"ככל הידוע לנו דלף מעט מידע", הגיבו ברשת מכללות עתיד על מתקפת הסייבר שספגה לאחרונה,ְ שבמסגרתה קבוצת האקרים שהזדהתה כ-Sharp Boys הפילה את רוב עמודי האתר הרשמי וגנבו קבצים וקוד מקור. הניסיון של הרשת להמעיט בחומרת המתקפה לא צלח - ההאקרים החליטו לפגוע ברשת, בעובדיה ובסטודנטים שלה ופרסמו את הקבצים שגנבו - שכוללים מאות אלפי רשומות של מידע אישי, וכן מסמכים רגישים במיוחד של תלונות על הטרדות מיניות שהתקבלו ברשת, כולל פרטים מזהים של כל הצדדים, עדויות מפורטות ושימועים.
עוד כתבות שיעניינו אתכם:
מתקפות הסייבר של "יום ירושלים האיראני" 2023, שנערכו בחודש שעבר, כללו הפלת אתרי ממשל, חברות טלקום, בנקים וכלי תקשורת, ופריצה והשחתה של הפייסבוק האישי של ראש הממשלה בנימין נתניהו. המתקפה הזכירה לכולנו שכל ארגון צריך לקחת בחשבון שיחווה מתקפת סייבר. בתסריט האופטימי, ההאקרים רק יאטו את האתר של הארגון לכמה שעות או יביכו אותו עם סיסמאות על עליונותם הטכנולוגית או מסרים אנטי-ישראליים בעמוד הבית. בתסריט הפסימי, הארגון יחווה שיבושים חמורים בפעילותו עד כדי שיתוק מוחלט, גניבת מידע עסקי או הדלפת פרטי משתמשים. היערכות אבטחתית לקראת פריצה היא מובנת מאליה, אבל אסור להזניח את הפן התקשורתי, שעלול לגרום לפגיעה חמורה יותר מהפריצה עצמה, ואף להביא לקריסת הארגון.
האקרים גונבים מידע למגוון מטרות: הוכחת יכולת ובפרט מול קהילת הסייבר, פגיעה בארגון או במדינה שהארגון פועל בה, איסוף מודיעין להעמקת הפריצה, כופר, מכירה תמורת בצע כסף, מידע עסקי שאפשר לפרסם כדי לפגוע בארגון או למכור למתחריו, מידע על לקוחות שאפשר להשתמש בו לסחיטה כפולה של הארגון ושל הלקוחות ועוד. הבנת מטרת הגניבה חשובה להתמודדות איתה. למשל, האקר שרוצה כסף עלול לפרסם דוגמית של המידע שגנב כדי להוכיח שיש לו מה למכור, וללחוץ על הארגון לשלם; האקר שרוצה להזיק לארגון עלול לפרסם את המידע המלא, ולתת לאומת האינטרנט לעשות בו כרצונה; האקר שרוצה להשתמש במידע עלול להסתיר מהארגון את העובדה שגנב אותו, אבל המידע עלול לצוף בהמשך.
הבנת המטרות קריטית גם בהיבט התקשורתי: אם ההאקר מעוניין בכסף, אולי אפשר לשכנעו לא לפרסם עדיין, ואולי בהמשך להימנע מפרסום בכלל כשיקבל את מבוקשו. אם הוא רוצה להזיק לארגון, הוא עלול לנהל משא ומתן רק כדי למנף את הפרסום המזיק. למשל, כשחברה מנסה להקטין, להכחיש או להשתיק פריצה, ההאקר עלול לפרסם את תכתובות המשא ומתן שמוכיחות שהחברה שיקרה, ולפגוע באמינותה.
"מעט מידע"
כאשר ארגון עם פנים ציבוריות חווה משבר סייבר, הוא יידרש בשלב כלשהו להוציא תגובה רשמית, בין אם באמצעות הנכסים הדיגיטליים שלו - אתר, בלוג, רשתות חברתיות, בתשובה לפניית לקוחות או בתגובה לפרסומים בתקשורת. כדי שהתגובה תהיה מועילה, כלומר תפעל לטובת הארגון ולא תסבך אותו תדמיתית, רגולטורית ומשפטית, אסור לה שתיכתב בשליפה מיד אחרי שהמתקפה נחשפת לציבור. היא צריכה להתבסס על אסטרטגיה תקשורתית מגובשת, להיות אמיתית, מדויקת ואחידה, והיא צריכה להיות התגובה היחידה - לא יתכן שחלקים שונים בארגון יוציאו מסרים סותרים.
