רגע לפני שהמתקפות גובות חיי אדם: למה הסייבר נשאר מאחור?

אם ישאלו את האדם ברחוב בשבוע הבא מה הוא זוכר מהשנה שחלפה, התשובות ינועו ודאי מהמלחמה בין רוסיה לאוקראינה, דרך מותה של המלכה אליזבת ועד זכייתה של ארגנטינה במונדיאל, אבל שום דבר מהאירועים הללו לא השפיע או יכול היה להשפיע על אותו אזרח כמו מתקפת סייבר על מערכת הבריאות במדינתו, על תשתיות הרשות המקומית שבה הוא מתגורר או הדהוד של פגיעת טרור באמצעות פריצה למצלמות כפי שקרה רק לאחרונה בירושלים.

על פי סקר גלובלי שערכה חברת אבטחת הסייבר "פאלו אלטו נטוורקס", שדגם 1,300 מנהלי אבטחת מידע בחברות רב לאומיות, כמעט כל המשיבים הודו שחוו אירוע אבטחת סייבר במהלך 2022. למרות הנתון המדאיג הזה, רק 40% ציינו שקיימת עלייה משמעותית בהכרה מצד הנהלת החברה בחשיבות סיכוני הסייבר.

על פי הערכה נוספת, הפעם של חברת מיקרוסופט, דרישות הכופר (ופשעי סייבר באופן רחב יותר) אינם מראים סימני האטה וצפויים לגרום נזק של לא פחות מ-6 טריליון דולר (5.3 טריליון ליש"ט) לכלכלה העולמית עד סוף השנה הבאה – נתון שעולה ל-10 טריליון דולר (8.9 טריליון ליש"ט) בשנת 2025.

בארה"ב, למשל, זיהו את הסכנה וגם הגיבו לה. ממשל ביידן העביר השבוע שינויים בחוק מדיניות תקציב מדיניות ההגנה של ארה"ב, הכוללים איום מפורש על מדינות שהיא מזהה כאיום סייבר. במסגרת התיקונים לחוק יוקצו 44 מיליון דולר לטובת משימות של "ציד קדמי", הכוללות תקיפות סייבר נגד מדינות עוינות.

בישראל, שמשמשת מטרה מועדפת עבור האקרים המבצעים מתקפות סייבר מכל הסוגים ונהנים לעתים מ"גב" של מדינות וארגוני אויב כמו איראן, צפון קוריאה, חמאס וחיזבאללה, המצב רק הולך ומחמיר ולממשלה החדשה יש אתגרים רבים לקראת השנה הקרובה. כך, למשל, ראש מערך הסייבר הלאומי גבי פורטנוי אמר השבוע ב"כאן רשת ב'" שהופתע מרמת האינטנסיביות של האיומים על ישראל, שכן "אנחנו מתמודדים עם עשרות תקיפות בחודש מהצד האיראני" – ומדובר במגמה שהולכת ומחריפה.

המצב הזה גורם למכה נוספת עבור החברות והארגונים, חוסר המוכנות של חברות הביטוח לבטח אותם מפני מתקפות סייבר באמצעות פוליסות ביטוח סייבר. רק השבוע אמר מריו גרקו, מנכ"ל קבוצת ציריך, חברת הביטוח השנייה בגודלה בשווייץ וה-11 בעולם, עם שווי שוק של 71.5 מיליארד דולר, ל"פייננשל טיימס" כי "מה שיהפוך לבלתי ניתן לביטוח הוא סייבר". את הסיבה לכך הסביר בשאלה: "מה אם מישהו משתלט על חלקים חיוניים בתשתיות שלנו, מה ההשלכות של זה? זה לא רק מידע. זו הציביליזציה. האנשים האלה יכולים לשבש את חיינו באופן חמור".

עם זאת, גם אם מניחים בצד לרגע את צה"ל ומערכות הביטחון ומתמקדים בתשתיות אזרחיות ובחברות ובארגונים פרטיים, מצב המוכנות בישראל מפני מתקפת סייבר, העלולה להשבית מערכות חיוניות ואף לעלות בחיי אדם, אינה מספקת.

בשנת 2021 התקבלו במוקד החירום של מערך הסייבר הלאומי 12,739 פניות מאזרחים ומארגונים שהתבררו כאירועי סייבר או ניסיונות תקיפה, זאת בהשוואה לכ־9,000 דיווחים ב־2020. מבחינה סטטיסטית, מדובר כאמור באחד מתוך חמישה עסקים בישראל.

