גלובס - עיתון העסקים של ישראלאתר נגיש

אילוסטרציה: Shutterstock

היקף איומי הסייבר בשנים האחרונות גדל באופן משמעותי, כאשר חברות ישראליות, ציבוריות ופרטיות כאחד, חוות מתקפות רבות על מערכותיהן. מה המצב של ישראל ואילו סקטורים הכי מותקפים?

● אלו הסיבות מדוע אינטל לא הייתה מעוניינת להשקיע ב-OpenAI
● ההסכם שסיבך את גוגל ואפל והשאלה: האם הרגולטור התערב מאוחר מדי?

לפי נתוני חטיבת המחקר בצ'ק פוינט, ברבעון השני של השנה ישראל חוותה זינוק במתקפות סייבר, כשהמספר השבועי הממוצע של מתקפות הגיע ל־2,278. מדובר בנתון הגבוה ב־81% מזה של הרבעון המקביל אשתקד, וגבוה ב־33% מהרבעון הראשון של 2024. לשם השוואה, ממוצע מתקפות הסייבר השבועיות ברבעון השני היה גבוה בישראל ב־39% מהממוצע העולמי.

חינוך, תקשורת וייעוץ

הענף הבולט ביותר שסבל ממתקפות סייבר הוא החינוך - שחווה בממוצע 6,635 התקפות בשבוע. גם כאן, מדובר בעלייה של 83% בהשוואה לתקופה המקבילה אשתקד. הבא אחריו הוא ענף התקשורת (חברות כמו בזק ופרטנר), עם ממוצע של 4,274 התקפות שבועיות לארגון. הענף השלישי - תעשיית היועצים (חברות כמו דלויט) עם ממוצע של 2,762 התקפות שבועיות לארגון. העלייה הגדולה ביותר ביחס לשנה שעברה נרשמה בענף התחבורה, עם עלייה של 263% משנה שעברה (ממוצע של 2,561 התקפות בשבוע).

ומה קורה ביחס למתקפות כופר? הסקטור הממשלתי או הצבאי הוא המושפע ביותר מסוג זה של מתקפות, עם 17% מההתקפות שפורסמו. בחודש יולי, בממוצע, 1 מכל 26 ארגונים חווה ניסיון מתקפת כופר בישראל בכל שבוע.

לפי נתוני מערך הסייבר, עם פרוץ מלחמת חרבות ברזל, נרשמה עלייה של 20% במספר הדיווחים על אירועי כופר. במערך הסייבר מעריכים שיותר מ־100 גופים שונים סבלו ממתקפות כופר בישראל.

מי זיהו הזדמנות?

גיל מסינג, ראש המטה ומערך התקשורת הגלובלית של צ'ק פוינט, אומר לגלובס כי "ישראל, גם בשגרה, היא מדינה שמותקפת יותר מהממוצע העולמי, שכן היא מדינה מתקדמת ודיגיטלית מאוד". כמו כן, "ישראל מרכזת תשומת לב גבוהה מקבוצות תקיפה מגוונות, גם כלכליות וגם פוליטיות־מדיניות. מאז המלחמה, העלייה במתקפות הסייבר בישראל חוצה את הפער שבין ישראל והממוצע העולמי, ולמעשה מייצגת את אחת העליות התלולות ביותר בתקיפות סייבר ביחס לכל מדינה אחרת". לפי נתוני צ'ק פוינט, שתי המדינות שמייצאות משטחן הכי הרבה מתקפות הן רוסיה ואיראן.

לדברי מסינג, בתוך חצי שנה מתחילת המלחמה, היקף המתקפות על ארגונים ישראלים הכפיל את עצמו. "אנחנו כבר ב־2.5 יותר תקיפות בכל שבוע ביחס לתקופה שלפני המלחמה. הנתון הזה גבוה בעשרות אחוזים מהעולם". למה זה קורה? לפי מסינג, "לגורמים הפוליטיים־מדיניים שתוקפים את ישראל הצטרפו כוחות משמעותיים יותר, בראשם גופי המשטר האיראני ושל חיזבאללה וכן קבוצות אקטיביסטיות מרחבי העולם - יש יותר ממאה קבוצות כאלה, שעושות יד אחת". הוא מסביר כי קבוצות שתוקפות את ישראל ממניע כלכלי, בשום שלב לא הורידו את הרגל מהגז, והן מרגישות "שיש כאן הזדמנות לתקוף ולעשות רווח כספי".

מתקפות במיקור חוץ

בצ'ק פוינט מזהים יותר מתקפות כופר מאשר מתקפות של גניבת מידע או זהויות. "כמו תמיד בתקיפות סייבר, כשיש תקיפה מוצלחת שמקבלת ביטוי פומבי, היא מזמינה עוד גורמים לנסות ולתקוף, ולעתים תכופות מידע שזולג כתוצאה מתקיפה אחת, מזין את התקיפה הבאה אשר עושה שימוש במידע הזה. כך אנחנו למעשה במעגל תקיפות שמזין את עצמו, הולך ומתעבה, והמספרים פשוט מזנקים לשמיים, במגמה מטרידה מתמשכת", אומר מסינג.

