יום ירושלים האיראני מתקרב: כך תתגוננו ממתקפת הסייבר הבאה

חקלאים בצפון הארץ התעוררו השבוע וגילו שהם לא יכולים להשקות את היבול שלהם. הסיבה? מתקפת סייבר שהתמקדה בהשבתת בקרי ההשקייה. במקרים אחרים שהתרחשו החודש, האקרים גרמו להשבתה של חלק משירותי הדואר והפילו את אתרי האוניברסיטאות.

לטענת מערך הסייבר הלאומי, המתקפות נגד מטרות ישראליות רק ילכו ויתגברו. בעיקר בשל שני אירועים משמעותיים: יום ירושלים האיראני, שהשנה חל ב-14.4 ומאופיין במתקפות רבות של האקרים איראניים, ו-OPIsrael, מבצע שלרוב נמשך במהלך אפריל ובו האקרים אנטי ישראלים תוקפים מטרות רבות.

● ברקע ההסלמה הביטחונית: הכלכלה הישראלית נכנסת לשבוע גורלי
● ותק, ביצועים או מעמד? איך החברות הגדולות מחליטות את מי לפטר
● מחירי התובלה צנחו בכ־80% מהשיא, אז למה היבואניות הגדולות לא מוזילות מוצרים?

גיל מסינג, ראש המטה ומנהל מערך התקשורת הגלובלית של צ'ק פוינט, מסביר כי "הרעיון הוא לבצע תקיפות של מטרות ישראליות כדי לעורר את המודעות לעניין הפלסטיני. הם תוקפים מכל הבא ליד. זה פחות קשור למועד בלוח שנה, זה יותר קשור למצב הביטחוני, תמונת ראי למתיחות הביטחונית הפיזית. הקבוצות התוקפות מייצגות את כל המרחב - מבנגלדש, סודן, רוסיה, הפלסטינים ועוד".

רפאל פרנקו, סגן ראש מערך הסייבר הלאומי לשעבר ומייסד חברת Code Blue שמתמחה בניהול משברי סייבר גלובליים של חברות ענק ומדינות, טוען כי בשנים האחרונות חל שינוי בשני פרמטרים בנוגעים לתקיפה: "איכות המטרות והדרך. מהשחתת אתרים, למתקפות שגורמות למניעת שירות על תהליכים תפעוליים ועסקיים". ואכן, הרוב המוחלט של המתקפות כעת הן כאלו שמונעות שירות.

"בעבר היו משחיתים אתרים קטנים, וממלאים את עמודי הבית שלהם בתכנים נגד ישראל", מוסיף פרנקו. "היום תוקפים מטרות מרכזיות וחשובות, שירותים המשרתים ציבור רחב. אז השביתו אלף אתרים במכה אבל לא הייתה לכך תודעה משמעותית, ועכשיו מסתפקים בתקיפה אחת משמעותית, שיכולה להביא להשבתת שירותים תפעוליים קריטיים. אני חושב שלאיראן אין מסוגלות לתקוף את רכבת ישראל - הם לא יכולים לשבש את קו הרכבות או ליצור אירוע של דליפות מידע. ולכן, מתקפת מניעת שירות היא הרבה יותר קלה".

מורה נבוכים: יש מה לעשות כדי להתגונן

סביר להניח שרוב התקיפות הצפויות בחודש הקרוב יהיו בעיקר מהסוג שמונע שירות באתרים פופולריים. במקביל, עשויות להיות גם תקיפות מתוחכמות יותר, שבהן התוקפים יצליחו לפרוץ לתוך השרתים עצמם. מתוך כל עולה השאלה: איך ניתן להתגונן ולבצר את אבטחת הסייבר בארגונים?

בצ'ק פוינט מצביעים על כמה צעדים חשובים. ראשית, להיות מוכנים מראש לפני התקיפה, "לעדכן את כל התוכנות שאנחנו משתמשים בהם. רוב החולשות שמנצלים נוצרו כי לא התקינו את התיקון או העדכון שכבר קיימים" אומר מסינג. שנית, "לזהות איפה המערכות ולהבין שכל אחד מהחלקים של המידע נמצא באזורים מוגנים. כך שאם תהיה תקיפה לא יהיה אפשר לעבור מאזור לאזור במערכת". במקביל ישנן הגנות ספציפיות נגד מתקפות DDoS (יצירת עומס רב על האתר שגורם לקריסתו, בדרך כלל לזמן קצר. השרתים של האתר עסוקים בבקשות שווא, ולכן לא מסוגלים לספק מענה לבקשות של משתמשים אמיתיים) שרק צריך להתקין.

