הסיוט הגדול ביותר בענף הפיננסים התגשם בשבוע שעבר, כשנודע שהאקרים פרצו לשרתי חברת הביטוח שירביט ושאבו משם נתונים על לקוחות החברה. ההאקרים פתחו ערוץ טלגרם והחלו להעלות אליו את הנתונים שבידיהם: בתחילה היו אלה תעודות זהות וצילומים של רשיונות, ולאחר מכן פרסמו פרטים רגישים יותר.
ההאקרים נתנו לשירביט דדליין לתשלום מיליון דולר בביטקוין עד ליום שישי, כאשר מדי 24 שעות הסכום עולה. בינתיים פקעו שני דדליינים ובכל פקיעה שכזו, פרסמו ההאקרים עוד מסד של נתונים על הלקוחות. היום בבוקר אמור לפקוע הדדליין האחרון, ואחריו מאיימים ההאקרים למכור את הנתונים שבידיהם.
בחברות ביטוח נכנסו לכוננות ספיגה בעקבות האירוע. חלקן הידקו נהלים והטילו מגבלות על התחברות מרחוק בשעות הלילה והסופ"ש כדי להקטין פוטנציאל חשיפה. בנוסף, על רקע האירוע תתכנס השבוע הוועדה ליציבות פיננסית הכוללת את הרגולטורים הפיננסים. הישיבה אמנם תוכננה מראש ללא קשר לאירוע הסייבר בשירביט, אך פרטיו יעלו בישיבה, ייבחנו השלכותיו ותידון השאלה האם יש לגבש כללים כיצד על ארגונים לנהוג מבחינת מו"מ ותשלום כופר בעת מתקפת האקרים.
"אין ספק, שמדובר באירוע מטריד ומלחיץ. כולנו לומדים לפרטי פרטים כיצד התבצעה הפריצה הזו", אומר גורם בכיר במערכת הפיננסית. גורם מתחום הטכנולוגיה מעריך כי "עושה רושם מהנתונים שהודלפו שהחדירה היתה לשרת המכיל קבצים וצילומים בלבד, ולא מידע כמו פרטי כרטיסי האשראי המלאים של המבוטחים, שהיה מאפשר גניבת כספים. כך שכרגע הנזק מהפרסום הוא הפגיעה בפרטיות ופוטנציאל לגניבת זהויות”. בנוסף, יש מי שתוהים האם אכן רק ב-30 בנובמבר ידעו בשירביט על הפריצה, היות ולרוב יש סימנים מקדימים על חדירת גורם זר לשרתים, בעיקר הוא שוהה שם זמן רב. מה שמעלה את השאלה האם החברה דיווחה באיחור לרשויות.
בהמשך לפניית "כלכליסט" החברה מסרה כי "נכון לרגע זה אירוע הסייבר משפיע על 300 מלקוחות החברה, שהחשיפה של רובם לא נגעה להיבט פיננסי ולא נחשפו כרטיסי אשראי". לאור העובדה כי פורסם מידע רגיש ואישי, בין היתר פרטים מתיקים רפואיים, לא בטוח שהדבר פחות חמור מגניבת כסף.
לשלם או לא לשלם את הכופר
שירביט הודיעה כי אין בכוונתה להיענות לדרישת הכופר ומסרה כי הגיעה למסקנה זו בשיתוף עם הגורמים המקצועיים המייעצים לה. מנכ"ל שירביט צבי ליבושור הוסיף כי "החברה לא תיכנע לטרור מסוג זה ותפעל בדרכים העומדות לרשותה להגן על לקוחות החברה ועל המידע המצוי בחברה".
יש מי שהרימו גבה על ההחלטה של שירביט, וטענו כי עדיף לחברה לסיים כמה שיותר מהר עם אירוע שכזה, ולשלם את הסכום. אולם מי שמוביל ומנהל את המשבר וההחלטות הוא מערך הסייבר הלאומי, והערכות הן שהוא משפיע על קבלת החלטות מסוג זה. גורמים במערכת הפיננסית העריכו כי ההחלטה לא לשלם נובעת ככל הנראה מההבנה שהמידע שדלף אינו בעל סיכון משמעותי ברמה הלאומית שמצדיק כניעה להאקרים, או ההערכה שהחוטפים קרובים לתפיסה או נטרול ולכן ההעדפה היא להרוויח זמן בכדי לאתר אותם. סיבה אפשרית נוספת להחלטה לא לשלם כופר היא החשש שמאחורי ההאקרים עומדים גורמים עוינים לישראל.
