אם הייתם שואלים את עצמכם אי שם בשנת 2010 על אילו מוצרים וטכנולוגיות נצטרך להגן בעשור הקרוב, כנראה שהייתם מעלים בדעתכם מוצרים כמו טלפון חכם, טבאלט, וככל הנראה גם חיזוק האבטחה של המחשב האישי. סביר להניח שלא הייתם חושבים על טלוויזיה חכמה, נווט אוטומטי לרכב או אפילו בית חכם. לקראת 2020 ביקשנו ממומחי אבטחת מידע בחברות ההייטק המובילות בישראל לשתף אותנו בתחזיות איומי הסייבר שלהם לעשור הקרוב - מה הסיכונים שאורבים לנו, על אילו טכנולוגיות נצטרך להגן ומה עוד עומד לקרות שאיש מאיתנו לא חשב עליו.
"בעשור שחלף הטכנולוגיה התקדמה למחוזות שלפני עשר שנים אפילו לא חלמנו עליהם", אומר דוריה גלעם, ראש צוות תקיפה ומומחה לאבטחת מידע ב-2BSecure, חברת אבטחת המידע והסייבר של מטריקס. "ב-2010 רבים טענו כי מה שרואים בסרטים עוד עשוי לקרות במציאות, ואם אז הסרטים נראו לנו בדיוניים, מה נגיד אם האמירה הזאת רלוונטית גם על הסרטים של היום? ככל שעוברות השנים, קצב הפיתוחים הטכנולוגיים רק הולך ונהיה מהיר יותר, כך שלא מן הנמנע שבעשור הקרוב נראה טכנולוגיות שעולות על כל דמיון", מסביר גלעם.
לפיו, "כיום רק ניתן לדמיין את סיכוני פרצות האבטחה שמביאה עימה טכנולוגיית הרכב האוטונומי. למשל, האקר שפורץ למערכת ה-GPS ומשבש אותה או פורץ מתוחכם יותר שבאמצעות גישה למערכת הרכב מצליח לגנוב אותו בשליטה מרחוק". ומה בדבר התפתחות טכנולוגיות אפליקציות התשלומים? גלעם מסביר, כי "הטכנולוגיה המפותחת שככל הנראה תתקדם בשנים הקרובות היא צ'יפ חכם שיושתל בזרוע שלנו ובעזרתו נוכל לבצע תשלומים. אם עד כה האקרים ניסו לפרוץ לארנקים הדיגיטליים שלנו, הרי שהצבנו בשביל המומחים שביניהם אטרקציה חדשה בדרך לגניבת פרטי האשראי או הבנק שלנו. רק שבמקרה הזה הסיכון הוא לא רק כלכלי או חומרי, אלא סביר לשער שדבר כזה גם עלול לגרור השפעה ישירה על הנפש ועל הגוף שלנו".
"אם לפני 10 שנים היינו משחקים בכיבוי והדלקה של האורות במחיאת כף, היום אנחנו כבר יכולים לשלוט על כל מערכת החשמל בבית מרחוק בעזרת הטלפון. ולמרות שכבר מדובר בחידושים מרעישים, טכנולוגיית הבית החכם עומדת להשתנות ללא היכר בשנים הקרובות, ואיתם גם איומי אבטחת המידע", טוען גלעם. "במדינות מסוימות כבר ניתן לראות היום אב טיפוס של מקררים חכמים שמתריעים כאשר נגמר מוצר כלשהו ואף מתחברים לרשת מזון מקומית ומבצעים עצמאית הזמנה חדשה. בעתיד הלא רחוק אנחנו צפויים לראות גם מכונות כביסה שמזמינות את חומרי הכביסה בלחיצת כפתור ומוצרים מקולקלים שיודעים לתקן את עצמם ולהנפיק קבלה עבור השירות שבוצע לגמרי באופן מכני ואוטומטי. הבית החכם הוא גן המשחקים של ההאקר הממוצע. באמצעות פריצה אליו ניתן להשיג גישה לפרטי אשראי שבאמצעותם מתבצעות ההזמנות, שליטה מרחוק על פתיחת תריסים וחלונות שיאפשרו כניסה פיזית לבית, לבצע הטרלה של הזמנת מוצרים שלא לצורך, לשנות את יעד ההזמנה כדי לגנוב את המוצרים ועוד".