מי הם אותם התוקפים? רונן אחדות, ראש מחלקת ה־Soc של חברת הסייבר Cynet מסביר שכיום יש ביזור בתחום, ולכן קשה לשים את האצבע על זהות התוקף. "לדוגמה, באירועי כופר, אנחנו מזהים שרוב הקבוצות מגיעות מברית המועצות לשעבר. אנחנו יודעים את זה כי בחוקים שלהם נאמר שאסור לתקוף במדינות בברית המועצות לשעבר. מנגד, בכל מה שקשור בתקיפות בישראל נגד בתי חולים, אלו תוקפים אידיאולוגיים שיכולים להיות פלסטיניים או איראניים, כמו לדוגמה אנונימוס סודן. הם נותנים את הכלים ואת ההכשרה כדי ללמד את התוקפים הקטנים איך לעשות רעש".

לדברי אחדות, היום יש מה שנקרא "כופרה כשירות" - התוקפים מציעים את הכלים לקבוצות אידיאולוגיות. "התוקפים בונים את התשתית ומציעים אותה לכל מי שרוצה. רוב הפעמים יש חלוקה בפרס או בתשלום של הכופר, שזה בדרך כלל 80% למי שרכש את השירותים ו־20% למי שמציע אותם. זה רווחי לשני הצדדים".

איך שומרים על הנכסים

לדברי מסינג, כל ארגון וחברה בישראל צריכים להבין את הסיכון בתקיפות סייבר ולבדוק אם הם ערוכים לכך, "שכן זו רק שאלה של זמן עד שינסו לתקוף אותם, ואולי זה כבר קורה כרגע". לדבריו, צריך להריץ בדיקה שבוחנת איך שומרים על הנכסים החשובים של הארגון, האם התוכנות מעודכנות, איפה נמצא המידע הקריטי והאם הוא מגובה. בנוסף, האם יש תוכנית גיבוי ושיקום במקרה של תקיפה.

אחדות: "מה שחשוב בארגונים זה מודעות. אם בשגרה אנחנו מטרה לתוקפים, בתקופה הנוכחית הפכנו לכך ביתר שאת. אם בעבר רבים אמרו 'מה כבר ייקחו לי?', הם יכולים למצוא את עצמם תחת מתקפה.

"בנוסף, חשוב להבין בתוך ארגונים שמתקפת הסייבר לא מבוצעת רק נגד המנכ"ל או נגד חטיבת ה־IT, אלא יש אחריות לכל אחד בארגון ולכולם צריכה להיות מודעות לנושא".

אחדות אומר כי ארגונים צריכים לבדוק שהעמדות בארגון מעודכנות ולהשתמש בעדכוני גרסה. "במחקרים שלנו ובנתונים שונים, אפשר לראות שאם יצאה נוזקה חדשה ותוקפים שמשתמשים בכופרה, לוקח לארגון בין שעה ל־24 שעות כדי לממש את הפגיעות החדשה הזו, ולכן מאוד חשוב להישאר מעודכנים על כל הדברים שמשתמשים בהם". לדבריו, אחת הבעיות המרכזיות היא שהרבה מאוד ארגונים משתמשים בשרתים או מערכות הפעלה שאינן נתמכות על ידי מיקרוסופט: "המשמעות של זה היא שהם לא מקבלים את עדכוני הגרסה החשובים".

אחדות מסכם שארגון צריך לבודד עד כמה שניתן את המחשבים הנגועים מהרשת. "אם הגענו למצב שהקבצים מוצפנים, התוקף נמצא ברשת, הוא השיג את ההרשאות שהוא רוצה, והדובדבן בקצפת זה מניעת הגישה והצפנת הקבצים", הוא מסביר. לדבריו, כיום, התוקפים גם מאיימים בפרסום המידע שנאסף, אירוע שהארגונים נבהלים ממנו.

***גילוי מלא: כפי שפרסמנו בעבר, לפני כשלושה שבועות ביצעה קבוצת פשיעה כלכלית בינלאומית מתוחכמת וידועה לרשויות תקיפת סייבר נגד מערכות גלובס. התקיפה לוותה בבקשת כופר כספי, אולם אנו, כארגון עיתונאי הדוגל בשקיפות ובאי שיתוף פעולה עם פשע, קיבלנו החלטה לא לשלם כופר וגם לא לנהל מו"מ עם העבריינים. מאז ההתקפה, אנו, יחד עם מומחים ויועצי סייבר, משקיעים מאמצים ומשאבים משמעותיים בהתמודדות עם השלכות האירוע ושימור הפעילות השוטפת, לצד הקפדה על דיווח ויידוע הרשויות הרלוונטיות, לקוחות, ספקים, עובדים והציבור בכללותו.