שוד של 850 מיליון דולר: הישראלים שנלחמים במגפת הסייבר בבנקים

אחד הפחדים הגדולים ביותר של בנקים וחברות ענק הוא התקפות סייבר - שרק מתרבות ומשתכללות ככל שהעולם הטכנולוגי מתקדם. יוזמה חדשה, שבה שותפים שבעה מומחי אבטחת מידע ישראלים שחברו לבנקים בינלאומיים מובילים, מאגדת כוחות כדי לחזק את רמת המוכנות למתקפות הסייבר

אמיתי זיו
מומחי הסייבר הישראלים
מומחי הסייבר הישראלים אורן שניצר (מימין), איציק זק (ששידך ביניהם לבין הבנקים), דודו מימרן, עמיחי שולמן, אבי רוזן ויפתח ברטשפיזצילום: עופר וקנין

בפברואר 2016 אירעה אחת ממתקפות הסייבר הגדולות בהיסטוריה של אבטחת המידע: האקרים הצליחו לשטות במערכת העברת הכספים הבין־בנקאית (SWIFT) של הבנק המרכזי של בנגלדש וכך להוציא במרמה 850 מיליון דולר מהבנק. הפריצה התגלתה רק בגלל טעות כתיב שטותית שעשו הפורצים, שבזכותה רוב העברת הכספים שוחזרה. עם זאת, ההאקרים הצליחו לגנוב במתקפה הזאת 81 מיליון דולר.

מתקפות סייבר על בנקים גוברות והולכות בשנים האחרונות. דו"ח של פירמת רואי החשבון KPMG מספטמבר 2016 שסקר את התחום הזכיר כמה מתקפות גדולות נוספות: בינואר 2015 נגנבו במתקפת סייבר 12 מיליון דולר מבנק אקוודורי בשם BDA באמצעות ביצוע העברות כספיות לא חוקיות, והמתקפה התגלתה רק 15 חודשים לאחר מכן. בדצמבר 2015 ספג הבנק הווייטנאמי Tien Phong מתקפה דומה, ונגנבו ממנו כמיליון יורו. סביר להניח כי מתקפות רבות אחרות מעולם לא התגלו.

מי תוקף את הבנקים בעולם ב-2017

על פי דו"ח מקיף של ספקית התקשורת ורייזון שיצא באחרונה וניתח יותר מ–2,000 פריצות סייבר, המגזר הפיננסי הוא המגזר המותקף ביותר עם כ–24% אירועי סייבר (15% מהמתקפות הם על מוסדות בריאות, 15% על חברות קמעונות ואירוח וכ–12% נגד המגזר הציבורי). המעבר של הבנקים לעולם הדיגיטלי, הכולל אתרים שבהם יש שירות עצמי ואפליקציות, אמנם מקל על הצרכנים, אך גם מגדיל מאוד את הפגיעות שלהם למתקפות. הבנקים משקיעים הרבה משאבים בתחום אבטחת המידע, אבל גם ההאקרים לא נחים לרגע — ומשחק השחמט ביניהם נמשך.

למרות היקפם הגדל והחשש התמידי של גופים גדולים מפני מתקפות סייבר, קשר של שתיקה עטף עד כה את התחום. בכנסי הסייבר השונים נהוג לדבר על הצורך של התעשייה בשיתוף ידע כדי להתמודד טוב יותר עם האיומים המתגברים. ואולם בפועל, השחקניות השונות בוחרות לשתף מידע אחת עם השנייה כמה שפחות, ולעתים רק כשאין ברירה: חברות הסייבר, מצד אחד, שומרות את ידע שלהן לעצמן מסיבות תחרותיות, ואילו הגופים המותקפים מהצד השני, מעדיפים שלא לספר לאף אחד על המתקפות — מסיבות של מוניטין או כדי לשמור על אמון הלקוחות.

