הפלתם של אתרי קופ"ח מאוחדת וחברה קדישא לזמן קצר שלשום כמעט חמקה מן הכותרות, אבל האירוע במרכז הרפואי שיבא בתל השומר בשבת נשמע כמו מימוש התסריט הקלאסי של מתקפת סייבר: "בית החולים של המדינה" נותק באופן יזום מהאינטרנט. העובדים התבקשו שלא לגלוש כלל ברשת ולעשות שימוש רק ברשת הפנימית. החשש מפני מתקפת סייבר אומנם הוסר אחרי זמן קצר, אבל האירוע מלמד על סף הרגישות הנמוך בישראל בימים אלה לאיום הדיגיטלי: כל חשד נבדק, ולו הקל שבקלים. מערך הסייבר ומשרד הבריאות הודיעו כי מדובר בחלק מפעולות יזומות שמחייבות הפסקה זמנית של חיבורים מרחוק.
כתבות נוספות למנויי +ynet:
יומיים לפני כן, בשעת לילה, הוציאו מערך הסייבר, השב"כ וצה"ל אזהרה משותפת נדירה מפני מתקפת פישינג (דיוג, ניסיון לגניבת מידע רגיש על ידי התחזות) באמצעות הדואר האלקטרוני, הצפויה בימים הקרובים. מדובר בהודעה זדונית במיוחד, הכוללת הבטחה למידע אודות חטופים ונעדרים בצירוף קישור מתחזה, שלחיצה עליו גורמת להתקנת קובץ המאפשר גישה למידע במכשיר שלכם ושליטה בו.
הרשתות החברתיות מוצפות מתחילת המלחמה בפייק ניוז — מידע מטעה, סרטונים מזעזעים, איומים ומסרי שטנה. בניגוד לפריצות סייבר — הפייקניוז מכוון להפחדה או להסתה, ולא דורש שום תחכום טכנולוגי; כל פרחח עזתי יכול להפוך לאושיית טלגרם, הרשת החברתית הפרוצה בעולם שלא מחויבת לשום סינון. אבל האיום המשמעותי יותר, ברמת המדינה — זה שיכול לפגוע בתשתיות הביטחוניות, הכלכליות והבריאותיות, לשבש מערכות קריטיות ולחשוף מידע רגיש — הוא פריצה למערכות מחשבים. חדירה לרשתות הצה"ליות, שיבוש אספקת המים והחשמל במדינה, ניתוק רשתות סלולריות וזריעת כאוס בעבודת בתי החולים הם כבר נשק עוצמתי של ממש.
לא רוצים לפספס אף כתבה? הצטרפו לערוץ הטלגרם שלנו
ראש מערך הסייבר הלאומי, תא"ל (מיל') גבי פורטנוי, מספר כבר תקופה ארוכה, כי הפלישה הרוסית לאוקראינה "הורידה אצלנו המון אסימונים". שני הצדדים, בעיקר הרוסים, הפעילו במלחמה הזו מתקפות סייבר בשילוב ובתיאום עם מתקפות צבאיות. יום לפני הפלישה תקפה נוזקה מתוחכמת כ־200 רשתות שונות באוקראינה; וכשהצבא הרוסי התמקד בהפצצת תשתיות חשמל ומים מן האוויר, מתקפות סייבר אגרסיביות גיבו אותן מן הקרקע. אוקראינה, בתגובה, הקימה "צבא IT" יעיל של האקרים, שהתנדבו למאמץ המלחמתי ברוסיה.
אבל למה ללכת רחוק: רק לפני שבוע דיווח ערוץ הטלגרם "אבו עלי אקספרס", כי יחידת סייבר של צה"ל השתלטה על ערוץ הטלוויזיה של החמאס. על פי הדיווח, הערוץ שידר תיעוד של ההרס בעזה עם מסר לתושבים — להתפנות מבתיהם מיד. במקביל, קבוצת האקרים ישראלית בשם "וי רד איבלז" התפארה כי הצליחה לפגוע ברשת החשמל באיראן ולהחשיך אזורים שלמים בטהרן ובכפרים שמסביבה.
