"שירביט היא כמו חדר מיון עם מתמחה שלא ישן 20 שעות"

התקיפות על שירביט, עמיטל ואינטל, והאירוע המעורפל שבו הושבתו שירותי גוגל, מראים שההשקעה האדירה בהתגוננות לעולם לא תספיק • גור שץ, מהוותיקים והבכירים בתעשיית הסייבר הישראלית, מסביר לגלובס מדוע תקיפת סייבר היא קלה, ולמה לא סביר שתקיפה כזו תוביל לעימות פיזי בין מדינות

גור שץ / צילום: Cato Networks
גור שץ / צילום: Cato Networks

רצף אירועי הסייבר בשבועיים האחרונים סימן עליית מדרגה נוספת בהתקרבות חזית הסייבר אל העורף האזרחי, בישראל ובעולם כולו. בשנים האחרונות חלה עלייה משמעותית במתקפות סייבר שכוונו נגד אזרחים פרטיים, עסקים קטנים ועד ארגוני ענק גלובליים. אך עד החודש האחרון ארגונים התמודדו עם מתקפות סייבר מאחורי הקלעים, ובין אם שילמו כופר או לא, דיווחו לבורסה או ניצלו את פרטיות החברה כדי להימנע מפרסום שלילי - ההתנהלות ברובה נותרה תחת הרדאר.

ואז, בתוך שבועיים, פרצו אל הכותרות שלושה אירועי סייבר חמורים וחסרי תקדים ברצף. ראשונה הייתה זו חברת הביטוח שירביט, שהותקפה על-ידי מה שנראה בתחילה כעבודה של קבוצת האקרים רוסית ובהמשך איראנים. עברו רק כמה ימים, וחברת התוכנה עמיטל המשווקת תוכנות לחברות העוסקות בעמילות מכס הודיעה על חשד לאירוע סייבר במערכותיה שהשפיע על עשרות מלקוחותיה. לא עברו כמה ימים וקבוצת האקרים איראנית השוויצה בטוויטר כי פרצה לחברת שבבי הבינה המלאכותית הבאנה, שנמכרה לאינטל ב-2 מיליארד דולר לפני שנה.

ואם זה לא הספיק, הגיעה השבתה עולמית בשרותי גוגל, במהלכם נפלו שרות הדוא"ל ג'ימייל, ענן המסמכים "גוגל דוקס", לוח השנה ועוד. האם גם התקלה בשרת גוגל הייתה תוצאה של אירוע סייבר? לא ברור.

בכל מקרה, שאלות רבות נותרו ללא מענה: האם מדובר באירועים פלילי למען בצע כסף? אירוע טרור מדינתי שבוצע לפגוע באמון של אזרחי ישראל במגזר הפיננסי, או בשרשרת האספקה של חיסוני הקורונה? אולי מדובר במתקפת תודעה שנועדה לפגוע בתדמית של ישראל כמעצמת סייבר? או שמא מדובר בפעולה שנועדה לגנוב קניין רוחני?

תקיפות-סייבר
 תקיפות-סייבר

המלחמה: נשק שאי אפשר לאתר

גור שץ, מהוותיקים והבכירים בתעשיית הסייבר הישראלית, טוען כי ייתכן שלעולם לא נדע את התשובות לשאלות הללו. לדברי שץ, נשיא ומייסד קאטו נטוורקס שאותה הקים ב-2015 יחד עם שלמה קרמר ממייסדי צ'ק פוינט, "סייבר הוא כלי התקיפה הראשון בהיסטוריה שיש לו יכולת הכחשה מוחלטת"

לדבריו, "אנו חיים בעולם שבו מדינות מנהלות באמצעות סייבר מלחמה שהיא הרבה יותר שלוחת רסן מהמלחמה הפיזית. כלי התקיפה בסייבר הם כלים שנולדו מתוך עולם המודיעין, והפיתוי להשתמש בהם הוא הרבה יותר גדול, הרי מדינה תחשוב פעמיים לפני שתשלח טיל גרעיני או מטוס תקיפה. לעומת זאת סייבר, מי יודע? מי יתפוס? לכן, רוסיה יכולה לתקוף את ארה"ב מבלי לחשוש מפעולת תגמול".

למרות זאת, שץ לא סבור כי מאחורי ההתקפות האחרונות שראינו בישראל עומד הממשל האיראני עצמו. "יש המון פושעים שחוסים בצל איזה סכסוך, שפשוט מנצלים מכשול ברמת האכיפה - את העובדה הפשוטה שאי אפשר יהיה לעצור אותם".

מהן האפשרויות שעומדות בפני ישראל כדי להתמודד עם ההתקפות הללו? "ישראל צריכה להמשיך לעשות מה שהיא כבר עשתה". כלומר, להמשיך ולבצע התקפות סייבר נגדיות מצידה. "אבל, יותר חשוב מכך - לעסוק בהתגוננות".