ואולם בתקופה האחרונה התרחש שינוי שמסמן מגמה שונה. קבוצה של שבעה מומחי סייבר ישראלים חברו לשמונה בנקים בינלאומיים גדולים והקימו מיזם החלפת ידע וניתוח מתקפות. הכל בהתנדבות לחלוטין — ובמטרה להחכים ולחזק את רמת המוכנות לעולם הסייבר העתידי.

בצד אחד של המיזם נמצא מה שמכונה CDA, ראשי תיבות של Cyber Defence Alliance — יוזמת שיתוף מידע בסייבר שהוקמה ב–2015 על ידי קבוצה של בנקים בינלאומיים, בהם לוידס, סנטאנדר (Santander), ברקליס ודויטשה בנק. מהצד השני, Group of Seven, קבוצה של שבעה ותיקי אבטחת מידע ישראלים, שלכל אחד מהם ניסיון של עשרות שנים בתחום. לכל אחד מהם מומחיות בסגמנט אחר בעולם אבטחת המידע: רשתות, מובייל, האינטרנט של הדברים, הגנה על אתרים ועוד.

 איציק זק
איציק זקצילום: עופר וקנין

הגוף הזה, שמכונה בקיצור GO7, קיים קצת יותר מחצי שנה ואחת לרבעון נפגשים כל המעורבים בו (עד כה היו שני מפגשים), ומנתחים אירועי סייבר אמיתיים שחוו הבנקים שבמאגד במטרה להיות ערוכים טוב יותר למתקפה הבאה.

"הקמת הגוף הזה מבוססת על מומחים מדיסציפלינות שונות בעולם הסייבר, אנשים שמסוגלים לתרום מהידע שלהם והם מייעצים ל–CDA", אומר איציק זק, אנג'ל ואחד השותפים בקרן ההשקעות הפרטית Founders Group, בפגישה שנערכה עמו ועם חברי GO7 במשרדי Founders בתל אביב. "לבנקים יש כמובן ידע בסייבר וה–CDA עוסק ברמת המוכנות השוטפת, התשתיות וכדומה, אבל הם בקיאים פחות בהתפתחויות האחרונות והאנשים בקבוצה הזאת הם בחוד החנית בכל הקשור למלחמה באירוע סייבר". זק הוא במידה רבה הפטרון של יוזמת השבעה וגם אחראי על השידוך. הקשר עם CDA נוצר באמצעות זק דרך Rise, האקסלרטור הטכנולוגי שבנק ברקליס הקים בתל אביב.

"אנחנו מייצרים מחדש את הקובץ ללא רכיב האיום וכך יודעים לתת מענה לאיומים מוכרים ולא מוכרים. אנחנו יודעים להגן על האי־מייל, על הדפדפן, על דיסק און קי חיצוני — כל דרך שיש היום לקבצים להיכנס לארגון", אומר אורן שניצר, אחד מחברי GO7. שניצר הוא מנהל הטכנולוגיות הראשי של חברת ReSec הישראלית, שעוסקת בתחום ה–CDR(Content Disarm and Reconstruction). "זוהי שיטת הגנה בסייבר שכוללת פירוק קבצים והרכבתם מחדש, תוך נטרול פוגענים המצורפים לקובץ". ReSec שהוקמה ב–2010, גייסה עד כה 5 מיליון דולר ומותקנת ביותר מ–50 ארגונים, רובם בישראל, בהם בנק הפועלים, בזק וחברות ביטחוניות.

עמיחי שולמן
עמיחי שולמןצילום: עופר וקנין

החבר השני בקבוצה, עמיחי שולמן, הוא אחד מבכירי ענף הסייבר בישראל, עם 25 שנה בתחום — מתוכן שמונה שנים בצה"ל — וניסיון בייעוץ, במבחני חדירות, במחקר ועוד. הוא מנהל הטכנולוגיות הראשי של אימפרבה, חברת אבטחת מידע הציבורית היחידה סביב השולחן, שהונפקה ב–2011 וכיום שוויה בנאסד"ק הוא 1.5 מיליארד דולר. שולמן גם משקיע עצמאי בחברות אחרות בתחום (כמו SecBI ואינדיג'י).

