ראיון כלכליסט"לדבר עם סרבני מיגון סייבר זה כמו להיתקל בקיר"
ראיון כלכליסט
"לדבר עם סרבני מיגון סייבר זה כמו להיתקל בקיר"
“מנקודת מבט לאומית, הטיפול בתקיפות סייבר לא יכול להישאר וולונטרי", אומרת מיטל אריק, ראש אגף הכוונת המשק במערך הסייבר הלאומי. לדבריה, הוראת שעה בעניין היא צורך קיומי, במיוחד אחרי שנת הקורונה שהגדילה ב־50% את מספר התקיפות. על שירביט: “אילו היתה מתמגנת סביר שלא היתה חוטפת"
מיטל אריק, את ראש אגף הכוונת המשק במערך הסייבר הלאומי. מה תפקידך בעצם?
"אני ראש האגף שמדריך את המשק האזרחי כך שיהיה חסין יותר בפני התקפות סייבר: אנו עוסקים בהעברת התרעות, הכוונה וסיוע טכנולוגי ממש. כשיש התרעות, הן יועברו ליחידות הגנת סייבר במשרדי הממשלה הרלבנטיים. אנחנו נחשבים גוף ביטחוני ופועלים ככזה".
עד כמה תחום פריצות הסייבר משגשג בתקופת הקורונה?
"שנת הקורונה הגדילה את האירועים והאינטנסיביות של התקיפות, והיתה גם קפיצת מדרגה באיכות המתקפות: המרכז המבצעי של המערך קיבל השנה יותר מ־9,000 דיווחים שהתבררו כאירועי סייבר, עלייה של כ־50% בהשוואה לשנה שלפני. זה קרה בין היתר בשל המעבר לעבודה מרחוק. המעבר לענן לצורך עבודה מהבית לא תמיד מלווה בהגנה על עצמך בשעה שהתוקפים כבר ערוכים לעבודה מרחוק, ומוצאים המון הזדמנויות פריצה שנהפכו גן עדן לתוקפים. אם אתה מקצועי במתן הגנה, זה תחום רווחי עם כסף קל. כי שוק הסייבר בארץ סובל מחוסר דרמטי בכוח אדם".
באילו אירועים אקטואליים היית מעורבת?
"אירוע הפריצה לאוניברסיטת בן־גוריון ואירוע הכופר על חברת הביטוח שירביט הם דברים שניהלתי באופן אישי. בן־גוריון נקלעה לאירוע פריצה לכמה מהשרתים שלה, שבו היתה קרובה למחיקת המידע שבידיה — זה באמת מטורף.
“הגענו אליהם עם מידע על כך שחלק מהשרתים שלהם נפרצו — מידע שהשגנו באמצעות כלים שמשמשים מדינות, יחד עם מידע שהגיע אלינו מצינורות אחרים שלנו — וכשזיהינו את האירוע, המלצנו להם לצאת בהודעה כדי לנהל אותו בשקיפות. בזכות ניהול נכון הוא נבלם. ארגונים קטנים לא מטפלים בנושא עד שזה לא תוקף אותם — ומי שעושה שינויים דרמטיים זה בדרך כלל אלה שחטפו, ספגו הפסדים והתרסקו".
לשירביט זה יקרה שוב?
"שירביט דיווחה שמחקה את הרווחים ברבעון האחרון בגלל אירוע התקיפה. מאז היא עשתה השקעות דרמטיות בהגנה, שארגון בסדר גודל שלה לא עושה, כלומר היא עברה לקיצון השני של להיות סופר־מוגנת. לשירביט זה לא יקרה עוד פעם כנראה. אבל אילו עמדה מראש בדרישות הרגולציה — בסבירות גבוהה היא לא היתה חוטפת את המתקפה הזאת".
בעסקים קטנים ובינוניים ההשקעה יכולה להכביד על הרווחיות.
"אתה לא צריך להיות הכי מוגן בעולם, מספיק שתבצע את ההגנות הבסיסיות שמערך הסייבר מבקש, והתוקף ילך למקום אחר שבו קל יותר. אם אתה מצמצם ומאבטח מידע שפונה החוצה — הם ימשיכו למקום אחר. כך גם אנחנו פועלים: ברגע שאנחנו מגלים חולשה, אנחנו ניגשים לבתי עסק וחברות ואומרים להם להתמגן. למשל, כשמיקרוסופט פרסמה התרעה לעדכון האבטחה בשרת המייל אקסצ'יינג שלה, מצאנו 1,400 ארגונים שבהם לא סגרו אותה והתרענו. היו לנו מקרים שפנינו לגופים, הם לא סגרו חולשות, וחטפו התקפה אחרי כמה חודשים".
