ענקית רכבי היוקרה הבריטית יגואר-לנד רובר (Jaguar Land Rover) בוודאי תרצה לשכוח את הרבעון האחרון. החברה, שבימים כתיקונם מייצרת כ-1,000 רכבים מדי יום, ספגה לאחרונה מתקפת סייבר ששיתקה את כלל פעילות הייצור שלה ושל הספקים שלה. מתקפת הסייבר, שהתגלתה בסוף אוגוסט, הובילה לסגירת המפעלים של יגואר-לנד רובר בכל רחבי בריטניה לפרק זמן של לא פחות מחמישה שבועות. 33 אלף עובדי החברה הוצאו לחופשה כפויה, אך לצידם נכפתה חופשה גם על אלפי ספקים של יצרנית הרכב, בהיקף כולל של 100 אלף עובדים נוספים. הנזקים הישירים של החברה עמדו על כ-65 מיליון דולר ליום. סך היקף הנזקים, הישירים והעקיפים, כתוצאה ממתקפת הסייבר עמד על כ-2.5 מיליארד דולרים, והיא אף הצריכה התערבות וסיוע פיננסי מצידה של הממשלה הבריטית כדי למנוע את קריסת החברה.
"צריך להבין עד כמה המתקפה הזו הייתה דרמטית", מציין ליאור לוי, מנכ"ל ומייסד חברת פרולוג'יק (Prologic), קבוצת טכנולוגיה ו-IT הפעילה גם בעולמות הגנת הסייבר, הסוקר בראיון עימו את ההתפתחויות והאיומים המרכזיים בפניהם ניצב המגזר הארגוני בתחומי הסייבר ואבטחת המידע. "מפעלי רכב עובדים מסביב לשעון, 24 שעות ביממה, שבעה ימים בשבוע. השבתה של מפעל כזה מתבצעת בצורה מנוהלת ומאוד מתוכננת לשבועיים בלבד בשנה למטרות תחזוקה של קווי היצור. השבתה של חמישה שבועות של כלל פעילות הייצור היא דבר שלא מוכר בתעשייה המאוד מורכבת הזו. ההשבתה הזו לא הגיעה כתוצאה מחבלה פיזית, אלא כתוצאה ממתקפת סייבר. הלקח הוא שמתקפה כזו יכולה לפגוע בכל מפעל תעשייתי או ארגון גדול אחר.
"המתקפה הזו בוצעה ככל הנראה על ידי קבוצת האקרים בעלת רקע פלילי", מוסיף לוי. "ההכנות שלהם היו מדוקדקות, ועל פי פרסומים בעולם, נמשכו פרק זמן שנע בין שנה אחת לשנתיים. אלא שבסופו של יום, על פי אותם פרסומים, מדובר על כך שההאקרים ניצלו שתי חולשות מוכרות במערכת הסאפ הארגונית, שנעשה בהן שימוש כדי לבצע פריצה לתוך הארגון. לכך יש להוסיף גניבת זהויות וסיסמאות של משתמשים במערכות המידע, שבוצעו באמצעות פישינג. מדובר במתקפות ברמת מורכבות גבוהה, אלא שבבסיס שלהן נעשה שימוש בניצול חולשות שקיימות דוגמתן כמעט בכל ארגון".
"הלקח הנוסף שיש ללמוד מהמתקפה הזו הוא שעולם הסייבר עובר שינוי", מדגיש לוי. "אם בעבר היעדים היו מאגרי המידע של הארגון, הרי כיום המיקוד עובר לעולם התשתיות התעשייתיות. אם בעבר ראינו פגיעה בעיקר במערכות ה-IT, אז הפוקוס עובר כיום למערכות ה-OT בארגון ושיתוק יכולות הייצור שלו. מומלץ לארגונים ישראלים ללמוד לעומקה את המתקפה הזו, שמפאת רעשי הרקע המקומיים שלנו, די עברה מתחת לרדאר, עבור חלק גדול מה-CIO או ה-CISO הישראלים".