אבי רוזן, מנכ"ל ומייסד קאימרה, חברת סייבר ישראלית מתחום המובייל, שפיתחה גרסת אנדרואיד מאובטחת במיוחד מפני מתקפות — נמנה גם הוא עם חברי הקבוצה. רוזן מסביר כי התרומה של החברה שייסד בתחום היא היכולת שלה "לתת פתרונות ברמת המכשירים, אבל גם פתרונות ניהול אבטחת מידע בארגון (MDM) וגם פתרונות אפליקטיביים". קאימרה היא אחת מחברות הסייבר הבולטות בתחומה ומאז שהוקמה ב–2013 גייסה 13 מיליון דולר בשני סבבים. לקוחותיה הם גופי ביטחון, פיננסים, וממשל בישראל ובעולם.

חבר נוסף בקבוצה הוא יפתח ברטשפיז, מנכ"ל ספיו (Sepio), שהוקמה ב–2016. ספיו מתמודדת עם אתגר "האינטרנט של הדברים". "החברה עוסקת בהגנה בתקיפות ודליפת מידע שמתבצעים על ידי מכשירים נגועים שמתחברים לרשת — החל בדיסק און־קי, עובר בעכבר, מקלדת, מדפסת, קורא כרטיסים וכלה בראוטרים", הוא מסביר.

סוגי מתקפות הסייבר השכיחות שחווים מוסדות פיננסיים בעולם ב-2016

חבר נוסף בקבוצה הוא דודו מימרן. "אמנם אין לי 12 שנות לימוד, אבל אני מייצג את הצד של האקדמיה", הוא מסביר. "אני מנהל הטכנולוגיות הראשי במעבדות המחקר של דויטשה טלקום הגרמנית, בשיתוף מחקר הסייבר באוניברסיטת באר שבע. אנחנו עוסקים בנושאים עתידיים ומתקדמים בתחום אבטחת המידע". באחרונה פירסם מרכז מחקר הסייבר של האוניברסיטה שורה של מחקרים בתחום ה–Air Gap — שיטות פריצה לרשתות המנותקות מרשת האינטרנט הציבורית.

דודו מימרן
דודו מימרןצילום: עופר וקנין

שני מומחים נוספים בקבוצה, שלא הגיעו לפגישה, הם חוקר מתחום הרקע האופנסיבי (התקפי) של הסייבר, ולכן מטבע הדברים מעדיף שלא להיחשף, ונתן בנדלר, יזם ומנכ"ל סיאוט (Cyiot), חברת סייבר ישראלית המגנה על הטווח האלחוטי בתקשורת הארגונית. סיאוט וספיו הן החברות הצעירות ביותר במאגד ונמצאות בשלב ה–Pre Seed (לפני סבב השקעה ראשון) של חייהן — שלב הדגירה.

"השותפים (הבנקים; א"ז) מספקים לנו מידע חושפני ומפורט מאוד על איום סייבר כזה ואחר", מתאר זק את שיטת העבודה של GO7. "רמת הפירוט שקיבלנו הפתיעה אותנו — שלפו לנו את כל החומר הפנימי. אחר כך אנחנו בוחרים כארבע שאלות שמעניינות אותנו על האירוע ומציגים מענה בזוגות: נציג מהבנק ונציג מהקבוצה שלנו".

הדוברים מבהירים כי בהתאם לכללים של המאגד, המצגות שלהם מקצועיות ואין בהן פן שיווקי או מכירתי — לא מנסים למכור כלום, לפחות לא באופן ישיר. "במפגשים משתתפים כל בעלי העניין, החל באנשים שעומדים בראש הפירמידה ודרך מנהלי האבטחה בארגון, מנהלי קווי המוצר ועד לאנשים שבאו מבחוץ להאזין, כולל אנשים מהאינטרפול וה–FBI, וזה בזכות האינטימיות ורמת החשיפה", אומר זק.

