מי שפתח בשנה וחצי האחרונות את מהדורות החדשות בטלוויזיה, או הביט בעמודים הראשונים של העיתונים, נתקל בדיווחים רבים על מתקפות סייבר שהתרחשו בארץ ומחוצה לה. מבלי להתייחס לזהות הקורבנות, המעורבים (והמעורבים לכאורה), קשה לפספס את העובדה שהמתקפות הללו פוגעות ומשפיעות על כלל תחומי החיים ברחבי העולם.
לקראת אירועי שבוע הסייבר שיחלו בשבוע הבא, בהובלת מרכז הסייבר של אוניברסיטת תל אביב בשיתוף מערך הסייבר הלאומי, משרד הכלכלה ומשרד החוץ, וברקע הפריצה למערכות האזעקה בירושלים ובאילת, ישבתי לשיחה מיוחדת עם ד"ר יניב הראל, ראש תחום אסטרטגיה (CSO) במרכז הסייבר של אוניברסיטת תל-אביב.
בראשית השיחה, שוחחנו על הגורמים העומדים מאחורי המתקפה - בין אם הם לוקחים על כך אחריות בצורה ישירה ובין אם לאו. "קיים הבדל פעולה מהותי בין גורמי פשיעת סייבר בעולם לבין גורמים מדינתיים", הסביר ד"ר הראל, "גורמי פשיעת סייבר ממוקדים בדרך כלל ביכולת להביא תשלום מהגורם נתקף, ועל כן יעשו את רב מאמציהם כדי למקסם את התשלום הזה. התוקפים ינסו לברר שהגורם הנתקף מסוגל לשלם, ויעשו מה שניתן כדי לגבות ממנו סכום מקסימלי". לדבריו, לגורמי פשיעת הסייבר אין שום טעם להשקיע בחברה או ארגון שידוע מראש שלא יוכל לשלם להם - כי אז ברור שהמאמץ מיותר.
הוא המשיך והסביר כי "גורמים מדינתיים יפעלו דרך כלל בצורה דומה, אולם סוג היעדים שלהם יהיו אחרים. הם לא יפעלו להשגת תשלומי כסף (אם כי יש טענה שמדינות מסוימות משתמשות בערוץ הסייבר גם למטרות כאלו) אלא להשגת אפקטים אסטרטגיים שישרתו את האינטרסים של המדינה אליה שייכים". ד"ר הראל, לשעבר מנכ"ל קבוצת הסייבר של DELL ובכיר במערכת הביטחון, ציין: "פעמים רבות, בחסות היכולת להסתתר, מדינות בוחרות את המדיום הסייברי כדי לפעול בו ולגרום נזק לאחרות או להעביר מסר של אי שביעות רצון ממצבים מסוימים וכו'". הראל מציין כי נכון להיום התחום עדיין לא נמצא בשימוש פעיל על ידי מדינות רבות אולם צפוי שהשימוש רק יגבר.
עד כמה הפריצה למערכות האזעקה והפעלתן היא אירוע משמעותי?
"מדינת ישראל, כמו אחרות בעולם, עומדת בפני תקיפות סייבר מסוגים שונים. מן הסתם, תוקפים עשויים לנסות ולפגוע במערכות מרכזיות שונות, ובמידה והם לא מצליחים לעשות זאת - הם עשויים לעבור למערכות אחרות, כדי לרשום הישגים מקומיים כלשהם. בסופו של דבר, אין נזק גדול באופן כללי בפריצה למערכות אזעקה, הן משבשות את החיים למספר דקות ומנסות לפגוע ברוח האזרחים, תוך השפעה על ביטחונם הכללי. אזעקה מקומית עושה זאת לאוכלוסייה ספציפית מאוד. כמובן שלא צריך לזלזל גם בזה, ועלינו לנסות ולמנוע כל סוג תקיפה, אולם חלק מהחוסן הכללי הוא גם לא להתרגש מדברים כאלה, כי לא ניתן להגן הרמטית על הכל, ונכון לשים את רב תשומת הלב לדברים שעלול להיות להם נזק מהותי".
"למרבה ההפתעה, ההיערכות לאירועי סייבר דומה מאוד לתחומים אחרים בהרבה היבטים", הסביר המומחה, "בניגוד לתחומים קונבנציונליים בהם ההערכות לאיום צבאי ולאיום אזרחי נראים אחרת לגמרי, בתחום הסייבר הרבה מהפעולות דומות. עלינו להיות ערניים למערכותינו, לראות שהן מותאמות לצורך ומטופלות כמו כל פלטפורמה אחרת, יש להשקיע במערכות הגנה ובצוותי הגנת סייבר מיומנים בארגונים שלנו, אנחנו צריכים לוודא שיש לנו מתודולוגיות נכונות ושאנחנו נותנים תשומת לב להערכות ולאימונים רלוונטיים כדי שלצוותים תהיה כשירות מבצעית. עלינו לתדרך את העובדים ולייצר מודעות יותר גבוהה לאיומי הסייבר ויש להשקיע גם בחשיבה והערכות למקרה של תקיפות סייבר".