תקיפות באמצעות AI
גורם נוסף שצבר תאוצה השנה הוא השימוש ההולך וגובר של האקרים בבינה מלאכותית, AI, וזאת כדי לשפר את היעילות, המהירות, הסקייל והדיוק של מתקפות הסייבר. השימוש ב-AI משמש, בראש ובראשונה, לאיסוף מודיעין אוטומטי ובהיקפים עצומים לצורך זיהוי פרצות, סריקת פורטים ויצירת מפות תקיפה, באופן מהיר ומדויק יותר מאי פעם. אלמנט נוסף שנעשה בו שימוש בבינה מלאכותית יוצרת הוא הפקת פישינג מותאם אישית, שנראה אנושי ומשכנע במיוחד, תוך התאמה לשפה, להרגלים ולסגנון של הקורבן.
כלים מבוססי AI מאפשרים גם לפתח קוד זדוני מורכב, לשנות אותו בצורה דינמית כדי להתחמק מזיהוי, ולתכנן מתקפות ממוקדות ברעש מינימלי. במהלך התקיפה, ה-AI יכול לסייע לתוקפים להגיב בזמן אמת לשינויים בסביבת ההגנה, ללמוד את דפוסי ההתגוננות של הארגון ולהתאים את המתקפה באופן רציף ובזמן אמת.
"אנחנו רואים שהבינה המלאכותית מעניקה לתוקפים יכולות של אוטומציה, תחכום והתאמה אישית", מציין לוי. "זה מגיע לרמה של דיפ פייק, והתוקפים מקבלים יכולות הונאה ברמה הגבוהה ביותר. זהו מכפיל כוח משמעותי שהם מקבלים לידיהם. הדבר מחייב ארגונים להטמיע יכולות בינה מלאכותית הגנתיות מתקדמות כדי לאזן את המגרש".
גל מתקפות איראני
על פי דו"ח ההגנה הדיגיטלית של חברת מיקרוסופט לשנת 2025, ישראל מדורגת במקום השלישי בעולם במספר מתקפות הסייבר המופנות אליה. לפניה ניצבות רק ארה"ב ובריטניה, כאשר ישראל ספגה 3.5% אחוזים מכלל המתקפות הגלובליות. מול ישראל ניצבים אויבים מרים, כמו איראן, המכווינה שני שלישים מכלל פעילות הסייבר העולמית שלה מול יעדים ישראלים. מטרתה היא לאסוף מודיעין, לשבש שירותים ולהפיץ תעמולה.
דוגמה למתקפות הללו באה לידי ביטוי בהכרזה של מערך הסייבר הלאומי בחודש אוקטובר השנה על זיהוי של גל מתקפות סייבר כלפי חברות המספקות שירותי מחשוב לחברות רבות במשק. בדרך זו יותר מעשר חברות פרטיות במשק היו נתונות לרמה כלשהי של מתקפה, רובן דרך החיבור לחברות שירותי מחשוב ודיגיטל עימן הן נמצאות בקשרי עבודה. מחקירת מערך הסייבר הלאומי עלה, כי התוקפים ניצלו שמות משתמש וסיסמאות שנגנבו או דלפו, ובאמצעותם חדרו למערכות. ברוב המקרים לא נגרם שיבוש תפקודי, אך בחלקן דלף מידע מארגונים.
מוקדם יותר, במאי השנה, יצאו השב"כ ומערך הסייבר הלאומי באזהרה מפני גל מתקפות איראני מסוג פישינג, כנגד דמויות בכירות בהווה ובעבר במערכות הביטחון, הפוליטיקה, האקדמיה והתקשורת. לפי הודעת דוברות השב"כ, הצליח הארגון לסכל 85 ניסיונות תקיפה, שהתמקדו בניסיון לחדור למערכות מחשוב ומכשירים ניידים של אותם בכירים.