“רק שהתוקף לא ילחץ על כפתור אדום”
לכמה גופים פניתם ובכל זאת לא סגרו פרצות אבטחה?
"נכון ל־2020 היו 2,000 גופים שקיבלו מאיתנו התרעה ולא סגרו אותה, מתוך 6,000 גופים שפנינו אליהם. אנחנו מתערבים בנקודות שבהן יכולה להיות פגיעה באינטרס ציבורי או בביטחון הלאומי. כמו באירוע של חברת מימון הרכב ק.ל.ס קפיטל (כאשר קבוצת ההאקרים פרצה לחברה והעמידה למכירה נתונים ששאבה משם, כולל כרטיסי אשראי, רישיונות נהיגה, צילומי דרכון ותעודות זהות — דב”נ) או שירביט לצורך העניין, שהחזיקה הרבה רשומות של לקוחות לאורך שנים”.
איך מתמודדים עם ארגונים סרבנים?
"מול סרבנים נפעיל את כל המנופים המשפטיים שאנחנו יכולים, כדי לגרום להם לעשות את מה שצריך. במרבית המקרים ארגונים מבינים את גודל האירוע, ויש שיתוף פעולה. במקרה של בן־גוריון, באיזשהו שלב נשיא האוניברסיטה אמר: ‘קחו את כרטיס האשראי שלי ותעשו כל מה שצריך כדי שהתוקף לא ילחץ על הכפתור האדום שימחק חלק מהאוניברסיטה’. כי ברגע שהתוקף יחליט לבצע מחיקה או הצפנה של מידע — אתה בנקודת האל־חזור. ולא תמיד יש גיבוי לנתונים ולהישתחזר מגיבוי זה תהליך של כמה ימים טובים עם השבתת פעילות בדרך ופגיעה גדולה במוניטין".
בישראל אין חוק סייבר, זה לא הופך אתכם לגוף מסורס?
"אם גופים עסקיים גדולים מחליטים לא לשתף פעולה — הם יודעים שהם יכולים. בכל מקרה, אנחנו לא נוגעים במקלדת של הארגון, הם אמורים לעשות הכל. כיום אנחנו בסוג של מסע שכנוע, ואם יש התנגשות מול גוף מסוים, מתנהל שיח בין יועצים משפטיים על האחריות הנזיקית שהם יכולים להיות חשופים אליה. בתחום הפיננסי, למשל, יש רגולציה חזקה שיכולה לסייע לגרום לגוף לבצע את מה שצריך. אבל בסופו של דבר, המציאות היא שהמצב וולונטרי. בטח כשמדובר בגוף שאין בו רגולטור, וזה מה שהוראת שעה שתיתן סמכויות למערך במקרה שבו יש סכנה לנכס או לאינטרס ציבורי, שאנחנו מנסים לקדם — באה לתקן. יש חברות שמעולם לא שמעתם את שמן, אבל במקרה של התקפה הן מקושרות להמון חברות אחרות (כפי שקרה בחברת השילוח עמיטל - ר”ק). לכן זה כמו למשוך זנב של פיל. זה תמיד נראה קטן ברגע הראשון".
ועדיין היעדר החקיקה עומד לצד הסרבנים.
"מול הסרבנים אנחנו נתקלים בקיר. הם מבינים שאין לנו את החוק מאחורינו, ואומרים: ‘אין לכם סמכות להמשיך, נעצור פה את השיח בינינו’. זה מאוד מתסכל. מה שחשוב הוא לא האירועים הבודדים של הסרבנים, אלא כשמתקפה מתגלגלת דרך סרבן למקומות אחרים. הכוונה למצב שבו כמה חודשים אחר כך מצאנו וריאנט של אותה קבוצת תקיפה שהתפשט לגוף אחר. זה מבחינתנו בלתי נסבל".
מה תספק לכם הוראת השעה?