עוד ב-2021: אחד מכל 30 עסקים דיווח כי ספג פגיעה או נזק בעקבות אירוע סייבר, וכ־1,320 אירועים הוגדרו "חמורים" או בעלי "פוטנציאל לאירוע חמור". דרישות הכופרה מגיעות למאות מיליוני דולרים בשנה, ואילו תשלומי הכופר בפועל מגיעים לעשרות מיליוני דולרים, שיכולים להיתרגם לכ-100 מיליון שקל תשלומי כופר בשנה. הכסף הגדול הזה מושך לתחום גם ארגוני פשע, שמזהים את הפוטנציאל הכלכלי בהעסקת האקרים ועלולים לגרום לעלייה נוספת במתקפות.

בישראל (כמו בעולם כולו) ישנם שלושה מגזרים עיקריים שסובלים יותר מכולם ממתקפות סייבר: הבריאות, הלוגיסטיקה ומוסדות החינוך. כדי לסבר את האוזן, רק בחודשים האחרונים הותקפו בתי חולים בצרפת, בארה"ב ובמדינות נוספות, וכן מערכת הבריאות הלאומית בבריטניה. מתקפות אלה גרמו לעיכוב בטיפולים, בשליחת אמבולנסים ועוד, וככל הנראה עלו גם בחיי אדם – וזה לפני הנזקים הכלכליים העצומים שלהן.

בארץ, כזכור, באוקטובר 2021 הותקף בסייבר בית החולים הלל יפה, המדינה סירבה לשלם את הכופר שדרשו התוקפים, ועל פי נתוני משרד הבריאות עלות השיקום לנזק שנגרם היתה כ-36 מיליון שקל לטובת "הקמה מחדש של תשתיות תקשורת ומערכות מידע, אובדן הכנסות, דחיית ניתוחים לא דחופים, גיוס טכנאים להקמת המחשבים ועוד". אגב, עלות הטיפול באירוע היתה יכול להסתכם ב-5% מהסכום, במידה והמדינה היתה מסכימה לשלם את הכופר.

בנוסף, גם הרשויות המקומיות בישראל סובלות מאוד ממתקפות סייבר, כפי שעולה מדו"ח מבקר המדינה שפורסם ביולי השנה. על פי הדו"ח, 41% מהרשויות המקומיות חוו אירועי סייבר בין השנים 2019 עד 2021, אולם 49% מהן לא ביצעו מבדקי חדירת סייבר באותן שנים. בנוסף, ל-61% מהרשויות אין תוכנית להתאוששות ממתקפת סייבר, ל-64% אין נוהל אבטחת מידע ו-34% מהן לא מינו מנהל או ממונה על אבטחת המידע.
לדברי רם לוי, מנכ"ל ומייסד "קונפידס", החברה להגנה ולניהול משברי סייבר, ומי ששימש כמרכז ועדת הסייבר הלאומית של ראש הממשלה "ישראל היא יעד מרכזי להתקפות סייבר, הן מגורמי אויב כגון איראן, חמאס או חיזבאללה, וגם מצד רוסיה, סין וכפי שסיכלנו ממש לאחרונה גם צפון קוריאה.

"מטרות המתקפות הן גם כלכליות, גם תודעתיות, כלומר ניסיון להשפיע על דעת הקהל בהקשר לבחירות למשל, וגם ניסיון לגניבת פרטים אישיים של אזרחים או לגרימת נזק למערכות חיוניות. אבל הדבר המסוכן ביותר הוא תקיפת סייבר שתוביל לפגיעה בחיי אדם.

"הסכנה במתקפות הסייבר הללו היא כפולה, שכן לצד החשש מדליפת מידע אישי רגיש של אזרחים ישנה גם סכנה בהשבתת מערכות חיוניות העלולה לשבש ואף להשבית את פעילות המשק, ואולי אף לגרום לאובדן חיי אדם, אם מדובר במתקפה על מערכת הבריאות והשבתת מערכות חיוניות בה, או השבתת תשתיות קריטיות.

"כמדינה, ישראל אינה ערוכה למתקפה כזו – וכדי להתמודד עם המצב על הממשלה החדשה שתקום לנקוט כמה צעדים אקוטיים:

"בכל הקשור להגנת הסייבר, מדינת ישראל נמצאת בצומת דרכים. האם ממשיכים למחשב ולבצע דיגיטציה כמעט לכל הדברים ששולטים על חיינו ומקווים שלא יקרה שום דבר רציני, או שמשנים את האופן שבו אנחנו מגינים על מרחב הסייבר.

"כאן צריך לשנות גישה, לא עוד עיסוק בהגנה, אלא מעבר להערכות לניהול משברים. הנחת העבודה צריכה להיות שקו ההגנה לעולם יפרץ וצריך לדעת מה עושים גם ברמת הפרט, גם ברמת המשק וגם ברמת הלאומית.