תגובת קבוצת עתיד לפריצה: "קבוצת 'עתיד' התמודדה עם מתקפת סייבר עוינת שמאחוריה עמדו גורמים ממדינת אויב שביקשו להמשיך ולבצע פגיעות אסטרטגיות במוסדות האקדמיה והחינוך המובילים בישראל. לשמחתנו, מערכות ההגנה שלנו הצליחו להדוף את ניסיון ההשתלטות על המערכות. ככל הידוע לנו דלף מעט מידע ואנו בקשר רציף עם מערך הסייבר הלאומי המלווה מקרוב את ניהול האירוע ועם הרשויות, לצד אנשי מקצוע המלווים אותנו, וככל ונקבל הנחיות נוספות נפעל בהתאם. נמשיך לפעול בכל הדרכים העומדות לרשותנו כדי להגן על כלל המידע המצוי ברשותינו כפי שעשינו עד כה".
התגובה הזאת היא דוגמה מצוינת להתנהלות גרועה. יש מספר תרחישים שיכולים היו להוביל לתגובה הזאת, ואף אחד מהם לא מאיר את קבוצת עתיד באור חיובי.
תרחיש ראשון: הארגון לא טרח לחקור
למעט שם הארגון שנפגע, זהות הפורצים ויעדי המתקפה, התגובה הזאת גנרית לחלוטין, ויכולה הייתה להיכתב על על ידי כל ארגון שחווה כל סוג של מתקפת סייבר. אין בה שום התייחסות למהות פריצה עצמה - מה קרה שם, איך התגלתה הפריצה, מה הארגון עשה כדי לסגור את הפרצה ולוודא שההאקרים כבר לא במערכת, האם נדרש והאם שולם כופר, איך בכוונת הארגון לסייע לאנשים שנפגעו ממנה וכיוצא בזה. יתכן שבקבוצת עתיד קיוו שהפריצה אליהם לא תמשוך תשומת לב, לאור הפרופיל הגבוה של המותקפים האחרים.
תרחיש שני: לארגון לא הייתה אפשרות לחקור
התמודדות עם משבר סייבר מתחילה הרבה לפני המתקפה, בהכנה מראש של הארגון למתקפות פוטנציאליות, שכוללת היערכות לאיסוף מידע על הפריצה לשם ניתוח האירוע.
למשל, הארגון צריך להחליט על מדיניות שימור, אחסון וגיבוי לוגים - קבצי המידע הפורנזיים שיכולים לספר מאיפה הגיע הפורץ, דרך איזו מערכת חדר לארגון, איפה הסתובב ובאילו קבצים נגע. יש ארגונים שלא משמרים לוגים, לא מגבים אותם או מגבים במערכת שמחוברת לרשת הארגון שנפרצה, מה שמאפשר להאקר למחוק אותם. ארגון כזה מסתכן בכך שלא יהיה לו עם מה לעבוד כשיבקש לטפל בפריצה, להבין מה התרחש בה ולמנוע את הישנותה.
ארגון שמשתמש בתשתיות של ספקים צד ג' צריך להחתים את הספקים על הסכם לשיתוף פעולה ומידע במקרה של מתקפת סייבר, שפגעה בתשתיות הספק שמשמשות את הארגון, או השתמשה בפירצות במערכות הספק ודרכן חדרה למערכות הארגון. בלי הסכם כזה, הספק עלול להודיע שהוא לא מוכן לתת לארגון גישה למערכות ולמידע, ולהשאיר אותו באפילה מודיעינית.
תרחיש שלישי: הארגון ביצע חקירה חלקית או רשלנית
מתקפה לא מתחילה ביום שהארגון מבחין בה. האקרים מתוחכמים מתחילים בחדירה שקטה לארגון, מיפוי הרשת, איסוף מידע, שתילת רוגלות ודלתות אחוריות והכנת תוכנית פעולה. גם כשההאקרים מתחילים לגנוב מידע או להוציא כספים, הארגון לא תמיד יבחין בכך מיד, וגם משהבחין, יקח לו זמן לנטל את התוקפים ולהרחיק אותם ואת כל הזובלות שהחדירו למערכת.
