים בעולם התעופה. למטוס גם מרכיבים מתקדמים בתחום בקרת האש והחימוש, בהתבסס על ידע שפותח במשך שנים והיה בליבת הסוד של הפיתוח המשותף לארה"ב ולכמה מבנות בריתה.

כמה שנים לאחר הפריצה גילו מומחים דמיון רב בין מטוס הקרב הסיני J20, שנמצא בשלבי פיתוח, ובין ה־F35, שנכנס בינתיים לשימוש מבצעי בכמה צבאות (בחיל האוויר הישראלי שמו "אדיר"). כמה תמונות של המטוס הסיני שכבר פורסמו ממחישות זאת. ההשערה היא שהסינים השתמשו בפירות הפריצה הממוחשבת כדי "להעתיק" את המטוס.

לאחר התקיפה פרסמה לוקהיד־מרטין מודל לתיאור השלבים של תקיפת סייבר עקבית ומתקדמת, תחת הכותרת "שרשרת ההרג של הסייבר". לוקהיד־מרטין למדה לקח כואב מהפרשה. החברה שינתה לחלוטין את גישתה להגנת סייבר, והחלה להשקיע משאבים אדירים כדי למנוע פריצות נוספות.

סייבר נגד סייבר

בשנים האחרונות, תקיפות ענק הן כמעט דבר שבשגרה. רשת המלונות מאריוט, למשל, מסובכת כיום באלפי משפטים בגלל דליפת מידע של לקוחות מן המחשבים שלה. כך גם רשת הקמעונאות האמריקנית טארגט.

ומה קורה כשהיעד לתקיפת סייבר הוא דווקא חברת אבטחת סייבר? זה מה שקרה באירוע הסייבר החמור באמת של השבוע הזה – התקפה על חברת אבטחת הסייבר האמריקנית פייראיי, שנזקיה טרם התבררו. מנכ"ל פייראיי אמר בראיונות בארה"ב כי ההתקפה הייתה כה מתוחכמת, עד שאין ספק שמדינה במעמד של מעצמת סייבר עומדת מאחוריה.

בארה"ב הועלו השערות כי מדובר במאמץ רוסי, גם מכיוון שפייראיי אחראית לאבטחת מערכות בחירות בארה"ב, כולל בבחירות האחרונות לנשיאות. ייתכן כי בזמן שהחברה הייתה עסוקה עד הקצה באבטחת הבחירות, פרצו פצחנים לחצר האחורית שלה. לא ברור עדיין מה יהיו ההשלכות של התקיפה על לקוחות החברה, רבים מהם גם בארץ.

התקיפות על גורמים בישראל עדיין אינן בהיקפים של ארה"ב. אולם, את קריאת ההשכמה מאירוע שירביט אפשר לדמות גם להתקפה על המשחתת אח"י אילת לאחר מלחמת ששת הימים. חיל הים הפך את האסון לאמצעי מדרבן לתהליך הפקת לקחים והיערכות חדשה, עד כדי השגת עליונות ימית מוחלטת במלחמת יום הכיפורים. באותו אופן צריכים להילמד מאירוע שירביט לקחים משמעותיים, גם במגזר הפרטי וגם הציבורי. זאת על מנת שמדינת ישראל, על כל מגזריה, תמשיך להיות מובילה בהגנת סייבר גם בתוככי ה"חצר" שלה, ולא רק בייצוא של טכנולוגיות הגנה.

פרופ' אביתר מתניה הוא מייסד מערך הסייבר הלאומי וראש התוכנית ללימודי ביטחון וסייבר באוניברסיטת תל־אביב. עמיר רפפורט הוא פרשן מקור ראשון ומייסד "סייברטק". בחודשים הקרובים יצא לאור ספרם על הסייבר בהוצאת כנרת זמורה ביתן, בישראל וברחבי העולם