גורמים בענף הסייבר בישראל, מעריכים שהפריצה המתוקשרת שקרתה לחברת הביטוח שירביט, היא לא פחות מאירוע מכונן. חברות, רשויות ומוסדות רפואיים בהחלט יתייחסו אל מערך אבטחת המידע אחרת. בבחינת "לפני ואחרי" פרשת שירביט.
זה אולי יישמע לכם דרמטי, אבל הפריצה הזו, אמורה בהחלט להדאיג מנכ"לים ונושאי משרה בכירים נוספים במשק.
אז מי הן החברות שנמצאות בסיכון מוגבר? גורמים מהתחום הרפואי, רשויות מקומיות, חברות ביטוח וחברות בתחום שוק ההון וההשקעות.
מדוע דווקא הן? אלו חברות שמחזיקות במידע אישי רב (רפואי, פיננסי, אמצעי זיהוי), עבור ציבור גדול של אנשים, ואשר ניתן לסחוט אותן בקלות יחסית.
כמה זמן לוקח מרגע שמחליטים לפרוץ לחברה ועד להשלמת המהלך? על-פי הממוצע העולמי, בין 150 ל-250 יום. פרק זמן ארוך, שבו הם פועלים בשקט. כלומר, כל שהם צריכים זו פירצה אחת, היעדר ניטור קבוע של מחלקת אבטחת מידע וזמן.
"ישראל מפגרת מאחור וטרם עברה מהפכה בתחום הפרטיות"
"בישראל, אין סנקציה אישית נגד נושאי משרה בכירים או קנסות משמעותיים במקרה של הפרת חובת אבטחת הנתונים של לקוחות ומבוטחים", אומר אופיר זילביגר, שותף מנהל מרכז הגנת הסייבר העולמי ב-BDO.
"אירופה, כבר מזמן נותנת קנסות בגובה של עד 4 אחוז מהמחזור של חברה במקרה של בעיות אבטחה שגרמה לדליפת מידע פרטי של לקוחות. בישראל, עדיין לא נעשתה מהפכה בתחום הפרטיות, כמו ה-GDPR שבאירופה".
"אצלנו, אמנם חוקי הפרטיות עודכנו ב-2018, אבל הם עסקו רק בשאלת דרישות אבטחה ורישום למאגרי מידע", מוסיף זילביגר.
"אין שם אחריות אישית או קנסות גדולים שיוצרים הרתעה ממשית. בארץ, בינתיים ההרתעה העיקרית היא החשש מקריסה כלכלית. כלומר, הנזק התדמיתי שיכול להיות בלתי הפיך, עד כדי פגיעה ביכולתה של חברה שכשלה באבטחת המידע, לשרוד את המשבר. ומה לגבי גופים ציבוריים? כאן הקורבנות הם 'אנחנו'. לא יכול להיות שהמידע אודותנו יהיה הפקר".
"ברגע שלקוחות מגלים שמידע פרטי אודותיהם מסתובב ברשת, הם יכולים לתבוע בתביעה נזיקית (פרטית או ייצוגית), מה שמחליף למעשה את הסנקציה של קנסות, שהמדינה אמורה לספק כהרתעה מקדימה", אומר יותם גוטמן, מנהל שיווק בחברת הסייבר סנטינל וואן.
"ברגע שנגנבים שמות, כתובות, פרטי תעודת זהות, פרטי רישום רכב וכן הלאה, הם יכולים לשמש נוכלים שונים להזדהות באתרים, ולביצוע פעולות שיביאו בסופו של דבר לנזק כלכלי ללקוחות ולמבוטחים.
"קיימת גם האפשרות שפושעים ינצלו את המידע לסחיטת הקורבנות בצורה ישירה", מוסיף גוטמן. "ויש גם נזקים עקיפים של מועקה, חרדה ודיכאון, שיכולים להימשך חודשים אחרי התקרית עצמה. את כל אלו, המבוטחים יכולים לתבוע, ומדובר בסכומים גבוהים מאוד שחברות שלא מאבטחות את המידע, יאלצו לשלם".
