שנת 2020 מתקרבת לסיומה במהירות. מי היה מאמין, רק לפני שנה, שנהיה במקום בו אנו נמצאים היום? התפשטות מגיפה עולמית, משבר כלכלי, אי-שקט חברתי. נדמה לעיתים שהיסודות הכי מוצקים של חיינו זזו בשנה האחרונה בצורה ובקצב שלא הכרנו בשום שלב בעשרות השנים האחרונות. תהליכים שונים קיבלו האצה, וכך אנו רואים את המעבר לעבודה ולימודים מהבית, או הטרנספורמציה הדיגיטלית שקיבלה האצה.
תחום נוסף שגדל בעוצמה השנה היה מתקפות הסייבר. ה-FBI האמריקאי דיווח כי מאז כניסת הקורונה לחיינו, חל זינוק של 400% בכמות התלונות שמתקבלת בחטיבת הסייבר של הארגון בהשוואה לתקופה המקבילה אשתקד. יש יותר פישינג, יותר מתקפות כופרה, יותר DDoS, יותר דפי נחיתה מזויפים, יותר הונאות סייבר, והמספרים נמצאים בגידול אקספוננציאלי. מגזין הטכנולוגיה העולמי Computer Weekly אף הגדיר זאת במילים הבאות "נגיף הקורונה הוא, ככל הנראה, איום אבטחת הסייבר הגדול ביותר מעולם", והוא כנראה לא טועה.
"האינטרפול, הארגון הבינ"ל לשיטור פלילי, מצא שישנה עלייה מדאיגה בכמות מתקפות הסייבר המופנות כלפי תאגידים עסקיים, משרדי ממשלה ותשתיות קריטיות, והרבה מזה קשור להתפשטות העולמית של נגיף הקורונה", מציין ליאור לוי, מנכ"ל ומייסד חברת פרולוג'יק (Prologic), מקבוצות הטכנולוגיה וה-IT הגדלות במהירות היום בשוק הישראלי בכלל ובתחום הסייבר בפרט. "אלא שבישראל ישנו גם איום נוסף ומשמעותי – התפתחותה של מלחמת סייבר ישראלית-איראנית, שניצנים שלה ראינו השנה, ואשר מציבה בפני מנהל אבטחת המידע הישראלי איומים ואתגרים מזן אחר לחלוטין".
הפושעים משלימים הכנסה
בראיון מיוחד עימו סוקר ליאור לוי את ההתפתחויות והאיומים המרכזיים בפניהם ניצב המגזר הארגוני בתחום אבטחת המידע.
ראשית ולפני הכל צריך להבין את המוטיבציות להגברת מתקפות הסייבר בתקופה הזו. "הסיבות לכך מגוונות", הוא מפרט. "יש מחקרים שטוענים שבני נוער נמשכים לבצע פעולות האקינג, כי יש להם יותר זמן פנוי בעקבות המעבר ללימודים בבית. זה אולי נכון, אבל זה מספק רק תמונה חלקית בלבד. חשוב כאן להבין שלא רק הכלכלה הלגיטימית ספגה מהלומה רצינית בעקבות התפשטות מגיפת הקורונה. גם ארגוני פשיעה מסביב לעולם חווים מהלומה כלכלית כתוצאה מהתפשטות הנגיף, ועבורם הגדלת זרוע הסייבר היא סוג של גיוון הכנסות, או השלמת הכנסה, בתקופה קשה".
לוי מסביר, כי קיים קושי להוציא לפועל פשיעה מסורתית, עקב סגרים, מגבלות תנועה, נוכחות מוגברת של רשויות האכיפה ברחובות, נעילת כניסות ויציאות מהמדינות השונות ועוד. המעבר לפשיעת סייבר מאפשר לאותם ארגונים להמשיך בעבודתם, "להשלים הכנסה" אם תרצו, בעבודה שניתן לבצע אותה מכל נקודה על פני תבל אל מול כל נקודה על פני תבל, וכל מה שנדרש הוא כוח אדם מיומן, כלים טכנולוגיים זמינים, וחיבור לאינטרנט.
"ההערכות הן שהיקף ההכנסות העולמי של פשיעת הסייבר יעמוד השנה בכ-1.5 טריליון דולרים", מצטט לוי גופי מחקר ומודיעין. "זו כלכלה שלמה שמתנהלת מתחת לרדאר, ולא רק שהיא לא הפסיקה לעבוד מאז התפרצות הקורונה, אלא להיפך, היא רק הלכה והתעצמה. רק לשם השוואה, פשיעת הסייבר העולמית השנה גדולה מצירוף ההכנסות של אמזון, פייסבוק, מיקרוסופט, אפל, וטסלה - יחד".
