ליאור לוי, מנכ"ל ומייסד פרולוג'יק, בסיכום ביניים של איומי הסייבר לשנת 2021, מזהיר "העולם מצוי היום בעידן בו תוקפי הסייבר מתעצמים בצורה אקספוננציאלית ומגיני הסייבר נשרכים מאחור בהשתפרות ליניארית. מנהלי אבטחת המידע ברמת המדינות והארגונים חייבים כבר היום לנקוט פעולות לסגירת הפערים הללו"

שנת 2021 מתקרבת לסיומה במהירות, שנה שנייה בה העולם פעל בצילה של מגיפת הקורונה, גם אם למד לחיות לצידה. עוד מושג שהעולם מתחיל ללמוד הוא את המונח 'מגה מתקפת סייבר' – באנגלית Mega Cyber Attack – כשיותר ויותר מתקפות סייבר מתבצעות בקנה מידה גדול, ומשפיעות בצורה משמעותית יותר ויותר על החיים הרגילים של הציבור. "אם שנה שעברה ראינו שיאים של פעילות סייבר – יותר מתקפות כופרה, יותר פישינג, יותר DDoS, ועוד – אז היום אנחנו רואים גם שבירה נוספת של אותם שיאי פעילות סייבר, אך בנוסף היקף הפעילות כה גדול וברמה כה גבוהה, שהשפעותיה יכולות לבוא לידי ביטוי בשיתוק תשתיות קריטיות של מדינות. השנה הזו הוכיחה, למי שהיה זקוק להוכחה נוספת, שהתוקפים של 2021 כבר אינם חבר'ה חכמים ומבריקים עם קפוצ'ון שפועלים מהמרתף בבית הוריהם, אלא מדובר בארגונים הפועלים כמו קבוצות עבודה מאורגנות, מסודרות, וממומנות – במקרים רבים על ידי מדינות, ארגוני פשיעה או ארגוני טרור – והן בעלות יכולות להוציא לפועל מתקפות שפוטנציאל ההרס שלהן הוא בקנה מידה עצום", מציין ליאור לוי, מנכ"ל ומייסד חברת פרולוג'יק (Prologic), מקבוצות הטכנולוגיה וה-IT הגדלות במהירות היום בשוק הישראלי בכלל, ובתחום הסייבר בפרט. בראיון עימו סוקר לוי את ההתפתחויות והאיומים המרכזיים בפניהם ניצב המגזר הארגוני בתחומי הסייבר ואבטחת המידע.

חיסול מלאי הדלק

הסימנים המעידים לכך שאנו מגיעים לעידן מגה מתקפות הסייבר כבר כאן. חודש שעבר זימן ביידן נשיא ארה"ב מפגש עם ראשיהן של חברות הטכנולוגיה הגדולות בארה"ב -  בהם מנכ"ל אמזון, מנכ"ל אפל, מנכ"ל מיקרוסופט, מנכ"ל אלפבית חברת האם של גוגל, ומנכ"ל יבמ -  ואמר להם שהממשל הפדראלי זקוק לעזרתם על מנת להתמודד עם אתגרי הסייבר הלאומיים בפניהם ניצבת ארה"ב. הנשיא ביידן אמר במפגש כי "ראינו שוב ושוב כיצד טכנולוגיות שאנו בוטחים בהן, דוגמת תקשורת סלולארית, צינורות נפט או רשת החשמל, יכולות להפוך מטרות לפעילות פלילית. באותו הזמן, מספרם של מקצועני הגנת הסייבר המיומנים שלנו לא גדל במהירות המתאימה כדי לעמוד בקצב, כחצי מיליון משרות הגנת סייבר נותרו לא מאויישות".

אחת מאותן מגה-מתקפות אליהן מתייחס הנשיא ביידן היא מתקפת הסייבר, שהתבצעה בחודש מאי השנה, בה הותקפו המתקנים של חברת האנרגיה האמריקאית קולוניאל פייפליין (Colonial Pipeline), מפעילה של אחד מצינורות הדלק המרכזיים בחוף המזרחי של ארה"ב, מה שהוביל לעצירת השירותים של החברה למשך חמישה ימים ולשיבושי אספקה של דלק ומוצריו ברחבי ארה"ב כולה. כך לדוגמא, במדינות וירג'יניה, דרום קרוליינה וג'ורג'יה קרוב ל-50 אחוז מתחנות הדלק נותרו ללא מלאים, ובאיזור וושינגטון הבירה כ-88 אחוז מכלל תחנות הדלק דיווחו על מחסור.