לפי פורטנוי, מדינת ישראל מתמודדת בימים אלה מול כ־15 קבוצות תקיפת סייבר מדינתיות, איראניות ושל חיזבאללה, שמתרכזות באיראן ובלבנון. "אנחנו יודעים מהעבר שיש קשר ישיר, רשת אחת, בין חמאס, חיזבאללה ואיראן, אם כי אני מניח שבשבועיים האחרונים חמאס נפגע משמעותית בתשתיות שלו, גם בתחום הסייבר". ל־15 הללו מתווספים הרבה מאוד האקרים אקטיביסטים עצמאים מכל העולם, שמופעלים על ידן כשיטת עבודה.
לפי נתוני מערך הסייבר, וגם לפי ענקית האבטחה הישראלית צ'ק פוינט, מספר תקיפות הסייבר על מטרות בישראל עלה בכ־20% מאז פרצה המלחמה. מדי יום נבלמים אלפי ניסיונות חדירה לתשתיות הקריטיות. זוהי עלייה דרמטית, אך בשני הגופים מעידים, כי לא מדובר בינתיים בתקיפות משמעותיות ומסוכנות במיוחד. יותר ממחציתן מתרכזות כמובן בארגונים ממשלתיים, בארגוני תשתית ובמערכת הביטחון. גם בנקים ומותגים ישראליים מוכרים חביבים במיוחד על תוקפי הסייבר.
איך זה שלא ראינו עד כה מתקפת סייבר משמעותית על ישראל?
פורטנוי: "זו בדיוק המשימה שלנו — שהסייבר לא יהווה ממד נוסף בלחימה. שלא תטעה: אנחנו מונעים תקיפות כל הזמן. כלקח מהמלחמה באוקראינה נערכנו עם הבנה עמוקה מה זה 'חרום סייברי'. גייסנו 50 אנשי מילואים, שמתווספים בעבודה 24 שעות ביממה לכ־200 העובדים שלנו בשוטף. יש גם לא מעט מתנדבים, והמספר עולה כל הזמן. בנוסף, 40 חברות אזרחיות נמצאות במוכנות מיידית לסייע בחינם למשק, בכל מקרה שיתפתח.
"המאמץ הראשון שלנו הוא בצה"ל — מאמץ מרוכז להגנה, לאבטחת שרשרת האספקה וכל מה שקשור ללחימה. אנחנו עובדים בצמוד עם אגף ההגנה בסייבר ויחידה 8200. המיקוד השני הוא בתשתיות המיידיות הקריטיות — חברת החשמל, 'מקורות', בתי החולים ועוד — שם העלינו כוננות וצימצמנו את 'משטח התקיפה', כלומר הורדנו כל מה שהיה מחובר לאינטרנט הכללי ולא הכרחי לתפקוד שוטף, לפעמים אפילו קצת על חשבון השירות".
וזה ההסבר לניתוק האינטרנט הזמני בשיבא.
"בדיוק. כיוון שאנחנו רואים סיכון מיוחד בתקיפת בתי חולים, אנחנו מתעדפים אותם. יש לנו עשרות צוותים שעובדים עם בתי החולים בארץ ומגביהים 'חומות הגנה'. אנחנו עובדים בצמוד ליחידה המגזרית של משרד הבריאות ונהנים משיתוף פעולה מלא".