עבודה מהבית
מחקר שביצע הבנק המרכזי של מדינת טקסס בארה"ב בדק כמה עובדים מהבית מאז החלה התפשטות מגיפת הקורונה. המספרים הם פנומנאליים וממחישים את עוצמת המגמה של המעבר לעבודה מהבית (באנגלית - Work From Home, או בראשי התיבות WFH). בפברואר, ערב התפרצות נגיף הקורונה, שיעור העובדים מהבית עמד על 8.2%, המספר הזה גדל בשיאו של הסגר בחודש מאי ל-35.2%, והתייצב על 24.2% בחודש אוגוסט. "אנחנו רואים שבארה"ב, 1 מכול 4 עובדים המשיך לעבוד מהבית גם לאחר היציאה מהסגר הראשון", מציין לוי, "בישראל המספרים הם אפילו יותר גבוהים, שכן אצלנו כבר חווינו סגר שני. למעשה, בישראל ישנם ארגונים בהם 80% מהעובדים המשיכו בעבודתם מהבית, בדגש על חברות טכנולוגיה ועובדי ידע".
העבודה מהבית התאפשרה אך ורק בזכות הטכנולוגיה, וארגונים המשיכו לעבוד ולתפקד כשהעובדים שלהם מתחברים מרחוק, אלא ששיטת העבודה החדשה גם פתחה סכנות חדשות לארגון. "ארגונים היו רגילים להגן על נקודות קצה המצויות אצלם בתוך המשרדים", מסביר לוי, "ופה פתאום, בין לילה, נקודות הקצה עברו מהמשרד לבתיהם של העובדים, ובארגונים גדולים נוצרה תפוצה של אלפי נקודות קצה, שנדרש להגן עליהן מחוץ לרצועת הביטחון הארגונית. זה פותח אין-סוף של פרצות הגנה פוטנציאליות שהאקרים מנצלים אותן, ופועלים בתוכן".
איומים פנימיים
המונח המכובס "איומים פנימיים" מתייחס לאפשרות שעובדים בארגון, בכוונה או בשוגג, גורמים לכניסה של גורמים זרים לתוך הארגון, או לדליפת מידע מתוכו. לנו בישראל זכורה היטב הדוגמא של ענת קם, חיילת שבמהלך שירותה הצבאי בלשכת אלוף פיקוד המרכז, הוציאה כ-2,000 קבצי מחשב, מתוכם כ-700 הוגדרו כסודיים או סודיים ביותר, ומסרה אותם לידיו של עיתונאי "הארץ", שפרסם על סמך אותם מסמכים סדרת מאמרים בעיתונו.
"לכל אחד נדמה שאצלו בארגון זה לא יכול לקרות", אומר לוי, "אבל מחקרים מראים ש-61% מהארגונים דיווחו בשנה האחרונה על לפחות מקרה אחד של עובד שהדליף מידע בכוונת זדון או בשוגג. 22% מהארגונים דיווחו על לפחות שישה מקרים כאלה אצלם בארגון. כך שמדובר בתופעה רווחת, שארגונים צריכים להיות מוכנים להתמודד איתה. הקורונה הוסיפה לאיום הפנימי נדבך חדש לחלוטין - של עובדים שמפחדים מפיטורין ולכן אוספים ואוגרים מידע מסווג אודות הארגון ולקוחותיו. זה הופך את התחום הזה ל'חם' עוד יותר ממה שהיה עד כה וארגונים מפנימים את הסיכונים".
במקרה הזה לא מדובר רק על פשיעה כלכלית, אלא גם על ריגול של ממש. כך למשל, ה-FBI, יחד עם ארגון פדראלי אמריקאי נוסף העוסק בריגול נגדי, פרסמו לאחרונה סרטון המיועד לבכירים בעולמות הממשלה, עסקים ואקדמיה שחושף שיטות גיוס ואיסוף מידע, שמבצעות מדינות זרות באמצעות יצירה של רשת פרופילים מזוייפים, שעוטפת את אובייקט התקיפה, ומטרתה להונות ולגנוב מידע מתוך הארגון באמצעות הונאת אותו בכיר.
