בפרסום בעיתון כלכלה ישראלי, דווח כי בימים אלה מתרחשת מתקפת האקרים על חברת הביטוח הישראלית "שירביט". בעקבות הפריצה למחשבי החברה, דורשים ההאקרים מיליון דולר במטבע האינטרנטי – ביטקוין, תמורת אי הפצת מידע עסקי של החברה.
קבוצת התקיפה – BlackShadow – שפרצה למחשבי חברת הביטוח, פרסמה הודעה ובה איימה כי אם לא ישולמו לה 50 ביטקווין, היא תדליף ותמכור מסמכים אישיים של לקוחות. עפ"י ההודעה, בכל 24 שעות שיחלפו, יוכפל סכום הסחיטה. עבריינים שביצעו את החדירה למחשב, התגברו על אמצעי אבטחה לקויים של המערכת הממוחשבת של החברה, והעבירו לעצמם, בתקשורת מחשבים, מידע רגיש בהיקף שמאפשר להם כמה דרכי פעולה: השמדת מידע, שיבוש אפשרויות עבודה בשירות הלקוחות, או, כפי שקורה בפרשה הנוכחית, סחיטה באיומים.
"נראה אתכם"
יהירות אנשי המחשב, שדורשים תשלום כופר תוך הצגת מעשה העבירה, יש בה מן ההכרזה:
"נראה אתכם – אנשי משטרה, אנשי בטחון, מומחי סייבר וחוקרים מתמחים באבטחת מחשבים – מאתרים אותנו ועוצרים את שטף המידע שאנו מתכננים להפיץ כדי לחסל עסקית את הגוף המותקף".
במצבים שכאלה, יש מי שסבור שכדאי להיענות לדרישה הסחטנית ויש מי שמגלה קשיחות ומתנגד. יש מנהלים שפונים למשטרה ויש שמחפשים דרכים שקטות לשלם ולהשתחרר מן האיום. כל סדרת טלוויזיה שעוסקת בסחיטה, מציגה דילמות שכאלה. כך היה גם לפני עידן המחשב, אך בעידן שבו העבריינות משתמשת בכלים משוכללים של מחשבי על, תקשורת מחשבים לוויינית ופיתוח תכנה שמקנה יכולות אדירות המבוססות על פיתוח אינטליגנציה מלאכותית ומערכות "ענן", התחזית קודרת.
במקביל להתגבשות התמונה על אפשרויות תקיפה, נולד המושג "לוחמת סייבר" ופותחו כלי נשק לזירה החדשה. הגורם המוביל בין המעצמות ומדינות עתירות ידע בתחומי המחשב, בהן ישראל, החלו בפיתוח כלים לפעולה התקפית ומערכים להתגוננות. ממש כפי שקרה בנושאי לוחמה ביולוגית ופיתוח חיסונים נגד וירוסים.
כל מערכת ממוחשבת – חשופה לתקיפה
ידיעות בנושאי התקפות סייבר ופעולות התגוננות הם מעשים יום יומיים. כולנו חשים בפעילות תקיפה כאשר יש שיבושים באספקת חשמל או מערכות מים. כל מערכת לאומית או מוניציפלית מנוהלת מחשב ונשלטת מרחוק בתקשורת, נתונה, כבר היום, לאיום, וחשופה לתקיפות בהיקפים אדירים של ניסיונות פריצה.
דוגמה משלנו – תרגיל התקפת סייבר – השתלטות על ספינה:
כותרת הכתבה שפורסמה בחי פה ב- 16/11/20, הציגה, במסגרת תרגיל, תרחיש מאיים, לפיו ספינה טעונה בנפט גולמי נפלה קרבן למתקפת סייבר.