בטבע האנושי אין חדש: שיטת הפריצה הפופולרית והמוצלחת ביותר היא הפעלת קובץ זדוני באמצעות קישור המצורף להודעה תמימה לכאורה. ההאקרים מנסים כל דרך מניפולטיבית אפשרית כדי לפתות אותנו ללחוץ עליו, כולל שימוש בזיופים של הודעות מאתרים מוכרים. הנפוצות ביותר בשבועיים האחרונים, שניצלו בציניות את רגשות הציבור, היו הפניות לאתרים המוקדשים ל"דיווחים על נעדרים וחטופים", ל"מילוי בקשות לנשיאת נשק", ל"תרומות עבור מפוני העוטף", ול"התראות ועדכונים חמים". ההודעות המזויפות הפכו נפוצות כל כך, עד שבשבוע שעבר השיקה חברת הסייבר הישראלית "קונפידס" בוט חינמי לווטסאפ בשם IronBot ("בוט ברזל"), שבודק כל קישור לאינטרנט המופיע בהודעה ומחזיר תשובה אם הוא מסוכן או לא.
דוגמה טובה במיוחד לסכנה הטמונה בקוד שהושתל בתוכנה היא אפליקציה זדונית מזויפת המתחזה לאפליקציית "צבע אדום" (Red Alert) הפופולרית — אפליקציה פרטית להתרעה מוקדמת המתחרה בזו של פיקוד העורף. האקרים התערבו בקוד המקור (הפתוח לכל) של האפליקציה, ופשוט החדירו לתוכו קוד, שיודע להעתיק מהסמארטפון נתונים, הודעות ושיחות. מי שהתפתו להוריד את האפליקציה באמצעות קישור שקיבלו לא הרגישו בדבר — האפליקציה המשיכה להתריע מפני נפילות טילים. אגב, אפילו כתובת הקישור הייתה דומה מאוד לכתובת האתר המקורי. עם חשיפתו, האתר המזויף נעלם מהרשת.
בשבוע הראשון למלחמה, לזמן קצר, הציגו שלטי פרסום דיגיטליים באתרים מרכזיים בתל־אביב ובחולון דגלים פלסטיניים וכתובת "פלסטין חזרה ותנצח" בעברית. מנכ"ל חברת CTV המפעילה את השלטים סיפר, כי החברה דווקא דאגה לנעול את הגישה לשרת שממנו היא מנהלת תכנים פרסומיים — שרת שהתברר כנגוע בנוזקה — אך הפורצים ניצלו דקות ספורות שבהן נפתח מחדש, לצורך עדכון.
מלבד סכנת הקובץ הזדוני, שעם הלחיצה עליו משתחרר קוד מסוכן המסתתר במערכת עד להפעלתו ביום פקודה, בסל איומי הסייבר מככבת גם סיסמת ברירת המחדל הגנרית — סיסמה בסיסית (למשל 1234 או admin), שמלווה מכשירים רבים היוצאים מקו הייצור, אך רוב הרוכשים לא טורחים לשנות אותה. מצלמות אבטחה, למשל. בשבועיים האחרונים פירסם מערך הסייבר אזהרה חוזרת המתייחסת למצלמות כאלה. הראשונה נוגעת למצלמות ביתיות. השנייה, מלפני שלושה ימים, מזהירה גם ארגונים, כי גורמים עוינים עשויים להשתלט על מצלמות האבטחה שלהם כדי לאסוף מידע. ההמלצה היא ניתוק מיידי או מניעת גישה אינטרנטית למצלמות, במיוחד אלו הצופות לאזורים ציבוריים או למתקנים רגישים.
החמ"ל המבצעי במערך הסייבר מאויש במומחים, שתפקידם לזהות את סוג האיום ולספק לו את המענה — מעזרה ראשונה לאזרח מבוהל המחייג למספר 119, עד הכוונה, כלים לטיפול והנחיות לחברות ולגופים במשק. המערך הוא לא השחקן היחיד במגרש: לכל אחד מגופי הביטחון במדינה יש יחידת סייבר משלו — לצה"ל, לשב"כ ולמוסד. לכל אחת תחומי פעילות מוגדרים, אך קיימים ביניהן גם מרחבים גדולים של חפיפה. לצידם פועלות בשוק ההייטק האזרחי עשרות חברות סייבר, שחלקן התאגדו בימים אלה והן מציעות בהתנדבות, מתחילת המלחמה, שירותי הגנה בסיסיים, וכן סיוע ועזרה במקרה של מתקפות סייבר.
