גלובס - עיתון העסקים של ישראלאתר נגיש

ראשי משרד עורכי הדין גולדפרב גרוס זליגמן / צילום: דדי אליאס

אמש, לאחר חצות, יצאה הודעה מטעם משרד עורכי הדין גולדפרב גרוס זליגמן כי המשרד קיבל עדכון נוסף ממערך הסייבר הלאומי על אירוע נוסף שקרה במשרד. על־פי ההודעה, "התגלה חשד שבוצע ניסיון חדירה נוסף לרשת החברה על־ידי גורם עוין". לא ברור לפי שעה האם התקיפה צלחה או שמא הצליחה להיבלם בזמן.

חברת הסייבר סיגניה, המנהלת ומטפלת באירוע, עורכת את הבדיקות ואת החקירה כדי לבחון את החשד. לפי משרד עורכי הדין, "הורינו לה להשקיע את כל המשאבים הנדרשים כדי לסיים את הליך הבדיקה בהקדם".

● העלות הכלכלית של מתקפות סייבר בישראל: 12 מיליארד שקל בשנה
● לשכת עורכי הדין מטילה מגבלות על פרסום למשרדים ומחריגה את הגדולים

משרד עורכי הדין גולדפרב גרוס זליגמן, מגדולי משרדי עורכי הדין בישראל, אישר בשבוע שעבר כי האקרים תקפו את אחד משרתיו. במשרד מסרו כי פריטי מידע הועתקו, וכי דבר התקיפה נודע ממערך הסייבר הלאומי לאחרונה. המשרד מסר כי שכר את שירותיה של חברת הסייבר סיגניה, אשר ביצעה בדיקה בעקבות החשד שעליו דיווח מערך הסייבר הלאומי לפירמה.

"לאחרונה עודכנו על־ידי מערך הסייבר הלאומי על חשד לאירוע סייבר הנוגע לרשת המחשוב והמידע של המשרד", נמסר על־ידי המשרד. "המשרד נעזר בחברת סיגניה (Sygnia), חברה בעלת שם עולמי בתחום הסייבר, אשר ביצעה בדיקה מיידית ומעמיקה. בדיקה זו גילתה חדירה מוגבלת לאחד משרתי המשרד, במסגרתה הועתקו פריטי מידע. האירוע טופל באופן מיידי, ועדכון נמסר לרשות הגנת הפרטיות. יודגש כי אין ולא הייתה כל פגיעה בעבודה השוטפת של המשרד".

מדוע מדובר באירוע חריג

בשלב זה, ובגיוס חברת סיגניה, מתבצעת במשרד חקירה מעמיקה כדי להבין את ההיקפים ואת סדרי הגודל של התקיפה. עיצומה של החקירה מצביעה בעיקר על כך שאי־אפשר לדעת מה נפגע, האם יש פגיעה בלקוחות, ואם כן - אילו לקוחות. יתרה מכך, לפי שעה עדיין לא יודעים מיהו התוקף, אם כי לפי ההערכות והעובדה שמערך הסייבר הוא זה שהתריע על התקיפה, אפשר להניח כי מדובר בתוקפים המזוהים עם קבוצות איראניות או פלסטיניות. אולם לא ניתן לשלול כי מדובר בשחקן פלילי, מה שיתברר בתום החקירה.

שלושה היבטים מרכזיים מדגישים עד כמה מדובר במתקפה חריגה: ראשית, משרדי עורכי דין הם מטרה נפוצה, משום שהם מצויים בקשר עם גופים רבים ומחזיקים בדאטה רב, מה שמאפשר לגרום לנזק משמעותי. גולדפרב גרוס זליגמן הוא ממשרדי עורכי הדין הגדולים ביותר בישראל, ובשנתיים האחרונות נחשב למשרד שמספר עורכי הדין המועסקים בו היה הרב ביותר. מאז שמוזג לפני כשנה וחצי, לאחר שהתקבל לשם כך אישור מרשות התחרות, הוא מונה כ־500 עורכי דין, מהם כ־200 שותפים.

שנית, הרכיב שהותקף הוא שרת מיילים. אומנם לא באמת יודעים מה ההיקף ואילו מיילים נמצאים שם, אבל בבירור מדובר במיילים שבהם יש התכתבויות ומן הסתם גם מידע. לא היו תוקפים את שרת המיילים, אם לא היה בו את המידע המדובר. אולם לא ברור כיצד קיבל התוקף גישה לאותו שרת. האם מדובר בעובד שנפל בפישינג, או שמא מדובר בחולשה שלא נסגרה בזמן שהתוקף השתמש בה? לפי נתוני דוח מערך הסייבר הלאומי, בכ־90% מן התקיפות מדובר בחולשות.