"מה שניסחנו בהוראת השעה יאפשר לנו בסופו של דבר יכולת בשיח, בדרך מינהלית או בצו שופט. שכשמגיע אליי גוף ואומר לי, ‘שמעתי מה את אומרת לי לעשות, אבל אטפל בדרך שלי ובלוחות הזמנים שאני מוצא לנכון’, אז נוכל להגביל אותו. אנחנו רוצים לוודא שהשיטה הנבחרת באמת תיתן מענה לבעיה, וחשוב יותר להציב מועדים לטיפול. מנקודת מבט לאומית, אי אפשר שהכל יישאר וולונטרי".
“שירות סייבר הוא כמו רואה חשבון”
עבור גופים קטנים שירות הגנת סייבר פשוט לא תמיד משתלם.
"בדיוק כמו שאתה לוקח שירות של ראיית חשבון או יעוץ משפטי, קח גם שירות סייבר. זה לא העסק העיקרי שלך? אין בעיה. קח בעל מקצוע שיעשה לך את זה כמו שצריך (יגן על האתר, המיילים, הרשת הארגונית). בקורונה פרסמנו רשימה של ספקים ונותני שירותים בתחום כי אחרי פרשת שירביט קיבלנו המון פניות ממנכ”לים שאמרו לנו שהם לא ישנים בלילה”.
מה כוללת הרשימה הזאת?
"היא מבוססת על קול קורא שהוצאנו לחברות סייבר לקבל במה להציע את מרכולתם למשק דרך האתר שלנו, בעיקר בקורונה כשקשה כלכלית, ואם זה בא עם הטבה כלכלית, זה מבורך. עשינו בדיקה וסינון שהספק מספק את מה שהוא מצהיר, יש שם סדר גודל של 150 מוצרים וחברות, עם קטגוריות שונות של הגנות שאפשר להצטייד בהן".
מה עם עסקים קטנים ובינוניים שמבחינת היקף הרווחיות, אין להם תמריץ להשקיע?
"אנחנו לא מצפים שכל אחד ייקח מנהל הגנת סייבר ומנהל אבטחת מידע. אם זה לא העסק העיקרי שלך, אין בעיה. אפשר לשכור ייעוץ חיצוני. יש הרבה חברות שנותנות את מלוא השירותים ועושות לך ראש שקט בתחום הזה. אנחנו רואים דוגמאות למיקור חוץ בתחום שעובד יפה, ולכן אנחנו מעודדים את זה".
תוקף יכול היום לנעול בהתקפת כופרה מחשב במשרד ראש הממשלה?
"בישראל יש לנו שילוב של כמה גורמים שהופכים אותנו ליעד אטרקטיבי, הפיתוחים הטכנולוגיים שנוצרים ב’סטארט־אפ ניישן’ בצירוף עם השכונה שאנחנו חיים בה — זה מעלה את הדירוג של ישראל כאטרקטיביית לתקיפה. בגדול, אנחנו תמיד אומרים שאין 100% הגנה אף פעם. יש השקעות ומאמצים נכבדים ומערכי הגנה מאוד משמעותיים מצד רשות התקשוב הממשלתית כדי שדברים כאלה לא יקרו, ועובדה שאכן לא ראינו את זה קורה".
בנימה אישית. כשהיית ראש מרכז הנחיית IT לתשתיות קריטיות במערך הסייבר חלית בסרטן השד.
"אובחנתי במרץ 2017 עם גוש בשד, הייתי בת 37, צעירה לאבחון כזה, והתברר שאני בעצם במצב של גרורות. זה היה שוק מאוד גדול, סוג של התקף חרדה. סחרחרה רצינית. נכנסתי לשנה וחצי של טיפולי כימו, הקרנות, טיפול ביולוגי. מגיל 18 התחלתי להתעניין בנושא של קשר גוף־נפש, ופיתחתי לי ספרייה נחמדה בבית, קורסים, סדנאות. אמרתי: ‘הגיע זמן להשתמש בכלים האלה ולבדוק אותם על עצמי’. כשראיתי שזה עוזר לי, ואחרי שראיתי מספיק נשים כבויות במצב הזה, החלטתי להעביר את מה שעבד לי לאחרות בסדנאות. בשני המישורים — האישי והמקצועי — זו התמודדות עם משבר. הדרך לעבור אותו היא ללמוד לסגת קצת, למלא מצברים בין לבין. בתוך הסערה עצמה הכל נורא קשה. אין יום ואין לילה וכל המשאבים מופנים לזה. אני מוקירה את בן זוגי והמעטפת המשפחתית והחברית שזכיתי לה בתהליך הזה. כשזה נגמר את מרגישה כאילו גבהת, או גדלת קצת".