האם זה הזמן לשינוי חקיקה ולהגברת האכיפה?
"המחוקק בהחלט חייב להתערב בנקודה הזו, ולתקן את העיוות בדרישות האבטחה הנמוכות מדי", טוען זילביגר.
"המדינה חייבת לשנות את ההתייחסות לכל התחום של חברות בתחום שוק ההון. אין לי ספק שהאירוע שקרה לשירביט הוא מכונן מבחינת שינוי גישה של ארגונים לחשיבות אבטחת המידע. לא תהיה להם ברירה. אמנם יחלפו לפחות עוד כמה חודשים עד שכל המערכת תתייצב, אבל זה בהחלט יעשה שינוי.
"אני מצפה גם מהמדינה להחמיר את דרישות הסייבר. אמנם חברות ביטוח קטנות, הן לא עם אותם משאבים כמו הבנקים הגדולים, אבל אין שום סיבה שלא תהיה לשכת שירות מרכזית לטכנולוגיה, שתאגד כל מיני גופים קטנים ותעניק להם שירות אבטחה ביחד".
מה הנזק האמיתי שנגרם ללקוחות ולמבוטחים שמידע פרטי אודותיהם נגנב, לטווח ארוך?
זילביגר: "ברגע שהמידע הפרטי נמצא בחוץ, אין דרך מוחלטת לתקן זאת, גם לא באמצעות כופר. אם כסף נגנב לגוף פנסיוני, בסופו של דבר, הכסף יוחזר על-ידי אותו כיס.
כשהמידע הפרטי שלנו דולף, הם לא יכולים להחזיר לנו אותו. זה הבדל עצום. וזה לא רק פגיעה בפרטיות, וחשיפה של תיקים רפואיים ומידע פיננסי אודותינו, זו גם היכולת של המידע הזה להתגלגל, ולאפשר לתוקפים למכור את המידע הזה.
"ברגע שמידע אודותנו מסתובב ברשת (המכונה 'דארק-נט', רשת שחורה), זה מאפשר גניבת זהות שלנו. לא חסרות שאלות המאפשרות בקלות שחזור סיסמה (למשל, מה הייתה הכתובת הראשונה שלך, מה שם המשפחה של האם וכן הלאה. מי מבטיח לנו שאנו מוגנים גם בעוד עשר שנים, כשמידע אודותינו דלף?"
ומה לגבי בנקים וחברות אשראי? גם הן בסיכון למתקפת סייבר?
"דווקא הזירה הבנקאית, היא הזירה הכי מתקדמת בהגנת סייבר", אומר זילביגר. "בעשור הקודם, הייתה יותר דאגה בעניין האשראי, אך זו שופרה משמעותית.
הסיבה הראשונה, היא שיש להם ממש נזק פיננסי ישיר שהם יכולים להפסיק, ומדובר בסכומים גדולים. היה אירוע שקשור למערכת הסליקה הבינלאומית, והתוקפים גנבו 80 מיליון דולר, בקלות יחסית.
בשונה ממידע על לקוחות, כשלבנק יש הרבה מאוד כסף להפסיד, הוא מקפיד יותר על אבטחת מידע.
הסיבה השנייה, היא שלבנקים יש יותר משאבים, מפני שהם גופים גדולים מאוד עם מספיק הון להשקיע. זאת, בשונה מחברות ביטוח, שעד היום היו שבויים בקונספציה שהם לא מוקד למתקפת האקרים, שכן לא ניתן להוציא מהם כסף. המצב השתנה, שכן בידם המון מידע פרטי, ששווה הרבה מאוד כסף".
אז מי יכול להיות הבא בתור? מי בסיכון הכי גבוה למצוא את עצמו תחת מתקפת סייבר?