עדי נאה גמליאל, ארכיטקט פתרונות סייבר ב-Proofpiont, מוסיף כי "פצחנים עלולים להשתלט על מערכת הניהול הבייתית ולמנוע ביצוע פעולות בסיסיות כמו הדלקת אור, הפעלת אסלה ומקלחת, עד לתשלום כופר. הם עלולים לבצע מניפולציה במידע רפואי או במדפסת שמכינה לכם אוכל ואף לשלוט בעוזר האישי החכם.
מקרים אפוקליפטים? יתכן שכן, ויתכן שלא", מסביר נאה גמליאל. לפיו, "בראייה היסטורית היו מספר מקרים שנחשבו לדמיונים מלפני עשור. כך לדוגמה בספטמבר האחרון, פצחנים השתלטו על מערכות חכמות בבית של זוג ממלווקי, ארה"ב ויצרו קשר קולי עם בני הזוג דרך המצלמות, שינוי את הטמפרטורה לדרגות חום בלתי נסבלות, והשמיעו מוזיקה רועשת דרך מערכת השמע. במקרה שקרה באוסטרליה פצחנים השתלטו על מחשבי המנעולים של מלון ונעלו את האורחים מחוץ ובתוך חדריהם עד לתשלום כופר. ובכתב אישום שהוגש ביולי האחרון בבית המשפט המחוזי בת"א נטען שפצחן ישראלי גנב מטבעות דיגיטליים בשווי 6 מיליון שקל מאנשים ברחבי העולם.
רשימת האירועים עוד ארוכה וכל מה שנחשב לדמיוני ובלתי אפשרי עד לפני עשור התממש. כל אלו מעידים כי בעשור הקרוב תחום הגנת הסייבר יתרחב לכל תחומי החיים ויהווה חלק מהותי בהגנה על שלום הציבור".
"פריצות לרכבים פרטיים או רכבי תחבורה ציבורית אלו דברים שנשמע עליהם באופן תדיר"
מנכ"ל Think Cyber, דויד שיפמן, אשר משמש כמרצה לאבטחת מידע במכללת ג'ון ברייס, אמר: "כשפורץ סייבר מנסה כיום לחדור למערכות חכמות של רכבים הוא לא יכול לעשות יותר מדי אבל אם אנחנו מסתכלים קדימה, אפשר לומר שכבר במהלך החמש שנים הקרובות פריצות לרכבים פרטיים או רכבי תחבורה ציבורית כמו רכבות ואוטובוסים, אלו נושאים שככל הנראה נשמע עליהם הרבה. אם היום אנחנו שומעים אחת לכמה ימים על פריצת אבטחה בראוטר ביתי, לא מן הנמנע שבעוד 5 שנים נשמע באותה תדירות על פריצות למערכות החכמות של התחבורה שלנו. זה אומר שיתכן ונמצא את עצמנו משונעים על ידי רכב אוטונומי שאין לנו שליטה עליו, נעולים ברכבת בגלל מתקפת טרור או סגורים הרמטית באוטובוס בחום של חודש אוגוסט בלי מזגן או חלונות פתוחים. אלו תסריטים שעלולים להיות מציאותיים.
כשאנחנו בוחנים את עתיד איומי אבטחת המידע שטמון בטלפון הסלולרי הפרטי שלנו, ישנה בעיה חמורה מאוד שטמונה בנו, הצרכנים", מסביר שיפמן. לפיו, "רוב המשתמשים אינם זהירים בנוגע לשימוש בטלפון שלהם מהסיבה הפשוטה שלטענתם, 'אין להם מה להסתיר'. פה בדיוק הבעיה - חוסר המודעות הזאת לכך שהטלפון שלנו מכיל את הנתונים הכי רגישים בחיים שלנו, בין אם זה נתונים אישיים כמו פרטי כרטיס אשראי או תמונות פרטיות ובין אם זה מידע מקצועי מסווג אליו נחשפנו במייל העבודה שלנו, שמחובר באופן ישיר לנייד עם אפליקציה ייעודית. המודעות לנושא זה צפויה לעלות בשנים הקרובות כאשר כבר היום במספר מדינות בעולם החלו להיערך להתמודדות עם החולשה הזאת שטמונה במכשיר עצמו אבל גם בהתנהלות המשתמשים בו. ישנם ארגונים, ממשלות וגם אנשים פרטיים ברחבי העולם שעוברים להשתמש בטלפונים מוצפנים על מנת למזער נזקים אפשריים ותופעה זו עשויה להתרחב עוד יותר בשנים הקרובות.