בכל מקרה, הוא מרגיע, "לא תהיה מלחמה עם איראן על רקע מלחמות סייבר. תקיפות של ארגונים ישראלים וממשל שעומד מאחורי ניסיון לערער חברות ישראליות - זו מחלה כרונית שחיים איתה. אינטל לא תפשוט את הרגל בגלל התקיפה וגם לא שירביט. אמנם אנו חיים במקום ללא גבולות ושבו מדינות רוצות ויכולות להשתמש ביכולות תקיפה וטרור, אך מצד שני יש לזכור כי כדי לפגוע בישראל, איראן תצטרך לתקוף מתקני תשתית ישראליים, דבר שהיא כמובן לא תרצה בשל תגובה הנגד הישראלית".

שץ לא סבור כי לפי שעה יש סיבה לדאגה לגבי אפשרות לסלמה. "אני לא חושב שאנחנו קרובים למאסה קריטית. עדיין לא פרצו לחברת חשמל והחשיכו את כל ישראל. בלק-אאוט יהיה אירוע מכונן, וגם אז יהיה צורך באקדח מעשן ממש טוב כדי להבין מי אחראי לו".

סוגיית האקדח המעשן מתחברת לאמירה לגבי חוסר היכולת לאתר את העומדים מאחורי התקיפות. אקדח מעשן שכזה הוא בגדר פנטזיה. באירועי הסייבר הכי משמעותיים שנחשפו עד היום, אומר שץ, ושמאחורי חלקם אף נטען שעומדת ישראל, "לא הצליחו למצוא אקדח מעשן שאומר מי אחראי לתקיפות, וזאת למרות שחקרו את המקרים הללו בטירוף. אנו חיים בעולם שנשק הסייבר הוא אנונימי. במקרה של מחבל מתאבד יודעים מאיפה הוא יצא, עם מי הוא דיבר ועם מי הוא היה בקשר. פה אין מחבל שמתפוצץ. זו פצצה שמופיעה מאיזשהו מקום, ואז מתפוצצת. בתקיפת סייבר באופן כללי קשה למצוא עד בלתי אפשרי למצוא את האקדח המעשן, וללכת להתחקות אחר המקור שלו, בוודאי אם המקור עשה עבודה טובה".

האם מה שראינו בשבועיים האחרונים מרמז על האופן שבו ייראה העתיד הקרוב? לפי שץ, נצטרך להמשיך ולחוות אירועים כאלו. "נשק הסייבר הוא הנשק האולטימטיבי לנהל מלחמת עולם מבלי שתוכרז מלחמה בכלל", הוא אומר. כלומר? "נמשיך לחוות את זה, וזה לא יוביל לאירועים שבגללם ישראל תוכל לצאת לפעולה פיזית. היא כן תוכל לעשות אותו דבר, רק לצד השני".

הקלות: כמו לזרוק אבן על בית מזכוכית

מה יכולות חברות לעשות על מנת להתגונן טוב יותר, או מה המדינה יכולה לעשות? שץ מציע קודם כל לקבל את המציאות כמו שהיא. "כולם מדברים מפוזיציה. תשעים אחוזים מחברות הסייבר יגידו לך שהתוקפים יותר מתוחכמים, מאורגנים וממוקדים, ושהסביבה מצריכה פתרונות יותר חכמים. זה כמובן שטויות".

כיום, מתאר שץ, החיים של התוקפים הרבה יותר קלים מאי פעם. "יש להם ביטקוין בתור ‘מערכת סליקה', ואין סוף מדריכי הפעלה. כל הדימוי שיש מבצר שהוא הארגון, ומישהו בא לפרוץ בכוח מבחוץ - זו שטות. הדימוי היותר נכון הוא בית מזכוכית, שכל מה שצריך לעשות זו נכונות לזרוק אבן. הבעיה היא לא הם, אלא אנחנו. אנחנו פחות מוגנים. שירביט היא כמו חדר מיון עם מתמחה שלא ישן 20 שעות, הוא מוטרד מכל הכיוונים, ואז כשמגיע אדם שיש לו התקף לב ומצריך טיפול רציני - אז אותו מתמחה כבר חצי ישן. כך אנשי אבטחת המידע - הם בקושי מבינים מה קורה אצלם, או מהיכן ההתקפה יכולה להגיע".