"הדבר יצריך התארגנויות חדשות, הכשרה מאסיבית של כוח אדם, רגולציה, אמנות ויצירתיות, שיתופי פעולה בינלאומיים חסרי תקדים (כולל שיתופי פעולה מחייבים בין הסקטור הפרטי לממשלות בעולם), הזרמת משאבים אדירים לגופי אכיפת חוק ומערכות הביטחון, ובעיקר הפנמה שאם לא נעשה זאת – אנחנו צפויים אולי לעתיד עם כמויות מתקפות ופשיעה חסרות תקדים שיהיה קשה לעצור.

"ברמת המדינה, ש לבצע בדחיפות מיקוד ב'היגיינת סייבר לאומית'. על אף תיאורים נרחבים של תהליכי דיגיטציה, בספר היעדים האסטרטגיים של משרדי הממשלה לא מופיעה באף משרד(!) התייחסות להגנת סייבר. לאור זאת, על המדינה להכליל בדחיפות היבטים של הגנת סייבר בתוכניות העבודה של כלל משרדי הממשלה. כאן צריך לומר, לא מדובר בעוד קמפיין העלאת מודעות לפישינג, אלא מהלך לאומי משמעותי שמטרתו שכמה שיותר ארגונים ואנשים יאמצו פרקטיות הגנה בסיסיות שכוללות: התקנת אנטי וירוס (או EDR), אימוץ סיסמאות כפולות בחשבונות דואר וסושיאל, ביצוע עדכוני גרסאות לתוכנות ומערכות הפעלה וגיבויים. זה בלבד יובל לצניחה דרמטית במתקפות הסייבר בישראל.

"צעד קריטי נוסף הוא קידום חובות הדיווח על גופים, חברות וארגונים, במגזר הציבורי והפרטי כאחד, שחווים מתקפת סייבר. אם ראש הממשלה ישאל מחר את ראש מערך הסייבר הלאומי כמה תקיפות היו בישראל – אין לו שום דרך טובה לדעת. ואם לא יודעים כמה תקיפות היו, אין דרך לדעת מהו הסיכון האמיתי בעת מתקפת סייבר, שכן רוב החברות שנפרצות לא מדווחות למקום אחד שמרכז את הדיווחים ומקבל תמונה רחבה ואמיתית של הנזק. לפחות בחברות הציבוריות, חשוב ליצור סטנדרט אחיד של דיווח לגוף אחד, למשל למערך הסייבר הלאומי, על מנת לייצר ניהול מסודר של הסיכונים ומשברי הסייבר בדומה למה שנעשה בארה"ב על ידי ה-SEC (הוועדה לניירות ערך ובורסות).

"בהמשך לכך, על המדינה לקדם את הסדרת שיתוף הפעולה בין חברות הסייבר לגופים העיקריים האמונים על הרגולציה בתחום, קרי מערך הסייבר והרשות להגנת הפרטיות. שיתוף פעולה כזה יעודד את החברות במשק לפעול בתחום הגנת הסייבר, באמצעות חברות מייצגות מול מערך הסייבר והרשות להגנת הפרטיות.

"על מנת להשלים את הפעולות ולייצר מרחב הגנת סייבר טוב יותר, יש לבצע הסדרה מוגדרת של מקצועות הסייבר ושל החברות המעניקות שירותי הגנת סייבר. אחת הדרכים לבצע זאת היא באמצעות הקמת לשכת יועצי הסייבר, בדומה ללשכות עורכי הדין או רואי החשבון, שתהיה אחראית על ההסמכה. נוסף על כך, יש לקדם תוכנית לאומית להוזלת פרמיות הביטוח להגנת הסייבר, למשל באמצעות סטנדרט מינימום לשירותי הגנת סייבר מנוהלים.

"בשורה התחתונה, אף שבישראל קיים הידע הטוב ביותר בעולם להתגוננות מפני סייבר, המערכת הפוליטית לא מגלה עניין מיוחד לייצר את ההגנות המתאימות. במדינה שבה יש כמות גדולה של חברות עם הידע, עם יכולות ההגנה ועם היכולות הטכנולוגיות הכי טובים בעולם, הפער שקיים בשטח הוא רק במוטיבציה.

"אין ספק שהגיעה שעת הכושר לערוך רפורמה מוקפדת בהסדרת תחום הסייבר בישראל, בין השאר כדי לאחד את הדרישות הרגולטוריות שיש הגיון בהפיכתן לכלליות, להסדיר את מנגנוני הדיווחים כדי שיהיו מסונכרנים בין הרגולטורים השונים, ואפילו לבנות דרך לאפשר דיווח אחיד לרגולטורים השונים, תוך כדי הבטחת הסודיות של הדיווח. בסוף, המטרה היא לתמרץ ארגונים לשתף מידע רלוונטי במסגרת היעד הלאומי המשותף של רמת הגנת סייבר גבוהה מול איומים מדינתיים ולא-מדינתיים".