ליאור לוי, מנכ"ל ומייסד פרולוג'יק, בסיכום ביניים לשנת 2020 של איומי הסייבר, מזהיר "הקורונה מניעה את פשיעת הסייבר העולמית לשיא של כול הזמנים, כשבנוסף אנו בישראל מצויים כבר בעיצומה של מלחת סייבר חשאית עם אירן, שאסור להקל גם בה ראש"
שנת 2020 מתקרבת לסיומה במהירות. מי היה מאמין רק לפני שנה שנהיה במקום בו אנו נמצאים היום? התפשטות מגיפה עולמית, משבר כלכלי, אי שקט חברתי. נדמה לעיתים שהיסודות הכי מוצקים של חיינו זזו בשנה האחרונה בצורה ובקצב שלא הכרנו בשום שלב בעשרות השנים האחרונות. תהליכים שונים קיבלו האצה, וכך אנו רואים את המעבר לעבודה ולימודים מהבית, או הטרנספורמציה הדיגיטלית שקיבלה האצה. עוד תחום שגדל בעוצמה השנה היה זה של מתקפות הסייבר. ה-FBI האמריקאי דיווח כי מאז כניסת הקורונה לחיינו הם רואים זינוק של 400% בכמות התלונות שמתקבלת בחטיבת הסייבר של הארגון בהשוואה לתקופה המקבילה אשתקד. יש יותר פישינג, יותר מתקפות כופרה, יותר DDoS, יותר דפי נחיתה מזוייפים, יותר הונאות סייבר, והמספרים נמצאים בגידול אקספוננציאלי. מגזין הטכנולוגיה העולמי Computer Weekly אף הגדיר זאת במילים הבאות "נגיף הקורונה הוא ככול הנראה איום אבטחת הסייבר הגדול ביותר מעולם", והוא כנראה לא טועה.
"האינטרפול, הארגון הבינ"ל לשיטור פלילי, מצא שישנה עלייה מדאיגה בכמות מתקפות הסייבר המופנות כלפי תאגידים עסקיים, משרדי ממשלה ותשתיות קריטיות, והרבה מזה קשור להתפשטות העולמית של נגיף הקורונה. אלא שבישראל ישנו גם איום נוסף ומשמעותי – התפתחותה של מלחמת סייבר ישראלית-איראנית, שניצנים שלה ראינו השנה, ואשר מציבה בפני מנהל אבטחת המידע הישראלי איומים ואתגרים מזן אחר לחלוטין", מציין ליאור לוי, מנכ"ל ומייסד חברת פרולוג'יק (Prologic), מקבוצות הטכנולוגיה וה-IT הגדלות במהירות היום בשוק הישראלי בכלל, ובתחום הסייבר בפרט. בראיון עימו סוקר לוי את ההתפתחויות והאיומים המרכזיים בפניהם ניצב המגזר הארגוני בתחום אבטחת המידע.
הפושעים משלימים הכנסה
ראשית ולפני הכול צריך להבין את המוטיבציות להגברת מתקפות הסייבר בתקופה הזו. "הסיבות לכך מגוונות", מסביר לוי, "יש מחקרים שטוענים שבני נוער נמשכים לבצע פעולות האקינג כי יש להם זמן פנוי בעקבות המעבר ללימודים בבית. זה אולי נכון, אבל זה מספק רק תמונה חלקית בלבד. חשוב כאן להבין שלא רק הכלכלה הלגיטימית ספגה מהלומה רצינית בעקבות התפשטות מגיפת הקורונה. גם ארגוני פשיעה מסביב לעולם חווים מהלומה כלכלית כתוצאה מהתפשטות הנגיף, ועבורם הגדלת זרוע הסייבר היא סוג של גיוון הכנסות, או השלמת הכנסה, בתקופה קשה".
קיים קושי להוציא לפועל פשיעה מסורתית, עקב סגרים, מגבלות תנועה, נוכחות מוגברת של רשויות האכיפה ברחובות, נעילת כניסות ויציאות מהמדינות השונות, ועוד. המעבר לפשיעת סייבר מאפשר לאותם ארגונים להמשיך בעבודתם, "להשלים הכנסה" בעבודה שניתן לבצע אותה מכול נקודה על פני תבל אל מול כול נקודה על פני תבל, וכול מה שנדרש הוא כוח אדם מיומן, כלים טכנולוגיים זמינים, וחיבור לאינטרנט. "גופי מחקר ומודיעין מעריכים את היקף ההכנסות העולמי של פושעי הסייבר השנה בכ-1.5 טריליון דולרים. זו כלכלה שלמה שמתנהלת מתחת לרדאר, ולא רק שהיא לא הפסיקה לעבוד מאז התפרצות הקורונה, אלא שלהפך, היא רק הלכה והתעצמה. רק לשם השוואה, פשיעת הסייבר העולמית גדולה מצירוף ההכנסות של אמזון, פייסבוק, מיקרוסופט, אפל, וטסלה - יחד".