בתקשורת העולמית דווח כי חברת האנרגיה שילמה כופר בסך 5 מיליון דולרים לקבוצת ההאקרים דארקסייד (DarkSide), וכי הקבוצה מפתחת את התוכנה המשמשת לביצוע המתקפות, ושהיא אף עוסקת בהכשרה של קבוצות האקרים אחרות להשתמש בה תמורת אחוז מסוים מהכופר שהן גובות. הקבוצה גם תקשרה עם העיתונות, וכאשר נטען כי הקבוצה פועלת ממניעים פוליטיים הקבוצה אף הגיבה באתר אותו היא מפעילה כי "המטרה שלנו היא להרוויח כסף ולא ליצור בעיות לחברה".

מגה-מתקפה נוספת התבצעה בחודש יוני השנה כנגד החברה הברזילאית JBS, אחת מיצרניות הבשר הגדולות בעולם, ויצרנית הבשר הגדולה בארה"ב. בעקבות המתקפה החברה הפסיקה לחלוטין את פעילות בתי המטבחיים שלה בארה"ב, דבר שהוביל למחסור בבשר בקר ברחבי המדינה ולפגיעה בשרשרת אספקת המזון האמריקאית. החברה דיווחה על תשלום כופר לתוקפים בסך 11 מיליון דולרים, והערכות גורמי ממשל אמריקאיים הן שמאחורי המתקפה עמדה קבוצת פשיעת סייבר רוסית בשם REvil.

מתקפת DDoS עצומה

מגה-מתקפה אחרת, הפעם שפחות הצליחה, הייתה מתקפת DDoS אותה ביצעה קבוצת האקרים לא ידועה כנגד לקוחה של ספקית הענן הציבורי Microsoft Azure. חברת מיקרוסופט דיווחה כי בשלהי אוגוסט השנה היא הצליחה לבלום מתקפת מניעת שירות בהיקף עצום, הגדולה מסוגה בעולם, בהיקף של 2.4 טרה-בייט לשנייה (Tbps). מומחי מיקרוסופט ציינו כי המתקפה נוצרה מכ-70 אלף נקודות קצה שונות ברחבי אסיה וארה"ב וכי היא כללה שלושה גלים שמשכם הכולל היה קצת יותר מ-10 דקות. בבלוג של מיקרוסופט נכתב כי "מתקפות בקנה מידה כזה מראות את פוטנציאל הנזק של שחקנים שליליים ויכולתם לזרוע הרס באמצעות הצפת המטרות בכמויות אדירות של מידע בניסיון לחנוק את הרשת הארגונית".

לא מפתיעה אם כן האזהרה המאוד נוקבת מחודש יולי של נשיא ארה"ב ביידן, שהתייחס לאיום ההולך וגובר של מתקפות סייבר מצידן של רוסיה וסין על ארה"ב, ואמר כי "אני חושב שזה יותר מסביר שאם בסופו של דבר נגיע למלחמה – מלחמת יריות אמיתית עם כוחות גדולים – זה יהיה כתוצאה מתקיפת סייבר שתגרום נזק משמעותי, והיכולות האלו גוברות באופן אקספוננציאלי".

"ארצות הברית מודאגת, ולדאגה הזו יש הצדקה", מציין לוי, "מדובר במתקפות בקנה מידה אדיר, מתקפות מאורגנות, מנוהלות ומתוכננות עד הפרט האחרון, שכרגע נראות כפשיעת סייבר. אך אותם הכלים יכולים גם לשמש לפגיעה בתשתיות קריטיות של המדינה, וזה כבר סיפור אחר, שפוטנציאל הנזק שלו יכול לכלול גם קורבנות בנפש. נשיא ארה"ב בעצם מזהיר מפני מלחמה עולמית שיכולה לפרוץ כתוצאה ממתקפת סייבר גדולה, כדאי לשמוע את האזהרה שלו".

