מה קורה כשארגון נמצא תחת מתקפת סייבר אבל לא מסוגל להודות בזה? האם עדיף לשלם להאקרים או לסרב ולנסות לשחזר את המידע לבד? אלי זילברמן כספי, ממייסדי ענקית הסייבר הישראלי קונפידס שניהלה מאות אירועים ומנהלת חברת סייבר לספינות יחד עם צים, חושף שהתשובות להתמודדות מול האקרים מורכבות כמעט כמו המתקפות עצמן
אלי זילברמן-כספי - מייסד שותף בקונפידס, החברה להגנה וניהול משברי סייבר (צילום יחצ, pngwing)
"הרבה פעמים ארגונים חושבים שזה תקלה, או מסרבים להאמין שהם תחת תקיפת סייבר" – זה רק אחד המשפטים המפתיעים שאומר לנו אלי זילברמן-כספי, מייסד שותף בקונפידס, במהלך ראיון על מה שקורה בתחום הסייבר ועל רקע השנה עמוסת המתקפות שאירעה בעולם כולו, אך במיוחד בישראל: די אם נמנה את המתקפות שבהן דלפו פרטי המשתמשים באתר ההיכרויות הלהט"בי אטרף, חברת הביטוח שירביט ואוניברסיטת בן גוריון – שלושה אירועים משמעותיים, שאת שני האחרונים בהם ניהל זילברמן-כספי בעצמו. המגמה ברורה: מתקפות הסייבר הפכו למלחמה של ממש, שמתנהלת ממש ללא הפסקה ומחייבת משתמשים – אבל יותר מכך, ארגונים – להיערך להתמודדות מולן.
כאן נכנסת לתמונה חברת קונפידס, שזילברמן כספי נמנה, כאמור, על מקימיה. החברה מציעה שירותי הגנה וניהול למשברי סייבר, ואף מפעילה חמ"ל סייבר לארגונים.
קונפידס כבר ראתה מתקפה או שתיים (וקצת יותר), והשתתפה בניהול לא מעט מאלו ששמענו עליהן בתקשורת, ורבות אחרות שכלל לא הגיעו לאוזנינו. לדברי זילברמן כספי, חשוב מאוד שארגונים יידעו איך מתמודדים מול המתקפות ההולכות וגוברות הללו.
"יש פעולות מיידיות שאתה צריך לעשות - כמו הח"ע (חוסם עורקים; י"מ) שאתה שם וזה עוד לא ללכת לבית חולים, להזמין את האמבולנס. הח"ע הסייברי זה כשהארגון מבין כשזה קרה" – וכאן הוא מציין את המשפט המדהים מתחילת הכתבה, לפיו יש ארגונים שפשוט מסרבים להאמין שהאקרים תקפו אותם. "אנחנו באים לארגונים שלפעמים לוקח גם יום שלם והם חושבים שזה עדיין תקלה. הם מעלים את המערכת – והיא נופלת שוב ושוב. אז קודם כל, להבין שמדובר באירוע סייבר ולכנס צוות ניהול משבר".
צוות ניהול משבר סייבר כזה צריך לכלול, לדבריו, גם צוות טכני שידאג למצוא את הפרצה ולתקן אותה, אך גם צוות משפטי, צוות רגולטורי, צוות תקשורתי, צוות עסקי – וכולם צריכים לתקשר ביניהם כדי לתאם את ההתמודדות בכל החזיתות הרלוונטיות.
"הדבר הראשון שצריך לעשות זה לנתק את המחשבים הנגועים מהרשת. עדיף לא לכבות אותם, אלא לנתק אותם מהרשת – גם הארגונית וגם הכללית; שתיים זה לשקול לנתק גם את המחשבים האחרים מהרשת ומהאינטרנט, בדגש על אלה שאתה לא רוצה שיוצפנו". הוא משווה זאת למלחמת פיאודלים: "כמו שעכשיו פורצים לך למבצר – קודם כל הולכים למלך ולמלכה ושומרים עליהם". המלך והמלכה במקרה זה הם הגיבוי והשירותים ההכרחיים, ואותם צריך לנתק, כדי שלא יקרה להם כלום. כן, זה אומר שהם לא יהיו זמינים, לעת עתה, אבל זה עשוי להציל אותם מלא להיות זמינים אחר כך לפרק זמן ארוך יותר אם ההאקרים יהרסו אותם במכוון. "לנתק את הארגון מהאינטרנט זו החלטה קשה – אבל צריך לשקול לקחת את ההחלטה הזו".