מאחר שההאקרים נמצאים במערכת, הם יכולים לעתים לדעת בדיוק מתי הארגון גילה את המתקפה. גם אם עוד לא הפעיל נוהל מתקפת סייבר וטרם דיווח בפומבי על התקיפה, אינדיקציות מוקדמות יכולות להיות סריקה מוגברת של ממשקי גישה למערכת, איפוס סיסמאות ותכתובות אימיילים בין חברי הנהלה ואנשי אבטחת מידע. בשלב הזה, ההאקרים ימהרו לסיים את מה שהתחילו לפני שהם נחסמים, וינסו לטשטש עקבות ולשבש ראיות עד כמה שניתן.
בהיעדר מידע פורנזי, או בהינתן מידע פורנזי משובש, הארגון לא יוכל לדעת מה באמת קרה: לאילו מערכות נכנסו ההאקרים, באיזה מידע נגעו ואילו בסיסי נתונים הורידו.
תרחיש רביעי: הארגון ביצע חקירה מצויינת אבל ניסה להקטין ולהסתיר את האמת
כמו המגנטים עם תצלומי האורחים שמחולקים בחתונות, תגובת עתיד היא מזכרת קטנה מאירוע גדול. ההתייחסות היחידה לנזק שגרמו הפורצים הוא "ככל הידוע לנו דלף מעט מידע". "ככל הידוע לנו" מרמז שהארגון לא באמת יודע מה קרה, אבל להגיד "דלף מעט מידע" זה כבר אנדסטייטמנט ברמה של להגדיר את התגובה הזאת בהגדרה המכובסת "אנדרסטייטמנט".
לפי הדיווח ב-ynet, ההאקרים הציעו למכירה מאגר נתונים שגנבו מקבוצת עתיד, שלטענתם מכיל מידע על יותר מ-500 אלף סטודנטים ומורים מ-14 השנים האחרונות. הם העלו קובץ עם 200 אלף רשומות הכוללות שמות מלאים, מספרי תעודות זהות, כתובות וכתובות מייל של ישראלים; מאות צילומים של תעודות זהות; מסמכים אישיים נוספים ובהם תעודות בגרות, אישורי מהלך שירות צבאי בצה"ל, ואישורי משטרה על היעדר עבירות מין; וקוד מקור שההאקרים טוענים ששייך לאחד מאתרי הרשת.
זה לא מעט מידע - זה הרבה מידע רגיש מאוד, שעלול לשמש להונאה, לגניבת זהות ולסחיטה. אפשר רק לדמיין את התחושות הקשות של האנשים שקבוצת עתיד לא שמרה כראוי על המידע שלהם, מידע שההאקרים של שארפ-בויז גנבו, העלו פירוט לפי סוגי מידע לאתרם, והנגישו להורדה ישירה מהטלגרם שלהם.
תרחיש חמישי: קלולסיות מוחלטת
בשבת האחרונה, כשלושה שבועות אחרי הפריצה, החלו ההאקרים לפרסם קבצים עם המידע הגנוב. בעקבות הפרסומים החדשים מסרה קבוצת עתיד תגובה מעודכנת ל-ynet: "כפי שפורסם לפני כחודשיים, קבוצת 'עתיד' התמודדה עם מתקפת סייבר עוינת שמאחוריה עמדו האקרים איראנים שביקשו להמשיך ולבצע פגיעות אסטרטגיות במוסדות האקדמיה והחינוך המובילים בישראל. המתקפה הבודדת נהדפה, אולם ישנם חומרים ישנים ברובם שדלפו. מערך הסייבר הלאומי ליווה ומלווה מקרוב את ניהול האירוע ואנשיו דואגים להילחם בניסיונות האיראניים אשר מנסים לפרסם שוב ושוב את אותם החומרים בדיוק".
בשלב הזה, אפילו אם קבוצת עתיד חסרת כל יכולת לחקור את הפריצה, הרי שהיא יכולה הייתה להוריד את הקבצים שפרסמו ההאקרים ולגלות שלצד כל המידע לעיל, יש שם גם מידע רגיש ביותר - תיקי הטרדות מיניות, כולל טפסי התלונה המלאים, גביית העדות מהמתלוננות והמתלוננים, ושיחות בירור עם הנילונים.
מתקפה בודדת או לא, נהדפה או לא, אותם חומרים ישנים או לא, יכולת חקירה פורנזית או היעדרה - התגובה הזאת לא פחות גרועה מקודמתה, ומעידה על חוסר הבנה מוחלט של האירוע הסייברי והתקשורתי.
ד"ר נמרוד קוזלובסקי הוא מייסד ושותף בחברת סייטקטיק להכנה וניהול משברי סייבר; עידו קינן הוא סמנכ"ל התוכן של סייטקטיק