עו"ד אסף הראל, מרכז תחום סייבר והגנת הפרטיות במשרד גורניצקי ושות’ אומר כי "אם קיימת הערכה כי התוקפים הם תושבי מדינת אויב כמו איראן או פועלים מטעמה - עצם התשלום לתוקפים עלול להוות עבירה פלילית לפי פקודת המסחר עם האויב, שאוסרת העברת כספים לאויב".
רשות שוק ההון מצאה 24 חולשות
שירביט היא אמנם חברת ביטוח המפוקחת על ידי רשות שוק ההון, אבל בשלב זה המעורבות של הרשות בניהולו מוגבלת. מערך הסייבר הלאומי לקח את המושכות ומנהל בפועל את האירוע. בשלב זה עיקר המעורבות של הרשות היא לוודא שהחברה תשקף את מצבה למבוטחים ולדירקטוריון. אחרי שהאירוע יסתיים היא צפויה לתחקר ולבדוק האם שירביט התנהלה כמצופה.
זו הפעם הראשונה שרשות שוק ההון מתמודדת עם אירוע בסדר הגודל הזה, והיא תצטרך להסיק מסקנות מהאירוע גם לגבי הפיקוח שלה על תחום אבטחת המידע. כמו כן יש לבחון האם נדרש להקים מרכז סייבר לחברות הביטוח בדומה לזה שקיים בבנקים. בשנה שעברה ערך בנק ישראל סקר בפני בכירים במערכת הבנקאית, ושאל אותם מה הסיכון שהכי מטריד אותם. 90% מהנשאלים אמרו שאיומי הסייבר הכי מטרידים אותם. במקום השני (58%) עמד הסיכון לאי-עמידה בכללי הרגולציה.
ב-2018 ערכה רשות שוק ההון ביקורת בחלק מהגופים המוסדיים באמצעות "מבחני חדירה". ממצאי הבדיקה העלו את הצורך בשיפור מערך הסייבר, וכללו המלצות להפחתת סיכונים לכלל הגופים. "ניתן לומר ככלל כי הגופים המוסדיים פועלים לחיזוק מערך הסייבר, אולם ברוב הגופים עלו ממצאים המעידים על הצורך בשיפור מערך זה, תוך שימת דגש לשינויים הרוחביים בעולמות אבטחת המידע והסייבר והאיומים ההולכים וגדלים", כתבה אז רשות שוק ההון.
מהמסמך של הרשות עלה כי נמצאו 24 סוגים של חולשות במערכות דרכן ניתן לבצע מתקפת סייבר. כך למשל, נמצא כי מידע רגיש רב נמצא בתחנות מקומיות ללא הגנות. עוד נמצא כי החדרה והוצאה של קבצים ומידע התאפשרה דרך מנגנון סינון התוכן.
עוד ציינו ברשות כי צוות התקיפה שלהם במבחן החדירה הצליח לעקוף את מגבלות מערכת הגלישה הבטוחה. "עקיפה זו עלולה לאפשר העברת מידע מתוך הארגון החוצה ולהפך". השאלה היא האם שירביט יישמה את ההמלצות השונות.
תביעות, קנסות ונזק תדמיתי
שירביט שבבעלות יגאל רבנוף, ובניהולו של צביקה ליבושור היא חברת ביטוח מתחום הביטוח האלמנטרי (רכב, דירה, נסיעות לחו"ל) עם נתח שוק של 2.5%, ועם הון עצמי של 250 מיליון שקל בלבד. החברה זכתה לא אחת במכרזים של המדינה והיא מבטחת גם חלק ממערכת הביטחון.
את שנת 2019 סיימה שירביט עם רווח של 26 מיליון שקל. אולם משבר הקורונה פגע בה: את המחצית הראשונה של 2020 היא סיימה עם הפסד של 2 מיליון שקל לעומת רווח של 29.1 מיליון שקל במחצית המקבילה. ההפסדים נבעו מהירידות בשוק ההון, וכן מירידה בהיקפי הפעילות במשבר.
כרגע שירביט ממקדת מאמצים לסיים את האירוע עם כמה שפחות נזק. אולם בהמשך מחכות לה התמודדויות רבות: תחקיר של רשות שוק ההון שעלול להסתיים בקנס ובמסקנות נוספות, התמודדות עם תביעות ייצוגיות (שכבר החלו להיות מוגשות) ותשלום לשלל היועצים ששכרה. ככל הידוע יש לשירביט ביטוח מאירועי סייבר, כך שעל חלק מהנזקים היא תקבל שיפוי.
השאלה הגדולה היא האם מבחינה תדמיתית תצליח החברה להתאושש מהמשבר ולהשיב את אמון הלקוחות. הצעות המחיר האטרקטיביות שלה כבר לא יספיקו לשם כך.