זווית הראייה של שץ על האירועים האחרונים מושפעת מטבע הדברים מטיב העסקים שבהם הוא מעורב. קאטו נטוורקס, שגייסה לאחרונה 207 מיליון דולר תוך שבעה חודשים, מפתחת רשת ארגונית בענן עצמו, מתוך תפיסה הוליסטית שרואה את הרשת הארגונית כמכלול המרכיבים שמחוברים היום אל ארגון - מהעובדים דרך הבית או המשרד, המכשירים השונים בהם הם עושים שימוש ועד העננים הציבוריים. אם בעבר קאטו הייתה צריכה לחבר בין משרדים וסניפים שונים של אותה חברה, היום היא צריכה לחבר גם את כל עובדי החברה שעובדים מביתם.

זו אחת הסיבות שהאופן שבו שץ מנתח את האירועים האחרונים נובע מפרספקטיבה טכנולוגית, לא צבאית או מודיעינית. לכן, הניתוח שלו, שמבוסס על האופן שבו בנויה התשתיות הארגוניות והתקשורתיות, מצליח להציב תחת קורת גג אחת שני אירועים שלכאורה לא קשורים זה לזה - מתקפות הסייבר על החברות הישראליות ותקלת הענק בשרתי גוגל, שלא ידוע כלל אם מקורה באירוע סייבר או בתקלה טכנית.

"ארגונים קטנים", לטענתו, "לא יהיו מסוגלים לאורך זמן לעמוד בנטל האבטחה הנדרש מהם. הם ייאלצו להגר לענן ולשירותים המנוהלים של ענקיות הטק - שלמעשה מנהלות את תשתית האינטרנט". כך ניתן אולי יהיה להימנע מאירועי סייבר כמו שירביט או עמיטל. זהו מהלך היסטורי, שאפשר להקביל לתהליכי העיור - כשתושבי הכפרים שנותרו חסרי הגנה מחוץ לחומות, נאלצו להיכנס אל בין חומות הערים או לבנות סביבן חומה נוספת.
אלא שגם המעבר לענן הוא לא נטול מחיר - התלות באותן ענקיות. תלות שלמחיר שלה היינו עדים השבוע, כשתקלה בגוגל הוציאה מכלל פעולה שורת שירותים לשעות ארוכות. מילא שירות המייל, אלא שהתקלה הותירה בחושך משתמשים שהשתמשו בשרות "גוגל הום" לניהול הבית החכם שלהם.

היכן אם כן טמון הכשל? שץ סבור שהמגזר הפרטי מוכרח לקחת על עצמו אחריות רבה יותר ולייצר מנגנונים של שיתוף פעולה ומידע בין מנהלי האבטחה, "שיהפוך את הארגונים ליותר מבצר ופחות בית מזכוכית".

ומה באשר לאחריות המדינה? "מה גורם לך להגיד שהאיראנים לא יגיעו לתל אביב - אתה אומר יש צבא באמצע. מישהו שנמצא על הגבול וכבר יעצור אותם בדרך. אבל הממשלה לא יכולה לעשות את זה כשמדובר במחשבים. על רוב התעשייה היא לא יכולה לקחת אחריות מעבר לייעוץ, עזרה ותקינה, וסיוע בצד החינוך. זה לא הרבה, אבל זה מה שאפשר". 

שבועיים של מתקפות והשבתות - משירביט ועד גוגל

● שירביט נסחטת
מתגלה פריצת סייבר לחברת הביטוח שירביט לאחר שחלק ממערכות החברה הושבתו והתגלו בהן תקלות. כמה ימים לאחר מכן מציעים ההאקרים שתקפו את החברה למכור כ-16 אלף מסמכים הנוגעים לכ-500 לקוחות החברה. בתחילה נפלהחשד על האקרים רוסים ובהמשך השתנה הערכה כי מדוברבקמפיין תודעה איראני (30.11).

● עמיטל נפגעת
אירוע סייבר שהחל אצל חברת התוכנה עמיטל, המשווקת תוכנות לחברות העוסקות בעמילות מכס, השפיעה על עשרות מלקוחותיה. ככל הידוע האירוע סוכל לפני שהפורצים הצליחו לממש את הפריצה לגרום נזק או לבצע סחיטה (10.12).

● אינטל מותקפת
קבוצת Pay2Key מפרסמת בטוויטר מסמכים שלכאורה הושגו בפריצה למערכות חסרת שבבי הבינה המלאכותית הבאנה שנרכשה על ידי אינטל לפני שנה תמורת 2 מיליארד דולר. צ'קפוינט טוענת כי בעבר פרסומי הקבוצה התגלו כאמינים (13.12).

● גוגל מושבתת
שירותי גוגל, כולל יוטיוב, ג'ימייל, גוגל דוקס ומפות, חזרו לפעול אחרי תקלה עולמית, שהובילה לכך שלא היו נגישים במשך שעות ארוכות. משתמשי מוצרי בית חכם שעובדים על המערכת של גוגל דיווחו גם הם על תקלות ברחבי העולם (14.12).

צרו איתנו קשר *5988