תכנה זדונית מופעלת אוטומטית
התרחיש תיאר שימוש בתכנה זדונית שמופעלת אוטומטית על מערכת ההיגוי והניווט של הספינה, ומנווטת אותה לעבר לבנון. במסגרת התרגיל, השליך הצוות, תוך כדי התנגדות לפעולת ה"אויב", 60 אלף טון נפט גולמי לים, וגרם לזיהום חמור בנתיב התנועה. בפועל, הושלכה כמות פחותה של דלק מזיק. התרגיל המעשי תוכנן ל-3 ימים, בהם פעלו צוותים במשימת שאיבת הדלק וההתארגנות בחוף, לפעולה למניעת נזק אקולוגי. מטעמי בטחון, תמכתי בגישה שאין צורך לפרט כיצד "משתלטים מרחוק עם תכנה זדונית" ומותר לכם להניח שיש לאויבינו מומחים שיודעים טוב מכם כיצד מפעילים תכנה מזיקה, והתרגול וההיערכות נגד נזק שנגרם ע"י פעולה התקפית שכזו, הם מהלך נבון וראוי.
עניין חמור בהרבה – חבלה במידע על חיסון הקורונה
והנה, בעוד אני מכין את הכתבה לפרסום, הגיעו דיווחים לעניין חמור בהרבה, שמציג את עצמת האיום של תקיפת סייבר:
חברת מיקרוסופט, לה יש פריסה רחבה ואינטרסים עולמיים, הפיצה מידע בדבר הצטברות סימנים למאמצים של רוסיה, כמו גם של האקרים צפון קוריאנים, לגנוב ו/או לחבל, במידע ובתכנה, שמופעל ומטופל ב -7 חברות שמתחרות בפיתוח חיסון למגפת הקורונה המשתוללת בעולם ובהן החברה הבריטית 'אסטרה-זניקה', שעמדה להכריז על התקדמות במציאת חיסון נגד וירוס הקורונה.
תרחיש של משחק מלחמה
מרבית המשתמשים ביטוי "לוחמת סייבר" מתקשים להסביר מה כולל המושג הזה. ברור רק שאם מדובר במתקפה, יש, כנראה, גם צד של הגנה, והביטוי הזה מתאים בעיקר ליחסים בין מדינות, על רקע חשש לעימות צבאי.
השרה גמליאל השתמשה בתרגיל זיהום הים בתרחיש שמתאים למשחק מלחמה. זה טוב לחיזוק הבטחון העצמי של תושבי ישראל, אך אני רואה פגם בהפניית זרקור לתרחיש שכזה, שעלול להזיק לישראל במלחמה סמויה של גופי מודיעין שמתרחשת כל העת, על אש קטנה, בתחום הסייבר הביטחוני. למשל, מול איראן, כמדווח, על שיבוש הסרקזות להפקת אורניום עם תכנה זדונית, או כפעולת גומלין כנגד חיסולים ממוקדים ומול החיזבאללה (מיקום מפעלים להתקנת מנגנוני דיוק טילים), ומידע שמקדם חיסול ממוקד.
מותר להניח כי המידע המבצעי הופק בסיוע מחשבים בתצורות שונות, ולא ארחיב. הוא הודלף בישראל בסדרת הדלפות מכוונות של פרסומים, ומילא צורך אובססיבי של פוליטיקאים להכתיר את ישראל כמעצמת היי-טק מובילה ומעצמת סייבר. זהו יעד לגיטימי של לוחמה פסיכולוגית ואני רואה לנכון להדגיש כי כל התייחסות בתקשורת לפן ההתקפי של אישים ישראלים, מזמינה אצל אויבים ויריבים קיום תחקירים, הפקת לקחים והיערכות הגנתית משופרת, שמכבידה על לוחמת סייבר עתידית. זו פגיעה ממשית בביטחון ישראל, שעלולה להרבות נפגעים. יש חשיבות רבה לקיום מסך עמימות שימנע תגובה מול "הודאה" במעורבות בפעולת לוחמת סייבר.
מאז הכל השתנה
אחלוק עמכם מידע אישי לגבי זיקתי לנושא. לפני שנים רבות, כשהמחשב היה בראשית חדירתו לעולמנו, בתקופה שלא היה אינטרנט, הגשתי עבודת גמר לקבלת תואר שני בקרימינולוגיה, והעזתי לנבא, בהקשר לשימוש לרעה במחשבים, שהעבריינות תלך ותתעצם, שהפיתוח של התכנה והתקשורת יקדים את סידורי הביטחון, ההיערכות לאבטחת מחשבים תהיה פגומה וכוח האדם יהיה חסר. ב-1980 לא הכירו עדיין את המילה סייבר במשמעותה כיום. לא זיהו תופעת עבריינות בזיקה למחשבים. משטרת ישראל – בדרגים שהחמיאו לי מאד – דרשה שלא אפרסם תחזית על העבריינות הצפויה, בנימוק שאינם ערוכים לעבירות החדשות שחשפתי בפניהם. אני, כסטודנט – לוחם על קידום הדעת, התעקשתי לפרסם, ולבסוף נעתרתי להשהות הפרסום לתקופה מוגבלת. כיום איני במצב של מחלק ציונים מהיימן למשטרה. מאז, לצערי, הכל השתנה לרעה מזווית הראיה הביטחונית.