"אסור לנוח על זרי הדפנה", מדגיש ליאור לוי, "אסור לתת להצלחות העבר להכניס אותנו לשאננות. האויבים שלנו מתקדמים כל הזמן, הם לומדים אותנו, הם לומדים את הנעשה בעולם, הם יודעים לנצל פרצות והם ינצלו אותן אם נמצמץ אפילו לחלקיק שנייה. הנזק יכול להיות עצום, וכאן צריך לחזור ללקחים של מתקפת הסייבר על יצרנית הרכב יגואר-לנד רובר".
לחזק את העמידות במגזר הארגוני
לוי מדגיש, כי ארגונים נדרשים לבצע פעולות לחיזוק העמידות שלהם בפני מתקפות סייבר. "זה נכון לכל הסקטורים - ממשלתי, ציבורי ועסקי - והם נדרשים לבצע מספר פעולות", הוא מתאר. "הפעולה הראשונה, לאמץ פתרונות טכנולוגיים שיאפשרו להם ניטור עמוק, מה שמכונה בעגה המקצועית Observability - אל תוך כלל סביבות המחשוב – און פרמיס, ענן, וסביבות היברידיות. דוגמה לפתרונות כאלו מציעה חברת SolarWinds, המציעה פלטפורמה מבוססת AI לניטור ברמה הגבוהה ביותר של כלל סביבות המחשוב הארגוניות.
"הפעולה השנייה, לסגור את פגיעויות החומרה והתוכנה המשמשות את התוקפים כדי לחדור אל תוך הארגונים. פגיעויות אלו, הנקראות vulnerabilities, מדווחות על ידי ספקיות הטכנולוגיה הגלובליות או ארגוני הגנת הסייבר הלאומיים, והציפייה היא שנקודות תורפה אלו ייסגרו על ידי שדרוג תוכנה, Patch. לא מספיק ארגונים מתעדפים את התהליך הקריטי הזה והתוצאה היא שהפגיעויות הללו מייצרות דלת כניסה אל תוך הארגון הנפתחת על ידי האקרים וחורשי רעה נוספים. תהליכים אלו של Patch Management נחשבים משעממים במיוחד וקשים לניהול, אך הם קריטיים וחיוניים להגנת סייבר אפקטיבית על הארגון. דוגמה לפתרונות מתקדמים בעולמות האלה מציעה חברת SecPod.
"הפעולה השלישית שנדרשת היא לבצע הכנה מראש להתמודדות עם מתקפת סייבר. התמודדות יעילה עם מתקפת סייבר מחייבת תרגול של גופי הטכנולוגיה בארגון, אך גם של הגורמים העסקיים והתפעוליים בארגון, ובדגש על דרגי ההנהלה. אני ממליץ להכין תיק פעולה להתמודדות עם מתקפת סייבר ולתרגל את הארגון לפחות פעם בשנה. הפעולה הרביעית, לשמור על מקצועני הסייבר של הארגון. הביקוש להם עצום, השחיקה שלהם גדולה, והארגון צריך להיות אטרקטיבי דיו כדי לשמר כוח אדם ייחודי זה. הפעולה החמישית, ללמד את העובדים ומשתמשי הקצה את כללי היגיינת הסייבר, בדגש על גילוי ערנות למתקפות סייבר המיועדות לתקוף את המימד האנושי, באמצעות פישינג או אמצעים מתוחכמים נוספים".
לוי מוסיף: "אם אתחבר לדברי הקודמים, אז השימוש בטכנולוגיה - בדגש על אוטומציה וכלי AI ייעודיים - גם יאפשר לארגונים לצמצם את העומס המוטל על כתפיהם של מקצועני הסייבר, יפחית את שחיקתם, ויאפשר להם לבצע את עבודתם בצורה ממוקדת ויעילה יותר".
