סייבר במלחמה

באיזשהו שלב הפסקתי לספור. כי מה משנה אם מדובר ב-1,000 או 1,100 או 1,500 טילים? בכל מקרה המספר יעלה מהותית עד שהמאמר הזה יגיע אליכם. לגור באשקלון ולהבין בסייבר זה אישיו משמעותי. מצד אחד חוטפים פיזית ומצד שני חייבים לחשוב גם במימד הסייבר כי ברור שבזמן הזה האויב מנסה לנצל כל הזדמנות.

כמה ימים אחרי ההתאקלמות בשגרת האזעקות החדשה-ישנה וההתראות להסתגר בבתים מחשש לחדירת מחבלים דרך הים או בעקבות חטיפת מכונית בצומת מבקיעים, פרסמתי בערוץ הטלגרם שלי שאני זקוקה להסחת דעת ולכן עושה את מה שאני יודעת הכי טוב – מתמודדת. הצעתי או אפילו ביקשתי מכל מי שיש לו שאלה או דילמה מקצועית שקשורה בהיערכות למתקפת סייבר לפנות אלי. ככה בפשטות, בלי חשבונית. כל אחד תורם איפה שהוא יכול.

קיבלתי שאלות מרתקות. חלק מהאנשים התנצל על "השאלה הטיפשית", אבל האמת היא שאין שאלות טיפשיות. אם מתעורר ספק, ככל הנראה יש לו בסיס שצריך לבחון אותו. הרבה יותר קל לנטרל אירוע לפני שהוא מתלקח מאשר להמתין ואז להיות בעיצומו של מגה אירוע. קצת כמו שקרה לנו בגדר עם עזה.

מה מטריד עסקים וגולשים?

אז הנה, לטובת הכלל, כמה מהשאלות שנשאלתי וכמה מהתשובות שהשבתי.

אני יודע שבעבר דיברו על זה שארה"ב ועוד מדינות אסרו את השימוש בכמה פתרונות טכנולוגיים, אולם אין שום המלצה כזאת מגופי ביטחון ישראליים. מה דעתך?

"חלקם בוודאות עם סוסים טרויאנים, אבל השאלה המקדימה היא האם יש לך את המשאבים לשנות, עכשיו, תוך כדי תנועה. אם כן, לך על זה. תמיד עדיף לעבוד עם פתרון "נקי", אבל אם הם כבר מוטמעים אצלך לא הייתי ממהרת לשנות. לא כרגע לפחות. תשקול הוספת יש דרכים אחרות להוסיף מעגלי הגנה אחרים כדי לנטר את הפעילות של אותם יישומים שכבר מותקנים אצלך. כשהזמן והמשאבים יאפשרו – כנס לפרויקט".

קיבלתי המלצה על xdr, זה מספק?

"כן, אבל לא מספיק לחבר ולשכוח. תאפיין רשימות רלוונטיות ו"תצבע" תחנות רגישות, משתמשים רגישים ותסנכרן עם חוקים ב-SOC שיידעו לזהות ולהתריע בעדיפות".

הביזנס שלנו מבוצע כולו דרך אתר אינטרנט. איך אפשר להגן על עצמנו?

"זו שאלה מאוד מאוד רחבה שתלויה במה עשיתם עד היום, מה יש לכם, ואיך מנוהל הקשר עם הלקוחות. חשוב גם להבין מאיזה סוג תקיפות אתם מוטרדים, למשל גישה למידע, השבתה, שיבוש, פגיעה במוניטין וכו'. אחרי שמיפית את התהליך תגן עליו עם הקשחות רבות – מרמת נהלים, דרך טכנולוגיה ועד בקרות: הגבלת ניסיונות גישה, החלפה אקטיבית של סיסמת התחברות, הזדהות כפולה ועוד. בתוך הארגון - שווה לשקול הצפנה על מידע קריטי, גם ניהול הרשאות הוא תהליך הכרחי - סגירת גישה למי שפחות חיוני, להגדיר סשן פעילות - כמה זמן אפשר לעבוד בסשן אחד ובאיזה לוחות זמנים, האם גם בשבת? האם בשעת לילה מאוחרת? האם יש אזורים גיאוגרפיים שנכון להגביל כעת? תדייקו את הניטור של ה-SOC על חוקים רגישים, תשקלו הוספת מעגלי בקרה נוספים, בהתאם למשאבים ולמה שאתם מגדירים סיכון".

