תדמיינו סיטואציה שבה יום אחד אנחנו מתעוררים בבוקר לעוד יום מסחר רגיל בבורסה בתל אביב. רק שזה לא עוד יום מסחר רגיל. לאחר שעתיים של מסחר, לפתע אנחנו מגלים שהמדדים והמניות "קפואים" במקום ואין לנו יכולת למכור או לקנות ואין גם כתובת, כי כל המערכות של הבורסה משותקות. פחד ובלבול מכים בשווקים ובלית ברירה, כעבור שעה, הנהלת הבורסה יוצאת בהודעה מיוחדת מטעם המנכ"ל, איתי בן זאב, ומודיעה לעולם קבל עם ועדה, כי נוזקת כופר השביתה את מערכותיה של הבורסה ולא יתקיים מסחר עד שהמערכות ישובו לכשירות מלאה, מה שיכול לקחת ימים. בנוסף, הוא אומר כי כדי לשחרר את המערכות הרגישות, הבורסה נדרשת לשלם 20 מיליון דולר להאקרים שהשתלטו על המערכות. המדדים המובילים בבורסה וכל המניות הנסחרות יכולות ליפול ב-30% ואף אחד לא ידע מזה עד שיהיה מאוחר מדי ואנשים יפסידו מיליונים... מפחיד.

אז קודם כל, כדי להרגיע - מדובר בתסריט דמיוני לגמרי. יתר על כן, גורמים בכירים בבורסה אמרו כי אמנם מתקניה ושרתיה של הבורסה באחוזת בית "נמצאים תחת מתקפות חוזרות ונשנות, אך עד כה, אמצעי האבטחה המחמירים שמונהגים על הבורסה כתשתית קריטית לפי קריטריונים של משרד ראש הממשלה, הגנו מפני כל הבאים להזיק לה". בואו נקווה שלעולם חוסן ושכך זה גם יישאר.

אבל התסריט הזה לא רחוק מהמציאות. עשרות אלפי חברות מסחריות, כולל תשתיות קריטיות בחלק מהמדינות – כולל ארה"ב – נאלצו להתמודד עמן בשנה האחרונה. בסוף 2020 התוועדנו להאקינג הכי גדול עד אז של חברת סולארווינדז SOLARWINDS CORP (SWI), שהביאה לחדירה לכ-18,000 ארגונים, בהם גם משרד האוצר האמריקאי. אחר כך, פרצו לחברות הקשורות למשרד החוץ האמריקאי ואז פרצו והשתלטו על המערכות של חברת קולוניאל פייפליין, שמזרימה 40% מתצרוכת הנפט של החוף המזרחי בארה"ב, מה שיצר מחסור בדלק ותורים עצומים בתחנות הדלק. קולוניאל הייתה צריכה לשלם כופר של מיליונים. 

אבל זה לא הסוף. גם מפעליה בארה"ב ובקנדה של ג'יי.בי.אס JBS S.A. (JBS), יצרנית ואורזת הבשר הגדולה בעולם הושבתו והיא גם נאלצה לשלם כופר כדי להחזיר את השליטה במערכות. אחרי כן, גם מקדונלדס MCDONALDS (MCD) נפגעה ובשבוע שעבר נפגעו לקוחות של חברת ה-IT קאסייה, שדרכה נפגעו חברות ב-17 מדינות בעולם.

• סיד בהשתתפות חיים סבן גייס 9.5 מיליון דולר לסטארטפ אבטחת מידע ישראלי
• MIND גייסה 30 מיליון דולר: תכפיל את צוות המו"פ בישראל
• המלצת המערכת: כל הכותרות 24/7

בשוק העריכו כי בעקיפין נפגעו כ-36 אלף חברות. כהמשך לכך, מניות אבטחת הסייבר זינקו אתמול, עם פתיחת שבוע המסחר בוול סטריט. כך למשל, מנייתה של פאלו אלטו, מי שנחשבת לחברה הסמי-ישראלית הגדולה ביותר בוול סטריט, קפצה ב-6%. אבל היא בהחלט לא לבד. גם מניות אחרות בסקטור קפצו, כמו מניית  FIREEYE INC (סימול: FEYE) שעלתה ב-4.3%, מניית CROWDSTRIKE HOLDINGS INC (סימול: CRWD) קפצה ב-5% וחברת סייבר ארק  (CYBR) קפצה ב-3.2% כאשר התרבו הדיווחים כי מדובר בהאקרים הקשורים לרוסיה. יוצאת הדופן היא  צ'ק פוינט שלא טיפסה במסחר.

בכלל, מאז תחילת השנה ישנה עלייה של למעלה מ-100% בתקיפות סייבר בעולם וגם ישראל לא יוצאת מן הכלל. בסוף 2020 התגלה שמאגריה של חברת שירביט נפרצו והחברה נאלצה לשלם כופר. במאי השנה חברה וריטס, שעוסקת בניהול שרשראות אספקה נפרצה ומערכותיה נלקחו בשבי, למרות שהחברה הצליחה לשחררן ללא תשלום כופר. קצת לפני כן קבוצה איראנית השתלטה על מערכותיה של H&M ישראל.

במחקר של מצב הכופרות שערכה חברת סופוס ושפורסם אף הוא בתחילת מאי, עולה כי 49% מהחברות בישראל היו נתונות למתקפת כופרה, כש-35% נפגעו ממשית ממתקפות על מחשביהן. על פי המחקר, ממוצע התיקון של מתקפה עלה ב-12 החודשים האחרונים מממוצע של 761,106 דולר בשנת 2020 ל-1.85 מיליון דולר ב-2021. עבור הרבה חברות אלה לא סכומים פעוטים.

