מתקפת הסייבר על חברת הביטוח שירביט נמצאת בעיצומה והחברה מקיפה את עצמה ביועצים: בין השאר היא גייסה מומחי משא ומתן עם עברייני סייבר ואת חברת ניהול המשברים של רונן צור. חברת ביטוח זרה, המבטחת את שירביט, גייסה מומחים מטעמה לפיקוח על המתרחש. בשלב זה שירביט נמנעת מלמסור מידע על המתרחש בחזית ההתמודדות וגם גופי הפיקוח, בהם מערך הסייבר, רשות שוק ההון והרשות להגנת הפרטיות נמנעים מלמסור מידע לציבור על פעילותם במשבר.
מהלך מתקפת הסייבר הפתיע את המומחים, שטוענים כי הפרופיל התקשורתי הגבוה שבו בחרו התוקפים עלול להעיד על כוונה לערער את ביטחון הציבור, ויתכן כי מדובר במתקפה של מדינה זרה, אולי איראן, ולא של האקרים בעלי כוונות רווח בלבד.
עדכון: מידע שהגיע לידי ynet מעלה, כי למרות שחברת שירביט רכשה מערכת שנועדה להתריע על משיכת מידע בכמויות גדולות ממחשבי החברה, המערכת לא הופעלה כיאות ולכן לא הזהירה על פעילות פעילות ההאקרים ואיפשרה להם למשוך טרה-בייט נתונים, לפי טענתם.
עינת מירון, מומחית להתמודדות עם אירועי סייבר, אומרת כי חברת שירביט לא תוכל להעביר את סכום הכופר הנדרש – מיליון דולר בשלב זה – מבלי שתסתבך בהפרת החוק לאיסור הלבנת הון: "דרישת הכופר מתחילה ב-50 ביטקוין (כמיליון דולר) אבל הסכום יעלה עד ל-200 ביטקוין. האמת היא, שבלתי אפשרי להעביר סכומים שכאלה מבלי לעבור על החוק לאיסור הלבנת הון ולכן שירביט תצטרך להפר את החוק כדי לרכוש את המטבעות מחלפן שפועל ללא רישיון, וגם זה יתאפשר רק לאחר 3-7 ימים".
מירון הביעה תמיהה מדוע הרגולטורים, בהם רשות המסים, רשות שוק ההון, הרשות לאיסור הלבנת הון והרשות להגנת הפרטיות, אינם מתערבים. "איפה אתם, למה לא שומעים מכם ואת עמדתכם?" שאלה.
עדכון: בשעות הערב העבירה שירביט סרטון שבו מתייחס מנכ"ל החברה, צבי ליבושור, לאירוע, זאת לאחר שנמנע מלהשיב לשאלות של כלי התקשורת. בסירטון אומר ליבושור: "שירביט מתמודדת בימים האחרונים עם אירוע סייבר משמעותי ומורכב שחורג בסוגו מאירועי תקיפה דומים בעבר. הדבר החשוב ביותר עבורי הוא הגנה על לקוחות החברה ולכן נבנתה סיירת של מומחי ניהול המשבר המנוסה ביותר בישראל, לצד ליווי צמוד של מומחי מערך הסייבר הלאומי והרשויות הממלכתיות. אנחנו נמצאים במעקב אחרי כל התפתחות ומעדכנים את הלקוחות באופן שוטף ככל שנדרש. לחברה יש גיבוי מלא של הנתונים הרלבנטיים, ואנחנו פועלים לסגירת האירוע מהר ככל הניתן וחזרה לשגרה בימים הקרובים".
השאלה העיקרית המעסיקה את המומחים היא מדוע התוקפים פועלים באופן גלוי, כולל שיחות עם עיתונאים, בניגוד לאירועי כופרה וגניבת מידע שמתנהלים ישירות מול הנהלות החברות. דורון הדר, מומחה למשא ומתן עם תוקפי סייבר שחזה כבר אתמול כי דרישת הכופר תגיע, אומר היום כי מדובר במתקפה עם מאפיינים מסוג חדש: "ראינו סימנים ראשונים של הגישה החדשה במתקפת pay2key לאחרונה, כשהתוקפים עוברים לפלטפורמות פתוחות".