כיצד מגנים על אתר האינטרנט מתקיפות?

"את המתקפה אי אפשר למנוע, כי אתה לא יודע מי רוצה לתקוף אותך, מתי ואיך. לכן, שנה גישה וחשוב שרידות גם תוך כדי מתקפה. אם אתה מוטרד מפגיעה במוניטין העסק שלך כתוצאה מפגיעה באתר האינטרנט – שכפל אותו ואחסן במקביל אצל ספק אחר. הסיבה היא שגם אם הספק שלך יותקף והאתר יופל, תוכל להעלות אותו מיידית בלי לגרום לשום בעיית מוניטין. כמובן שזה לא סותר מאמץ בסיסי לשמירה על האתר בכללי אבטחת מידע שכוללים החלפת סיסמאות, שימוש ב-WAF (פיירוול אפליקטיבי), עדכוני תוכנה וכו'".

האם יש פעולות והמלצות שתוכלי לספק כאנקדוטות ונקודות חשובות?

"בנקודת הזמן הנוכחית תתמקד בתהליכים העסקיים הכי קריטיים שלך. כשאני אומרת קריטי, הכוונה לכל אותם דברים שאם ייפגעו, זה יוציא אותך מכל אפשרות תחרותית ועסקית. אם יש SOC זה הזמן לדייק עירנות על תהליכים (עסקיים) קריטיים במיוחד, לצבוע מה שמטריד אותך ב- EDR. לא לחשוש מעשיית יתר אלא למקד אותה בתהליך עסקי משמעותי. נוסחאות, הזמנות למפעל, גישה למידע רגיש. שנה את החשיבה להגנה על ביזנס ולא אבטחת מידע שוטפת. וכן... אם זה מתאפשר או אם אפשר לתעדף - גיבוי מהיר של תהליכים חיוניים שאתה יודע שאם אתה מעלה אותם מחדש בתוך 24 שעות הנזק מינימלי. צריך לזכור, שכאשר חושבים על אבטחת מידע, יש המון דברים שצריך לעשות. אבל כשממקדים את ההגנה על תהליך עסקי שלא יושפע, יש גם פחות לחץ מההנהלה במקרה וקרה משהו כי אתה פשוט מחזיר אותו קודם".

כמות הפניות שקיבלתי הייתה באמת גדולה והעידה על החשש הרב, ובצדק. אנחנו חשופים למתקפות סייבר כל הזמן, אבל אין ספק שבעת לחימה, המוטיבציה אצל אויבנו, עולה, ואם זה לבדו עוזר להגביר מודעות והיערכות – דייני.

משיבושי GPS ועד פריצה לאתרים

חפשו בטלגרם את ערוץ "חדשות הסייבר ארז דסה" ותחשפו לכמעט כל מתקפה שמתרחשת בתחום. נעזרתי בו כדי לזקק כמה מהאירועים היותר מעניינים שקרו מאז פרוץ המלחמה – ממתקפה על יישומים דיגיטליים בבתים חכמים דוגמת תריסים ואורות שהופעלו ונכבו באופן "עצמאי", דרך הוספת ישראלים לקבוצות וואטסאפ שהפיצו תעמולה חמאסית גרפית מאירועי ה-7.10.23, שיבושי GPS שגרמו לאנשים רבים להבין שאי אפשר באמת לסמוך על Waze מבלי להסתכל על הדרך ואפילו יוזמות עצמאיות של האקרים ישראלים שעשו את מה שהם יודעים הכי טוב ופרצו לאתרים ותשתיות ערביות.

אירוע חריג ומעניין התרחש כשחברת הטרקטורים והציוד המכני האמריקנית, ג'ון דיר (John Deere) חסמה גישה למעל 15 טרקטורים וכלים חקלאיים אחרי שהעזתים ניסו לבזוז אותם ולהעבירם לשטחי עזה. יכולת ההשתלטות מרחוק באופן מבוקר היא מכפיל כוח משמעותי בהתמודדות עם גניבות וניצול לרעה של כלי עבודה.

