"אין תכנון וניהול אסטרטגי של מערך הגנת הסייבר הישראלי"

"אין תכנון וניהול אסטרטגי של מערך הגנת הסייבר בישראל. מערך הסייבר הלאומי עושה דברים טובים, אבל אנחנו צריכים להתמקצע ברמה הלאומית", כך אמר לפני ימים אחדים בועז דולב, מנכ"ל קלירסקיי ומבכירי תחום הסייבר בישראל.

דולב דיבר במפגש של פורום אבטחת הסייבר CSC מבית אנשים ומחשבים, שנערך ביום ה' האחרון בסינמה סיטי בראשון לציון. את המפגש הנחה יהודה קונפורטס, העורך הראשי של הקבוצה.

לצד התכנון והניהול האסטרטגי הנדרשים של מערך ההגנה, אמר דולב, "המדינה צריכה להקים מערך פיצוי מסודר לחברות שנפגעו מתקיפות סייבר שביצעו מדינות, בדיוק כמו שמפצים בעלי בתים שנפגעו מירי טילים של החמאס או הג'יהאד האסלאמי בדרום. הדרך היא להנהיג ביטוח חובה בסייבר, שיכלול הגדרת אמצעי אבטחה מינימליים שארגון מחויב אליהם, והקמת פול שיטפל בתקיפות מדינתיות, כמו הפול של חברות הביטוח".

"החשיפה של קבוצות הסייבר האיראניות – מאמץ יוצא דופן"

דולב דיבר על החשיפות של קבוצות הסייבר האיראניות, שנחשפו באחרונה על ידי ארצות הברית וגורמים בינלאומיים. לדבריו, "האמריקנים חשפו את כל קבוצות התקיפה האיראניות, וקבוצות נוספות ממדינות עוינות לארצות הברית – וכל זה בשבוע וחצי בלבד. היה מאמץ יוצא דופן לחשוף את כל הקבוצות האיראניות, עם עשרות חברות וכל גופי המודיעין, שהשתתפו בכך. יש לזה חשיבות עצומה, החשיפה הזאת לא פחות ממדהימה".

הוא מתכוון בעיקר לדו"ח שפרסמו ביום ד' CISA – הסוכנות האמריקנית לאבטחת סייבר ותשתיות, יחד עם NSA, ה-FBI, מפקדת הסייבר של ארצות הברית, משרד האוצר בוושינגטון וגופים רלוונטיים נוספים, כולל מקנדה, מבריטניה ומאוסטרליה. הדו"ח עוסק בקבוצות התקפת סייבר שהן שלוחות של משמרות המהפכה האיראניות, שניצלו פגיעויות ב-Horizon של VMware על מנת לבצע מתקפות APT, שבאמצעותן הן חדרו לארגונים דרך פגיעויות במערכות פורטינט ו-Microsoft Exchange. "לאחר חדירה לרשת הארגונית", נכתב בדו"ח, "הקבוצות הללו מבצעות, ככל הנראה, שורה של פעולות, בהתבסס על הערך של המידע (שיש במערכות של הארגונים המותקפים – י"ה), כולל הצפנת דטה וביצוע מתקפות כופרה".

נראה כי מטרת הדו"ח, בנוסף לאזהרת ארגונים מפני תוקפי הסייבר האיראניים, היא להרתיע את משמרות המהפכה כי הסוכנויות האמריקניות והאחרות יודעות ועוקבות אחרי מה שהם עושים בסייבר. לראייה, דיוויד לובר, סגן מנהל תחום הסייבר ב-NSA, אמר כי הממצאים שהעלו גורמי המודיעין "מובילים לבעלי תפקידים ספציפיים בקבוצות הסייבר הקשורות למשמרות המהפכה, שהשתמשו בפגיעויות ידועות כדי לקבל גישה לרשתות של תשתיות קריטיות אמריקניות. אנחנו מאיצים במגינים שלנו ובשותפינו לאבחן את האיומים האלה, לפני שארגונים יפלו קורבן למתקפת כופרה".