ענן לא מאובטח
המעבר לענן הוא טרנד עולמי-גלובלי, חלק מתהליך הדיגיטיזציה של ארגונים. קצב הגידול של ספקיות הענן הגלובליות, דוגמת אמזון AWS, או מיקרוסופט Azure, הוא מדהים. כך לדוגמה, היקף ההכנסות של AWS עמד על למעלה מ-35 מיליארד דולר בשנת 2019, וקצב הגידול ב-2020 צפוי לעמוד על כ-30%. זה אולי ממחיש יותר מכל את המעבר של ארגונים מכול הגדלים לענן. אלא שיחד עם המעבר לענן צצים גם איומים וסיכונים חדשים. "לפני כשנה התגלה מקרה גניבת המידע של לקוחות הבנק האמריקאי Capital One. מדובר היה לא רק באחת מדליפות המידע הגדולות בעולם, זו בעיקר הייתה דליפת מידע בסדר גודל ענקי, שדלפה משרתי האחסון של ספקית שירותי ענן ציבורי מובילה", משחזר לוי, שמספר כי בדיווחים אודות דליפת המידע של Capital One דובר על גניבת פרטיהם של 100 מיליון לקוחות. המידע שנגנב כלל את פרטיהם של הלקוחות, שכרטיסי האשראי שלהם בבנק חויבו בין השנים 2005 ל-2019, בנוסף למספריהם של 80 אלף חשבונות בנק, ומספרי הביטוח הלאומי של 140 אלף אמריקאים ועוד מיליון קנדים. רק לאחרונה קבע גוף רגולציה אמריקאי קנס בסך 80 מיליון דולרים אותם נדרש לשלם הבנק, וקבע כי הקנס נובע מכישלונו של הבנק לבצע הליכים יעילים של הערכת סיכונים לפני העברת המידע שברשותו למיחשוב ענן, ומכישלונו לתקן את הליקויים שהתגלו בתוך פרק זמן סביר.
"אסור לזלזל באיראנים"
ואם לא די לנו בגלי מתקפות הסייבר הניחתים עלינו גם כך, אנחנו הישראלים זכינו לתוספת לא ידידותית משלנו בדמותה של מה שנראית כמלחמת סייבר חשאית שמתרקמת לה בין ישראל ובין איראן.
זה החל בתקיפה המיוחסת לאיראן נגד מערכות המים של ישראל בתאריכים 24-25 באפריל השנה. בתחנת שאיבה אחת נרשמה חריגה בנתונים ו"אי סדירות"; בתחנה אחרת, משאבה נותקה ממצב אוטומטי מבוקר ונכנסה לפעולה ללא הפסקה, ובתאגיד מים נוסף נרשמה השתלטות על מערכת תפעול. ה"ניו יורק טיימס" דיווח במאי כי מאחורי המתקפה עמדו יחידות סייבר התקפיות של משמרות המהפכה של איראן.
ראש מערך הסייבר של ישראל, יגאל אונא, הגדיר בראיון עימו בסוף מאי את התקיפה כ"נקודת שינוי" בהיסטוריה של מלחמות הסייבר של ישראל. לדבריו, "הניסיון למתקפה על ישראל היה מתואם ומאורגן במטרה לפגוע במערכת המים ההומניטרית שלנו ואם היא הייתה מצליחה, היינו נאלצים להתמודד עם נזק לאוכלוסייה אזרחית ואף מחסור זמני במים שיכול היה לגרום לנזק ולאסון".
בהמשך הגיעו תקיפות, שיוחסו בעולם לישראל, נגד תשתיות הנמל הימי האיראני הגדול בבנדר עבאס, ופיצוצים מסתוריים נוספים פקדו בשבועות הבאים מוקדים שונים באיראן, בהם פיצוץ ושריפה בשטח מתקן העשרת אורניום ליד נתאנז.
המכון למחקרי בטחון לאומי (INSS) קבע בדו"ח שלו שהתפרסם ביוני השנה, כי "על ישראל להניח שיהיו ניסיונות תקיפה נוספים ומתוחכמים יותר מאלה שנרשמו עד כה".
"אנחנו לא שומעים את צפירות האזהרה, כי טילים או רקטות פיסיים לא נורו", מתאר לוי, "אך מה שאנחנו עדים לו היא תחילתה של מלחמת סייבר חשאית ישראלית-איראנית. הנזקים יכולים להיות פיזיים ומוחשיים לחלוטין, והמטרה מסומנת על משרדי ממשלה, תשתיות קריטיות, גופי מחקר ואקדמיה וארגונים עסקיים גדולים. אסור לזלזל ביריב, הוא כבר הוכיח את יכולותיו בהשבתה של תשתיות נפט סעודיות לפני מספר שנים, וצריך לצאת מנקודת הנחה שיחידות האקרים איראניות מנסות לפרוץ לארגונים ישראלים, ואף מצליחות בכך".