זילביגר: "הפרופיל של הגוף שהכי סביר שהאקרים ינסו לתקוף הוא גוף שמחזיק הכי הרבה מידע פרטי אודות לקוחותיו או מבוטחיו, והכי פחות הגנת סייבר.
למשל, המגזר הרפואי הוא כזה שידוע כמערכת עם הרעבה תקציבית. ואם כבר יש תקציב, משקיעים אותו במערכות מצילות חיים. כמובן שיש שם גם הגנת סייבר כלשהי, אבל זה הבדל של שמיים וארץ בין עולם הבריאות לעולם הבנקאות.
לכן, בתי-חולים, קופות-חולים, מכונים רפואיים וקוסמטיים פרטיים – כל אלו בקבוצת סיכון".
אך צריך לזכור שהפירצות קיימות לא רק בגופים עצמם, אלא גם בנותני השירות שלהם. "גם רופא פרטי יכול לראות אלפי מטופלים בשנה, ולהחזיק מידע אודותיהם במחשב שלו".
חוץ מהמגזר הרפואי, גם המגזר הפיננסי בסיכון משמעותי. "מגזר שוק ההון, הביטוח והפנסיה שבו יש גם מידע רפואי וגם מידע פיננסי. בתי השקעות, חברות ביטוח שעוסקות בביטוחי חיים או ביטוח עבור אובדן כושר עבודה, מחזיקות במידע רפואי אודות מבוטחיהן. כך גם סוכנויות הביטוח, גופי פנסיה, קרנות השתלמות".
האם רק גודל החברה הוא שקובע האם היא בסיכון?
זילביגר: "ממש לא. למעשה, כל בעל עסק, בעל מקצוע, נותן שירות או חברה המחזיקה מאגר נתונים כלשהו על לקוחותיה, חייבת להבין שהיא תחת סיכון, במקרה של פריצה.
זה כבר לא רק המידע שלה, אלא מידע של אחרים שהיא מחזיקה ברשותה. רק בחודשים האחרונים אירעו תקיפות ממוקדות נגד קהל אדריכלים ועורכי-דין".
למעשה, כל מי שברשותו מסמכים ופרטים אישיים של מיוצגיו, על הכוונת. גוטמן: "גם פסיכולוג או פסיכיאטר שעובד עם מפורסמים, או גניקולוג שמחזיק מידע רגיש בלפטופ שלו – הם בהחלט מטרה קלה. כך גם כל מכון קוסמטי שעובד עם מפורסמים ומחזיק תמונות של לפני ואחרי הניתוח, כל רואה-חשבון שמחזיק מידע פיננסי של לקוחותיו– כל אלו, בהחלט קורצים להאקרים. זאת, משום שיש להם מה להפסיד, וגם ללקוחותיהם או מטופליהם".
לדבריו, "צריך להבין שההאקרים יתעסקו עם חברה המחזיקה בכמויות של מידע, או עם בעל עסק עצמאי, המחזיק מידע שיש לו עניין פומבי בחשיפת הפרטים, כמו 'מפורסמים' ואישי ציבור".
"לא מזמן פרצו באיסלנג לרשת מכונים פסיכולוגים וגנבו רישומי סשנים של אלפי לקוחות", מציין גוטמן. "זה בהחלט סביר שיפרצו לגוף כזה גם בישראל, אם הגופים כאן לא יתעוררו. כיום כבר לא ניתן לומר 'לי זה לא יקרה'. אם זה קרה לחברת ביטוח בעלת אמצעים, מה יגיד עסק קטן?".
ואין חשש שדיונים פומביים כאלה בתקשורת, לא יתנו רעיונות להאקרים?
גוטמן: "הרעיונות כבר קיימים, ומתרחשים מדי יום ברחבי העולם. יש מספיק תקדימים כאלה להאקרים שמחפשים רעיונות. להיפך, ככל שיהיה דיון יותר ציבורי, זה יגדיל את הסיכוי שמי שמחזיק במידע רגיש יתאמץ יותר לאבטח אותו".