יורי קוגן, מומחה לניהול משברים ומשא ומתן באירועי סייבר, אומר כי כל הסימנים מראים שכוונת ההאקרים אינה לקבל כסף: "התנהלות התוקפים מאוד לא טיפוסית וזה מעלה מחשבה שדרישת הכופר אינה המהות אלא מהלך מסיח דעת. התקשורת בערוץ הציבורי לא משרתת את המטרה שלו, אלא אם הכוונה היא להטיל פחד ומורא על הקורבן. זה נראה אירוע, שמטרתו לזרוע אנדרלמוסיה, להקים מחאה בציבור ומי שיכול להיות מעוניין בזה הוא גורם מדינתי, שיש לו מטרה לפגוע בסדר הכלכלי במדינת ישראל".
ד"ר הראל מנשרי, ממקימי מערך הסייבר בשב"כ וראש מערך הסייבר במכון טכנולוגי HIT, אומר גם כי שאין מדובר באירוע כופר רגיל: "יש כאן פעילות תודעתית, שמנסה לשטות בחברה ובציבור הרחב כדי לעורר מבוכה ולמקסם את שולי הרווח של התוקפים".
חברת שירביט אמנם לא מדווחת על פעולותיה מול התוקפים, אבל למומחי הגנת הסייבר יש הערכה מהיכרות עם מקרים קודמים. ליעד הרמן, מנכ"ל ומייסד חברת הגנת הסייבר סייפהאוס טכנולוגיות, אומר: "המצב בהנהלת שירביט ככל הנראה כרגע הוא של פאניקה. יש להניח שהם כבר שכרו צוות לעזרה ראשונה וניהול משברי סייבר דוגמת 'מיתיגה' או חברות אחרות". עו"ד יובל ששון, שותף במשרד מיתר עורכי דין, אומר: "מנסיוני, יש כרגע הרבה לחץ. חברה באירוע כזה עוברת אירוע טראומטי. אני מקווה שהיו ערוכים מראש למקרה של תקיפת סייבר, שתרגלו אותה בעבר ושיש להם נוהל מסודר לעניין".
עינת מירון מותחת ביקורת על התנהלות החברה: "כל האירוע מנוהל רע מאוד, אם בכלל. להערכתי בהנהלת שירביט שורר כאוס, הם לא ישנים. כרגע הם מנסים להראות לרגולטור, שמדובר בכוח עליון והם לא אשמים, וזה כדי למזער את ההחלטה כיצד לפעול נגדם".
מנשרי מוסיף: "עם מעורבות גורמי המדינה וגורמי מערך הסייבר אין לי ספק שהחקירה המתקדמת וגם הנהלת החברה יודעת מה קרה כאן. אני כאזרח הייתי מצפה שהנהלת החברה תצא בהודעה ללקוחות שתגיד מה יודעים היום שלא ידענו אתמול ולהבטיח שכל לקוח יקבל הודעה פרטנית מקרה לגביו, אם קרה בין אם נפגע ובין אם לאו. הלקוחות צריכים לקבל מידע מה נגנב ומי שצריך לקבל אבטחה".
הרמן מאשים את שירביט בכישלון בשמירה על נתוני הלקוחות: "בואו לא נתבלבל, הקורבן הוא אנחנו. חברת הביטוח קיבלה לידיה מיליונים של נתונים אישיים ונכשלה בשמירתם, ברמה כזאת שאפילו אם תשלם את הכופר אין לנו ערב שההאקרים אכן ימלאו את הצד שלהם בעסקה ולא ישמרו אצלם את מאגר הנתונים".
עו"ד ששון אומר כי מעורבות גופי הפיקוח של המדינה חיונית בשלב זה: "אני רוצה להאמין שמעבר להתמודדות של שירביט, מדינת ישראל מבינה שיש כאן אירוע שחורג ממקרה של חברת ביטוח ספציפית וכן, שישראל מעניקה את כל הסיוע לחברה באמצעות הכלים שיש ברשותה. יש תרחישים רבים בנוגע לנתונים שנלקחו על ידי התוקפים - יכול להיות שחלק מהנתונים הודלפו באופן חלקי, יכול להיות שחלק הנתונים כבר הועברו לגוף אחר ולא נדע על כך. בכל רגע נתון יש ניסיון לתקוף חברות ישראליות ובכל העולם וגם הקבוצה הזאת תמשיך להיות פעילה, במיוחד אם תחווה הצלחה".