צעדים נוספים שמציין זילברמן כספי כוללים שינוי של סיסמאות מנהלים בעלי גישה למידע קריטי, לאחר מכן שינוי כל הסיסמאות האחרות, שיחה עם ברוקר ביטוח הסייבר (בתקווה שיש כזה) כדי לשקול האם להפעיל אותו או לא במידה והנזק עולה על מחיר ההשתתפות העצמית, הקצאת משאבי עבודה לצוותים ויצירת קשר עם חברה כמו קונפידס, שבתוקף ההתעסקות הבלתי פוסקת במשברי סייבר יש לה בכך יותר ניסיון מכל צוות פנימי בחברה שקיוותה – וזילברמן מצטרף לתקווה הזו – שלא תיקלע אי פעם למשבר כזה.
אבל איך מתמודדים מול ההאקרים במקרה שכבר הצליחו להצפין מערכות חשובות, לגנוב מידע חשוב או שניהם? כאן קיימת חלוקה בהתאם לרקע לפריצה: "בארץ אפשר להגיד שיש שתי קבוצות עיקריות, שאחד זה פשיעה כלכלית, והמטרה שלהם היא כסף, והמוטיבציה השנייה היא המוטיבציה המדינית, המדינתית".
בפריצות מהסוג הראשון, מציין זילברמן כספי, נשלחת דרישת כופר בסכומים שהולכים ומאמירים ללא הפסקה, כאשר השנה הם הגיעו לקרוב ל-200,000 דולר בממוצע – עלייה של 230% מסוף 2019 עד אמצע 2022, ולפי מערך הסייבר 20% מהארגונים בישראל חוו ב-2021 מתקפת סייבר, ובקרב ארגונים גדולים המספר כפול מזה. "למה זה קורה? כי זה משתלם, זה קל, וגם אין סיכון. ומה שאנחנו רואים (הוא) שהאכיפה הגלובלית סביב הקבוצות האלה היא מאוד מאוד נמוכה. תופסים פה ושם אנשים, עושים מזה חגיגה תקשורתית – אבל על כל תפיסה כזו צצים עשרה אחרים".
פריצות מהסוג השני, שלצערנו נפוצות במיוחד בישראל, דורשות התמודדות מסוג אחר. כאן, הוא מודה, ההאקרים לפעמים לא טורחים אפילו לדרוש כופר – מאחר וברור שלא חשוב אם הוא ישולם, המידע ישמש לרעה בצורה כלשהיא. "אנחנו לא חברים", עונה זילברמן כספי לשאלה האם החברה שלו כבר יכולה להגדיר כך את הקשר שלה עם ההאקרים הללו, "אבל מכירים את הכלים ויודעים איך להתמודד". הוא מציין שהמתקפות כל כך שונות בגודלן ובתוצאותיהן שעל רובן לא שומעים כלל בתקשורת, ורק כשההאקרים מחליטים לפרסם את הדבר כדי להביך את הנתקפים, כדי להוסיף אלמנט של טרור למתקפה, אז גם אנחנו, האזרחים הפשוטים, שומעים עליהן. כך היה, לדוגמא, בתקיפה על שירביט, שלדברי זילברמן כספי התזמון שלה – ימים בודדים לאחר התנקשות בבכיר בתוכנית הגרעין האיראנית – העיד כי היא מעין פיגוע נקמה. הוא מציין כי מדובר ב"כלים שצריך יכולות כדי להפעיל אותם – זה לא ילדים איראנים בקפוצ'ון, זה לא החבר'ה שעושים את OpIsrael פעם בשנה (כל שנה ב-7 באפריל מנסים 'ילדים בקפוצ'ון' לבצע מתקפות סייבר נגד ישראל, ומעולם לא נגרם נזק משמעותי מתקיפה כזו; י"מ), ששם התקיפות הן לא משמעותיות. אני מדבר איתך על גופים שנמצאים בתוך ארגונים חודשים רבים, ומחזיקים ממש עמדות פתיחה בתוך ארגון, וכשהם מקבלים הוראה לבצע – יש להם את נקודת הפתיחה והם מבצעים את התקיפה, את מה שאנחנו קוראים לו הפיצוץ הסייברי, בתוך הארגון".
