המתקפה על שירביט: חלק ממגפה עולמית, וזו רק ההתחלה

ב-13 באוקטובר השנה פרסמו מנהיגים כלכליים ממדינות ה-G7 הצהרה חסרת תקדים בקריאה לעולם להקים כוח משימה להילחם באחת התופעות שמלוות את מגפת הקורונה מראשיתה - מתקפות סייבר למטרות סחיטה ובעיקר מתקפות מסוג "כופרה".

מתקפות כופרה אינן תופעה חדשה, אלא תופעה שהתגברה באופן משמעותי בשל מגפת הקורונה. המעבר לעבודה מהבית בעקבות הקורונה, הגביר באופן משמעותי את הפגיעות של הארגונים למתקפות סייבר.

הסיבה לכך הייתה, שבכדי לאפשר את המשך הפעילות הכלכלית, מנהלי האבטחה בארגונים התפשרו על סטנדרטים של אבטחה באופן שלא היה מתקבל על הדעת קודם לכן. את מצב עניינים זה ניצלו האקרים כבר עם תחילת המשבר בכדי להגביר את ניסיונות החדירה שלהם לארגונים כדי לבצע מתקפות - בעיקר מתקפות מסוג "כופרה", שהפכה למגפת משנה המלווה את מגפת הקורונה.

במתקפות כופרה, האקרים מנצלים פרצות אבטחה במערכות מחשב על מנת לחדור לרשתות הארגוניות, ולנעול קבצים רגישים שאליהם הם השיגו גישה. לאחר שהתוקפים השיגו גישה לחומרים רגישים, הם פונים אל מנהלי הארגונים בדרישה - שלמו לנו סכום כסף, ולא - הקבצים יישארו נעולים ולא תוכלו לקבל יותר גישה אליהם.

בד בבד נוהגים התוקפים לפרסם חלקים מהמידע שגנבו, וזו על מנת להשיג שתי מטרות - להוכיח את רצינותם, וכדי להפעיל לחץ על הארגון הנסחט. במקרה של המתקפה הנוכחית על חברת שירביט - לא קיימות אינדקיציות לכך שמדובר במתקפת כופרה שבה ננעלו קבצים של הארגון.

במקום זאת, ראינו מהלך פשוט של סחיטה - שלמו לנו 50 ביטקוין (כמיליון דולר), ולא - נדליף את המידע שהשגנו לרשת. טקטיקה כזו מלווה לעיתים מתקפות כופרה בשל העובדה שלעיתים לארגונים יש גיבויים טובים למידע שנגנב. אקט האיום בפרסום החומרים, נועד לאפשר לתוקפים להמשיך לסחוט את הארגון גם כל החומרים של הארגון מגובים היטב.

בעבר היה נהוג לומר שמתקפות שכאלה דורשות תכנון ארוך וממושך, אף של שבועות וחודשים רבים, כאשר התוקפים ממתינים לרגע הנכון בכדי לבצע את זממם. קבוצות התקיפה הידועות לשמצה ביותר בהקשר זה הן קבוצות תקיפה צפון קוריאניות.

אלא שלמעשה, לא רק שקבוצות שכאלה קיימות בכל העולם, אלא שיותר ויותר מתקפות מבוצעות על ידי גורמים לא מתוחכמים לאחר שבשנים האחרונות עוד ועוד כלי תקיפה משוכללים רבים, שבעבר היו בידי מדינות בלבד, דלפו לרשת והגיעו לידיים עוינות.

מערך הסייבר התריע - ארגונים רבים מתעלמים

בחודשים האחרונים חברות הסייבר רבות התריעו על עלייה חדה בהיקפן של מתקפות כופרה. במקביל מערך הסייבר הלאומי התריע כי למרות בקשות חוזרות ונשנות, ארגונים רבים התעלמו ולא דאגו לעיתים לבצע פעולות פשוטות שיכלו למנוע חדירה אליהן.

מנכ"לים של חברות סייבר סיפרו שלא לייחוס' כי גם בישראל הפך סוג מתקפות זה לנפוץ, כאשר כל הארגונים למעט אלה שמחויבים לדיווח לבורסה, שמרו זאת בסודיות מחשש לפגוע במוניטין.