מה נדרשת שירביט לעשות בשלב זה? מירון אומרת: "קודם כל לתקשר איתנו, הציבור. מאז ההודעה הבעייתית שהם הוציאו ביום הראשון, לא שמענו מהם. לציבור מגיע לדעת מה קורה ומה נעשה. חסרה שקיפות. כמו כן הם צריכים לעבוד עם צוות התערבות בינלאומי מנוסה. ברמת מודיעין הם צריכים להתחקות אחרי קבוצת התוקפים ולנסות לאתר אותם ואת השרתים שבהם הם מאחסנים את המידע. הם צריכים לוודא שהשרתים שלהם, גם אם הם מגובים, לא מגובים עם התוקף בפנים, ולהתחיל להחזיר את המידע לשרתים בצורה הדרגתית".
יאיר זרצקי, מהנדס טכנולוגי בחברת ניהול והגנת המידע וריטאס, אומר כי במצב הנוכחי, כשהמידע עבר לתוקפים, החזרה לשגרה קשה יותר ומגביר את התלות בתשלום הכופר: "כשהארגון דואג לגיבוי של המידע באופן יום יומי הוא יכול לעשות שחזור לנקודה המדויקת, דקה לפני שהתוקף לחץ ״אנטר״ והתחיל את ההתקפה. מבחינת ניהול המשבר החברה נדרשת לחלוקת הטיפול למספר תחומים, כשכל אחד מהם מנוהל בנפרד, וזה עוזר למזער נזקים ולהמשיך לתת שירות ללקוחות שלא נפגעו. דבר זה יעמיד את הארגון בפוזיציה אחרת במו״מ מול התוקפים".
בתוך כך מערך הסייבר הלאומי פירסם שורת המלצות למשרדי ממשלה לצמצום ניסיונות התחזות. בהודעת המערך נכתב: "בעקבות אירוע דלף המידע מחברת שירביט, מפרסם היום מערך הסייבר הלאומי שורה של הנחיות למשרדי ממשלה בנוגע לצמצום האפשרות לשימוש במידע שדלף לפעולות זדוניות כגון התחזות והונאה לשירותים חיוניים. במקביל, המערך ממשיך לבצע הערכת נזקים בנושא לצד המשך סיוע לחברה בטיפול בתקיפה. עד להתבהרות מלאה של התמונה וכדי להתמודד עם סיכונים פוטנציאליים, הנחה המערך את משרדי הממשלה בהטמעה מידית של שורה של בקרות מפצות בתהליכי הזדהות והרשמה במערכות ממשלתיות הדורשות שימוש בנתונים מתוך תיעוד רשמי כגון תעודות זהות, רישיונות נהיגה, ורישיונות רכב.
"בין הבקרות שהומלצו: הפעלת מאמת בערוץ נפרד על בסיס שייכות למספר טלפון מאומת, וידוא טלפוני אנושי, הגבלת שירותים רגישים, הוספת פריטי רישום, הידוק מערכות Fraud Analysis, ניטור כתובות IP, ניטור Geolocation ונוספים. כמו כן, במקרה של אירוע דלף מידע ייתכן שימוש בנתונים למתקפת דיוג ממוקד באמצעות דוא"ל, SMS או VISHING. לכן מומלץ לא ללחוץ על לינקים או צרופות המתקבלות בהודעות אלא להיכנס בצורה יזומה לחשבון על ידי הקלדת כתובת האתר או שימוש במנוע חיפוש, אין לתת פרטים לגורם המחייג אליכם גם אם יש לו מידע שכביכול קיים בחברה כיוון וייתכן שמדובר במתחזה. מומלץ לחייג באופן עצמאי אל החברה לבירור".
פורסם לראשונה: 15:26, 03.12.20