נזקים של טריליונים

פשיעת הסייבר היא כנראה התעשייה הצומחת במהירות הגדולה ביותר בימים אלה בעולם. בעוד שנזקי פשיעת הסייבר נאמדו שנה שעברה בכ-1.5 טריליון דולרים, הרי שמומחי הסייבר מעריכים שנזקי פשיעת הסייבר השנה יגדלו פי 4, ויסתכמו בכ-6 טריליון דולרים. אלא שזה כלל לא הסוף, כי גורמי אכיפת חוק מעריכים שהיקף הנזק של פשיעת הסייבר יצמח לכדי כ-10 טריליון דולרים בשנת 2025.

לוי מוסיף כי "מדובר במספרים בעלי משמעות לכלכלה העולמית, ובעיקר שארגונים ועסקים רבים משלמים כבר היום מחירים כבדים בגין פשיעת הסייבר. זה לא אירוע שאתה כבעלים או מנכ"ל של ארגון קורא עליו בעיתון או שומע בחדשות, זה אירוע שעסקים רבים חווים כחלק מהיומיום שלהם, בין אם המתקפה נבלמת או שההאקרים מצליחים לבצע את זממם".

ניקח לדוגמא את תעשיית פשיעת הכופרה. מחקר של יחידת הפשיעה הדיגיטלית בחברת מיקרוסופט מתאר את האופן בו היא פועלת. השיטה נקראת Ransomware as a Service, ר"ת RaaS, כשניתן לרכוש ב'רשת האפילה' (DarkNet) אלמנטים של מתקפת כופרה בצורה מודולארית כולל תעריפון לכול רכיב. ניתן אפילו לרכוש מקבוצת האקרים אחת מספר רכיבים הדרושים למתקפה, מקבוצה אחרת רכיבים נוספים, ואת הביצוע בפועל מקבוצה שלישית. עם כול תשלום כופר שקורבן משלם לתוקפי הסייבר למעשה מתעצמות היכולות שלהם, שכן הם משקיעים את הכספים חזרה בשיפור היכולות שלהם, ברכש אמצעים נוספים, בגיוס מקצוענים לתוך הקבוצה שלהם, בתכנון וניהול טובים יותר של המשאבים והמאמצים שלהם.

 

האירנים על חומות האש

"אני מקווה שקברניטי המדינה ומקבלי ההחלטות בעולמות הגנת הסייבר בישראל אינם חושבים שישראל מנותקת מהמתרחש בעולם", אומר ליאור לוי. "תשתיות המדינה הקריטיות, משרדי הממשלה והארגונים הגדולים במשק נמצאים תחת מתקפה מתמדת של קבוצות האקרים, ואסור לזלזל ביכולות התוקפים. אסור שנבנה קונספציה כאילו ישראל חזקה יותר מכול אויביה ודורשי רעתה במרחבי הסייבר. קונספציות מהסוג הזה קרסו ברגע האמת, דוגמת מלחמת יום הכיפורים, והן גם עלולות לקרוס בהיבט של עולמות הסייבר".

האורות האדומים כבר מהבהבים. מיקרוסופט הזהירה לאחרונה כי קבוצות האקרים, שלפי החשד קשורות לאירן, ניסו לפרוץ לחשבונות אופיס 365 השייכים לחברות ביטחוניות בארה"ב ובישראל, בהן כאלה המייצרות לוויינים, רחפנים, מכ"מים ומערכות תקשורת. עוד ציינה ענקית הטכנולוגיה כי ההאקרים הצליחו לפרוץ לפחות ל-20 מהמטרות, ושהקבוצה "ממשיכה לפתח את הטכניקות שלה ולשפר את מתקפותיה".

עוד לא ידוע מי עומד מאחורי המתקפה נגד בית החולים הלל יפה בחדרה, אך כבר ברור שמדובר במתקפה שתציין קו פרשת מים בתולדות הגנת הסייבר הישראלי, שכן זו הפעם הראשונה בה תשתית לאומית קריטית נפרצה, ונפגע התפקוד התקין של בית חולים משמעותי במדינת ישראל. התוקפים דרשו כופר בסך 10 מיליון דולרים, מערכות המידע נפגעו, בית החולים חזר לעבוד עם גיליונות נייר, והמומחים העידו כי די ברור שלא ניתן יהיה לשחזר את כול  המידע שאבד במתקפת הסייבר.