אחד האיומים המהותיים שהולכים להשפיע על כולנו בעשור הקרוב היא סימון תשתיות קריטיות על ידי התוקפים, כמו פגיעה במערכות חשמל, מים, גז טבעי ועוד. מדובר בעניין של זמן עד שיקרה כאן אירוע סייבר על תשתיות חיוניות בקנה מידה גדול, במסגרת מתקפת טרור או מטעם ארגון האקרים רציני ומקצועי". שיפמן טוען, כי "בכל יום שעובר אנחנו פותחים את העולם שלנו יותר ויותר לרשתות וירטואליות ואלו פלטפורמות בהן כל פורץ אבטחת מידע מקצועי יכול למצוא נקודות חולשה".
"השינוי שיביא את הבשורה: הרגולוציה"
לפי עודד שחר, מנכ"ל DataBank, "הנתונים לשנת 2019 מעידים כי 1 מתוך 4 ארגונים הותקף על ידי תוכנת כופר ואנחנו מבינים שהסטטיסטיקה לא נמצאת לטובת המידע. לקראת העשור החדש, אנחנו מצפים לשינוי שיביא את הבשורה וישנה את הסטטיסטיקה של המתקפות - הרגולציה.
החוקים סביב נושאי הסייבר מתהדקים והופכים ליותר נוקשים, בין היתר חוקים להגנת פרטיות המידע שדורשים מהחברות הגדולות - דוגמת פייסבוק, גוגל ואמזון - שינוי בהגנה על המידע. הרגולציה מתייחסת גם למגבלות על המידע, כאשר המחויבות לשמירה על הנתונים שייכת לארגון. הבשורה בישראל בתחום הרגולציה נושאת עיניים אל שתי תקנות חדשות שהכניסה מדינת ישראל מתוך הבנת הצורך בשינוי. שתי התקנות הוכנסו על ידי הרשות לניירות והן משתיתות אחריות אישית על כל ארגון שנסחר בבורסה ועל הדירקטוריון שלו - חובת הדיווח על פרצת סייבר.
הרגולציה הנוקשה מכריחה את הארגונים להתייחס בצורה מחמירה לשמירה על המידע הארגוני שלהם על ידי איתור מתקפות סייבר באמצעות חמ"ל סייבר (SIEM soc) ובמקרה של אסון - באמצעות גיבוי ושחזור המידע באמצעים קרים וחמים".
מומחי FortiGuard, גוף המחקר הגלובלי של חברת פורטינט (Fortinet), המובילה בפתרונות אבטחת סייבר, טוענים כי שיטות התקפה מתוחכמות יותר, שטח התקיפה הפוטנציאלי המתרחב ומערכות חכמות מבוססות AI תורמים לעלייה ברמת התחכום של פושעי הסייבר.
לפי מומחי FortiGuard, במהלך השנים האחרונות, העלייה של טכנולוגיית הנחיל, אשר יכולה למנף למידת מכונה ו-AI כדי לתקוף רשתות והתקנים, הדגימה פוטנציאל חדש. פיתוחים בטכנולוגיית הנחיל הם בעלי השלכות רבות עוצמה בתחומים של רפואה, תחבורה, הנדסה ופתרון בעיות אוטומטי. הפושעים יכולים להשתמש בנחילים של בוטים כדי לחדור לרשת, להשתלט על הגנות פנימיות, למצוא ולחלץ נתונים ביעילות. בעתיד הקרוב, בוטים בעלי התמחות מסוימת החמושים בפונקציות ספציפיות יוכלו לחלוק ולתאם מודיעין הנאסף בזמן אמת כדי להאיץ את יכולת הנחיל לבחור ולהתאים התקפות אשר נועדו לפגוע ביעד אחד או אפילו מספר יעדים בו זמנית.