לדברי גוטמן, "צריך להבין שתקיפות כאלה קורות כל יום. פשוט איתרע מזלה של שירביט, שזה יצא לתקשורת בצורה כזו פומבית, כי ההאקרים פתחו ערוץ טלגרם ויצרו קשר עם כתבים.
"הם שיחקו פה משחק עם התקשורת. אבל לפני חודשיים הייתה תקיפת סייבר במפעל העמק, עם מפעל שמייצר צ'יפים. זה עלה להם הרבה יותר ממיליון דולר, לא רק עבור כופר, אלא עבור התקופה שבה המכונות שלהם לא עבדו".
מה השתנה מאז הקורונה שהעלה משמעותית את הסיכון למתקפות סייבר?
"המעבר הפתאומי לעבודה מרחוק בעקבות הקורונה, לא נעשה באחריות ובזהירות מרבית בכלל הגופים והעסקים במשק", אומר גוטמן.
"ברגע אחד פתחו את כל המערכות במשק, לעתים בלי הרשאות ובלי סיסמאות. עובדים רבים מתחברים מהמחשב האישי שלהם למערכות של העבודה, לא תמיד בצורה מאובטחת".
לדברי גוטמן, "גם אם למעסיקים נדמה שהם נוקטים באמצעי אבטחה, בסופו של יום זה לא רק עניין של עזרים טכנולוגיים, אלא גם הסברה, נהלים נוקשים וברורים בקרב העובדים ובדיקות אבטחה אקראיות, הכוללות סנקציות לעובדים המפרים את ההנחיות".
"אבל צריך לזכור שעובדים זו רק שכבה אחת", מוסיף זילביגר. "לתקיפה יש הרבה שלבים בדרך. זה גם מערך תקשורת מאובטח, עם ניטור.
"לרוב העסקים הגדולים והבינוניים, למשל, אין בכלל ניטור. זה מתנהג כמו פריצה לבית. למשל, גם אם יהיו סורגים, גלאים, מערכת אזעקה ודלת ביטחון – אם לפורץ יינתן מספיק זמן הוא יפרוץ גם דרך קיר בטון. כדי לצמצם את חלון הזמן הזה, שמים גם שירותי מוקד, עם ניטור קבוע.
בעולם הסייבר, ניטור היא מילת המפתח. הסטטיסטיקה העולמית היא ממוצע של 200 יום מרגע שהאקר מתחיל לרחרח מסביב לארגון ועד שהוא מתגלה. וזו סטטיסטיקה שמגובה בהמון מחקרים. אם יש ניטור טוב, ניתן לצמצם את פרק הזמן הזה לימים בודדים. הרי אם תוך שבוע התקיפות היו מתגלות, הנזקים לא היו מגיעים לממדים גדולים. רוב התקיפות לא קורות בן-לילה".
דבר נוסף שצריכות לעשות חברות שמחזיקות בסיס נתונים (דאטה בייס) גדול, הוא למדר אותו. גוטמן: "יש מספיק שיטות לייצר מחיצות ותתי-רשתות בתוך ארגון, כך שלא כל עובד יוכל לגשת לכל קובץ, אלא רק לקבצים שבתחומי העבודה שלו. הפרדת רשתות היא הכרחית".
מה צריך להיות היקף ההשקעה של עסק באבטחת מידע?
זילביגר: "לרוב זה מחושב כסכום של בין 10 ל-20 אחוז מתקציב המחשוב, שאמור להיות מושקע בהגנה, אבל זה לא מסתיים רק בעלויות טכנולוגיות, אלא גם בהסברה ארגונית ובאכיפת נהלים".
כיצד ישראל, הידועה כמדינת הסייבר נמצאת כל-כך מאחור?
