שנת 2021 מתקרבת לסיומה במהירות, שנה שנייה בה העולם מתפקד בצילה של מגפת הקורונה, גם אם למד לחיות לצידה. בתוך כך העולם מתחיל ללמוד מושג חדש - "מגה מתקפת סייבר" (Mega Cyber Attack), כשיותר ויותר מתקפות סייבר מתבצעות בקנה מידה גדול, ומשפיעות בצורה משמעותית יותר ויותר על חיי היום-יום של הציבור.
"אם בשנה שעברה ראינו שיאים של פעילות סייבר - יותר מתקפות כופרה, יותר פישינג, יותר DDoS ועוד - היום אנחנו רואים שבירה נוספת של אותם שיאי פעילות סייבר, אך היקף הפעילות הוא כה גדול וברמה כה גבוהה, שהשפעותיהן של המתקפות יכולות לבוא לידי ביטוי בשיתוק תשתיות קריטיות של מדינות", אומר ליאור לוי, מנכ"ל ומייסד חברת פרולוג'יק (Prologic), מקבוצות הטכנולוגיה וה-IT הגדלות במהירות בשוק הישראלי בכלל ובתחום הסייבר בפרט.
"השנה הזו הוכיחה, למי שהיה זקוק להוכחה נוספת, שהתוקפים של 2021 כבר אינם חבר'ה חכמים ומבריקים עם קפוצ'ון, שפועלים מהמרתף בבית הוריהם. מדובר בארגונים הפועלים כמו קבוצות עבודה מאורגנות, מסודרות וממומנות, במקרים רבים על-ידי מדינות, ארגוני פשיעה או ארגוני טרור, והם בעלי יכולות להוציא לפועל מתקפות שפוטנציאל ההרס שלהן הוא בקנה מידה עצום", הוא מוסיף.
חיסול מלאי הדלק
בראיון עימו סוקר לוי את ההתפתחויות והאיומים המרכזיים בפניהם ניצב המגזר הארגוני בתחומי הסייבר ואבטחת המידע. לדבריו, הסימנים המעידים על כך שאנו מגיעים לעידן מגה מתקפות הסייבר כבר כאן. בחודש שעבר זימן נשיא ארה"ב, ג'ו ביידן, מפגש עם ראשיהן של חברות הטכנולוגיה הגדולות בארה"ב - בהם מנכ"ל אמזון, מנכ"ל אפל, מנכ"ל מיקרוסופט, מנכ"ל אלפבית חברת האם של גוגל, ומנכ"ל יבמ - ואמר להם שהממשל הפדראלי זקוק לעזרתם על מנת להתמודד עם אתגרי הסייבר הלאומיים בפניהם ניצבת ארה"ב. "ראינו שוב ושוב כיצד טכנולוגיות שאנו בוטחים בהן, דוגמת תקשורת סלולארית, צינורות נפט או רשת החשמל, יכולות להפוך מטרות לפעילות פלילית. באותו הזמן, מספרם של מקצועני הגנת הסייבר המיומנים שלנו לא גדל במהירות המתאימה כדי לעמוד בקצב. כחצי מיליון משרות הגנת סייבר נותרו לא מאויישות", אמר הנשיא באותו מפגש.
אחת מאותן מגה-מתקפות אליהן התייחס הנשיא ביידן היא מתקפת הסייבר, שהתבצעה בחודש מאי השנה, בה הותקפו המתקנים של חברת האנרגיה האמריקאית קולוניאל פייפליין (Colonial Pipeline), מפעילה של אחד מצינורות הדלק המרכזיים בחוף המזרחי של ארה"ב, מה שהוביל לעצירת השירותים של החברה למשך חמישה ימים ולשיבושי אספקה של דלק ומוצריו ברחבי ארה"ב כולה. במדינות וירג'יניה, דרום קרוליינה וג'ורג'יה קרוב ל-50% מתחנות הדלק נותרו ללא מלאים ובאזור וושינגטון הבירה כ-88% מכלל תחנות הדלק דיווחו על מחסור.
