ישראל הפכה ליעד פורה עבור האקרים ועברייני סייבר, בייחוד על רקע המלחמה. יותר ויותר חברות מקומיות, רשויות ואפילו משרדים ממשלתיים מתמודדים עם ניסיונות פישינג ופריצה לנתונים. על פי צ'ק פוינט, במאי אשתקד ממוצע תקיפות הסייבר בארגון בכל שבוע עמד על 1,211, ואילו כעת הוא זינק בחדות ועומד על 2,422. לשם השוואה, הנתון העולמי עמד במאי 2023 על 1,238 וכיום הוא מגיע ל־1,825.
● העלות הכלכלית של מתקפות סייבר בישראל: 12 מיליארד שקל בשנה
● פורטפוליו | הוא התחיל כנהג לימוזינה ופועל בניין. היום חברת הסייבר שהוא מנהל בדרך להנפקה
בשבוע שעבר לדוגמה, פירמת עורכי הדין גולדפרב גרוס זליגמן הודיעה כי עודכנה על ידי מערך הסייבר הלאומי על ניסיון תקיפה. המשרד מסר כי שכר את שירותיה של חברת הסייבר סיגניה, אשר ביצעה בדיקה בעקבות החשד לתקיפה. השבוע, במשרד עדכנו כי בעקבות ההתרעות שהגיעו ממערך הסייבר הלאומי, בוצעו בדיקות נוספות על ידי חברת סיגניה. על פי ההודעה, עדיין קיימת פעילות של גורם עוין ברשת של המשרד, ולכן בפירמת עורכי הדין החליטו לנתק את התקשורת החיצונית.
בימים האחרונים גם אתר מדלן, המספק מידע נדל"ני בתחומי מגורים ומפעיל מערך נתונים גדול, חווה מתקפת סייבר והושבת למשך שבוע. מרבית פעילות מדלן מתבססת על האתר המקוון, ולכן להשבתתו יש השפעה רבה על הביצועים העסקיים של החברה.
במערך הסייבר הלאומי סירבו להתייחס ספציפית לאירועים האחרונים שקרו, אך מניתוח כלכלי שביצעו ניתן ללמוד כי העלות המצטברת למשק בעקבות מתקפות הסייבר עומדת על לפחות 12 מיליארד שקל בשנה. "אנחנו מזהים שיש יותר תקיפות שמנסות לפגוע בתהליכים התפעוליים והחיוניים של העסקים", אומרת לגלובס דנה תורן, ראש אגף מבצעי במערך הסייבר הלאומי. "יתרה מכך, אנחנו מזהים שהעצימות גבוהה יותר, בעיקר כי המיקוד יותר טוב מבעבר; התוקפים יודעים לאן הם רוצים להגיע ומה הם רוצים לעשות, ומה הם רוצים לגרום. תקיפת סייבר היא משבר ארגוני לכל דבר ועניין".
כמו טרור: ניסיון להשיג הד תקשורתי
מדוע אנחנו שומעים יותר על אירועי סייבר? בדומה לארגוני טרור, אשר מודעים לחשיבות התקשורת כאמצעי להעברת המסרים שלהם, כך גם האקרים ועברייני סייבר פועלים כדי להרחיב את החשיפה לפעילותם. "ככל שמדווחים יותר על פרצות הסייבר, כך יהיו משמעותית הרבה יותר אירועים", אומר גיל מסינג, ראש המטה ומנהל מערך התקשורת הגלובלית של צ'ק פוינט. "זה לא בגלל שיש יותר מתקפות סייבר, אלא בגלל התנאים מסביב. למעשה, בגלל רגולציה ועיסוק של התקשורת, נהיה יותר שיח סביב תקיפות. לפני כמה חודשים, הרשות לניירות ערך האמריקאית הוציאה רגולציה עבור חברות הנסחרות בנאסד"ק, שהן חייבות לדווח על אירועי סייבר כשהן מזהות אותם".
אלי זילברמן כספי, מייסד שותף בחברת ההגנה וניהול משברי סייבר - קונפידס, מסביר כי "על רוב המתקפות המשק או הציבור לא שומעים כלל. על אלו שמצליחות להשבית חברות שבעלות פרופיל גבוה ומספר גדול של לקוחות - אנו נחשפים בכותרות". לפי נתוני קונפידס, לפני המלחמה בעזה נרשמו בישראל כ־200 מתקפות סייבר משמעותיות בחודש שהצליחו. המספר זינק מאז פרוץ המלחמה, כך שבכל חודש ישנן 800 מתקפות שרשמו הצלחה.
הטרנדים והשינויים: איך השתכללו התוקפים?