"הטובים נגד הרעים"

לבנקים יש מחלקות סייבר מפוארות. למה הם צריכים אתכם?

יפתח ברטשפיז
יפתח ברטשפיזצילום: עופר וקנין

ברטשפיז: "הגופים האלה הם הגופים הכי גדולים בעולם, הכי פגיעים ונמצאים בחזית. הם יודעים שהם יהיו המטרות שייפגעו ראשונות. הם לא צריכים אותנו שנתחקר אירוע ונסביר מה קרה אחורה. יש להם משאבים לזה. אנחנו מסייעים להם לחזות מה יקרה קדימה, בעוד חצי שנה. וזה שילוב יפה בין חדשנות ישראלית לבין הצורך של הבנקים לצאת מהפרדיגמות שלהם".

שולמן: "אתה יודע למה שודדים בנקים? כי הכסף שם. הם כיום הסובלים העיקריים בעולם בתחום הסייבר — ולמרות מה שנהוג לומר על הבנקאים, שהם שמרנים ומאחרים, בעולם הסייבר לפחות הם מנסים לטבול את הרגליים במים בשלב הכי מוקדם ופתוחים גם לעשות ניסויים. הם פרטנר שכדאי מאוד לייצר אתו דו־שיח, כי הם חיים את האיום מקרוב, ביום־יום. גם חברת צמיגים אונליין משדרות מותקפת באופן יום־יומי, אבל המודעות שלה לאיום הסייבר נמוכה ולכן קשה יותר לייצר אתה דו־שיח".

ומה האינטרס שלכם לנדב את הידע בחינם?

שניצר: "התועלת עבורנו ברורה מאוד — חשיפה למידע לא מוטה על צרכים, בעיות ומגבלות אמיתיות של לקוחות. זו הזדמנות עבורנו לקדם טכנולוגיות שאנחנו מכירים ומאמינים בהן".

שולמן: "אנחנו גם לומדים איך למכור לגופים האלה — מה השיקולים ומי האנשים שמעורבים במשחק".

ברטשפיז: "בתעשייה הזאת הגדולים הם הכי משמעותיים, וברגע שהם מאמצים טכנולוגיה מסוימת, זה הולך לפעפע למטה, לגופים שלומדים מהם".

מתקפות הסייבר הגדולות בהיסטוריה של אבטחת המידע

להגדלה לחצו כאן

מימרן: "יש פה גם זווית אידיאולוגית — הטובים נגד הרעים. יש רצון כן לעשות החלפת ידע, ה–CDA עושה את זה והקבוצה שמתאגדת כאן תומכת ברעיון הזה. הידע של הטיפוסים כאן הוא באמת מגוון וייחודי".

במייל ששלח אלינו מנהל אבטחת המידע בברקליס, טרולס אורטינג, הוא מציין לטובה את השביעייה הישראלית: "היוזמה של GO7 באה בזמן הנכון ובמקום הנכון. ברקליס רואה חשיבות גדולה בשיתוף פעולה עם מומחים מובילים בתחום הסייבר, כמו גם עם בנקים אחרים, כדי להתמודד באופן מיטבי עם איומי סייבר על המערכות הפיננסיות הגלובליות. לנו יש אינטרס להעמיד לרשות GO7 את משאבי הידע והתשתית של הבנק, ולהם יש עניין להתמקצע בהגנה על התחום. אין היום דרך מהירה יותר מאשר שיתופי פעולה רחבים ומהירים".

לאן הולכים האיומים? מה התחזית שלכם?