כמויות מידע דמיוניות
האינטרנט יצר יכולת גישה למאגרי מידע, ברשות ולא ברשות. עוצמת המחשבים מאפשרת לסרוק כמויות בלתי מוגבלות של DATA. מאגרים של אוכלוסיות שונות נבנים לצרכי לוחמה בטרור כמו גם לאיתור נשאי וירוסים. שמירת תמונות ופרופילים של אוכלוסיות שונות והקפצת חריגים היא בהיקף חובק עולם. מידע זה ניתן לאגירה מאובטחת בשרתי הענן. הפגיעה בפרטיות היא עובדה שקשה לשפרה. המאמץ העיקרי הוא להעניק תחושה שהכל ניתן לבצע בתקשורת מחשב, כולל, לדוגמה, הפקדת שיק ותשלומים. אלה התנאים בהם פורח הסייבר.
הקדמה הטכנולוגית, רעיון הבית הירוק, טכניקות הפעלה מרחוק של ציוד ביתי, השימוש הטוטאלי בטלפונים הניידים, ההשתעבדות לרשתות חברתיות והשימוש בתכנה לזיווגים, תפעול רובוטים ואינטליגנציה מלאכותית, הצילום ושיפור ההדמיה ועוד אמצעים מתקדמים, שמאפשרים לשלוט בכמויות מידע דמיוניות.
הצד האפל – השימוש לרעה
בצד השימוש החיובי, יש תמיד את הצד האפל של השימוש לרעה. מעשה שנחשב לחיובי בשירות המדינה, עשוי להיחשב לעברייני ברשות הפרט. קיימת מסגרת של פצחנים (האקרים) לבנים בשירות מדינות, ומולם פועלים יריבים, פצחנים "שחורים" בשירות העולם העברייני. החקיקה והשפיטה מפגרים אחר ההתפתחות הטכנולוגית, אין הרתעה. עבריינות תוך שימוש בעוצמת המחשבים עולה וגואה.
בימים אלה כולנו עדים לפרשיות חדשות שקשורות להתערבות מדינות אויב ומדינות יריבות באירועים פוליטיים ובעיקר בחירות. ידיעות מטרידות על ניסיונות האקרים רוסים, סינים וצפון קוריאנים, להתערב בבחירות בארה"ב, ע"י שתילת מידע ברשתות חברתיות, לשם הטיה מתוחכמת של דעת הקהל. אין צורך בדמיון עשיר כדי להעריך את טיבן של העבירות בתצורה החדשה שעידן הסייבר מאפשר.
חשש ממתקפה על מערכת הבריאות
את פרק הסיום אקדיש, בעידן הקורונה, לאיום סייבר שהופך רלוונטי בעידן מגפה. הממונה על אבטחת מידע וסייבר בשירותי בריאות כללית, מר כוכב, התריע בכנס ICI בסוף 2017 כי: "80% מהציוד הרפואי שמגיע לישראל – חשוף לפריצת סייבר". הוא טען כי גם בישראל ישנו חשש אמיתי ממתקפה על מערכת הבריאות. בתרחיש האימים של מתקפה על בית חולים במדינה, מערכות חיוניות עלולות להיות משובתות – החל ממערכת החשמל ועד למערכות המחשב.
חלק מתרחישי האימים שמתקפה כזו יכולה לכלול, הם טרוריסטים שייכנסו לתיקים רפואיים וישנו את מינוני התרופות, או יורידו ויעלו את רמות החמצן לחולים המונשמים, או ישבשו את הטמפרטורה של מכשירי הסי-טי – דבר שעלול לגרום לכוויות ולפגיעה במטופלים. האקרים יכולים לגרום לשתל רפואי להפסיק לעבוד, לגרום למכשיר להציג אבחנה שגויה, ואף לגרום למכשיר לבצע פעולה קטלנית בחולה, כמו למשל, מכת חשמל של דפיברילטור תת-עורי.
