"אנחנו כמו בקרקס נודד, מסתובבים מאירוע לאירוע", רטן אתמול מנהל באחד מארגוני הגנת הסייבר הישראליים. הפריצה לחברת ק.ל.ס. קפיטל אינה שונה בהרבה מהפריצה לשירביט כמה חודשים לפניה, ומשורה של פריצות נוספות בחודשים האחרונים: תוקפים המזוהים עם המשטר האיראני או חיזבאללה, דליפת מידע מביכה ממחשבי החברה הנתקפת, דרישת כופר שאיש לא מתכוון לשלם, וקדימה למתקפה הבאה. הציבור והתקשורת מזדעזעים, לקוחות החברות נפגעים מחשיפת הפרטים, אבל התמונה הגדולה היא אחרת: אנחנו במלחמת סייבר קרה מול איראן, והחברות הפרטיות במשק הן בשר התותחים.
מנגד, אפשר להשתומם על רמת המוכנות האפסית של הארגונים שנופלים קורבן למתקפות. התוקפים לא צריכים יכולות סייבר מדינתיות. את וקטור החדירה שלהם לחברות הישראליות הם קונים בשווקים בדארקנט. אם החברה הראשונה לא נפרצת מיד, הם עוברים לזו שאחריה. החברות במשק הן אולי בכלל ברווזים במטווח. רועי לוי, מנהל הטכנולוגיה (CTO) בחברת בינת סמך, מספר שבתחילת דצמבר האחרון הגיעה לחברה רשימה של 500 פרטי חדירה ל"חומות אש" של ארגונים בעולם ובישראל, והוא פנה לכ-100 חברות ישראליות שהופיעו שם והמליץ להם למגן את עצמן בהקדם. מתוך המאה, שתיים חזרו אליו. אחת החברות ברשימה הייתה ק.ל.ס. קפיטל.
"החברות האלה לא מתמגנות למרות הסכנה הברורה", אומר לוי, "ההסברים רבים - זה מצריך השבתות של המערכת, זה מחייב בהוצאות ברוב המקרים, וגם בגלל שיש להן חברות מחשוב שעובדות מולן פר קריאה והם לא רוצים לשלם עוד כסף". לדבריו, לא מדובר בסכומי עתק: שירות הגנת סייבר מנוהל מרחוק יכול לעלות כ-1,500 שקל בחודש. חברה גדולה יותר שתשקיע במערכת הגנה מלאה, תשלם כ-100 אלף שקל.
המתקפה הנוכחית עוד רחוקה מסיום, והתוקפים מבטיחים להמשיך ולהדליף מסמכים שגנבו, אבל משהו אחד שהם עשו הפעם חריג ביותר: מתברר שהפעם מדובר במתקפת ווייפר (Wiper) שבה התוקפים לא רק גונבים את המידע ממחשבי הקורבן, אלא גם מוחקים אותו בסוג של אקט נקמני. מתקפות סייבר נועדו לגרום הרס או שיבוש של מערכות מחשוב באמצעות מחיקת מידע מהדיסקים או מהתוכנה המשובצת במחשבים באופן שמקשה מאוד על השחזור, מסביר מערך הסייבר הלאומי במסמך שמתפרסם באתר. "מתקפות סייבר משמעותיות שאירעו בעולם בשנים האחרונות בשימוש בכלי זה, מציפות את הנזק הרב שנוזקות אלו עלולות לגרום ואת הצורך בהתגוננות מפניהן מבעוד מועד", מסביר במסמך לביא שטוקהמר, מי שהיה ראש המרכז הארצי לניהול אירועי סייבר (CERT) של מערך הסייבר הלאומי.
האם לקוחות ק.ל.ס. צריכים לדאוג? נראה שכן. אם העובדה שכל הפרטים שלך, המסמכים שחתמת עליהם והנתונים הפיננסיים שלך נמצאים ברשת מדאיגה, אז אתה צריך לדאוג. מערך הסייבר הודיע שהתריע ראשון על האירוע והנחה את החברה מה היא צריכה לעשות. הרשות להגנת הפרטיות הודיעה שהיא בוחנת, בשיתוף כל הגורמים הרלוונטיים, את פרטי האירוע והשלכותיו: "כזכור, במקרים מסוג זה הרשות עשויה שלא לאשר העלאת מערכות החברה, עד שיוסר החשש להמשך דלף המידע. בנוסף, הרשות יכולה לחייב החברה בעדכון הלקוחות שנפגעו, או שעלולים להיפגע, באופן אישי אודות הדלף". ברשות שוק ההון, הרגולטור השני במקרה הזה, אומרים שהמקרה מוכר להם, אבל הם אינם אחראים לפיקוח יציבותי על החברה. אף לא אחד מהרגולטורים יצא להגנתה של החברה או לקוחותיה.