במקרה של מתקפה על רקע כספי, לדבריו, לעתים רבות הארגונים משלמים את הכופר – וזה אפילו כדאי להם. "צריך לזכור שיש ארגונים, כמו מפעלים, שאין להם מידע אישי נרחב ורגיש. יש להם מערכות שצריכות להמשיך לעבוד, ואם הן מוצפנות – המפעל יפסיק לעבוד. כל יום שאתה לא מגיע לעסקה עם ההאקרים והמפעל לא עובד נמדד במיליוני דולרים". כאן מגיע עוד גילוי מפתיע מאוד: "היה פרסום בעבר שארגונים שמשלמים נתקפים שוב. זה ממש לא נכון, ואני אומר את זה ממקור ראשון. ארגונים שעושים את העבודה כמו שצריך, שמכילים את האירוע, שעוצרים את היכולת של התוקף לעשות את זה שוב, גם אם הם משלמים כופר – הוא לא ינסה. מה שמאוד חשוב לקבוצות התקיפה זה לבנות לעצמן מוניטין, שאם אתה יודע עכשיו שנתקפת על ידי קבוצת תקיפה שנקרא לזה 'ליגת הקיסוס', קבוצה רצינית, ושילמת כסף – הם רוצים שתדע שלא תיפרץ שוב. הם רוצים שאנחנו, הקהילה המקצועית, נדע שאם עכשיו הם תוקפים חברה ומשלמים – החברה תצא מזה בסדר. זה כמעט ולא קורה, עד כדי כך שיש מקרים שאפילו אם קבוצה אחת תקפה והקבוצה השנייה תקפה אח"כ שוב במקרה – וזה סיפור אמתי שקרה – כשהבאנו לידיעת אותה קבוצת תקיפה הם התנצלו ואמרו סליחה. יש כבוד. כי אם עכשיו זה יהיה לא מסודר, אז מה המוטיבציה של ארגונים לשלם אם אתה יודע שיתקפו אותך שוב?".
אם כן, תשלום להאקרים, כל עוד מדובר בקבוצות 'גדולות' ו'מסודרות', הוא סוג של מתכון נגד פריצות נוספות, כך שמדובר במעין שכבה נוספת של 'ביטוח סייבר' – שירות שכפי שפרסמנו בקיץ, שיעור החברות בישראל שטורחות לרכוש אותו נמוך בהשוואה לעולם.
עם זאת, כאמור, יש גם מקרים שבהם תשלום להאקרים לא יעזור. "קבוצות איראניות שמשתמשות בכלי הצפנה, הרבה פעמים בכלל לא יוצרות קשר כדי לקבל את הכסף, כי הן יודעות מראש שזה לא הסיפור. אף אחד לא ישלם להם כסף פה בארץ".
מה שנכון בכל מקרה, מדגיש זילברמן כספי, הוא החשיבות הרבה של התכוננות לאירועי סייבר – מבחינת ארגונים זה אומר לרכוש שירותי הגנה למניעת פריצות, ניטור להתמודדות עם פריצות מתקדמות במיוחד שמצליחות לעקוף את ההגנות, ואימונים כדי להיות מוכנים לתרחישים שונים של מתקפות; מבחינת משתמשים זה אומר שבכל פעם שגורם כלשהוא יוצר איתם קשר, על אחריותם לוודא שמדובר בגורם לגיטימי לפני מסירת מידע אישי. כך, למשל, אם פונים אליכם מהבנק או מחברת תקשורת, דרשו לקבל את שמו ותפקידו של האדם מצידו השני של הטלפון ואז חייגו אתם למספר של המוקד שמופיע באתר הרשמי (ולא בזיהוי השיחה) ובקשו את האדם שאיתו דיברתם.
