ל', בעלת עסק בשרון בתחום המזון, הכולל 13 עובדים, הוכתה בהלם באותו בוקר יום חמישי שבו קיבלה טלפון בהול מהחנות. "הקופה לא עולה", אמרה האחראית על הקופות, "אני מכניסה שם וסיסמה – ומקבלת רק הודעה מוזרה באנגלית".
עוד כתבות על עולם הסייבר:
ל': "בעסק שלנו, ימים חמישי-שישי הם ימי שיא. למזלי, ברגע הראשון לא הבנתי לעומק את משמעות העניין: בחנות כזו, אתה לא זוכר בראש את אלפי הפריטים. הכל במחשב – כולל התנועה בקופות, הספקים והלקוחות הקבועים, מחירי הקנייה והמכירה, הבק-אופיס". בתוך זמן קצר הבינה ל', שהיא נמצאת בעיצומה של מתקפת כופרה: כל מערך המחשוב של העסק מושבת, ומאגר הנתונים שלו הוא בן ערובה בידי האקר סיני, שאפילו לא יצר עדיין קשר כדי לתבוע את דמי הכופר.
מה שהציל את המצב הוא גיבוי עצמי, ידני, שערכה ל' למאגר המידע של העסק כחודש לפני הפריצה. הדיסק און-קי עם הגיבוי איפשר למקצועני חברת שירותי הסייבר שהזעיקה ל' לאתחל את המערכת בתוך שעות, לנקותה כנדרש, לאבטח אותה, ולהחזירה לפעולה – עם "חור" מידע של חודש בלבד.
"רק בהמשך היום", מוסיפה ל', "ההאקר הסיני התעורר, ודרש 3,700 דולר עבור שחרור המערכת. אחר כך הוא ירד ל-2,000 וגם ל-1,500 דולר. אמרתי לעצמי: אם היה מתעורר כמה שעות קודם, יכול להיות שהייתי מחליטה לשלם. ניצלנו מצרה גדולה".
רק 55% מגינים על עצמם
תקיפת הסייבר שפגעה בדצמבר אשתקד בחברת הביטוח שירביט היא אירוע יוצא דופן: בדרך כלל, תקיפות מסוג זה לא מגיעות לכלי התקשורת, אלא אם מדובר בחברה שיש לה ממשק שוטף, יומיומי, עם עשרות ומאות אלפי לקוחות. מסקר חדש של הלמ"ס ומערך הסייבר הלאומי שפורסם בשבוע שעבר עולה, כי אחד מכל חמישה עסקים בישראל, כמעט 20%, חווה תקיפת סייבר. את עיקר התקיפות (42%) סופגים אמנם עסקים גדולים, שמעסיקים יותר מ-250 עובדים, אבל 15% מבין הנפגעים הם עסקים קטנים המעסיקים מחמישה עובדים ומעלה – מבתי קפה עד משרדי אדריכלים ועורכי דין, ויש כאלה בישראל בין 100 ל-150 אלף הנדרשים להגנה. מדובר בנזקים עצומים, בסכומי ענק שיורדים לטמיון, ולעיתים במידע רגיש בהיקפים גדולים שעובר לידיים זרות.
בניגוד לארגונים גדולים, שרובם כבר למדו להיערך למתקפות כאלה, רק 55% מהעסקים הקטנים מגינים על עצמם. בעליה של רשת בתי מאפה לא מעלה בכלל על דעתו שהוא יכול להוות מטרה מעניינת עבור האקרים - עד הרגע שבו הוא מגלה שהמחשבים נעולים ועל המסך מופיעה הודעה (אדיבה) עם כתובת להעברת סכום כופר בביטקוין.
לדברי ארז תדהר, ראש האגף לניהול אירועי סייבר במערך הסייבר הלאומי, "אנחנו פוגשים פעמים רבות עסקים קטנים שמחזיקים במחשב האישי שלהם מידע רב על לקוחות, גם מידע אישי ופרטי, ולכן האחריות של הבעלים היא לא רק לשרידות של העסק, אלא גם כלפי המידע של הלקוחות. בניגוד למה שנהוג לחשוב, לא תמיד יש צורך בהשקעה בסכומי עתק. מתקפות רבות יכולות להימנע בהשקעה בצעדים פשוטים וקלים ליישום. לעיתים מדובר בכלים חינמיים ולעיתים בעשרות שקלים בודדים בחודש".