עבודה מהבית
מחקר שביצע הבנק המרכזי של מדינת טקסס בארצות הברית בדק כמה עובדים מהבית ישנם מאז החלה התפשטות מגיפת הקורונה. המספרים הם פנומנאליים וממחישים את עוצמת המגמה של המעבר לעבודה מהבית, באנגלית – Work From Home, או בראשי התיבות WFH. בפברואר, ערב התפרצות נגיף הקורונה, שיעור העובדים מהבית עמד על 8.2%, המספר הזה גדל בשיאו של הסגר בחודש מאי ל-35.2%, והתייצב על 24.2% בחודש אוגוסט. "אנחנו רואים שבארצות הברית 1 מכול 4 עובדים המשיך לעבוד מהבית גם לאחר היציאה מהסגר הראשון", מציין לוי, "בישראל המספרים הם אפילו יותר גבוהים, שכן אצלנו אנו כבר חווינו גם סגר שני. למעשה, בישראל ישנם ארגונים בהם 80% מהעובדים המשיכו בעבודתם מהבית, בדגש על חברות טכנולוגיה ועובדי ידע".
העבודה מהבית התאפשרה אך ורק בזכות הטכנולוגיה, וארגונים המשיכו לעבוד ולתפקד כשהעובדים שלהם מתחברים מרחוק, אלא ששיטת העבודה החדשה גם פתחה סכנות חדשות לארגון. "ארגונים היו רגילים להגן על נקודות קצה המצויות אצלם בתוך המשרדים", מסביר לוי, "ופה פתאום בין לילה נקודות הקצה עברו מהמשרד למשרד הביתי, ובארגונים גדולים נוצרה תפוצה של אלפי נקודות קצה, שנדרש להגן עליהן מחוץ לרצועת הביטחון הארגונית. זה פותח אינסוף של פרצות הגנה פוטנציאליות שהאקרים מנצלים אותן, ופועלים בתוכן."
איומים פנימיים
המונח "המכובס" של איומים פנימיים מתייחס לאפשרות שעובדים בארגון בכוונה או בשוגג יגרמו לכניסה של גורמים זרים לתוך הארגון או לדליפת מידע מתוכו. לנו בישראל זכורה היטב הדוגמא של ענת קם, חיילת שבמהלך שירותה הצבאי בלשכת אלוף פיקוד המרכז, הוציאה כ-2,000 קבצי מחשב, מתוכם כ-700 הוגדרו כסודיים או סודיים ביותר, ומסרה אותם לידיו של עיתונאי הארץ, שפרסם על סמך אותם מסמכים סדרת מאמרים בעיתונו.
"לכול אחד נדמה שאצלו בארגון זה לא יכול לקרות", אומר לוי, "אבל מחקרים מראים ש-61% מהארגונים דיווחו בשנה האחרונה על לפחות מקרה אחד של עובד שהדליף מידע בכוונת זדון או בשוגג. 22% מהארגונים דיווחו על לפחות 6 מקרים כאלה אצלם בארגון. כך שמדובר בתופעה רווחת, שארגונים צריכים להיות מוכנים להתמודד איתה. הקורונה הוסיפה לאיום הפנימי נדבך חדש לחלוטין, וזה של עובדים שמפחדים מפיטורין, אוספים ואוגרים מידע על הארגון ועל לקוחותיו. זה הופך את התחום הזה ל"חם" עוד יותר ממה שהיה עד כה, וארגונים מפנימים את הסיכונים".
במקרה הזה לא מדובר רק על פשיעה כלכלית, אלא גם על ריגול של ממש. כך למשל, ה-FBI יחד עם ארגון פדראלי אמריקאי נוסף העוסק בריגול נגדי פרסמו לאחרונה סרטון המיועד לבכירים בעולמות הממשלה, עסקים ואקדמיה על שיטות גיוס ואיסוף מידע שמבצעות מדינות זרות באמצעות יצירה של רשת פרופילים מזוייפים, שעוטפת את אובייקט התקיפה, ומטרתה להונות ולגנוב מידע מהארגון דרך אותו פונקציונר.
ענן לא מאובטח
המעבר לענן הוא טרנד עולמי-גלובלי, חלק מתהליך הדיגיטיזציה של ארגונים. קצב הגידול של ספקיות הענן הגלובאליות, דוגמת אמזון AWS, או מיקרוסופט Azure, הוא מדהים. כך לדוגמא, היקף ההכנסות של AWS עמד על למעלה מ-35 מיליארד דולר בשנת 2019, וקצב הגידול ב-2020 עומד על כ-30%. זה אולי ממחיש טוב יותר מהכול את המעבר של ארגונים מכול הגדלים לענן.