בעצם, עלינו להיערך לתרחיש של מתקפת סייבר ממשית.
"כן, אנחנו רואים הבדל מהותי בין ארגונים שנערכו קודם לבין כאלה שהדבר נופל עליהם בפעם הראשונה, ואני מתכוון לכל הדרגים. לאחרונה, באירוע של תרגול הנהלה בכירה באחת המדינות בה הייתי מעורב, תוך כדי שההנהלה גיבשה המלצה שצריך לעצור סוג של מתקפה ורצוי לשלם כופר כדי לצמצם את הנזק, הפתיע המנכ"ל את שאר חברי ההנהלה והסביר להם שלדעתו לא צריכה להיות בעיה להסביר לציבור את התקיפה והם ייקחו את הסיכון ולא ישלמו. כמובן שהתפתח דיון נרחב בהנהלה על העניין. זו דוגמא מובהקת של התלבטות, שכאשר נעשית בנחת (יחסית), ותוך כדי תרגיל התנאים לבחינת השיקולים השונים, טובה הרבה יותר מבעת מצב אמיתי. יותר מכך, מתפתחת יכולת תקשורת בין הגורמים השונים בארגון שמאפשרת התלבטות משותפת בדברים האלה. ארגונים כאלה מגיעים מוכנים הרבה יותר למצבי אמת".
סוגייה נוספת שעלתה במהלך השיחה היא שאלת המחיר הכלכלי - תג המחיר שמציבים התוקפים בפני הקורבנות. כאמור, ממבט על המקרים שהתרחשו בשנים האחרונות, ניתן לראות כי הסכומים שדווח כי הקורבנות נדרשו לשלם, היה שונה ממדינה למדינה ומיעד תקיפה אחד לאחר. "אין מחיר אחיד, וגם לא בדיוק מחירון, שכן הדרישות של התוקפים משקפות בדרך כלל את מה שצפוי שהארגון יהיה מוכן לשלם על פי רב בקורלציה לגודל של הארגון, סוג הביזנס שלו, גודל ההישגים שהתוקפים חושבים שהשיגו במסגרת התקיפה, ורוח התקופה שגם היא משתנה מעת לעת", הסביר.
לדבריו, את המחיר הזה יש לחבר לסיכוי לקבל את הכסף. "כאן נכנסת אבחנה חשובה לגבי השיטה: בשונה מכל התקשרות בין שני גורמים, בהם בדרך כלל ניתנת הצעה לפני, מסכימים על מחיר ואז מתבצעת העבודה או השירות - בתחום מתקפות הכופר סדר העניינים הוא הפוך. קודם התוקף עושה את כל העבודה, מנסה לתקוף, לחדור לארגון, להשיג נכסים בעלי משמעות ועוד, ורק אז הוא פונה ללקוח ומנסה לגבות כסף", ציין ד"ר יניב הראל, "מסיבה זו, כאשר מתקיים ניסיון הגבייה, התוקף כבר השקיע את מאמציו, וכעת יש שאלה כמה יצליח לגבות על ההישגים שהשיג. בשלב הזה מתקיים קרב מוחות בין התוקף שמנסה למקסם את הסכום ובכלל להבין אם יקבל כסף, לבין הנתקף שמעדיף לא לשלם ואם כן אז כמה שפחות".
"בשנה האחרונה ראינו תוקפים שהפסיקו את מאמצי התקיפה כעבור מספר ימים, לאחר שהעריכו כי לא יצליחו להשיג תשלום, או כאלה שלא התמידו במשא ומתן - גם כן מסיבה זו", אמר.
נשמע שרמת המומחיות של התוקף היא צד רלוונטי נוסף.
"בהחלט. מדובר במשא ומתן בין תוקפים שעושים זאת מדי שבוע, לעומת חברות שחושבות שיעשו זאת עם שכל ישר והיגיון בריא, אך הן מגלות את חשיבות המומחיות דרך ההתנסות השלילית. באופן כללי, בתחום הסייבר קמים תחומי התמחות חשובים וחדשים, ונבנית תורה בתחומים שונים בתקופה זו של העולם".