אפשר להגדיר את שנת 2021 כשנה בה העולם החל להבין ולדון בתחום הסייבר על כל רבדיו. בשנה החולפת התרחשו מספר אירועים משמעותיים במיוחד בארץ ובעולם, שהשפיעו, וייתכן שעדיין משפיעים על חיי היומיום של מיליוני בני אדם.
"אירועי הסייבר הגדולים שהיו בשנה החולפת בישראל וברחבי העולם הם מקרים של גניבת מידע ושיבוש של שרשראות ייצור, כאשר פושעי הסייבר באשר מנסים להרוויח באמצעותם כמה שיותר כסף – עבור כמה שפחות מאמץ", הסבירה מאיה הורוביץ, סמנכ"לית המחקר בחברת צ'ק פוינט, "התוקפים השונים, בין אם הם גורמי טרור ובין אם הם גורמים מדינתיים, למדו בעצם שהמתקפות הרווחיות ביותר עבורם, כאשר הם יכולים להרוויח באמצעותן מיליוני דולרים הן מתקפות כופר – בין אם מדובר בהצפנה של מידע ושרתים שונים או גניבת מידע ואיום בהדלפתו".
לדבריה, השוני בין המתקפות השונות, הוא האופן שבו הן מבוצעות, כך שניתן להגיע באמצעותם לכמה שיותר בני אדם, דבר שיאפשר להאקרים להרוויח סכומי עתק. הורוביץ ציינה כי "מדובר במירוץ מסוים, במסגרתו כלל הגורמים הללו מנסים למצוא את הדרך שתאפשר להם לבצע מתקפות כמה שיותר רחבות, בדרך כלל באמצעות התקנות תוכנות תקיפה שונות". היא הדגישה כי "חלק ממתקפות הסייבר שהיו בישראל בשנה החולפת אינן הפשעים הקלאסיים, כאשר התוקפים שביצעו אותן מחפשים דברים נוספים".
לוטם פינקלשטיין מנהל המודיעין ומחקר הסייבר בצ'ק פוינט הוסיף כי "העובדה שבמהלך השנה האחרונה פורסמו יותר מתקפות סייבר אינה מקרית, והסיבה לכך מוזנת משני גורמים. ראשית, יש פה את המובן של בשלות הציבור – ככל שמדברים יותר על הנושא, מושגים כמו 'מתקפת כופרה' כבר לא נתפסים כדבר מורכב מדי, אבל מהצד שני, התוקפים עצמם בוחרים יעדים גדולים ומשמעותיים יותר". אחת הדוגמאות שפינקלשטיין הזכיר היא מתקפת הסייבר על צינור הנפט של חברת "קולוניאל פייפליין" האמריקאית, במהלכה המתקן שותק, דבר שהוביל לעצירת פעילות החברה למספר ימים. המתקפה הובילה למחסור בדלקים בחוף המזרחי, שכן כ-45 אחוזים מהדלקים בו מגיעים דרך הצינור.
"ההאקרים תוקפים כיום מטרות איכות גדולות, במטרה למקסם את הרווחים שלהם, ויוצרים הדים משמעותיים לכך בתקשורת. מדובר ביעדים איכותיים, שלא ניתן להתעלם מהם, והם בעלי השפעה משמעותית על חיי היומיום של האזרחים", הוסיף, "בין היתר, האזרחים באיראן לא יכולים להתעלם ממצב בו כלל תחנות הדלק במדינה הושבתו, וברחבי העולם לא יכולים להתעלם ממצבים בהם חברת תעופה נמצאת תחת מתקפה, או מקרים כמו נפילת הענן של אמזון או שרתי וואטסאפ ופייסבוק. במקרים כאלו, כבר לא מדובר בנישה קטנה בעולם הסייבר הטכני, אלא במתקפה מוחשית. "מצב בו אתר דוגמת 'אטרף' או בית חולים 'הלל יפה' נופלים קורבן למתקפת סייבר משפיע על חיי היומיום של כולנו, כאשר מידע אישי עלול לדלוף או שנגיע לבית החולים ולא נוכל לקבל טיפול רפואי".
