בלי אירוע משמעותי, עם סכנות שמצטברות: סיכום השנה בסייבר

מלחמת סייבר, פשיעת סייבר, דליפות מידע, תקיפות כנגד ישראל ומנגד - פעילות נחושה של גופי אכיפת חוק ורגולטורים. את כל אלה היה לנו השנה בסייבר, אבל יותר מכך, אפשר לשאול מה לא היה לנו השנה בסייבר? ובכן - לא היה אירוע יחיד ומשמעותי, כזה שהתרגלנו לראות בשנים האחרונות, כגון מתקפת קסאיה, סולרווינדס או אפילו חולשה משמעותית כמו Log4j. אבל זה לא אומר שלא היו התרחשויות גדולות.

המלחמה בין רוסיה לאוקראינה הייתה הראשונה שבה בוצעו מהלכים משמעותיים בסייבר במקביל ללוחמה קינטית. בניגוד לתחזיות, הרוסים לא הצליחו ליצור נזק משמעותי באמצעי סייבר. אפשר להעריך בזהירות שפיקוד הסייבר הרוסי (כמו כל הצבא הרוסי) לא ציפה למערכה ארוכה כל כך. הרוסים הצליחו להביא את היכולות שלהם לידי ביטוי בכמה "מהלכי פתיחה" משמעותיים, בהם הצליחו לשבש תקשורת, ליצור דיסאינפורמציה ולגרום לאפקטים של לוחמה פסיכולוגית. ניכר היה גם שאינם מעוניינים לגרום לנזק משמעותי לתשתיות (שוב, מתוך הנחה שאוטוטו אוקראינה תיכנע והם יקבלו את השליטה על אותן תשתיות).

עם התארכות המערכה האימפקט של מבצעי הסייבר הרוסים הלך ופחת ומנגד האוקראינים גייסו האקרים מתנדבים ותקפו אתרי ממשל רוסים, הדליפו מידע של אזרחים וחיילים רוסים וניסו ככל שביכולתם להפריע לצבא הרוסי להשיג את יעדיו. אפשר להניח שעוד לא נאמרה המילה האחרונה בעימות הזה, ושהתארכות שלו עלולה לגרום לצד הרוסי להנחית מכות כואבות והרסניות יותר.

ההשפעה של המערכה הזו חרגה מגבולותיה הפיזיים של אוקראינה. חלק מהתקיפות גרמו ל"נזק אגבי" למדינות שכנות (נציין את ההשפעה של ההתקפה הרוסית על מערכי תקשורת לווינית באוקראינה ששיתקה טורבינות רוח בגרמניה), וחלק היו תקיפות מתוכננות היטב כנגד מדינות שהביעו תמיכה באוקראינה (כגון הוותיקן או נורווגיה) או כאלו שבעקבות המצב מיהרו להצטרף לנאטו (התקפה על פרלמנט בפינלנד). כמובן שראינו גם את שאר ה"חשודות המיידיות" תוקפות במימד הסייבר- איראן המשיכה במאבק החצי-גלוי שלה כנגד ישראל, סין המשיכה לתקוף ולגנוב מידע יקר ערך בכל מקום בו יכלה וצפון קוריאה שהתמקדה בגניבת מטבעות קריפטו להעשרת האוצר שלה שנפגע קשות מסנקציות.

חלק מפושעי הסייבר היו עסוקים השנה בזירה האוקראינית, ולכן ראינו פחות תקיפות משמעותיות. אבל, ראינו טרנד חדש שבו קבוצות פשיעה תוקפות מדינות מתפתחות וגורמות למצב של כאוס. האמצעי הוא, שוב, תקיפות כופרה, שלמעשה מביאות לשיתוק של הקורבן. מדינות האיים ונואטו וגואדלופה נפגעו ממתקפות כופרה משתקות, וקוסטה ריקה משותקת מזה חודשים רבים, ולא נראה שיש סוף לתקיפות.

אובר, טוויטר, ווטסאפ, מדיבנק ועוד ועוד. האקרים הצליחו גם השנה לפרוץ לארגונים הגדולים בעולם ולגנוב מיליוני רשומות של משתמשים שכוללות מספרי טלפון, שמות, מספרי כרטיסי אשראי ועוד. הפריצות האלו עוד יתדלקו גל של גניבות, הונאות ופריצות המשך לגופים נוספים בשנים הבאות. קבוצת Lap$u$ בלטה השנה בכך שפרצה לגופים גדולים והסבה מבוכה רבה ונזקים פיננסיים משמעותיים.

מתקפות סייבר איראניות, פלסטיניות ולבנוניות הצליחו לחדור לתשתיות שונות במדינה, לגנוב מידע ולהשחית כמה אתרים, אבל ככלל לא הצליחו לגרום לנזק ממשי או לבהלה בציבור. ניכר שהציבור (וגם התקשורת) בוגר יותר ולא מתרגש מכל הכרזה של גורם עלום בערוץ טלגרם על "פריצה למאות אתרים ישראליים" (שמתבררת לרוב כפריצה לשרת אכסון) או "גניבת מידע של מיליוני ישראלים (שמתבררת כמחזור של נתונים שכבר זלגו לפני שנים רבות).

מערך הסייבר, רשות הפרטיות, מבקר המדינה ומשטרת ישראל פעלו כולם לעצירת תקיפות, הבאת פושעי סייבר לדין והגברת האכיפה והתקינה שבסופו של דבר מביאה לשיפור הביטחון של כולנו. עם זאת, כפי שציין מבקר המדינה בדו"ח האחרון, קיימים עדיין פערים משמעותיים ביכולות ההגנה על תשתיות קריטיות במדינת ישראל.

לרוב, התוקפים משתמשים בחולשות ידועות, בקבצי מאקרו או ISO או בטכניקות של הנדסה חברתית להשגת פרטי הזדהות של עובדים בארגון. הטמעה של מדיניות עדכונים מסודרת, איסור שימוש בקבצי מאקרו, הידוק הבקרה על ניהול זהויות בארגון וחיוב משתמשים לעשות שימוש בהזדהות רב שלבית (2FA) יקטינו בצורה משמעותית את היכולת של תוקפים לפגוע בארגונים.

לצערנו, אנחנו לא צופים ששנת 2023 תהיה שונה מהותית מהשנה החולפת. בהרבה מובנים, מה שחווינו השנה הוא ה "New Normal"- אינסוף תקיפות אך ללא אירוע קטסטרופלי יחיד. אך היות שזה המצב, ארגונים יכולים להעריך במידה רבה של ביטחון שהם יחוו בשנה הבאה אירוע סייבר, ולהיערך בהתאם. שילוב של מערכות הגנה מודרניות, הקפדה על נהלים ו"הייגיינת IT" טובה אמורים להקטין משמעותית את הסיכוי שמתקפה כזו (שתבוא, בסבירות גבוהה) תגרום נזק משמעותי לארגון.

יותם גוטמן הוא מנהל השיווק של ענקית הסייבר SentinelOne