אלא שיחד עם המעבר לענן צצים גם איומים וסיכונים חדשים. "לפני כשנה התגלה מקרה גניבת המידע של לקוחות הבנק האמריקאי Capital One. מדובר היה לא רק באחת מדליפות המידע הגדולות בעולם, זו בעיקר הייתה דליפת מידע בסדר גודל ענקי, שדלפה משרתי האחסון של ספקית שירותי ענן ציבורי מובילה", מציין לוי.
בדיווחים אודות דליפת המידע של Capital One מדובר על גניבת פרטיהם של 100 מיליון לקוחות. המידע שנגנב כלל את פרטיהם של הלקוחות, שכרטיסי האשראי שלהם בבנק חויבו בין השנים 2005 ל-2019, בנוסף למספריהם של 80 אלף חשבונות בנק, ומספרי הביטוח הלאומי של 140 אלף אמריקאים ועוד מיליון קנדים. רק לאחרונה קבע גוף רגולציה אמריקאי קנס בסך 80 מיליון דולרים אותם נדרש לשלם הבנק, וקבע כי הקנס נובע מכישלונו של הבנק לבצע הליכים יעילים של הערכת סיכונים לפני העברת המידע שברשותו למיחשוב ענן, ומכישלונו לתקן את הליקויים שהתגלו בתוך פרק זמן סביר.
מלחמת הסייבר הישראלית - אירנית
ואם לא די לנו בגלי מתקפות הסייבר הניחתים עלינו גם כך, אז אנחנו הישראלים זכינו לתוספת לא ידידותית משלנו בדמותה של מה שנראית כמלחמת סייבר חשאית שמתרקמת לה בין ישראל ובין אירן.
זה החל בתקיפה המיוחסת לאירן נגד מערכות המים של ישראל בתאריכים 24-25 באפריל השנה. בתחנת שאיבה אחת נרשמה חריגה בנתונים ו"אי סדירות"; בתחנה אחרת, משאבה נותקה ממצב אוטומטי מבוקר ונכנסה לפעולה ללא הפסקה, ובתאגיד מים נוסף נרשמה השתלטות על מערכת תפעול. הניו יורק טיימס דיווח במאי כי מאחורי המתקפה עמדו יחידות סייבר התקפיות של משמרות המהפכה של אירן.
ראש מערך הסייבר של ישראל, יגאל אונא, הגדיר בראיון עימו בסוף מאי את התקיפה כ"נקודת שינוי" בהיסטוריה של מלחמות הסייבר של ישראל. לדבריו, "הניסיון למתקפה על ישראל היה מתואם ומאורגן במטרה לפגוע במערכת המים ההומניטרית שלנו ואם היא הייתה מצליחה, היינו נאלצים להתמודד עם נזק לאוכלוסייה אזרחית ואף מחסור זמני במים שיכול היה לגרום לנזק ולאסון".
בהמשך הגיעו תקיפות, שיוחסו בעולם לישראל, נגד תשתיות הנמל הימי האירני הגדול בבנדר עבאס, ופיצוצים מסתוריים נוספים פקדו בשבועות הבאים מוקדים שונים באירן, בהם פיצוץ ושריפה בשטח מתקן העשרת אורניום ליד נתאנז.
המכון למחקרי בטחון לאומי (INSS) קבע בדו"ח שלו שהתפרסם ביוני השנה, כי "על ישראל להניח שיהיו ניסיונות תקיפה נוספים ומתוחכמים יותר מאלה שנרשמו עד כה".
"אנחנו לא שומעים את צפירות האזהרה, כי טילים או רקטות פיסיים לא נורו", מתאר לוי, "אך מה שאנחנו עדים לו היא תחילתה של מלחמת סייבר חשאית ישראלית-אירנית. הנזקים יכולים להיות פיסיים ומוחשיים לחלוטין, והמטרה מסומנת על משרדי ממשלה, תשתיות קריטיות, גופי מחקר ואקדמיה, וארגונים עסקיים גדולים. אסור לזלזל ביריב, הוא כבר הוכיח את יכולותיו בהשבתה של תשתיות נפט סעודיות לפני מספר שנים, וצריך לצאת מנקודת הנחה שיחידות האקרים אירניות מנסות לפרוץ לארגונים ישראלים, ואף מצליחות בכך".