מומחים בתחום הסייבר מסבירים לגלובס כי בשנים האחרונות ההאקרים הופכים ליותר ממוקדים ומסודרים מבעבר כאשר הם מבצעים תקיפה. בהתאם, אם בעבר התוכנות שבהן השתמשו עברייני הסייבר היו מסורבלות, כיום לעומת זאת, הן מאורגנות - והמתקפות הרבה יותר מתוחכמות כתוצאה מכך. במקביל, גם יכולת הניטור של מערך הסייבר הלאומי וחברות פרטיות השתכללה. "כיום, היכולות המערך התרחבו, כך שאנחנו שומעים יותר על אירועי סייבר. חברה יכולה לקבל התרעה מהמערך או מהשב"כ", אומר אושר עשור, מנהל סייבר בפירמת הייעוץ auren ישראל.
ניר יהושע, סמנכ"ל מחקר בחברת הסייבר CyFox שמתמחה באספקת פתרונות אבטחת מידע מבוססי בינה מלאכותית, מספר כי באחת מתקיפות הסייבר האחרונות נגד ישראל, התוקפים השתמשו בכלי משכולל יחסית שנקרא "ביבי־ווייפר" (על כינויו של ראש הממשלה בנימין נתניהו - "ביבי"), אשר מרחיב קבצים ויעדים ספציפיים. "זיהינו שמדובר בשיתוף פעולה של קבוצה חמאסניקית באיראן", הוא אומר.
"בנוסף, אנחנו מזהים יותר מתקפות מוניציפליות נגד ישראל. לדוגמה, בראשית המלחמה התפרסמו דיווחים על אנשים שצילמו בניינים בישראל ונחשדו כמחבלים. במסגרת תקיפות על לקוחות שלנו מרשויות מוניציפליות, קיבלנו את אותם סרטונים ותמונות, כשהעירייה מצולמת מבחוץ ובשילוב נתונים שמראה שהם הצליחו לגנוב דאטה מרשויות מקומיות. כשאנחנו מנתחים יותר תקיפות, אנחנו רואים רכיב אידיאולוגי חזק והמטרה היא לבצע הרס וחורבן. הם לא מעוניינים בכסף או בפרסום. הם רוצים להרוס כל דבר שיש לו קשר לישראל".
מתפיסת "לי זה לא יקרה", לתפיסת "מתי זה יקרה"
בחלק מהמקרים, גופים וארגונים בישראל לא מייחסים חשיבות יתרה למתקפות הסייבר, בין אם משיקולים כלכליים, מחוסר הבנה בנושא או מניהול לא נכון, גם כאשר מערך הסייבר הלאומי מתריע בפניהם.
"אחת הבעיות בעולם הסייבר היא אינפורמציה א־סימטרית", אומר שלמה צרפתי, כלכלן ראשי במערך הסייבר הלאומי. "אנשים לא מפנימים את הסיכון הקיים בסייבר. זאת, בשונה למשל מאירוע של שריפה, בו ישקיעו את כלל המערכות כדי למנוע אותה. יש לחברה מודעות גבוהה סביב זה. בסייבר לצערנו זה לא המצב. אנשים לא מבינים את העולם הזה לעומק ולא מבינים את הסכנות הכרוחות בו. לו אנשים היו מבינים את הנזק בסייבר, הם היו משקיעים הרבה יותר בהגנה".
לפי עשור מ־auren, חברות בארץ ניגשות לטפל בנושא באיחור מתוך גישה "שלי זה לא יקרה", הרווחת בגופים רבים לדבריו. "מעטים מנהלי אבטחת המידע בארגונים שלוקחים אחריות על הנושא", הוא אומר. "לא מעט חברות לא באמת מתייחסות לסיכוני הסייבר. חברות רבות פונות אלינו רק ברגע שיש אירוע כזה. במסגרת הפעילות, המטרה היא להקטין את האירוע ולא לחשוף מידע".
במקרים אחרים, גם כאשר המנהלים מודעים לסיכוני הסייבר, הם פשוט מנהלים את האירוע לא נכון. "במערך הסייבר מתריעים לחברה, החברה מקבלת את ההודעה ומנסה בעזרת יכולות פנימיות לא מספיק טובות להבין את המצב", אומר לגלובס גורם המתמחה בנושא. "בשל חוסר ידע או מסיבה לא ברורה אחרת, הם מניחים לזה ולא מטפלים. כמה ימים לאחר מכן, הם פונים לחברת סייבר רצינית כי האירוע התפוצץ לכל כיוון. היה אפשר למנוע אותו". סיבה נוספת קשורה לשקיפות - חלק מהחברות חוששות מתגובת הלקוחות בעת חשש לדליפת מידע. "זו גישה שמחזיקות בה חברות בניסיון לצמצם את חומרת האירוע", אומר גורם אחר.
