קבוצת ההאקרים שפרצה לשירביט, BlackShadow, מאיימת למכור בקרוב את כל המידע שאספה לכל דורש - אך בשלב זה חברת הביטוח לא מתכוונת לשלם. בריאיון ראשון לכלי התקשורת, טען בכיר בצוות ניהול המשבר בשירביט כי מתקפת הסייבר נגד החברה נעשתה במטרה לגרום נזק למערכת הפיננסית של מדינת ישראל - אך יש גם מי שמפקפק בכך, וטוען שהחברה מנסה להסיר מעצמה אחריות ולמנוע פגיעה במוניטין שלה.
במקביל, ומניתוח שיחת המשא ומתן שפרסמו הפורצים בשעות הבוקר, מתחזקת ההערכה שישראלים מעורבים בתקיפה. מומחים מציינים כי המבנה התחבירי של ההאקר מזכיר את השפה העברית, וכי הוא לא הגיב למילים ברוסית שנועדו למשוך אותו בלשון.
לטענת הבכיר בשירביט, הגורמים הממשלתיים שמלווים את החברה מסכימים שמטרת התוקפים אינה לקבל את דמי הכופר, "אלא לזרוע בלבול, פחד ואי-בהירות בתוך המערכת הפיננסית בישראל".
אתמול בשעה 09:00 החל האולטימטום שהציבו התוקפים לחברת הביטוח: 24 שעות להעביר סכום של 50 ביטקוין (מיליון דולר). לאחר שפג האולטימטום, עלה המחיר ל-100 ביטקוין, ואם החברה לא תעביר את הכספים עד מחר ב-09:00 - המחיר יעלה ל-200 ביטקוין. לאחר היום השלישי, טענה קבוצת ההאקרים, המידע שהשיגה יימכר.
הבכיר משירביט לא פוסל את האפשרות שבתקיפה אכן מעורבים גם ישראלים - בין אם מדובר בעובדים ממורמרים שמבקשים לפגוע בחברה, ובין אם מדובר במתחרים עסקיים של החברה בישראל. הגורם מנה ארבעה תסריטים אפשריים לגבי זהות התוקפים: תקיפה מדינתית שבה מעורבת ככל הנראה איראן, תקיפה של מתנגדי ישראל בקרב ארגוני ה-BDS שיושבים בטורקיה, עובד לשעבר של החברה או מתחרה עסקי. "אין כרגע שום ראיות שתומכות באף אחת מההשערות האלה", הדגיש.
"מהרגע הראשון היה ברור לנו שזו לא תקיפת סחיטה רגילה", טען הגורם. "דפוסי ההתנהגות של התוקף, העובדה שמדובר בקבוצה לא ידועה, העובדה שהוא מאוד מוחצן, פומבי ויהיר ומזמין עיתונאים להתקשר אליו. וגם העובדה שרק אחרי 72 שעות, אחרי שכבר הדליף מידע, הוא מציב דרישת כופר שלא בנויה כמו אף דרישת כופר עד כה, בלתי אמינה לחלוטין".
הנהלת שירביט גייסה צוות מומחי תגובה לאירועי סייבר, שכולל אנשי משא ומתן מנוסים, לצד מומחי מחשבים ויועצי תקשורת. בישיבות הצוות משתתפים גם אנשי מערך הסייבר הישראלי וגופי ממשלה נוספים. שמות אנשי המקצוע לא נחשפים, בין השאר מחשש לפגיעה אישית במקרה שמדובר בתקיפה מדינתית.
לדברי הגורם הבכיר, "כבר בישיבת הבוקר היום הייתה תמימות דעים בקרב כל גורמי המקצוע סביב השולחן שמטרתו של התוקף אינה כלכלית - אלא לגרום נזק לחברה ולישראל, ולכן אין שום סיבה לשלם לו. שום דבר בהתנהגות שלו לא גרם לנו להאמין שדלף המידע יופסק אם נשלם".
גם אם סכום הכופר הנדרש יעלה ל-4 מיליון דולר (200 ביטקוין), החברה לא תשלם?
"נכון. כאשר יש רמה גבוהה של וודאות שלא תקבל תמורה, אין שום סיבה לשלם את הכסף. הייתה על זה תמימות דעים מסביב לשולחן, כולל של הגורמים הממלכתיים".
בחברה מציינים כי מניתוח המסמכים שדלפו עולה שעד כה נחשף מידע על כ-300 לקוחות, מתוכם נחשף מידע פיננסי רק ב-30 מהמקרים, ולא נחשפו פרטי כרטיסי אשראי. "בתוך החומר שהודלף אין משהו שעלול לגרום לנזק פיננסי משמעותי ללקוחות", טען הגורם.