הפתרון: פלטפורמה אחודה להגנת סייבר
האתגרים הינם רבים, ומחייבים התייחסות רצינית ועמוקה. "ארגונים נדרשים לבצע מחשבה מחדש על הארכיטקטורה של הגנת הסייבר שלהם", אומר לוי. "האתגרים גדולים, אבל זו יכולה להיות הזדמנות. תחום הסייבר בארגונים רבים עדיין נסמך על כלים שהתאימו לאתגרי האתמול, וזו יכולה להיות העת כדי להתקדם לכלים עוצמתיים, פשוטים ובעלויות סבירות, שמותאמים לעידן הדיגיטל. פתרונות אלו צריכים להיות מבוססי AI ו- ML, להתממשק אחד עם השני, ולייצר פלטפורמה אחת אחודה, שיכולה לספק יכולות ניטור ואבטחת מידע כוללות לסביבות המחשוב ההיברידיות של ימינו".
דוגמא לפתרונות כאלו מציעה חברת SolarWinds, המיוצגת בלעדית בישראל על ידי פרולוג'יק. כך לדוגמא, פתרון ה-SIEM של החברה – SolarWinds Security Event Manager – המאפשר איסוף וניתוח של לוגים המיוצרים ברשת הארגונית במקום מרכזי אחד, לזהות ולהגן מפני איומי סייבר מתקדמים, לספק מענה להתקפות סייבר, ולסייע במתן מענה לדרישות רגולטוריות. המערכת אף מאפשרת להעביר לתהליכים אוטומטיים פעילויות רבות שמבצעת מערכת SIEM מסורתית – דוגמת תגובה עצמאית לזיהוי פעילות חשודה ברשת הארגונית – החל מחסימה אוטומטית של כתובת IP חשודה, שינוי הרשאות, השבתה של חשבונות חשודים, חסימה של מכשירי USB, ועוד.
דוגמא נוספת מציע פתרון SolarWinds Access Rights Manager המיועד לספק מענה מפני האיומים "שבפנים" – המכונים Insider Threats. הפתרון מאפשר ניהול אוטומטי של ההרשאות בארגון, כולל אנליטיקה המסייעת בזיהוי חריגים ואכיפה של מדיניות ארגונית, מנטר את הגישה של משתמשים למערכות הארגוניות, ומייצר במהירות דו"חות המיועדים לרגולציה של תחום המשתמשים הפנימיים. המערכת גם מפחיתה מהנטל הקיים על אנשי הסייבר, ומפנה אותם למשימות יותר קריטיות.
הסייבר של פרולוג'יק
כיום קבוצת פרולוג'יק מעסיקה כ-300 מקצוענים, מציין לוי, ואחוזים הולכים וגדלים מפעילות החברה נמצאים בעולמות הסייבר. למעשה, מתאר לוי, "החברה פעילה בשלושה תחומים מרכזיים – ובשלושתם תופס הסייבר חלקים הולכים וגדלים. האחד, מתן שירותי מיקור חוץ, שירותים מקצועיים, יועצים והטמעת מערכות במגוון רחב של תחומי תוכנה ו-IT. כאמור – בתחום הזה אנחנו מעסיקים כבר היום עשרות רבות של עובדים, הן במשרדי הממשלה והן במגזר האנטרפרייז העסקי, והגידול שלנו בתחום פעילות זה הוא בקצבים מהירים מאוד".
"תחום שני, נוגע באאוטסורסינג לתחום הגיוס שאנו מציעים לחברות סטארט אפ. גם כאן, אנחנו עדים לביקוש הגובר והולך, ולתחרות המעמיקה בין חברות סטארט אפ על ליבם של עובדים בתחום הסייבר".
"התחום השלישי נוגע בייצוג בישראל של חברות טכנולוגיה גלובאליות המתמחות בתחומי התשתיות והסייבר. פרולוג'יק מייצגת כיום חברות שאבטחת מידע היא חלק חשוב בפלטפורמה שאותה הם מציעים – דוגמת SolarWinds, idera, Ivanti (שגם רכשה לאחרונה את חברות אבטחת המידע MobileIron ו-Pulse Secure); או חברות שסייבר מצוי בליבה של הפעילות שלהן – דוגמת: ReSec. בהיבט הזה אנחנו נמצאים במעקב וניטור תמידי אחרי טכנולוגיות חדשות שיכולות לספק פתרון מתקדם ובעל ערך לשוק הישראלי".
יוצא מכך, מסכם לוי, ש"קבוצת פרולוג'יק מספקת כיום מענה היקפי של 360 מעלות, מקצה לקצה, לעולמות הסייבר – הן מענה בתחום כוח האדם, והן מענה בתחום הטכנולוגיות. אנחנו חיים את השטח, נמצאים בקשר הדוק עם המנמ"רים ומנהלי אבטחת המידע בארגונים השונים. בנוסף אנו גם ניזונים ממקורות מידע ומשאבים גלובליים, שמקורם בספקיות הטכנולוגיה שאנו עובדים איתן. השילוב הזה בנה אצלנו יכולות ומיומנויות גבוהות, שיודעות ומסוגלות להתמודד עם אתגרים קטנים כגדולים, ולרוץ קדימה יחד עם לקוחותינו".