בישראל אירעו שני מקרים כאלה רק בשנה האחרונה. מתקפה נגד חברת הסייבר ורינט, שאירעה באפריל 2019, ומתקפה נגד חברת השבבים הישראלית טאואר בספטמבר השנה.

בעולם אירעו בחודשים האחרונים שורת מתקפות סייבר חמורות על חברות ענק כמו ענקית הייצור האלקטרוני Garmin ביולי, נגד ענקית הצילום Canon באוגוסט, ונגד יצרנית הרכב היפנית הונדה בספטמבר.

לא רק חברות מסחריו הותקפו. חלה עלייה גם במתקפות נגד מוסדות בריאות ורשויות שלטוניות. כך למשל הותקפו בית החולים האוניברסיטאי בדיסלדורף ומתקפה נגד מערכת החינוך בבולטימור הביאה אף לביטולם של שיעורים.

הצרה בחלק מן המקרים הייתה שגם כאשר ארגונים בחרו לשלם - ולקבל מההאקרים את המפתח ההצפנה - עדיין לא ניתן היה לשחזר את המידע במלואו, לאחר שהוא "הושחת". יש לציין כי במכתב ששלחה ללקוחותיה נאמר כי "בבדיקה הראשונית עולה שאין במידע שנגנב כדי לגרום נזק ללקוחות החברה".

מנהלים את המשבר במתכונת חמ"ל - בכל החזיתות

משברים מסוג זה עלולים להימשך לעיתים ימים ושבועות, ולעיתים חולפים אף חודשים בטרם מתברר היקפו המלא של הנזק.

במשברים מסוג זה, ויש להניח שהמשבר בשירביט מנוהל גם הוא באופן זה - מנוהל במתכונת חמ"ל. כבר ידוע לנו שמערך הסייבר מעורב במקרה מתחילתו. מערך הסייבר לא מעורב במקרים של דליפת מידע אישי בלבד - ולכן יש לשער שקרו עוד דברים מעבר לתפיסת מידע אישי על לקוחות החברה. יתכן שבשל העובדה ששירביט זכתה במכרז לאספקת שרותי ביטוח לעובדי מדינה, הרשויות מתייחסות לאירוע בחומרה רבה.

נוסף על מערך הסייבר, האירוע מנוהל גם כמשבר תקשורתי. לצורך העניין שכרה שירביט את משרדו של רונן צור לניהולו. חברים נוספים בחמ"ל סייבר שכזה הם יועצים משפטיים, מומחי מדיה חברתית ויועצים מחברות סייבר פרטיות שמסייעות בפתרון המשבר. מומחי סייבר לא מעטים אליהם פנה גלובס לא יכולים היו להגיב לאירוע בשל מעורבותם האישית בנושא.

טרם ניתן לחזות כיצד ייגמר המשבר. לרשויות עלול להיות מאוד קשה להגיע את התוקפים עצמם ולמנוע את דליפת המידע. ייתכן מאוד שגם אם החברה תעדיף להיכנע לסוחטים בכדי להגן על הלקוחות - עדיין המידע ידלוף. לתוקפים אין אתיקה.

כמו כן, בשל העובדה שהתוקפים סוחטים את החברה בשלבים - הם איימו להדליף עוד ועוד מידע אם לא יקבלו את סכומי הכופר שדרשו - ייתכן שבימים הקרובים יתפרסמו מסמכים רגישים יותר מאלו שפורסמו עד כה.

בכל מקרה צריך להיות ברור כבר עכשיו - האירוע רחוק מסיומו. ככל הנראה ייקח עוד זמן רב עד שיתברר מלוא היקף הנזק לחברה וללקוחות. גם זהות התוקפים עלולה שלא להתגלות לעולם.

בנוסף, אין להניח שאופי התקיפה הוא אכן פלילי - כזה שנועד לצורך סחיטה בלבד. יש לזכור גם שבנוסף לאפשרות שמדובר באירוע פלילי, קיימת גם אפשרות שהוא מתנהל כחלק ממערכה רחבה יותר.

ישראל מנהלת מלחמת צללים בממד הסייבר יום יום שעה שעה, שפרטיה מתגלים לעיתים נדירות בלבד. בעולם הסייבר אין גבולות, גורמים שונים - ממדינות ועד גורמים פליליים - משתפים לעיתים פעולה, או נעזרים זה בזה כדי להסוות עקבות, להוליך שולל ולהטעות את יריביהם.