יצוין כי על־פי ההערכות בשוק, נפח המידע שנשאב הוא גדול, אם כי לא יודעים מה בדיוק המידע שיצא. האם מדובר בכתובות מייל ישנות חסרות ערך, או שמא מדובר בקבצים ונתונים יותר בעייתיים? לא ברור. עוד שאלה שיבחנו בחקירה היא האם המידע המדובר הוצפן, או שמא אפשר לגשת אליו בצורה רגילה? ובתוך כך, האם במשרד עורכי הדין עדכנו את הלקוחות הבעייתיים שהמידע אודותיהם נתון בסכנה?

שלישית, אין מדובר במתקפה שבמשרד עורכי הדין עלו עליה לבד. אלא התערבות של מערך הסייבר ופנייה למשרד עורכי הדין - הם שגילו על ה"כניסה הלא מורשית" הזו. משמע, למערך הסייבר הלאומי יש יכולת לזהות תעבורת מידע ממקור א' למקור ב', וזאת מתוך התפיסה ששרת התוקף הוא שרת שמסומן על־ידי המערך כמזוהה עם תוקף. כשיש תקשורת או שאיבת נתונים - יודעים שמתרחשת תקיפה. על־פי גורם בכיר בשוק הסייבר, ככל הנראה מה שקרה הוא שבמערך זיהו זליגה ומשלוח של דאטה לשרת מסומן שכזה, ולכן פנו לגורם, המשרד המקרה הזה, שיבדוק מה קורה בשרתיו.

לא הגיעה בקשת כופר

החקירה שמתנהלת כעת היא זו שנועדה לבחון את סימני השאלה העולים, ובתוך כך את זהותו של התוקף. עם זאת, אפשר להעריך כי בעת האחרונה המערך שעוסק במתקפות סביב המלחמה, מסתכל אף יותר על שחקנים מדינתיים - מה שיכול לאפיין את התקיפה הזו. בין הסיבות שלקחו את חברת סיגניה היא לשם בחינת זהות התוקף ואת השאלה כמה רחוק הגיעה התקיפה. הפעולות האלה יסייעו למשרד עורכי הדין לגדר את האירוע ולהבין בדיוק מה קרה.

בשל העובדה שמדובר באירוע ריגול, משמע שאיבת מידע, ולא אירוע של השחתת מידע, כלומר מחיקתו או השבתה של הפעילות, במשרד עורכי הדין עדכנו כי אין פגיעה בפעילות השוטפת של החברה. צריך לומר: עצם העובדה שמשרד עורכי הדין החליט לפנות דווקא לחברת סיגניה, אחת מהחברות המובילות בתחום, יכול ללמד איך הם רואים את האירוע החמור.

החקירה בעיצומה

האתגרים שעומדים כרגע לפתחו של משרד עורכי הדין הם משך זליגת המידע והיקף המידע. בחקירה כעת יבחנו כמה זמן נשאב המידע על־ידי אותם תוקפים. זאת אומרת, יודעים בבירור שיש זליגה של מידע, אך לא יודעים ממתי החלה - וכעת זה אחד הדברים שיבחנו. לפי שעה במערך ובמשרד עורכי הדין לא יודעים או לא מספקים את המידע המדובר. יתרה מכך, נשאלת השאלה מתי בדיוק המערך פנה למשרד עורכי הדין: האם הפנייה נעשה ביממה האחרונה או שמא מדובר באירוע קדום יותר, שפורסם רק כעת?

נוסף על כך, במהלך החקירה יתגלו יותר המידעים והדאטה שזלגו, אילו שרתים נפגעו וכיוצא בזה - מה שיסייע בהבנת היקף התקיפה. כך למעשה אפשר להבין את עוצמת הנזק ללקוחות. חשוב לציין כי לא הייתה הודעת כופר, מה שיכול לסייע להבין את המניעים או את סדר הגודל.

בנוסף לחקירה פרטית, האירוע דווח לרשות להגנת הפרטיות ונמצא בבדיקה. ככל שתהיה אינדיקציה לדליפת מידע אישי, הרשות תבחן את האפשרות להודיע לבעלי המידע.

עלייה במתקפות הסייבר

התקיפה אינה מתרחשת בחלל ריק. בשנים האחרונות, וביתר שאת מאז תחילת המלחמה, נרשמה בישראל עלייה בתקיפות סייבר. זוהו תקיפות כלפי ארגונים הנחשבים לנקודת ריכוז (hub) לארגונים אחרים כחלק משרשרת של אספקה עבורם, ארגוני בריאות, מים, אנרגיה ודלק, תחבורה ואקדמיה. כן זוהו מתקפות כלפי ארגונים ממשלתיים ומדינתיים, דוגמת משרד המשפטים, שם דווח לפני מספר חודשים על אירוע משמעותי של דליפת מידע.

בדוח שפרסם מערך הסייבר הלאומי לפני מספר חודשים תוארו תקיפות המכוונות לגרימת נזק, יותר מכפי שהיה קודם לכן, אז נצפו יותר מטרות ריגול וגניבת מידע. בין יעדי התקיפה שתיאר אז המערך צוין ניצול לרעה של מערכי דואר אלקטרוני ארגוני, ובתוך כך השתלטות על תיבות דואר של משתמשי הארגון.