הציבור כמעט ולא נחשף לחוסר האונים ולדרמות הסוערות מאחורי הקלעים כאשר רשת חנויות מגלה חדירה למערך המיחשוב שלה. לקשר השתיקה שותפים כל המעורבים: ההאקרים מצידם רוצים כסף, לא בלגן; בעל העסק שנפגע, מצידו, לא נלהב להודות כי חור אבטחה אצלו שימש לפריצה זדונית. רוב הנפגעים עימם שוחחנו סירבו להזדהות בשמם או בפרטי העסק. חלקם חוששים גם לתביעות על רשלנות. "אין לי שום עניין בזה", אמר לנו מנהל רשת קטנה בתחום מוצרי החשמל שנעקץ בסכום של חמש ספרות, "זה לא יוסיף לי לקוח אחד ורק יבריח ממני אחרים שיחששו שהכל פרוץ פה".
שש חברות בישראל מספקות כיום שירות סייבר מנוהל לעסקים קטנים: קונפידס, Cyrebro, בינת, בזק בינלאומי, בזק לעסקים, ו-BDO. הן מגינות עליהם בשגרה ומעמידות לרשותן צוות מיומן במקרה של מתקפה. לפי רם לוי, מייסד ומנכ"ל קונפידס, מתקפת הסייבר הכי שכיחה על עסק קטן - בארץ ובעולם - היא גניבת כספים באמצעות התחזות. "ההאקר חוגג על מי שאין לו מנגנוני הגנה. הוא קודם כל לומד את העסק. למשל - את דרכי ההתכתבות במייל עם הספקים. בשלב הבא הוא מתחזה לספק מוכר, ופשוט מבקש להעביר סכומים מסוימים מחשבון בנק אחד לחשבון אחר. בדרך כלל הקורבן תופס מה קרה פה רק אחרי חמישה-שישה ימים".
השנייה בשכיחותה בעסקים קטנים היא מתקפת הכופרה, שנועלת ומצפינה את המידע על מערכות המחשב ודורשת כסף עבור שחרורו. ההאקרים, אומר לוי, אוהבים במיוחד עסקים קטנים. בעסק גדול נדרשת התקפה מורכבת, שצריכה לחדור מערכות הגנה ברמה כלשהי. לעסקים קטנים יש בדרך כלל שרתים. ההאקרים מפעילים כלים מיוחדים - שירותי מדף שניתן לרכוש ברשתות האפלות - שיודעים לסרוק המון שרתים ולזהות כאלה שיש בהם חולשה ספציפית. דרכה הם תוקפים. כדי שיהיה "שווה" לקורבן לשלם, הם גם לא מגזימים בסכומי הכופר שהם דורשים – בדרך כלל עד 10,000 דולר. כשמדובר בעסקים בינוניים וגדולים הסכומים עולים כמובן ומגיעים למאות אלפי דולרים.
סוג המתקפה השלישי, השכיח במיוחד בישראל, הוא הלאומני. כאן המוטיבציה של התוקפים – האקרים פרו-פלסטינים, איראנים, או תומכי BDS – אינה כלכלית: הם מבקשים לשאוב מידע, או לחולל נזק למשק ולפגוע בחברות ישראליות. המתקפה על "שירביט", למשל, מיוחסת להאקרים איראנים. ניסיון חדירה עם מוטיבציה דומה זוהה ב"עלמא", המרכז המחקרי לאתגרי הביטחון של ישראל בצפון. לפי המנהלת, שרית זהבי, לאורך תקופה ארוכה התקבלו במרכז מיילים והודעות בלינקדאין ובוואטסאפ, שנשלחו לכאורה על ידי חוקרים מוכרים בארץ ובחו"ל, חלקם דמויות מפורסמות במערכת הביטחונית הישראלית, שהתגלו כהתחזות מתוחכמת. חלק מההודעות כללו לינקים, שדרשו הקלדה של סיסמה פנימית. הדרך משם להשתלת סוס טרויאני במערכות העמותה ולהשתלטות עליהן יכולה הייתה להיות קצרה.