בתקשורת העולמית דווח, כי חברת האנרגיה שילמה כופר בסך חמישה מיליון דולרים לקבוצת ההאקרים דארקסייד (DarkSide). הקבוצה לא רק מפתחת את התוכנה המשמשת לביצוע המתקפות, אלא אף עוסקת בהכשרה של קבוצות האקרים אחרות להשתמש בה תמורת אחוז מסוים מהכופר שהן גובות. הקבוצה גם תקשרה עם העיתונות, וכאשר נטען כי היא פועלת ממניעים פוליטיים, הקבוצה הגיבה באתר אותו היא מפעילה והצהירה כי "המטרה שלנו היא להרוויח כסף ולא ליצור בעיות לחברה".
מגה-מתקפה נוספת התבצעה בחודש יוני השנה כנגד החברה הברזילאית JBS, אחת מיצרניות הבשר הגדולות בעולם ויצרנית הבשר הגדולה בארה"ב. בעקבות המתקפה החברה הפסיקה לחלוטין את פעילות בתי המטבחיים שלה בארה"ב, דבר שהוביל למחסור בבשר בקר ברחבי המדינה ולפגיעה בשרשרת אספקת המזון האמריקאית. החברה דיווחה על תשלום כופר לתוקפים בסך 11 מיליון דולרים, ולפי הערכות גורמי ממשל אמריקאיים מאחורי המתקפה עמדה קבוצת פשיעת סייבר רוסית בשם REvil.
מתקפת DDoS עצומה
מגה-מתקפה אחרת, שפחות הצליחה, הייתה מתקפת DDoS אותה ביצעה קבוצת האקרים לא ידועה כנגד לקוחה של ספקית הענן הציבורי Microsoft Azure. חברת מיקרוסופט דיווחה, כי בשלהי אוגוסט השנה היא הצליחה לבלום מתקפת מניעת שירות בהיקף עצום, הגדולה מסוגה בעולם, בהיקף של 2.4 טרה-בייט לשנייה (Tbps). מומחי מיקרוסופט ציינו, כי המתקפה נוצרה מכ-70 אלף נקודות קצה שונות ברחבי אסיה וארה"ב וכי היא כללה שלושה גלים שמשכם הכולל היה קצת יותר מעשר דקות. בבלוג של מיקרוסופט נכתב, כי "מתקפות בקנה מידה כזה מראות את פוטנציאל הנזק של שחקנים שליליים ויכולתם לזרוע הרס באמצעות הצפת המטרות בכמויות אדירות של מידע בניסיון לחנוק את הרשת הארגונית".
לא מפתיעה, אם כן, האזהרה המאוד נוקבת מחודש יולי של נשיא ארה"ב ביידן, שהתייחס לאיום ההולך וגובר של מתקפות סייבר מצידן של רוסיה וסין על ארה"ב, ואמר כי "אני חושב שזה יותר מסביר שאם בסופו של דבר נגיע למלחמה - מלחמת יריות אמיתית עם כוחות גדולים - זה יהיה כתוצאה מתקיפת סייבר שתגרום נזק משמעותי, והיכולות האלו גוברות באופן אקספוננציאלי".
"ארה"ב מודאגת, ולדאגה הזו יש הצדקה", מציין מנכ"ל פרולוג'יק. "מדובר במתקפות בקנה מידה אדיר, מתקפות מאורגנות, מנוהלות ומתוכננות עד הפרט האחרון, שכרגע נראות כפשיעת סייבר. אך אותם הכלים יכולים גם לשמש לפגיעה בתשתיות קריטיות של המדינה וזה כבר סיפור אחר, שפוטנציאל הנזק שלו יכול לכלול גם קורבנות בנפש. נשיא ארה"ב בעצם מזהיר מפני מלחמה עולמית שיכולה לפרוץ כתוצאה ממתקפת סייבר גדולה. כדאי לשמוע את האזהרה שלו".