פינקלשטיין ציין עוד כי "ההאקרים משתמשים בתקיפות על יעדים משמעותיים כדי להעביר מסר מסוים, ועצם ההפרעה המשמעותית לאורח החיים שלנו מוודא שהוא ייקלט בצורה מלאה וברורה. הרי, המטרה של מתקפת הסייבר שפגעה בתחנות הדלק באיראן לא היתה לאזן את מחיר הנפט בעולם". הורוביץ הוסיפה כי "המתקפה שפגעה בצינור הדלק בארצות הברית היא סיפור אחר לגמרי, שכן מדובר בפגיעה שלא ניתן לחיות איתה – השבתה של יכולת תדלוק הרכבים מובילה למצוקה משמעותית, ולמצב בו הקורבנות מוצאים משלמים את הכופר הנדרש. מדובר בפשע סייבר טהור".
ומה לגבי מתקפות על יעדים דוגמת בתי חולים?
הורוביץ: "במהלך השנה האחרונה, גופים רפואיים ובתי חולים ברחבי העולם היוו מטרה לפושעי סייבר רבים. הצפה או גניבה של מידע מבית חולים – זה ממש כמו להצמיד אקדח לרקה של מישהו".
פינקלשטיין: "למעשה, כבר שנים שבתי החולים הם יעד למתקפות סייבר, בין היתר כי יש להם מעט מאוד סובלנות להשבתה, והם עונים לדרישות ההאקרים מהר. במקרה של בית החולים הלל יפה – האירוע הפך מהר מאוד לאירוע לאומי, בניהול משרד הבריאות. בכל מקרה, אי אפשר להאשים את ההאקרים במידה ומישהו מת בבית חולים שהותקף".
המלחמה השקטה
במהלך השנה האחרונה, איראן חוותה מספר מתקפות סייבר, שפגעו בין היתר בתחנות הרכבת ובתחנות הדלק במדינה. המשטר בטהרן מיהר להאשים את ישראל בביצוען. "מבלי להיכנס לזהות אלו שביצעו את המתקפות הללו על איראן – בין אם מדובר בקבוצות אופוזיציה שונות במדינה, ובין אם מדובר בפעילות ישראלית, זה משרת את הסכסוך עם איראן", הסביר פינקלשטיין, "אנחנו נמשיך לראות את חילופי המהלומות הללו במרחב הקיברנטי, וסביר להניח שיתבצעו מתקפות נוספות – לפעמים יהיה מדובר בפשעי סייבר, ולעיתים אלו יהיו מתקפות מרקע אידיאולוגי. כדור השלג ימשיך לגדול".
הורוביץ הוסיפה: "בסופו של דבר, מימד הסייבר מאפשר לישראל ואיראן, וגם לארצות הברית ולסין, ובעצם למדינות נוספות לאסוף מודיעין, ולהיות במלחמה אחת עם השנייה - מבלי שנורה אפילו כדור אחד. למתקפות מהסוג הזה יש פחות השלכות מאשר למתקפה הכוללת חיילים בשר ודם, אבל בפירוש מדובר במלחמה, ואם תפרוץ מלחמת עולם שלישית, אז היא תתחולל במימד הזה. למעשה, יכול להיות שאנחנו בעיצומה של מלחמה ברגעים אלה – פשוט לא תמיד רואים את התוצאות בזמן אמת, וקשה לייחס אותן לגורם מסוים".
תחום מומחיות שונה
הורוביץ ציינה כי במהלך השנה השנה חל שינוי במספר אירועי הסייבר. "מספר החברות והארגונים שחוו ניסיונות של פגיעה באמצעות מתקפת כופרה הכפיל את עצמו פי שלושה", הדגישה, "הארגונים מכוונים כיום לגופים שישלמו להם מיליוני דולרים ויותר מזה, ולא מסתכלים לכיוונים של ארגונים קטנים יותר, שאולי ישלמו להם כמה אלפים בודדים. הם פשוט לא מתעסקים עם גופים קטנים יותר". פינקלשטיין הוסיף כי "ההאקרים משקיעים כיום יותר משאבים במתקפות – זה כבר לא מכונה שמבצעת את התקיפה, אלא זה בן אדם שיושב מול המחשב, ועושה הכל כדי להגיע לנכסים משמעותיים של החברה אותה הוא מנסה לתקוף – בין אם מדובר במאגר המשתמשים באתר 'אטרף' או בפוליסות של המבוטחים ב'שירביט'".