המנכ"ל הודה: הלך הגיבוי
שבח בן יהודה, בעל סטודיו ובית מלאכה המספק שירותים לעולם האמנות, לא ישכח את מוצאי השבת בסוף 2019, שבו ישב מול המחשב שלו במשרדו בתל אביב, כאשר מחשב אחר, בפינת החדר, החל פתאום לרצד עד שהתייצב בו מסך חום שבמרכזו הודעה באנגלית, לפיה כל הקבצים ברשת הוצפנו.
"קראתי ולא האמנתי. התקשרתי במהירות לחברת ה-IT שניהלה עבורי את מערך המחשבים והייתה אחראית לגיבוי המידע. לקח להם יומיים של גמגומים לחזור אליי ולבשר שהייתה תקלה, ואין גם גיבוי. כל בעל עסק מבין מה המשמעות: אין הנהלת חשבונות, אין דו"חות לרשויות המס, אין הוצאות, אין הכנסות. נעלמה שנה שלמה של עבודה. שיקום של דבר כזה כמעט בלתי אפשרי. המנכ"ל הציע לנהל עבורי משא ומתן עם ההאקרים, שדרשו 10,000 דולר לשחרור החסימה. סירבתי. גם אם זה צעד נכון כלכלית, אני לא משלם לעבריינים.
"והכי נורא: אחרי חודש של שיקום מפרך, אני יושב בסדנה עם העובדים, נכנס לאחת התיקיות במחשב לחיפוש של קובץ וחושכות עיניי: כל שמות התיקיות הפכן לג'יבריש. הבנתי מיד שהותקפתי שוב. הרמתי את העיניים ושאלתי את אלוהים 'תגיד, אתה מסתלבט עליי?' אחרי שהגיבוי הגיע – הפעם זו הייתה כבר חברת IT אחרת ששכרתי, התברר שחסר שם חודש פעילות שלם. אמרתי 'נו מור', והעליתי את כל הדאטה שלי לניהול בענן".
ישראל היא מעצמת מוצרי הגנה לסייבר, אבל רובם המוחלט מכוון ומיועד לחברות ענק; הנגישות של עסקים קטנים למוצרי הדגל החזקים באמת, המככבים בחברות ה"אנטרפרייז", אפסית. אז מה עושים? על פי אנשי המקצוע עימם שוחחנו, כמעט בכל העסקים הקטנים בישראל מחזיקים במינימום המתחייב – תוכנת אנטי-וירוס כלשהי ופיירוול בסיסי. במינימום הזה הם חייבים גם מסיבות רגולטוריות: חברות הביטוח והבנקים כבר יודעים להיזהר מעסקים פרוצים בתחום המחשוב - בעקבות גל תקיפות הכופר חל זינוק של 82% בפרמיות של ביטוחי הסייבר.
הבעיה היא שעסק קטן אינו יכול להרשות לעצמו להעסיק איש מקצוע ייעודי בתחום המחשבים או הסייבר, וממילא אין מי שיעקוב אחרי ביצועי תוכנות ההגנה שנרכשו. שרית זהבי מ"עלמא" מספרת: "בדיוק לפני ניסיון הפריצה הראשון רכשתי תוכנת אנטי-וירוס. נתנו לי את המוצר, אמרו 'בהצלחה', ובזה נגמר הקשר בינינו".
"זו אשליה של הגנה", אומר רם לוי, "זה כמו שאנשים מתקינים בבית דלת רב־בריח אבל לא נועלים אותה, או מתקינים מצלמת אבטחה אבל לא עוקבים אחרי הצילומים: אצל כמה מהם ההגנה עובדת כמו שצריך? מישהו צריך לתחזק, לעדכן, לבדוק התראות בקביעות, לדאוג לגיבויים, לתדרך עובדים".