נזקים של טריליוני דולרים
פשיעת הסייבר היא כנראה התעשייה הצומחת במהירות הגדולה ביותר בימים אלה בעולם. בעוד שנזקי פשיעת הסייבר נאמדו שנה שעברה בכ-1.5 טריליון דולרים, מומחי הסייבר מעריכים שנזקי פשיעת הסייבר השנה יגדלו פי-ארבעה ויסתכמו בכשישה טריליון דולרים. אלא שזה כלל לא הסוף, כי גורמי אכיפת חוק מעריכים שהיקף הנזק של פשיעת הסייבר יצמח לכדי עשרה טריליון דולרים בשנת 2025.
לוי מוסיף, כי "מדובר במספרים בעלי משמעות לכלכלה העולמית. כבר היום ארגונים ועסקים רבים משלמים מחירים כבדים בגין פשיעת הסייבר. זה לא אירוע שאתה, כבעלים או מנכ"ל של ארגון, קורא עליו בעיתון או שומע בחדשות. זה אירוע שעסקים רבים חווים כחלק מהיום-יום שלהם, בין אם המתקפה נבלמת, או שההאקרים מצליחים לבצע את זממם".
הוא מציג לדוגמה את תעשיית פשיעת הכופרה. מחקר של יחידת הפשיעה הדיגיטלית בחברת מיקרוסופט מתאר את האופן בו היא פועלת. השיטה נקראת Ransomware as a Service) RaaS), כשניתן לרכוש ב"רשת האפילה" (DarkNet) אלמנטים של מתקפת כופרה בצורה מודולארית, כולל תעריפון לכל רכיב. ניתן אפילו לרכוש מקבוצת האקרים אחת מספר רכיבים הדרושים למתקפה, מקבוצה אחרת רכיבים נוספים, ואת הביצוע בפועל מקבוצה שלישית. עם כל תשלום כופר שהקורבן משלם לתוקפי הסייבר למעשה מתעצמות היכולות שלהם, שכן הם משקיעים את הכספים חזרה בשיפור היכולות שלהם, ברכש אמצעים נוספים, בגיוס מקצוענים לתוך הקבוצה שלהם ובתכנון וניהול טובים יותר של המשאבים והמאמצים שלהם.
"נדרש שינוי דיסקט מיידי של כל קברניטי עולם הסייבר"
"אני מקווה שקברניטי המדינה ומקבלי ההחלטות בעולמות הגנת הסייבר בישראל אינם חושבים שישראל מנותקת מהמתרחש בעולם", אומר ליאור לוי. "תשתיות המדינה הקריטיות, משרדי הממשלה והארגונים הגדולים במשק נמצאים תחת מתקפה מתמדת של קבוצות האקרים ואסור לזלזל ביכולות התוקפים. אסור שנבנה קונספציה כאילו ישראל חזקה יותר מכול אויביה ודורשי רעתה במרחבי הסייבר. קונספציות מהסוג הזה קרסו ברגע האמת, דוגמת מלחמת יום הכיפורים, והן גם עלולות לקרוס בהיבט של עולמות הסייבר".
האורות האדומים כבר מהבהבים. מיקרוסופט הזהירה לאחרונה, כי קבוצות האקרים, שלפי החשד קשורות לאיראן (ראה מסגרת), ניסו לפרוץ לחשבונות אופיס 365 השייכים לחברות ביטחוניות בארה"ב ובישראל, בהן כאלה המייצרות לוויינים, רחפנים, מכ"מים ומערכות תקשורת. עוד ציינה ענקית הטכנולוגיה, כי ההאקרים הצליחו לפרוץ לפחות ל-20 מהמטרות ושהקבוצה "ממשיכה לפתח את הטכניקות שלה ולשפר את מתקפותיה".
עוד לא ידוע מי עומד מאחורי המתקפה נגד בית החולים "הלל יפה" בחדרה, אך כבר ברור שמדובר במתקפה שתציין קו פרשת מים בתולדות הגנת הסייבר הישראלי, שכן זו הפעם הראשונה בה תשתית לאומית קריטית נפרצה ונפגע התפקוד התקין של בית חולים משמעותי במדינת ישראל. התוקפים דרשו כופר בסך עשרה מיליון דולרים, מערכות המידע נפגעו, בית החולים חזר לעבוד עם גיליונות נייר והמומחים העידו, כי די ברור שלא ניתן יהיה לשחזר את כל המידע שאבד במתקפת הסייבר.