בנוסף לכך צריך להתכונן גם ליום שאחרי התקיפה ולהכין תוכנית השיקום. "את ניהול הסיכומים ותוכנית השיקום צריך להכין כבר היום - משמע, מה לעשות אם הייתה מתקפה, איך לצמצם את זמן הנפילה או לזהות את כל החולשות ונקודות התורפה ולהיערך בהתאם", מסביר מסינג. פרנקו מוסיף כי חשוב לבצע גיבויים קבועים כדי שיהיה אפשר לשחזר בקלות וביעילות לאחר התקיפה.

ארז תדהר, ראש האגף לניהול אירועי סייבר במערך הסייבר הלאומי, מצביע על נקודה נוספת ובעלת חשיבות - אחריות אישית. "חשוב שלכל עובד או מנהל תהיה אחריות אישית למה שקורה. יש לכם מערכות שמחוברות לאינטרנט? יש מה לעשות וצריך לפעול כדי לא להיפגע בגל הבא" טוען תדהר. "בהרבה ארגונים כל שלושה חודשים צריך להחליף סיסמה, כמו בבנק. לצד זאת, צריך לעשות אימות דו שלבי, כך שאם מישהו גילה את הסיסמה הוא לא יצליח להיכנס בכל זאת. חשוב גם לדאוג לאימות כתובות השולח. כמו כן, למערכות יש אפשרויות של אימות שליחת הודעות. לצורך העניין, המערכת מזהה מקרה בו יש ספק לגבי הודעה ממתחזה. לבסוף, לפתח מודעות לגבי לינקים חשודים. לא ללחוץ על מה שלא מכירים, ואם זה טוב מדי - כנראה מדובר בפישינג. עובדים חייבים להיות ערניים למה שקורה, בטח בתקופה שכזו. כדאי להכיר את מוקד 119, החמ"ל המבצעי שלנו, שנותן מענה בעת תקיפת סייבר על ארגונים ואנשים פרטיים".

רם לוי, מייסד ומנכ"ל קונפידס, חברה להגנה ולניהול משברי סייבר, מונה כמה צעדים נוספים שאפשר לעשות כדי להתגונן: "זיהוי מהיר - שימו לב לחלונות רבים שקופצים, איטיות חריגה במערכת, פעילות מקבילה במחשב שאתם עובדים עליו, ועוד. אם אתם מזהים פעילות חשודה או לא תקינה ברשת שלכם וחוששים שהארגון נפרץ ונמצא תחת מתקפה, חשוב מאוד לא להתעלם מנורות האזהרה ולפעול במהירות ובצורה מחושבת. זאת על מנת לעצור את התפשטות הנזק ולמזערו ככל הניתן".

בנוסף לכך, לוי מוסיף שצריך לנהל את המשבר באופן הוליסטי. "הגדירו גורם מנהל למשבר בארגון, שיהיה אחראי על ניהול המשבר על כל היבטיו בצורה מסונכרנת בין כל היחידות בארגון. במקרה של אירוע מתמשך ומתגלגל, יש לקיים פגישות יומיות ולבסס דיוני הנהלה על מה שידוע בפועל באותו הזמן, וכן חשוב לחזק את מערכות ההגנה והניטור כדי לוודא שהתוקפים לא ימצאו ברשת שנפרצה".

תדהר טוען כי ישראל פועלת נכון בתחום. "הגל הזה בשליטה ואנחנו מתמודדים עם המתקפות טוב ומחזירים לתפקוד מלא בהקדם" טוען תדהר. "יש פה ניסיון לעשות אנדרלמוסיה תודעתית, ואני לא מזלזל במה שהם כן מנסים לעשות. יש לנו את האחריות המדינתית, וישראל עושה הרבה דברים, שאי אפשר לפרסם כדי שלאויבים לא יהיה את המידע הזה". לדבריו, כש"המדינה צריכה להפעיל כלים מאוד מתוחכמים, היא יודעת. יש לנו את היכולת לזהות מגמות ולחסום אותם. אפשר לדמות את זה לכיפת ברזל, 90% היא מצליחה ליירט, ואז יש 10% שכן מצליחים לחדור - ואלו טפטופים שחדרו או פגיעה בשטח פתוח ולא צריך מיירט".

מתי גל התקיפות צפוי להיגמר?

להערכת מסינג, גל התקיפות צפוי להמשך לפחות עד יום הנכבה ב-15 במאי, "בימים ובשבועות הקרובים נראה הרבה יותר תקיפות".

מנגד, תדהר מאמין כי הגל יגמר עם תום הרמדאן. "מדובר בחודש עם טמפרמנט מאוד גבוה בכל הגזרות, וזה מייצר מוטיבציה לעשות נזק ואנדרלמוסיה. זה מתווסף להפגנות ולפיגועים שיש בישראל. התוקפים קוראים חדשות".