מעסיקה מאות מקצועני סייבר
כיום קבוצת פרולוג'יק מעסיקה כ-1,000 מקצוענים. החברה פעילה בשלושה תחומים מרכזיים ובשלושתם תופס הסייבר חלקים הולכים וגדלים. האחד, מתן שירותי מיקור חוץ, שירותים מקצועיים, יועצים והטמעת מערכות במגוון רחב של תחומי תוכנה ו-IT. בתחום זה החברה מעסיקה כבר היום כמה מאות מקצועני סייבר, הן במשרדי הממשלה והן במגזר האנטרפרייז העסקי, והגידול שלה בתחום פעילות זה הוא בקצבים מהירים מאוד.
התחום השני הוא אאוטסורסינג לתחום הגיוס שהחברה מציעה לחברות סטארט-אפ. "גם כאן, אנו עדים לתחרות המעמיקה בין חברות סטארט-אפ על ליבם של עובדים ועובדות מנוסים בתחומי הסייבר", מעיד לוי.
התחום השלישי נוגע לייצוג בישראל של חברות טכנולוגיה גלובליות המתמחות בתחומי התשתיות והסייבר. פרולוג'יק מייצגת כיום חברות שאבטחת מידע היא חלק חשוב בפורטפוליו שאותו הן מציעות – דוגמת SolarWinds ו-SecPod, idera ו-Graphical Networks. "בהיבט הזה אנחנו נמצאים במעקב וניטור תמידי אחרי טכנולוגיות חדשות שיכולות לספק פתרון מתקדם ובעל ערך לשוק הישראלי", מציין לוי.
שיתוף פעולה של כשני עשורים
בהקשר זה יש לציין, כי שיתוף הפעולה בין פרולוג'יק ו-SolarWinds נמשך כבר קרוב ל-20 שנים. פרולוג'יק בנתה במהלך שנים אלו אקו-סיסטם הכולל למעלה מעשרה שותפי אינטגרציה חזקים הפעילים בישראל; קהילה פעילה סביב הפלטפורמה המונה מאות מקצועני IT; ופורטפוליו של מאות לקוחות, בהן חברות בסקטורים כמו בנקאות, פיננסים, ביטוח, תעשייה, משרדי ממשלה, צבא וביטחון ועוד.
בנוסף, פרולוג'יק השקיעה בבנייה והקמה של מרכז ידע ותמיכה ישראלי In-House המתמחה בפלטפורמת SolarWinds. גוף זה עוסק בסיוע לשותפות האינטגרציה של החברה ולקוחותיה בכול הקשור לפרה-סייל, פוסט-סייל, הטמעות ותמיכה שוטפת.
לוי מציין בהקשר זה כי "הצוותים שלנו מביאים לשולחן ניסיון עשיר, לצד, היכרות בלתי אמצעית עם הפלטפורמה ועם גורמי ידע נוספים ב-SolarWinds בחו"ל. ניתן לקבוע שבישראל נוצרה זהות בין פרולוג'יק ו-SolarWinds, וכי החיבור בין שתי החברות מייצר ערך מוסף של Better Together".
יוצא מכך, מסכם לוי, ש"קבוצת פרולוג'יק מספקת כיום מענה היקפי של 360 מעלות, מקצה לקצה, לעולמות הסייבר - הן מענה בתחום כוח האדם, והן מענה בתחום הטכנולוגיות. אנחנו חיים את השטח ונמצאים בקשר הדוק עם המנמ"רים ומנהלי אבטחת המידע בארגונים השונים. בנוסף, אנו ניזונים ממקורות מידע ומשאבים גלובליים, שמקורם בספקיות הטכנולוגיה שאנו עובדים איתן. השילוב הזה בנה אצלנו יכולות ומיומנויות גבוהות, שיודעות ומסוגלות להתמודד עם אתגרים קטנים כגדולים, ולרוץ קדימה יחד עם לקוחותינו".
בשיתוף פרולוג'יק