"מדובר בעידן בו מתקפות הסייבר הן כבר מסכנות חיים", מדגיש לוי, "זה מצריך שינוי דיסקט מיידי של כל קברניטי עולם הסייבר. התוקפים, בין אם מדובר בתקיפה בעלת רקע ביטחוני או בתקיפה בעלת רקע פלילי, אינם בוחלים באמצעים ואין להם קווים אדומים בהיבט של בחירת המטרות".
מתקפת כופרה נוספת התרחשה נגד אוניברסיטת בר-אילן באוגוסט השנה, במסגרתה נמחקו והוצפנו קבצי מידע. אמנם רשויות האוניברסיטה דיווחו כי מדובר על מתקפה זניחה, שלא פגעה במהלך התקין של פעולת מערכות המחשוב באוניברסיטה, אך עדיין נפגעו מספר עמדות מחשב ברשת המחקרית שלה.
לשפר מיידית יכולות ואמצעים
"הדרך היחידה להתמודד עם האתגרים הגדלים באופן אקספוננציאלי אינה באמצעים ליניאריים", מחדד לוי ומוסיף, כי "כל CISO צריך לבחון בעין ביקורתית את מערך הסייבר אצלו בארגון ולשאול את עצמו כמה שאלות: האם הגשתי בקשה לדירקטוריון ולהנהלת החברה להגדלת תקציב הסייבר בהיקף של עשרות אחוזים? האם גיבשתי תוכנית עבודה רב-שנתית המתייחסת לאיומים ולמענה שהארגון נדרש לבנות מולם? האם שילבתי כלים אוטומטיים מבוססי AI כדי לזרז את האופרציה? האם שילבתי הדרכות להעלאת המודעות של העובדים לגבי איומי הסייבר? האם ביצעתי מבחני חדירה [Penetration Test) PT)] למערכות המחשוב של הארגון? האם שילבתי מלכודות דבש במערך הסייבר הארגוני? האם ביצעתי תרגילי סייבר בארגון לתרגול מערכי הטכנולוגיה, אך גם המערכים העסקיים? האם גיבשתי תכנית recovery ממתקפת סייבר? אלה שאלות שהתשובה להן צריכה להיות חיובית, וארגונים חייבים לפעול בנחישות היום כדי לא להיות במרכזה של המתקפה הגדולה הבאה".
להתקדם לכלים עוצמתיים
האתגרים הינם רבים ומחייבים התייחסות רצינית ועמוקה. "ארגונים נדרשים לבצע מחשבה מחדש על הארכיטקטורה של הגנת הסייבר שלהם", מדגיש לוי. "ארגונים רבים עדיין נסמכים על כלים שהתאימו לאתגרי האתמול וזו העת להתקדם לכלים עוצמתיים, פשוטים ובעלויות סבירות, שמותאמים לעידן הדיגיטל".
דוגמה לפתרון כזה מציעה חברת Ivanti, יצרנית של פלטפורמה אחודה לניהול משאבי ה-IT הארגוניים, המיוצגת בישראל בלעדית על-ידי פרולוג'יק. החברה מציעה, בין השאר, פתרון המיועד לשדרג את כל תחום ה-Patch Management הארגוני, תחום שמהווה עבור ארגונים רבים נקודת תורפה, כש-40% מכלל הפריצות לארגונים מקורן בניצול חולשות קיימות. הפתרון כולל יכולות אוטומציה מתקדמות ומנוהל בצורה מיטבית, אך הוא גם ורסטילי ומספק מענה למגוון רחב של סביבות.
"Ivanti מציעה פתרון שסוגר בצורה הטובה ביותר את מכלול האפשרויות לביצוע תהליכי Patch Management", קובע לוי, "כשהפתרון כולל יכולות AI המסייעות בתעדוף של תהליכי הפצת הפאצ'ים. זהו פתרון אחד לסביבה מרובת פלטפורמות, שכל אחת מהן צריכה ודורשת טיפול ותשומת לב, תוך ביצוע תהליך מסודר של עדכוני תוכנה".