אירוע נוסף, שעדיין לא ברור אם קשור במתקפת הסייבר שבוצעה מוקדם יותר השנה על חברת דואר ישראל, שיבשה קבוצה בשם "דרקוני הסייבר" את ממשק שירות Cash Back השייך לדואר ישראל וגנבה ממנו מידע של 27,000 משתמשים.

בהמשך, תושבי חולון, תל אביב וערים נוספות ברחבי המדינה נחשפו לתעמולת חמאס ודגלי פלסטין ששודרו על מסכי שלטי חוצות דיגיטליים של חברת CTV. מנכ"ל החברה הסביר כי התוקפים ניצלו זמן קצר שבו בוצעה עבודת עדכון ותשתית באחד משרתי החברה ומשם השיגו אחיזה למשך זמן.

יומיים לאחר פרוץ המלחמה, ארגון הסיוע "איחוד הצלה" דיווח על מתקפת סייבר נגד האתר שלהם, מתקפה שמנעה קבלת תרומות עבור ציוד רפואי שנחוץ למלחמה. באיחוד הצלה הדגישו כי לא נגנבו פרטי אשראי של תורמים, ועד מהרה המתקפה טופלה והאתר חזר לפעילות שגרתית.

סגירה

אירועים נוספים הובילו לניתוק רשת האינטרנט למספר שעות בבית החולים תל השומר מחשש לפגיעה וגם אתר האינטרנט של קופת חולים מאוחדת הושבת לזמן קצר.

טיפול במצלמות רשת

החיים, אנחנו יודעים, רצופים עליות ומורדות. בכל רע יש טוב וצריך להכיר גם בו. במהלך ימי הלחימה הראשונים הוציא מערך הסייבר הנחיה למי שברשותו מצלמות רשת דיגיטליות, בבקשה לבחון את מצב אבטחת המידע של המצלמות. מצלמות, ובכלל, כל יישום דיגיטלי המחובר לרשת, לצד שדרוג החיים שלנו, עלול גם לחשוף מידע רגיש, בין אם ביודעין ובין אם לא.

אני זוכרת שכבר לפני מעל עשור הצגנו כמה קל להשתלט על מצלמת רשת, כולל אפילו להפעיל רמקול שקולט את הדיבורים בחלל. אז אם יש לנו הזדמנות לתרגל על רטוב מודעות והעלאת רמת אבטחת מידע, אפילו בבית הפרטי, הנה רווח קטן אבל חשוב מהמצב הזה.

המצלמות, במיוחד אם הן מכוונות לאזורים שבהם עלול להיות מידע שישמש את האויב, מחייבות התייחסות נפרדת, אבל דומה לזו של יישומים אחרים - משימוש בסיסמאות ייחודיות ומורכבות בניגוד לאלה שמגיעות עם הגדרת היצרן ועד לחיבור לרשת מאובטחת (VPN) שגם היא מוגנת עם הזדהות כפולה וסיסמא ייחודית.

כאמור, חשוב שנהיה בעירנות, מודעות ולמידה רציפה. אם יש דבר שהמתקפה עלינו ב- 7.10.23 לימדה אותנו זה שאפקטיביות היא תוצר בעיקר של נחישות. לאויב שלנו לא היה את הציוד הכי מתוחכם וחדשני והוא לא פעל לפי החוקים ועצת יועצים משפטיים. תוקפים מטעם החמאס, ממש כמו האקרים - לא כפופים לחוק, למוסר או לשעות פעילות.

בואו ננצל את האירוע הטראומטי הזה כדי לעשות שינויים הכרחיים בחשיבה שלנו. כל חברה וארגון ועסק שחווה מתקפת סייבר נוראית או חלקית, עבד בהתאם לנהלים רגולטוריים, גופי תקינה בינ"ל ומתודות GRC וסיכונים שנכתבו לאורך השנים על ידי אותם אנשים שלימדו את אותם האנשים שהחליפו אותם. זה הזמן לפתוח את הראש לצורת חשיבה אחרת, מתוך כבוד לאותם תוקפים. הם יודעים לא פחות מאיתנו והם מנצלים את הידע הזה. עכשיו תורנו.

הכותבת מלווה ומייעצת למנהלים בשאלות היערכות והתמודדות עם סיכוני סייבר עסקיים.