• מנכ"ל קוואלקום: "הבינה המלאכותית כנראה מוערכת בחסר"
• חברות המחשוב הקוונטי מדווחות - ההכנסות מזנקות, ההפסדים עצומים
• תוכן שיווקי שוק הסקנדרי בישראל: הציבור יכול כעת להשקיע ב-SpaceX של אילון מאסק
• הונאה של 2 מיליארד דולר - עונש של 11 אלף שנות מאסר - ומוות...

"ככל שיותר חברות ישלמו ככה יהיו לתוקפים יותר תמריצים לתקוף"

לביא לזרוביץ', מנהל המחקר של חברת סייבר ארק (CYBR) הישראלית הנסחרת בנאסד"ק, שנחשף לנוזקה החדשה שפגעה בקאסייה, אומר שהטרנד הזה של פגיעה בתשתיות רק ילך ויתרחב והוא מוטרד מהיעילות והחדשנות שמראים ההאקרים, למרות שהוא אומר כי אי אפשר לקבוע בוודאות מי עומד מאחורי תקיפות אלה, למרות הניסיונות של הממשל האמריקאי להאשים את הקבוצה REvil ודומותיה.

"מעבר לפריצות בפרופיל גבוה. יש שימוש בחולשה חדשה שלא הייתה מוכרת עד כה. מה שבולט לעין, זה שעד היום התקיפות היו מזדמנות ומתבססות על הגדרות אבטחה לא נכונות או ארגון שפתח בטעות את הרשת החוצה. היום זה כלי מאוד חזק, שעד כה השתמשו בהן קבוצות מאורגנות, שפעם הייתה שייכת רק לאלה שהיו מגובים על ידי מדינות. אז השימוש בכופרה והפצה איטית המבוסס על עדכונים וזה מאוד מטריד לראות".

לביא לזרוביץ', מנהל המחקר של סייברארק

יש קו מקשר בין כל הפריצות?

"הטרנד הזה של תקיפה של תשתיות שעליה מתבססים הרבה ארגונים אחרים, זו טכניקה שמייצרת המון אימפקט לצד התוקף, כי כל הארגונים שמחוברים לתשתית הזו נפגעים. מי בסוף עומד מאחורי זה, זה מאוד מורכב כי קל להתל במי שחוקר. יש גם איזשהו סימן שאלה, כי גם אם מישהו מאשים קבוצה מסוימת, זה לא כזה ודאי כי מאוד קל להתחבא מאחורי סרבר במזרח אירופה או אפריקה. בחלק מהמקרים יכול להיות שעומד גורם אחד, אבל יכול להיות שלא.

"עוד דבר בעניין הזה, עצם העובדה שתוקפים תשתית שנותנת שירות להרבה ארגונים, שנותנים שירותים להרבה ארגונים. יכול להיות שהתקיפה נגד סולארווינדז יצר את הקשר הראשון, אבל מאוד קשה לומר בשלב הזה".

יש איזשהו יתרון בשנים האחרונות, כי השחקניות בשוק הסייבר הבינו שזה משחק קבוצתי, כי "הוונדרים בשוק הבינו שאין ברשותם את כל הידע. אז הרבה שחקנים בתחום משתפים את הידע וזה מאפשר לכולם יחד לנתח ולהוציא אינפוטים איך להתמודד עם הכופרות והווירוסים. יש לנו את הקובץ האחרון ואנחנו נותנים מהידע שלנו איך להתמודד עם התקיפה ואיך לשמור על הזהויות בתוך המערכת".

ישראל נחשבת למעצמת סייבר, אבל כמה חשופות החברות הישראליות למתקפות?

"זה לחלוטין יכול לקרות, זה שהאקו סיסטם בארץ עשיר זה נותן לנו יתרון. אנחנו מתקשרים גם לא מעט עם מערך הסייבר הלאומי. השירותים שכל חברה יושבת עליהם יכולות להיות חשופות. אין מקום בטוח יותר. בעולם הישן, שבו היו דאטה סנטרים היה קל לבוא ולשים את הפייר וול, אבל עם המעבר לענן, הגדרות האלה פחות רלוונטיים ויש גדרות שהן יותר משמעותיות.

"אחד מהדברים שנאמרו על ענן שהנכסים שם בטוחים יותר, הן נכונות אמנם, אבל היום מבינים שמשטח התקיפה של הארגון השתנה. זה לא נעלם. יש אבולוציה. הטכנולוגיה השתנתה וגם שיטות התקיפה וזה אחד הדברים שאנחנו גם עושים במעבדה".

האם נכון לומר שהאמירה אמריקאית ש"לא מנהלים מו"מ עם טרוריסטים" כבר לא נכונה?

"המשחק הופך להיות תורת המשחקים. כל אחד מסתכל על הצלחת שלו. כל חברה ששילמה את המיליונים מסתכלים על הביזנס, בין כמה עולה להם וכמה שווה להם לשלם. ככל שיותר חברות ישלמו ככה יהיו לתוקפים יותר תמריצים לתקוף. אגב, גם חברות ביטוח נכנסות לתמונה וגם ממשלות מתחילות להתערב ולהחזיר כסף לחברות, אפילו באמצעות הקלות במס. זה גם נותן תמריצים לתוקפים וזה בהחלט טרנד מטריד."

העולם הזה רק הולך ומתפתח...

"לגמרי. סייברארק כמובן נותנת לזה מענה מבחינה של הגנה על זהויות והרשאות גישה והמעבדה עושה הרבה מאוד עבודה ללמוד על הטרנדים ולהתמודד איתם. לאחרונה כמה מדינות המליצו בדיוק את מה שאנחנו ממליצים, כלומר לבצע אימות רב שלבי לכניסה למערכות ממוחשבות, כדי למנוע מהאקרים גישה למידע.