יכולות ומיומנויות גבוהות - הסייבר של פרולוג'יק
כיום קבוצת פרולוג'יק מעסיקה כ-400 מקצוענים, מציין לוי, ואחוזים הולכים וגדלים מפעילות החברה נמצאים בעולמות הסייבר. לדבריו, "החברה פעילה בשלושה תחומים מרכזיים ובשלושתם תופס הסייבר חלקים הולכים וגדלים. האחד, מתן שירותי מיקור-חוץ, שירותים מקצועיים, יועצים והטמעת מערכות במגוון רחב של תחומי תוכנה ו-IT. כאמור, בתחום הזה אנחנו מעסיקים כבר היום עשרות רבות של מקצועני סייבר, הן במשרדי הממשלה והן במגזר האנטרפרייז העסקי, והגידול שלנו בתחום פעילות זה הוא בקצבים מהירים מאוד.
"התחום השני נוגע באאוט-סורסינג לתחום הגיוס, שאנו מציעים לחברות סטארט-אפ. גם כאן, אנחנו עדים לביקוש גובר והולך ולתחרות מעמיקה בין חברות סטארט-אפ על ליבם של עובדים בתחום הסייבר.
"התחום השלישי נוגע בייצוג בישראל של חברות טכנולוגיה גלובליות, המתמחות בתחומי התשתיות והסייבר. פרולוג'יק מייצגת כיום חברות שאבטחת מידע היא חלק חשוב בפלטפורמה שאותה הן מציעות כדוגמת SolarWinds, idera, Ivanti ו-OneLogin. בהיבט הזה אנחנו נמצאים במעקב וניטור תמידי אחרי טכנולוגיות חדשות, שיכולות לספק פתרון מתקדם ובעל ערך לשוק הישראלי.
"יוצא מכך", מסכם לוי, "שקבוצת פרולוג'יק מספקת כיום מענה היקפי של 360 מעלות, מקצה לקצה, לעולמות הסייבר - הן מענה בתחום כוח האדם והן מענה בתחום הטכנולוגיות. אנחנו חיים את השטח ונמצאים בקשר הדוק עם המנמ"רים ומנהלי אבטחת המידע בארגונים השונים. בנוסף, אנו גם ניזונים ממקורות מידע ומשאבים גלובליים, שמקורם בספקיות הטכנולוגיה שאנו עובדים איתן. השילוב הזה בנה אצלנו יכולות ומיומנויות גבוהות, שיודעות ומסוגלות להתמודד עם אתגרים קטנים כגדולים, ולרוץ קדימה יחד עם לקוחותינו".
האיראנים על חומות האש
אחת המדינות שמצויה במרכז של פעילות הסייבר נגד ישראל היא איראן. על-פי הדיווחים השנה, האיראנים הפעילו מספר קמפיינים נגד ארגונים וחברות ישראליות, וניכר שמאז סוף 2020 טביעות היד של כמה מהתקיפות היותר מפורסמות מובילות ישירות לטהראן.
"צריך להבין איך הדבר הזה עובד", מסביר לוי. "לא מדובר על האקר איראני תימהוני, סוג של מפגע בודד. מדובר על ארגוני סייבר הממומנים על-ידי הממשלה האיראנית ואשר פועלים כחלק ממנה. תארו לכם מגדל משרדים בלב אזור העסקים של טהראן, שחמש קומות ממנו מושכרות לטובת קבוצת האקרים כזו, המעסיקה כמה מאות צעירים מוכשרים, ואשר פועלים יומם ולילה במשמרות, כאשר מול עיניהם מטרה אחת בלבד - לאתר את נקודת התורפה שתאפשר להם חדירה לתוך ארגון ישראלי בעל ערך. אלה יכולות להיות עיריות, תאגידי המים העירוניים, בתי חולים, משרדי ממשלה, אוניברסיטאות, נמלים, חברות לוגיסטיקה, חברת הרכבות, תשתיות אנרגיה וחשמל, בנקים, חברות ביטוח, חברות כרטיסי האשראי, חברות תקשורת ואינטרנט, מערכות של גופי החדשות הגדולים ועוד".