סגן-אלוף (במיל') טיראן פרטוק, מהבולטים במנהלי אירועי הסייבר בישראל, הוא איש עמוס בעבודה בימים אלה. את האירוע בשירביט הוא ניהל. גם את האירוע בק.ל.ס. הוא מכיר לא רע. את שמו קנה כששירת ביחידה הצה"לית לניהול משברים וניהל את המשא ומתן עם חמושים פלסטינים שהתבצרו בכנסיית המולד בבית לחם ב–2002. הוא אומר שבמקרה הזה אין שום טעם במשא ומתן כי המטרה של התוקפים היא להביך, לא לקבל כסף. ומכיוון שיש סיבה להניח שהתוקפים הן גוף נתמך טרור, אסור בכלל לחברה ישראלית לשלם להם כסף.
אתה טוען שמי שצריך להגן על חברות כמו שירביט או ק.ל.ס זו המדינה?
"כמו שיש כיפת ברזל שאמורה להגן עלינו מטילים, צריך שבישראל תהיה גם כיפת ברזל סייבר. המציאות הזאת מחייבת את זה. אנחנו אומת סייבר, וזה עניין של הגדרת משאבים ויעשו את זה. אנחנו בדרך לשם אבל עוד לא שם. בסוף אין לשום גוף קטן יכולת להתמודד מול מדינה, גם אם היא לא שמה את הז'יטונים הכי חזקים שלה בהתקפה. זה פשוט לא כוחות".
ואיפה האחריות של החברה הנתקפת?
"לחברה יש אחריות על המידע של הלקוחות שלה, נקודה. מצד שני מדינה שתרצה לפרוץ לחברה כזו או אחרת תצליח בכל מקרה. אם פרצו לפנטגון, בטח יפרצו לחברות קטנות שקשה להן להכיל את זה, אין להן תקציבים כמו לבנק. אז מישהו צריך למלא את החלל הזה".
איזה מענה נותן מערך הסייבר?
"הם בטוח עושים, אבל עדיין לא הגענו למצב שמערך הסייבר מעניק שכבת הגנה אפקטיבית לחברות. בסוף, בעולם הזה של מלחמות הסייבר שהפכו להיות מציאות כרונית, מי יהיה המענה? האם כל חברה עם עשרה עובדים יגייסו מנהל אבטחת מחשבים ב-50 אלף שקל? זה הגיוני?"
מה אפשר לעשות מעבר לייעוץ של מערך הסייבר?
"יש כאן היבטים כבדי משקל. אין ספק שההרתעה שלנו נשחקת. גם אם סגרנו לפי מקורות זרים את הנמל בדרום איראן, וקבוצת ספיידר האנונימית תקפה את בנק החיזבאללה בלבנון, זה נתן איזו רגיעה אבל כנראה לא לטווח ארוך. בינתיים קורים עוד דברים כמו מתקפה על אוניות במפרץ, מתקפות שלנו בסוריה, לוח שחמט ענק, הסייבר הוא פיון בדבר הזה".
לבד מול איראן
רפאל פרנקו, לשעבר סגן ראש מערך הסייבר הלאומי וראש מטה הסייבר של התאחדות התעשיינים, אומר שאם החברות במשק יפעלו על פי הנחיות מערך הסייבר, הן יהיו מוגנות: "המערך משקיע לא מעט באוריינות, ובמקרה הזה הוא משך בשרוול לחברה. ולמרות זה עדיין זו זירה חדשה שלא מספיק מוכרת, המנהלים לא מספיק מבינים אותה, ולכן אנחנו חווים אירועים ונמשיך לחוות אירועים. אי אפשר להגן על כל ארגון במדינת ישראל".
זה כמו להגיד שנמשיך לחוות אירועים בעוטף עזה, ולא לבנות מערכות הגנה
"זה שונה מעוטף עזה כי עם הגנה בסיסית החברות יכולות להיות הרבה יותר מוגנות. אם הן יקשיבו להנחיות מערך הסייבר, הן יהיו יותר מוגנות. גם כיפת ברזל לא מחליפה את הממ"ד שלך בבית. הדבר הכי חשוב שהחברות ישקיעו מעט, קודם כל במינוי ממונה סייבר ארגוני נוסף על תפקידו, ושתיים במוכנות לאירוע – לגבות את הקבצים, תדע מה קורה במקרה של כופר, תתכונן לאירוע גם אם אתה לא מוגן 100 אחוזים".
המדינה לא משאירה את החברות הפרטיות לבדן מול איראן?