יהושע מ־CyFox: "בארץ לא הבינו את המשמעויות של תקיפות סייבר וזליגת מידע. במדינת ישראל לא מבינים מה המשמעות של פרטיות - לא חברות ולא המדינה בכלל. לשם ההשוואה, בבריטניה ובארה"ב הפרטיות של הצרכן היא חשובה מאוד, ברמת התרבות. עד שלא יפרצו לחברות שונות, הם לא יבינו את המשמעויות וכמה זה נושא חשוב".
זילברמן כספי מקונפידס אומר כי בישראל יש תפיסה מוטעית שהאקרים מכוונים את התקיפות שלהם לחברות הגדולות במשק כמו בנקים. "האקרים תוקפים חברות מכל סוג וגודל, והגיע הזמן לעבור מתפיסת 'לי זה לא יקרה', לתפיסת 'מתי זה יקרה'. התפקיד של ההנהלה והדירקטוריון הוא להיות ערוך ומוכן לתקיפת הסייבר, וצריך להסיט משאבים מתאימים. צריך להיערך מתי קו ההגנה ייפרץ, מי בעלי התפקידים ולמי קוראים".
איך חברות יכולות להתמודד עם פרצות?
כאשר מתרחשת מתקפת סייבר, חברות מעוניינות למזער את האירוע כמה שיותר ולחזור לפעילות סדירה. אלא שדווקא זה מה שעשוי להוביל לשגיאות מהותיות. "התפקיד של מי שמנהל את אירועי הסייבר האלו הוא לאזן בין חזרה מהירה לשגרה ככל הניתן כפי שרוצים המנהלים, לבין חזרה בטוחה כנדרש", אומר זילברמן כספי. "כשחברה חוזרת אחרי אירועי סייבר לשגרה, היא חייבת לחזור הרבה יותר בטוחה ומוגנת, כי התוקף היה בפנים. כלומר, הוא מכיר את הרשת של הארגון, הוא 'טייל' בה הרבה זמן ומכיר את החולשות שלה. הממוצע הבינלאומי למשך הזמן שתוקף נמצא במערכות לפני שהוא מבצע את התקיפה עומד על 280 יום. כשההתקפה מתרחשת, לתוקף יש הרבה מאוד ידע על הרשת הארגונית".
אז איך חברות יכולות להתמודד עם פרצות? לפני הכול, עליהן לוודא שהאירוע לא מדרדר ולתוקף אין אחיזה ברשת. "מנהלים צריכים לבודד את התוקף ולא לאפשר לו לחזור", מסביר זילברמן כספי. "ישנו צוות חקירתי שצריך לעלות על עקבות התוקף ולהבין לאיזה מידע הוא נחשף, איך הוא נכנס ואיך סוגרים את הפרצה. עליהם גם לשים לב שאין 'דלתות אחוריות' שהפורץ השאיר לעצמו".
מתקפה רודפת מתקפה והמשמעויות לצרכן הפרטי
מתקפות סייבר דומות במידה רבה לתאונות דרכים. שני האירועים עלולים לשנות את החיים בשבריר שנייה, ולהוביל לתוצאות הרסניות. במקרה של תקיפות סייבר, מידע רב של לקוחות ואנשים פרטיים עלול לדלוף החוצה. מעבר לכך, התוקפים יודעים לנצל את המידע הקיים כדי לבצע מתקפות עתידיות.
כך לדוגמה, לאחרונה פורסם בתקשורת הזרה כי קבוצת בשם ShinyHunters טוענת שהיא פרצה לחברת Ticketmaster, העוסקת במכירת כרטיסים לאירועים והופעות. הקבוצה טענה כי גנבה נתונים אישיים של 560 מיליון משתמשים. כך, ככל הנראה, הקבוצה השיגה מידע רגיש על המשתמשים, כמו שמותיהם, כתובות, כתובות דוא"ל, מספרי טלפון ופרטי כרטיסי אשראי.
בנוסף, מערך הסייבר הלאומי והמשטרה פרסמו לאחרונה הודעת אזהרה לפיה ישנם ניסיונות להתחזות אליהם, במסגרתם ההאקרים מבקשים את הקוד לטלפונים של הנמענים. אין מדובר בשיחות רנדומליות, אלא כאלו שמיועדות לאנשים ספציפיים - ממידע שככל הנראה הגיעה מתקיפות קודמות ומאגרי מידע. "לכן, חשוב במיוחד שארגונים ידווחו על אירועי הסייבר שלהם", מסכם מסינג מצ'ק פוינט.
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.