איפה המדינה
במילים אחרות, העסקים הקטנים נמצאים במלכוד: אם בארגונים גדולים ההוצאה על הגנת סייבר, כולל הקצאת עובדים מיוחדים לצורך העניין, נבלעת בתוך תקציבי ענק - עבור עסק קטן מדובר בהוצאה בלתי אפשרית. כדי להגיע להגנה טובה באמת, הוא נדרש להתקין עשרה עד 15 מוצרי הגנה שונים על המערכות שלו (ארגון גדול נדרש לכ-80 עד 90). המוצרים הללו נמכרים, בדרך כלל, תמורת דמי רישוי חודשיים נמוכים יחסית, אבל הסכומים מצטברים. וכאמור – יש צורך גם במי שיתפעל אותם באופן שוטף. במקרה של תקיפה – בלי קשר למהות הנזק – פעולת ה"ניקוי" של המערכת על ידי גוף מקצועי יכולה להסתכם בהוצאה של מאות אלפי שקלים. אם העסק אינו מבוטח למקרים כאלה – ורוב העסקים הקטנים בארץ אינם מבוטחים - הוצאה כזו יכולה לאיים על עצם קיומו.
לתוך הנישה הזו נכנסו בשנים האחרונות שירותי הגנת סייבר מנוהל, שמספקים "חבילה" מלאה: הם גם רוכשים ומתקינים את המוצרים הרלוונטיים ומעדכנים אותם באופן שוטף, וגם מספקים פיקוח מתמשך, שמתבסס על ידע מצטבר וכוח אדם מיומן ומנוסה. במקרה של תקיפה הם מפעילים מיידית צוותים ייעודיים של מומחים ממגוון תחומים – איש תשתיות, איש אבטחה, איש מו"מ (במקרה של מתקפות כופרה), עורך דין, ובמקרים מסוימים גם מנהל אירוע ואפילו מומחה תקשורת לניהול משברים. בדרך כלל התאוששות ממשבר כזה אורכת שלושה־ארבעה ימים, בהתאם להיקף הנזק. אגב, לעסק של עד חמישה עובדים, "חבילת" מינוי כזו תעלה כ-250 דולר בחודש, ולעסק בן 200 עובדים הסכום יגיע לכמה אלפים.
מהו נוהל הטיפול המקצועי בפריצת סייבר? לפי רם לוי, מדובר במתודולוגיה קבועה. השלב הראשון הוא "הכלה" – השבתת הרשת, בחינת היקף הנזק, והתקנת הגיבויים אם היו כאלה. השלב השני הוא הרמת הרשת מחדש, אחרי התקנת כלי הגנה ראשוניים. השלב הבא הוא טיפול בסוגיות מינהלתיות – מגעים עם המשטרה, עם הלקוחות שנפגעו, עם חברת הביטוח. מערך הסייבר הארצי מפעיל מוקד סיוע לעסקים קטנים הפעיל 24 שעות ביממה בחיוג 199, והעלה לאתר שלו מחשבון ניהול סיכונים חינם, עם המלצות בהתאם לסוג העסק.
גורמים בענף הסייבר טענו באוזנינו השבוע, כי עם כל הכבוד לקמפיין ההסברה שמנהל בנושא מערך הסייבר הלאומי ("כופרה – זה העסק שלך!)", למדינת ישראל הרשמית יכול להיות תפקיד מפתח משמעותי יותר בהפחתה של המתקפות לרמה נסבלת. "יש כאלה שמצדדים בהקניית סמכויות כפייה למערך הסייבר, כך שיוכל לאלץ את כל העסקים במדינה לאמץ אמצעי הגנה", אומר בכיר עם עבר עשיר בתחום הגנת הרשת. "לא צריך לכפות, המדינה יכולה לעודד, למשל, את העסקים לעשות ביטוח סייבר. היא יכולה לקבוע, שכל חברה שמבקשת לעשות עסקים עם המדינה חייבת בביטוח סייבר; חברות הביטוח כבר יידעו לדרוש מהם מה שצריך, והם יצייתו מחשש לאבד את הכיסוי. אפשר גם לסבסד מוצרי אבטחת מידע. מצד שני, אנחנו רואים גם שאין הרתעה ואין הענשה: כמה עברייני סייבר נתפסו והועמדו לדין? המדינה צריכה לחזק את המשטרה בתחומי הסייבר, ולהעמיק את החקירות הטכניות".