רשימה חלקית: "המרכז האזרחי לתיאום פעילות בתחום הסייבר" (ILC4) הוקם בסיוע עמותת בוגרי 8200; חברת אבטחת הסייבר "סיינט" (Cynet), מציעה את מוצריה לאבטחת תשתיות קריטיות ואזרחיות, וחברת Pentera מספקת לגופים ממשלתיים בדיקת מוכנות של הרשת הארגונית שלהם ללא עלות. ואלה רק טיפה בים. לאלה נוספים מרכזי הפיתוח של חברות הענק בינלאומיות כמו מיקרוסופט וגוגל, המתמחות בישראל בתחום הסייבר. גוגל, למשל, הודיעה כבר בשבוע הראשון ללחימה, כי צוות מיוחד שלה חוקר דיווחים על התקפות "מניעת שירות מבוזרות" (DDoS) — הצפה של אתרים בפניות מבחוץ עד לקריסתם — נגד אתרים של ממשלת ישראל על־ידי האקרים אקטיביסטים שמזוהים עם חמאס ורוסיה.
זה נראה כמו פיזור מאמץ מוגזם. לא נדרש כאן שיתוף פעולה עם החברות האזרחיות?
פורטנוי: "בהחלט. בשגרה יש לנו פורום צוותי IR (Incident Response, תגובה לאירוע), שכולל גם גופים אזרחיים. הסבנו אותו עכשיו לחירום, וכל החברות השותפות בדריכות מלאה. חוץ מזה, עשרות חברות המוכנות לתת סיוע הגנתי בסייבר בהתנדבות נרשמו באתר שלנו, ועכשיו אנחנו פשוט משדכים בינן לבין הגופים הזקוקים לסיוע. אנחנו כבר פועלים בכ־12 עיריות וזו הצלחה אדירה".
מערך הסייבר הלאומי לא אמור לעסוק בפייק ניוז, אבל בעקבות ההצפה ברשתות החברתיות ועוצמת הקרב המתפתח על התודעה בשבועיים האחרונים, חבר החל מן השבוע שעבר לעשרות גופים אזרחיים הפועלים בהתנדבות וביעילות נגד הודעות הפייק.
פורטנוי: "גם כאן יש אין סוף יוזמות פרטיות במשק, ואנחנו מנסים עכשיו לאגד אותן. ההצפה גורמת לאנשים לחשוד בכל דבר, אז לקחנו על עצמנו לבחון הודעות חשודות ולספק 'חותמת' מדינתית להודעות שאין בהן בעיה. כשהודעה מקבלת 'הכשר' ממערך הסייבר — זה מספק לאנשים ביטחון. אני מקווה שכבר בימים הקרובים נראה תוצאות משמעותיות.
"קיבלנו על עצמנו גם לפעול גם בתחום הכלכלי, בשיתוף עם המט"ל (המטה ללוחמה כלכלית של משרד הביטחון), המוסד, המשטרה, הרשות להלבנת הון ועוד חברות, מול תשתיות גיוס הכספים של החמאס, בעיקר בתחום הקריפטו. אנחנו עוסקים בזה גם בתחום המודיעיני.
"אנחנו במירוץ לטווח ארוך, ויש עוד הרבה לפנינו. אסור להיות שאננים. אנחנו מעודדים את כולם להכיר את ההנחיות וההמלצות שלנו, ובכל מקרה של חשד להתקשר למספר 119; זהו כלי חשוב, והייתי רוצה שאנשים יתקשרו יותר, גם אם בהרבה מקרים מדובר בחשד שווא. מצד אחד זה משרת את הציבור, ומצד שני זה מאפשר לנו לעקוב אחר המגמות בשטח".