גילוי אמריקני של קבוצות סייבר איראניות – שקריטי (גם) לישראל. צילום: BigStock

דולב אמר כי "הגילוי הזה קריטי גם לנו, כי גם ישראל מותקפת על ידי הקבוצות האלה, כי מאות חברות ישראליות נפגעו מהתקיפות האלה". רק בעשרת הימים האחרונים מיקרוסופט פרסמה דו"ח שלפיו מתקפת הסייבר האיראנית שבוצעה באחרונה על אלבניה קשורה למלחמתה נגד ישראל, וחוקרי מנדיאנט מצאו שקבוצת APT42, שהיא שלוחה של המשטר בטהרן, מבצעת מתקפות פישינג נגד גופים ודמויות מפתח במערב, ובפרט בישראל.

"הגנב הנדיב" שרוצה להשפיע על הבחירות בישראל

קמפיין סייבר נוסף שדולב דיבר עליו זכה לכינוי "הגנב הנדיב". הוא ציין כי מדובר בקבוצה של האקרים, ככל הנראה איראנית, שהשתלטה ב-1 בספטמבר על מערכות המרכז לטכנולוגיה חינוכית (מט"ח) וגנבה מידע. לדבריו, מדובר בקמפיין שהוכן זמן רב, לפרסום במועד ספציפי – תחילת שנת הלימודים, ושמטרתו הייתה להשפיע על הבחירות בישראל.

ואמנם, מומחי סייבר מזהירים שאיראן מנסה ותנסה להשפיע על מערכת הבחירות, בעיקר באמצעות פרסום מסרים ברשתות החברתיות, במטרה לפלג את הציבור הישראלי, המפולג ממילא, ולזרוע פחד. במקרה זה, התוקפים הקימו כמה עשרות אווטארים, שטענו בפני מי שנחשפו למסרים שלהם עד כמה ממשלת ישראל גרועה. דולב ציין כי הרמה של קמפיין זה הייתה "פשטנית וגרועה".

גם אם התוקפים משרתים את איראן, נראה שהתוקפים במקרה של "הגנב הנדיב" הם דוברי ערבית. "שפת הקמפיין הייתה עברית, אבל לא הופיעה בו מילת הייחוס 'את', שקיימת בפרסית אבל לא בערבית", אמר דולב. "בנוסף, המתקפה לא פורסמה בערוצים האיראניים, אלא בערוץ אל מנאר של החיזבאללה, אז יכול להיות שהחיזבאללה היה מעורב בו".

"ההתנהגות של ארגונים – כמו בסרט בוקר טוב, וייטנאם"

"בכל הנושא של תקיפות הסייבר, התחושה שלי היא שהגעתי למלחמה כמו שמתוארת בסרט בוקר טוב וייטנאם: יש הפצצות, יש הרוגים, אבל הארגונים שמחים ועליזים, כי הם לא מבינים את המשמעות של התקיפות הללו ואת הנזק שיכול להיגרם להם", הזהיר דולב. בסרט, שדרן הרדיו (בגילומו של רובין וויליאמס) משדר תוכניות שמחות ועליזות, כאשר בחוץ יש מלחמה נוראה ועקובה מדם – כפי שמלחמת וייטנאם אמנם הייתה.

לדברי מנכ"ל החברה, "קלירסקיי מסייעת בהבנה עמוקה של התקיפות עבור חברות שמסייעות לארגונים להגיב על אירועי סייבר (IR) שהם נפלו קורבנות אליהן. היא באה עם הידע העמוק של מיהן הקבוצות ומה הן עושות".

"אנחנו יודעים לזהות במהירות איזו קבוצת האקרים ביצעה את המתקפה, משום שיש פעולות שמסייעות לזהות עם איזה סוג של אירוע ועם איזו קבוצה אנחנו מתמודדים. משם אנחנו יכולים להצביע מה קורה באירוע. בנוסף, אנחנו מסייעים לארגונים להבין מה הם חווים. אנחנו כמו חוקר שריפות שמגיע בזמן שהשריפה קורית", אמר. כמו כן, קלירסקיי מסייעת לארגון המותקף בכתיבת הדו"ח על התקיפה ובדיווח לרשויות, במקרים שבהם יש צורך.

"יש לנו צוות שבכל יום עובר על התקיפות שקרו ומנתח אותן. אנחנו מנטרים דיאלוגים ומשאים ומתנים מול הפושעים, ובעקבות זה נותנים לארגוני התגובה לאירועים את המידע לניהול המשא ומתן", הוסיף.