מי אלה ההאקרים שמוציאים לפועל את המתקפות הללו?
הורוביץ: "קשה לתת הגדרה כללית, פשוט כי המתקפות כיום מאוד מורכבות, ומאחורי כל אחת מהן עומדים מספר האקרים – אשר לכל אחד מומחיות אחרת, והם מוציאים אותה ביחד לפועל. בכל מקרה, המתקפות כבר לא מבוצעות ממרתפים חשוכים, היום הם יושבים במשרדים יחסית מסודרים, כשהם מוקפים בערימות של כסף, אבל עדיין לא מדובר במשרד בבניין רב קומות כמו של חברות ההייטק כיום".
פינקלשטיין: "פריצה לרשת ארגונית היא דבר מורכב, ולאחר מכן צריכים לפתח תוכנה שתצפין את הקבצים בצורה מהירה. לא סתם מדברים כיום על קבוצות האקרים, כי מדובר במספר אנשים שעובדים ביחד".
אתם חושבים שמישהו בארץ או בעולם באמת למד לקח מהמתקפות הללו?
פינקלשטיין: "זה לא בהכרח ללמוד לקח מסוים, פשוט צריכים להבין שזו טעות לחשוב שלא יהיו מתקפות סייבר, ושאין צורך להתכונן לאירועים כאלו. הגופים שמחזיקים במידע רגיש צריכים לעשות הכל כדי לוודא שהוא אכן מוגן".
הורוביץ: "אני חושבת שכן חל שיפור מסוים ברמת האזרח הבודד, כיום אנשים פחות לוחצים על לינקים שמגיעים בסמסים ובמיילים, ומבינים שיכול להיות שמדובר בניסיון למתקפה. מצד שני, אנשים עדיין מעלים לאתרים ושרתים שונים מידע רגיש, בלי לחשוב פעמיים מה יקרה אם המידע ידלוף. אולי המקרים האחרונים יגרמו לאנשים לחשוב פעמיים לפני שיעלו לרשת מידע מסוים. מבחינת החברות, נראה שעדיין לא חלחלה לחלוטין ההבנה שיש צורך למנוע מתקפות ולא רק לנתח אותן אחר כך".
"בשנת 2022 לא נראה בהכרח ירידה במספר המתקפות שמתרחשות ברחבי העולם, פשוט כי זה עובד להאקרים והם מרוויחים מהם המון כסף", הסבירה, "אם לפני שלוש שנים, סכום הכופר הגבוה ביותר ששולם היה 15 מיליון דולרים, בשנת 2021 הסכום עמד על 60 מיליון דולרים. הפשע משתלם להם, סכומי הכופר יעלו, ושיטות העבודה של ההאקרים ילכו וישתכללו יותר ויותר, בין היתר כי יהיו עוד חולשות במוצרים ומערכות".
פינקלשטיין הוסיף: "לא מדובר פה בביזנס נקי, אבל ללא ספק זה מצב של הצלחה גוררת הצלחה – הם מצליחים במתקפה אחת, ואז משתפרים לקראת הבאה, ומגיעים ליעדים חדשים, שמביאים אותם לכותרות". הוא התייחס למתקפות שבוצעו בישראל בשנה האחרונה, והסביר: "הרבה מתקפות עלו פה לכותרות, דבר שמושך שחקנים נוספים לנסות ולפגוע בישראל, נכון שמדובר פעמים רבות ברקע אידיאולוגי, אבל ההאקרים הבינו שפשוט יחסית להיכנס לארגון מסוים, ולעשות בו כרצונם, תוך שהם מצליחים על הדרך למקסם את האירוע מבחינה כלכלית. בשנה הבאה יהיו עוד מתקפות סייבר, וחלקן לא בהכרח יגיעו לכותרות – אבל הן יציבו את העורף בחזית".