"מדובר בעידן בו מתקפות הסייבר הן כבר מסכנות חיים", מציין לוי, "זה מצריך שינוי דיסקט מיידי של כול קברניטי עולם הסייבר. התוקפים, בין אם מדובר בתקיפה בעלת רקע ביטחוני או על תקיפה בעלת רקע פלילי, אינם בוחלים באמצעים ואין להם קווים אדומים בהיבט של בחירת המטרות".

מתקפת כופרה נוספת התרחשה נגד אוניברסיטת בר-אילן באוגוסט השנה, במסגרתה נמחקו והוצפנו קבצי מידע. אומנם רשויות האוניברסיטה דיווחו כי מדובר על מתקפה זניחה, שלא פגעה במהלך התקין של פעולת מערכות המחשוב באוניברסיטה, אך עדיין נפגעו מספר עמדות מחשב ברשת המחקרית שלה.

אחת המדינות שמצויה במרכז של פעילות הסייבר נגד ישראל היא איראן. על פי הדיווחים השנה האירנים הפעילו מספר קמפיינים נגד ארגונים וחברות ישראליות, וניכר שמאז סוף 2020 טביעות היד של כמה מהתקיפות היותר מפורסמות מובילות ישירות לטהראן.

"צריך להבין איך הדבר הזה עובד. לא מדובר על האקר איראני תימהוני, סוג של מפגע בודד", מתאר לוי, "מדובר על ארגוני סייבר ממומנים על ידי הממשלה האיראנית ואשר פועלים כחלק ממנה. תארו לכם מגדל משרדים בלב איזור העסקים של טהראן, ש-5 קומות ממנו מושכרות לטובת קבוצת האקרים כזו, המעסיקה כמה מאות צעירים מוכשרים, ואשר פועלים יומם ולילה במשמרות, כאשר מול עיניהם מטרה אחת בלבד – לאתר את נקודת התורפה שתאפשר להם חדירה לתוך ארגון ישראלי בעל ערך. אלו יכולות להיות עיריות, חברות המים העירוניות, בתי חולים, משרדי ממשלה, אוניברסיטאות, נמלים, חברות לוגיסטיקה, חברת הרכבות, תשתיות אנרגיה וחשמל, חברות תקשורת ואינטרנט, מערכות של גופי החדשות הגדולים, ועוד".

לשפר מיידית יכולות ואמצעים

"הדרך היחידה להתמודד עם האתגרים הגדלים באופן אקספוננציאלי אינה באמצעים ליניאריים", אומר לוי. "כול CISO צריך לבחון בעין ביקורתית את מערך הסייבר אצלו בארגון ולשאול את עצמו כמה שאלות – האם הגשתי בקשה לדירקטוריון ולהנהלת החברה להגדלת תקציב הסייבר בהיקף של עשרות אחוזים? האם גיבשתי תכנית עבודה רב-שנתית המתייחסת לאיומים ולמענה שהארגון נדרש לבנות מולם? האם שילבתי כלים אוטומטיים מבוססי AI כדי לזרז את האופרציה? האם שילבתי הדרכות להעלאת ההיכרות של העובדים עם איומי הסייבר? האם ביצעתי מבחני חדירה (Penetration Test, ר"ת PT) למערכות המחשוב של הארגון? האם שילבתי מלכודות דבש במערך הסייבר הארגוני? האם ביצעתי תרגילי סייבר בארגון לתרגול מערכי הטכנולוגיה, אך גם המערכים העסקיים? האם גיבשתי תכנית recovery ממתקפת סייבר? אלו שאלות שהתשובה להן צריכה להיות חיובית, וארגונים חייבים לפעול בנחישות היום כדי לא להיות במרכזה של המתקפה הגדולה הבאה".

להתקדם לכלים עוצמתיים

האתגרים הינם רבים, ומחייבים התייחסות רצינית ועמוקה. "ארגונים נדרשים לבצע מחשבה מחדש על הארכיטקטורה של הגנת הסייבר שלהם", אומר לוי. "ארגונים רבים עדיין נסמכים על כלים שהתאימו לאתגרי האתמול, וזו יכולה להיות העת כדי להתקדם לכלים עוצמתיים, פשוטים ובעלויות סבירות, שמותאמים לעידן הדיגיטל".