פלטפורמה אחודה להגנת סייבר
האתגרים הינם גדולים ורבים ומחייבים התייחסות רצינית ועמוקה. "ארגונים נדרשים לבצע מחשבה מחדש על הארכיטקטורה של הגנת הסייבר שלהם", מדגיש לוי. "אבל זו יכולה להיות הזדמנות. תחום הסייבר בארגונים רבים עדיין נסמך על כלים שהתאימו לאתגרי האתמול, וזו יכולה להיות העת כדי להתקדם לכלים עוצמתיים, פשוטים ובעלויות סבירות, שמותאמים לעידן הדיגיטל. פתרונות אלו צריכים להיות מבוססי AI ו-ML, להתממשק אחד עם השני, ולייצר פלטפורמה אחת אחודה, שיכולה לספק יכולות ניטור ואבטחת מידע כוללות לסביבות המחשוב ההיברידיות של ימינו".
דוגמה לפתרונות כאלו מציעה חברת SolarWinds, המיוצגת בלעדית בישראל על-ידי פרולוג'יק. כך למשל, פתרון ה-SIEM של החברה - SolarWinds Security Event Manager - המאפשר איסוף וניתוח של לוגים המיוצרים ברשת הארגונית במקום מרכזי אחד, לזהות ולהגן מפני איומי סייבר מתקדמים, לספק מענה להתקפות סייבר ולסייע במתן מענה לדרישות רגולטוריות. המערכת אף מאפשרת להעביר לתהליכים אוטומטיים פעילויות רבות שמבצעת מערכת SIEM מסורתית, דוגמת תגובה עצמאית לזיהוי פעילות חשודה ברשת הארגונית - החל מחסימה אוטומטית של כתובת IP חשודה, שינוי הרשאות, השבתה של חשבונות חשודים, חסימה של מכשירי USB ועוד.
דוגמה נוספת היא של פתרון SolarWinds Access Rights Manager המיועד לספק מענה מפני האיומים "שבפנים", המכונים Insider Threats. הפתרון מאפשר ניהול אוטומטי של ההרשאות בארגון, כולל אנליטיקה המסייעת בזיהוי חריגים ואכיפה של מדיניות ארגונית, תוך שהוא מנטר את הגישה של משתמשים למערכות הארגוניות ומייצר במהירות דו"חות המיועדים לרגולציה של תחום המשתמשים הפנימיים. המערכת גם מפחיתה מהנטל הקיים על אנשי הסייבר ומפנה אותם למשימות יותר קריטיות.
מענה טכנולוגי ואנושי
כיום קבוצת פרולוג'יק מעסיקה כ-300 מקצוענים, מציין לוי, ואחוזים הולכים וגדלים מפעילות החברה נמצאים בעולמות הסייבר. "החברה פעילה בשלושה תחומים מרכזיים ובשלושתם תופס הסייבר חלקים הולכים וגדלים", הוא מציין. "האחד, מתן שירותי מיקור-חוץ, שירותים מקצועיים, יועצים והטמעת מערכות במגוון רחב של תחומי תוכנה ו-IT. כאמור, בתחום הזה אנחנו מעסיקים כבר היום עשרות רבות של עובדים, הן במשרדי הממשלה והן במגזר האנטרפרייז העסקי, והגידול שלנו בתחום פעילות זה הוא בקצבים מהירים מאוד.
"התחום השני, נוגע באאוט-סורסינג לתחום הגיוס, שאנו מציעים לחברות סטארט-אפ. גם כאן, אנחנו עדים לביקוש גובר ולתחרות מעמיקה בין חברות ההזנק על ליבם של עובדים בתחום הסייבר.
"התחום השלישי נוגע בייצוג בישראל של חברות טכנולוגיה גלובליות המתמחות בתחומי התשתיות והסייבר. פרולוג'יק מייצגת כיום חברות שאבטחת מידע היא חלק חשוב בפלטפורמה שאותה הם מציעים, דוגמת SolarWinds, idera, Ivanti (שגם רכשה לאחרונה את חברות אבטחת המידע MobileIron ו-Pulse Secure); או חברות שהסייבר מצוי בליבת הפעילות שלהן, דוגמת ReSec. בהיבט הזה אנחנו נמצאים במעקב וניטור תמידי אחרי טכנולוגיות חדשות, שיכולות לספק פתרון מתקדם ובעל ערך לשוק הישראלי.
"קבוצת פרולוג'יק מספקת כיום מענה היקפי של 360 מעלות, מקצה לקצה, לעולמות הסייבר - הן בתחום כוח האדם והן בתחום הטכנולוגיות. אנחנו חיים את השטח, נמצאים בקשר הדוק עם המנמ"רים ומנהלי אבטחת המידע בארגונים השונים", הוא מסכם. "בנוסף, אנו גם ניזונים ממקורות מידע ומשאבים גלובליים, שמקורם בספקיות הטכנולוגיה שאנו עובדים איתן. השילוב הזה בנה אצלנו יכולות ומיומנויות גבוהות, שיודעות ומסוגלות להתמודד עם אתגרים, קטנים כגדולים, ולרוץ קדימה יחד עם לקוחותינו".