"למרות שאנחנו ידועים כמדינת סייבר, מבחינת מודעות והסברה אנחנו בתקופת האבן", אומר גוטמן. "יש הבדל בין לייצא טכנולוגיות סייבר מתקדמות, לבין האדם השומר על ההנחיות. בשל המעבר לעבודה מרחוק, המעסיק לא יכול להשליך את אחריות אבטחת המידע על העובדים שלו. שלחת אדם לעבוד מהבית? אתה חייב לספק לו את האבטחה, כי בכך אתה מגן על העסק שלך. מאז המעבר לעבודה מהבית חסכת כמעסיק בהוצאות חשמל, רכב וקפה? תשקיע אותו באבטחת מידע".
לדברי גוטמן, "יש לא מעט חברות שעדיין עושות שימוש בטכנולוגיות מיושנות של אמצעי חיבור למערכות מרחוק".
"כיום יש דרכים רבות וזולות יחסית להתחברות למערכת ארגונית באמצעות אימות דו-שלבי", אומרים במוקד השירות של אתר "המקצוענים". "כך שבכל פעם שנכנסים למערכת, נשלח קוד חד-פעמי לסמארטפון".
אם עובד משתמש בלפטופ או במחשב נייח אישי, הרבה יותר קשה לשלוט בתוכנות שהוא מוריד למחשב. מוקד השירות: "עובדים רבים שומרים את כל הסיסמאות על המחשב, מבלי להקליד בכל פעם את הסיסמה מחדש, וזה בהחלט חושף את הארגון לפריצות. חברה שמכבדת את עצמה, צריכה לממן מחשב לצורכי עבודה, לאסור עליו להתקין עליו תוכנות, לחסום אותו בקוד ולייצר הפרדה בין מחשב לעבודה לבין מחשב פרטי".
"גם עסק קטן יחסית, שמחזיק 20 עובדים שעובדים מרחוק, צריך להבין שאם הוא לא ישקיע כמה אלפי שקלים בשנה על אבטחה, הנזק שיכול להיגרם לו הוא עצום", מדגישים במוקד השירות. "מעבר לדרישות כופר, הוא יכול להיות חשוף לתביעות מלקוחותיו".
לדברי גוטמן, "זה לא מספיק לעשות שימוש במנגנון המיושן של אנטי-וירוס. קיימות כיום מערכות הגנת תחנת קצה. אז אם המעסיק מחליט שהוא לא מספק מחשב ייעודי לעובד, והוא נדרש לעבוד עם הציוד האישי שלו, חייבת להיות לו הגנה. חברות טכנולוגיות, למשל, מספקות מחשבים מאובטחים, כאלה שלעובד אסור לעשות בהם שום עבודה פרטית, וגם לאף אחד מבני המשפחה שלו אסור לגעת בהם".
עוד כתבות בנושא:
תוכל להסביר כיצד מתבצעת בקלות יחסית פריצה למערכת ארגונית, בשל עובד שמשתמש במחשב האישי והלא מספיק מאובטח שלו?
גוטמן: "למשל, כפי שקורה לא מעט פעמים, חשב שכר מתקשה לעבוד על הקובץ, בתנאי החיבור מרחוק. הוא מוריד אקסל רגיש למחשב הפרטי שלו, ואז מטעין אותו בחזרה, בכך, הוא בהחלט יכול לאפשר פריצה לשרת של הארגון או העסק.
לדבריו, "אם הקובץ מודבק בווירוס או משונה באיזושהי צורה, הוא מאפשר פריצה. בעבר, לפני עידן הקורנה, היו מעט עובדים ששלחו לעצמם קבצים כדי לעבוד מהבית, בסופי שבוע. כיום זו שגרת העבודה. לכן, בשנה האחרונה, כמות הפירצות המאפשרות תקיפה עלתה בצורה משמעותית, ולמעשה חברות רבות כיום בסיכון גבוה, מבלי להיות מודעות לכך".
ynet הוא שותף באתר "המקצוענים"