דוגמא לפתרון כזה מציעה חברת Ivanti, יצרנית של פלטפורמה אחודה לניהול משאבי ה-IT הארגוניים, ומיוצגת בישראל בלעדית על ידי פרולוג'יק. החברה מציעה, בין השאר, פתרון המיועד לשדרג את כול תחום ה-Patch Management הארגוני, תחום שמהווה עבור ארגונים רבים נקודת תורפה, כש-40 אחוזים מכלל הפריצות לארגונים מקורן בניצול חולשות קיימות. הפתרון כולל יכולות אוטומציה מתקדמות, מנוהל בצורה מיטבית, אך הוא גם ורסטילי ומספק מענה למגוון רחב של סביבות.

למעשה Ivanti מציעה שלושה פתרונות לעולמות ה-Patch Management. הראשון, Ivanti Patch Management for Endpoint Manager המתמחה לתחום המחשוב האישי-הארגוני; השני Ivanti Patch for Linux, Unix, Mac המיועד לסביבות ההפעלה הנפוצות; והשלישי Ivanti Patch for MEM המיועד לעולמות האפליקציות צד ג'.

"למעשה Ivanti מציעה פתרון שסוגר בצורה הטובה ביותר את מכלול האפשרויות לביצוע תהליכי Patch Management", אומר לוי, "כשהפתרון כולל יכולות AI המסייעות בתעדוף של תהליכי הפצת הפאצ'ים. זהו פתרון אחד לסביבה מרובת פלטפורמות, שכול אחת מהן צריכה ודורשת טיפול ותשומת לב, תוך ביצוע תהליך מסודר של עדכוני תוכנה".

הסייבר של פרולוג'יק

כיום קבוצת פרולוג'יק מעסיקה כ-400 מקצוענים, מציין לוי, ואחוזים הולכים וגדלים מפעילות החברה נמצאים בעולמות הסייבר. למעשה, מתאר לוי, "החברה פעילה בשלושה תחומים מרכזיים – ובשלושתם תופס הסייבר חלקים הולכים וגדלים. האחד, מתן שירותי מיקור חוץ, שירותים מקצועיים, יועצים והטמעת מערכות במגוון רחב של תחומי תוכנה ו-IT. כאמור – בתחום הזה אנחנו מעסיקים כבר היום עשרות רבות של מקצועני סייבר, הן במשרדי הממשלה והן במגזר האנטרפרייז העסקי, והגידול שלנו בתחום פעילות זה הוא בקצבים מהירים מאוד".

"תחום שני, נוגע באאוטסורסינג לתחום הגיוס שאנו מציעים לחברות סטארט אפ. גם כאן, אנחנו עדים לביקוש הגובר והולך, ולתחרות המעמיקה בין חברות סטארט אפ על ליבם של עובדים בתחום הסייבר".

"התחום השלישי נוגע בייצוג בישראל של חברות טכנולוגיה גלובאליות המתמחות בתחומי התשתיות והסייבר. פרולוג'יק מייצגת כיום חברות שאבטחת מידע היא חלק חשוב בפלטפורמה שאותה הם מציעים – דוגמת SolarWinds, idera, Ivanti (שגם רכשה שנה שעברה את חברות אבטחת המידע MobileIron ו-Pulse Secure, ו-OneLogin. בהיבט הזה אנחנו נמצאים במעקב וניטור תמידי אחרי טכנולוגיות חדשות שיכולות לספק פתרון מתקדם ובעל ערך לשוק הישראלי".

יוצא מכך, מסכם לוי, ש"קבוצת פרולוג'יק מספקת כיום מענה היקפי של 360 מעלות, מקצה לקצה, לעולמות הסייבר – הן מענה בתחום כוח האדם, והן מענה בתחום הטכנולוגיות. אנחנו חיים את השטח, נמצאים בקשר הדוק עם המנמ"רים ומנהלי אבטחת המידע בארגונים השונים. בנוסף אנו גם ניזונים ממקורות מידע ומשאבים גלובליים, שמקורם בספקיות הטכנולוגיה שאנו עובדים איתן. השילוב הזה בנה אצלנו יכולות ומיומנויות גבוהות, שיודעות ומסוגלות להתמודד עם אתגרים קטנים כגדולים, ולרוץ קדימה יחד עם לקוחותינו".