אורן שניצר
אורן שניצרצילום: עופר וקנין

מימרן: "אני טיפוס די פסימיסט, אבל ברגע שבינה מלאכותית נהפכה זמינה כל כך, אני כתוכניתן יכול לעשות מה שעד כה רק תוקפים עשירים מאוד וחכמים יכלו לעשות. האיום של להפוך בינה מלאכותית ולמידה אדפטיבית לכלי תקיפה, עד כמה שזה נשמע עתידני, הוא מטריד, משום שמערכות ההגנה לא יכולות להתמודד עם כמות ההתקפות ומהירות התגובה הנדרשת".

שולמן, לעומתו, סבור כי מרבית הבעיות של הארגונים שגרתיות יחסית, וכי הם לא נתקלים בבינה מלאכותית בתדירות גבוהה. "כיום יותר ויותר ארגונים נכנסים למעגל האיום — מה שהטריד את הבנקים לפני שלוש שנים צריך להטריד כעת את רוב הארגונים. מה שהתחיל כ'האקינג' ב–2010 הוא כיום פשע מאורגן — תעשייה שלמה שבמסגרתה אפשר למכור ולקנות שירותי תקיפה. היא כוללת גם אנשים פחות טכניים, ולכן כל עסק צריך להביא בחשבון שיגיעו גם אליו. זה לא אישי. טוב, חוץ מהמתקפות ברמות הגבוהות שהן כן אישיות ומכוונות, אבל רוב המתקפות הן אקראיות. הן מתחילות בקמפיין שמתקיף מיליוני מחשבים וחלקן עולים ברשת".

שניצר: "מהצד של התוקפים זה או לעבוד במשך שנה ולתקוף בנק, או לעשות מתקפה מהירה על כמה עשרות ארגונים. לעסקים קטנים אין מחלקת IT, אין להם אפילו מערכות הגנה מינימליות, ולהחזיק אנטי־וירוס זה כמו לא להיות מוגן בכלל. אז עסק קטן יכול לחטוף שלוש פעמים בחודש מתקפת כופר, ואם במקרה הוא מגבה את החומר אז 'רק' יום עבודה אחד הלך בכל פעם".

נשמע שאתם לא חושבים שיש בועה בתעשיית הסייבר, עם 400 חברות הזנק ישראליות בתחום?

אבי רוזן
אבי רוזןצילום: עופר וקנין

שניצר: "להפך, הצורך בפתרונות יצירתיים גדול מאי־פעם והם יגיעו דווקא מהסטארט־אפים. החיים של צרכני הסקיוריטי אינם קלים והם יהיו רק קשים יותר. המוצרים של חברות גדולות מפגרים (בעיקר חברות אנטי־וירוס ופיירוול מסורתיות; א"ז). מצד שני, אצל החברות הקטנות המוצרים לא תמיד בשלים".

שולמן: "זה לא שהגדולים מפגרים, לפעמים פשוט אין להם את המוצר שייתן את המענה לאיום העדכני, גם אם אתה רוצה לקנות אותו. האלטרנטיבה היא שסימנטק, מקאפי, צ'ק פוינט וכל ענקיות אבטחת המידע האחרות ייצרו טכנולוגיה משבשת (Disruptive), אבל אלה חברות ציבוריות ויש להן קושי להתחיל לפתח מוצר שאת הכסף עליו המשקיעים יראו רק בעוד חמש שנים".

רוזן: "לפעמים לחברות כאלה קל יותר להוציא 50 מיליון דולר ולרכוש חברה מאשר להקצות עשרה מתכנתים על איזו בעיה".

המומחים מסכימים כי בסופו של דבר תהיה קונסולידציה וחלק מהחברות הקטנות יירכשו ויוטמעו אצל ענקיות אבטחת המידע.

למה אין במאגד אף בנק ישראלי?

זק: "עדיין אין, בדגש על העדיין. הבנקים עובדים להרחיב את השותפות לכ–16 בנקים, כולל אחד הבנקים האמריקאיים הגדולים ביותר, ובנק ישראלי".

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר TheMarker