"קודם כל בלאק שדו הוא ארגון פשיעה, למען הסר ספק. פחות משנה אם הוא על ציר הרשע או לא. זה ארגון, שאולי ממומן על ידי מדינה ואולי גם על-ידי ארגוני טרור, אבל בסופו של דבר המטרות שהוא בוחר הן לא מטרות איכות. והסיבה שהוא בוחר אותן: כי להערכתי רמת התשתיות הלאומיות ורמת התשתיות הקריטיות בישראל מוגנות טוב, ולכן הוא בוחר חברות קטנות. אבל אם היו עושים צעדי מנע פשוטים גם הדברים האלה היו נמנעים".
יכול להיות שהפתרון היחיד הוא חיוב החברות בחוק או בתקנות לעמוד בדרישות מינימום בתחום הגנת הסייבר. לדברי לוי, הגופים שכן מגינים על עצמם כיום הם אלה שהרגולציה מחייבת אותם, כמו למשל משרדי עורכי דין או חברות בתחום הפארמה. "החברות הקטנות הפרטיות פשוט לא שם. לרשות להגנת הפרטיות בארץ פשוט אין שיניים. עד שלא תהיה רגולציה ואכיפה הרצינית, לא יתייחסו לזה ברצינות".
עינת מירון, מומחית להיערכות לסייבר, אומרת: "במקרה של KLS הטעויות ממש צבועות בצבעי אדום בוהק. מההתרעה שהם קיבלו ולא ידעו להכיל (אם כי ניתן גם לציין כי המתריע יכול היה לבחור בטרמינולוגיה מעט שונה), דרך היעדר מדיניות עדכוני תוכנה שכנראה ניתן להסביר בשירות מחשוב חיצוני בהיקף מאוד מצומצם ועד כמובן לחוסר המודעות הן לדרישות הרגולציה ובמקרה שלהם הם כפופים גם לרגולציית שוק ההון וגם לרשות להגנת הפרטיות".
לדבריה, הרגולטורים צריכים להגיע גם לחברות הקטנות, "אבל בלתי אפשרי וגם לא הוגן לצפות שמנהל של חברה של 20 עובדים יידע מה נדרש ממנו. חברות פרטיות מתנהלות תחת כמה תפיסות מוכרות: אני חברה קטנה, את מי אני בכלל מעניין, לי זה לא יקרה וכמובן אין לי תקציב לזה. מערכות הגנה בתחומי אבטחת מידע עולות לא מעט כסף אבל לצערי מנהלים לא עוצרים כדי לבחון וללמוד את הנושא כפי שהם עושים לפני כל עסקה או גיוס עובד חדש. לעיתים קרובות ניתן לבצע התאמות ושינויים קלים בתהליכים הארגוניים הקיימים כדי להעלות את רמת החוסן הארגוני. דווקא בארגונים קטנים קל יותר להטמיע שינויים הנוגעים לגורם האנושי וקל יותר לאפיין את הסיכונים ולהתאים עבורם פתרונות יומיומיים".
מתן ליברמן, מנהל פעילות ישראל וממייסדי Semperis, אומר: "מערך הסייבר הישראלי שעושה עבודת קודש, מעניק הנחיות גם לחברות פרטיות ישראליות בסדרי גודל בינוניות וקטנות אבל ההנחיות כוללות בהרבה מהמקרים נקודות אבטחה רבות שאין לארגון את היכולת הנכונה להמיר למוצרים או פעולות שיוכלו לטפל באותן הבעיות. כאשר מנהל אבטחת מידע מסתכל על ההנחיות הוא יכול להגיע לרשימה של עשרות מוצרי אבטחת מידע שאין ביכולותיו לרכוש. לכן חשוב מאוד להמיר את ההמלצות האלו למוצרים מומלצים ואפילו בתעריף מומלץ לחברות שמגיעות דרך מערך הסייבר. נקודה נוספת היא האכיפה, כיום אם מתבצעת אכיפה להנחיות או לרגולציה היא נעשת רק על 40 חברות במשק הישראלי".
לטם גיא, סמנכ"ל מוצר בחברת סייבריזן, מוסיף: "האחריות של חברות פרטיות להגן על עצמן מפני תקיפות סייבר היא על החברות עצמן, ואפילו באופן ישיר על מנכ"ל החברה. הממשלה במקרה הזה היא גורם מייעץ ובישראל מערך הסייבר עושה זאת בצורה מאוד מקצועית. עבור תשתיות קריטיות יש למערך הסייבר אחריות גדולה יותר, אבל שאר החברות חייבות להבין בעצמן את הסיכונים ולהיערך בהתאם. בישראל מיוצרות טכנולוגיות ההגנה המתקדמות בעולם אשר עוצרות מתקפות סחיטה שכאלו בכל רגע נתון בצורה אוטומטית".