כבר עם תחילת האירוע החליטו בשירביט לעצור את כל מערכות המידע ולהוריד את אתר החברה. היום הועלה דף נחיתה שמבשר ללקוחות שהחברה מתמודדת עם אירוע סייבר. בחברה אומרים כי הכוונה היא לחזור לפעילות רגילה בתחילת השבוע הבא. שירביט נמנעת מלהעריך את הנזק שגרם לה האירוע, בטענה שהוא עדיין מתגלגל, אך יצוין שהחברה מבוטחת בביטוח הגנת סייבר שאמור לשפות אותה על חלק מהנזקים. עם זאת, עליה להוכיח שהיא פעלה כנדרש בהיערכות למתקפת סייבר.
יורי קוגן, מומחה לניהול משברים ומו"מ באירועי סייבר, היה הראשון להעריך בשיחה עם ynet ביום רביעי, שקיימת סבירות שבתקיפה מעורבים ישראלים - שכן הסימנים מראים שכוונת ההאקרים אינה לקבל כסף אלא לגרום נזק לחברה. היום הוא אומר כי ההשערה הזו מתחזקת לאחר קריאת ההתכתבות עם התוקפים: "הם כותבים עברית-אנגלית, כי המבנה של המשפט הוא בעברית. הם גם מתחילים משפטים עם אות קטנה באנגלית, דבר שרק דוברי עברית עושים". הוא מציין גם שהתוקפים השתמשו בביטוי "אין לך מילה", שלא קיים בשפה האנגלית או הרוסית.
קוגן העריך כי המשא ומתן מתנהל באופן מקצועי מצידה של החברה: "זו הדרך לעשות את זה. רואים שעושה את זה איש מקצוע ולא מישהו מתוך החברה".
"שירביט טועים - התקיפה לא נגד המדינה"
מנגד, זוהר פנחסי, מנכ"ל חברת MonsterCloud, המתמחה בנטרול מתקפות טרור בסייבר ומתקפות כופרה, טוען שהטענה שהתוקפים לא רוצים כסף אלא לפגוע אסטרטגית בישראל היא "שטויות במיץ עגבניות". לדבריו, "הטענה הזו חוזרת על עצמה בכל סקטור שמותקף ובכל מדינה. הפריצה היא כמעט תמיד קודם כל מתקפת כופרה ועל בסיס פיננסי, וככה גם במקרה של שירביט".
פנחסי מעריך כי החברה מנסה כעת להמעיט מחומרת הפריצה, ולמסגר אותה כעניין של ביטחון לאומי. "חשוב להבהיר: אף ממשלה או גוף ביטחוני לא יוכלו לעצור את זה", אמר. "תיבת הפנדורה נפתחה. החברה עושה את זה כדי למנוע פגיעה במוניטין שלהם ו'לצאת בסדר' מול הרגולטור והלקוחות והיא מקווה שהציבור והלקוחות יקנו את זה, אבל הם טועים".
לטענת פנחסי, "מהשיחות בין נציג שירביט לתוקפים רואים בצורה ברורה שלנציג של שירביט יש אפס ניסיון בניהול משא ומתן עם תוקפים מסוג זה. הכלל הראשון כשמתקשרים עם פורצים בתחום טרור הסייבר הוא לצמצם למינימום את האינטראקציה, מכיוון שאין לבטוח בהם. גם העובדה שהם הביאו לדיוני המשא ומתן את סוגיית 'האמון' מוכיחה שלנציג שירביט אין ניסיון בניהול משא ומתן במקרים כאלה".
פנחסי מעריך כי התוקפים הם איראנים, אך לדבריו אין דרך בשלב זה לוודא זאת. הוא מתריע: "אם החומרים ייפלו לידיים הלא נכונות, אפשר יהיה לעשות בהם שימוש לרעה נגד מדינת ישראל. כעת התוקפים מאיימים שאם לא ישלמו את הכופר, הם ישלחו את החומרים שגנבו למעין אתר ייעודי להדלפות, מה שהם אמנם עשו".
בשיחה עם ynet, אמר אחד ההאקרים מקבוצת BlackShadow כי נציגי שירביט לא מבינים עד כמה הם רציניים. "אנחנו נעמוד במילה שלנו", הבהיר. "אם הם ישלמו 100 מטבעות ביטקוין (כשני מיליון דולר), לא נפרסם שום דבר - וגם לא נמכור את הנתונים שיש ברשותנו".
לשאלה אם חברות ישראליות נוספות נמצאות כעת על הכוונת של הקבוצה, השיב הפורץ: "ברגע זה אנחנו לא יכולים להגיד שום דבר. כפי שאמרנו, אחרי 48 שעות נמכור את המידע של שירביט לכל קונה".