"משימה לא מורכבת במיוחד"
לדברי מר כוכב, פריצה לציוד רפואי שמתחבר לאינטרנט, זו משימה לא מורכבת במיוחד והרבה קוצבי לב מתחברים למוניטור שפועל על WI-FI ובכך חשופים לשיבוש המכשיר. הדבר הזה נכון לגבי הרבה מהציוד הרפואי כמו מנשמים ביתיים, משאבות אינסולין, קוצבי מוח ועוד.
בישראל, בניגוד לאירופה ולארה"ב, אין עדיין חוק או תקנה שמחייבים יצרנים לאבטח את המכשור. בשנים האחרונות הבשילו טכנולוגיות שיודעות להגן היטב על אביזרי מכשור רפואי, אך בהיעדר חקיקה, אין ליצרנים סיבה להשקיע בכך – שילוב טכנולוגיות כאלה ייקרו את הייצור בעשרה, עד חמישה עשר אחוזים, מעלות המכשיר.
"רמת אבטחת מידע מאוד גבוהה"
"צריכים לקרות שלושה דברים כדי לשפר את המצב בישראל", טען כוכב, "קודם כל, מערכת הבריאות צריכה להגדיר מהן התשתיות הקריטיות שלה – כמו למשל פגיות, חדרי מיון, מכונות הנשמה, מכשירי מעבדה וכדומה. באותם מקומות של תשתיות קריטיות, צריכות להיות מערכות עם רמת אבטחת מידע מאוד גבוהה, בדיוק כפי שיש בהרבה משרדי ממשלה אחרים", הוא מסביר. "שנית – צריך להחליט מהו הציוד הרפואי מציל החיים, ולא לאפשר לו להיות מחובר לאינטרנט. מי קבע שהמכשור במעבדה חייב להיות מחובר לאינטרנט? הרי גם בצבא ובמערכות נוספות אין חיבור לרשת חיצונית".
"ולבסוף, צריכים להיות חוקים בנוגע לאבטחת מידע. בישראל יש חוק אביזרים ומכשירים רפואיים. כל מכשיר חדש, נדרש לעבור בדיקה של רמת הבטיחות והאיכות שלו, אבל אין חובה לבצע בדיקה על רמת אבטחה, ואת המציאות הזו צריך לשנות".
מנכ"ל רמב"ם דאז, פרופ' רפי ביאר סיכם:
"ניהול חכם של מחלות כרוניות, ניטור ואבחון מרחוק, ומחקרים מבוססי ביג דאטה, נשענים כולם על רפואה דיגיטלית. לכן, מקומם של מכשירים ושתלים חכמים ואינטרנטיים הולך וגדל. בכנס התמקדנו בנושא הזה והמחשנו שאבטחת המידע במכשור רפואי הופכת חשובה יותר מדי יום. לצד התועלת האדירה של התנופה בתחום הבריאות הדיגיטלית, אנו ללא ספק, נדרשים כעת להתמודד עם איום הסייבר, גם בהיבט החדירה לפרטיות וגם בהיבט המטריד של התערבות זדונית בטיפול רפואי".
לרע ולטוב
עד כאן הציטוט. פרשתי בפניכם תמונת מצב מאיימת לביסוס אמירתי כי סייבר הפך גורם מכריע בחיינו והשימוש לרעה הוא בן לווייתו.
זו מציאות חיינו לרע ולטוב. היו עירנים!
במשבר הזה היו שתי כישלונות :
-גוף כלכלי חייב לקבל יעוץ בנוגע לאבטחת הנתונים ורצוי מגופים מחוץ לישראל, בעלי מקצוע בנושא.
-לאחר שהפגיעה התרחשה, הניהול היה צריך הולם, כלאמר… או כניעה או התקפה.בפועל הניהול של המשבר היה כושל ולקוחות החברה נפגעו קשות—עליהם להחליף גם כרטיסי אשראי וגם תעודות זהות.