סגור
גג דו"ח טכנולוגי עומר כביר דסקטופ

דו"ח טכנולוגי
מתקפת הסייבר על הלל יפה היתה יוצאת דופן – וחייבת להדליק נורה אדומה

בישראל אין כיום חוק המחייב להתאים את המערכות המיושנות, ואין גוף מפקח שיכול להסדיר את ההתמודדות עם איומי הסייבר הגדלים. בפעם הבאה שתתרחש פריצה במוסד חיוני - זה עלול לעלול בחיי אדם

הדבר המפתיע ביותר במתקפת הכופר על בית החולים הלל יפה בחדרה היא לא עצם העובדה שהיא התרחשה – לאור ההתגברות במתקפות כופר בשנים האחרונות והפיכתן לאחד ממקורות ההכנסה המרכזיים של פושעי סייבר, ומתקפות עבר שהיו נגד בתי חולים בעולם, זה היה צפוי שיהיה גם מוסד ישראלי שיחטוף את המכה.


לא, מה שמפתיע בה במיוחד זו העובדה שעד עכשיו לא היתה מתקפה כזו נגד בית חולים מרכזי או תשתית חיונית אחרת.
זאת משום ששירותי מחשוב של ארגון ציבורי גדול בנויים בדרך כלל מתערובת של מערכות שונות ברמות תחזוקה ופיקוח משתנות, עם צוותים שהם לא בדיוק המיומנים ביותר בתחומם ומערך סיוע הקפי חלש וחסר שיניים שמתקשה להפעיל את סמכותו.

4 צפייה בגלריה
בית חולים הלל יפה חדרה
בית חולים הלל יפה חדרה
בית חולים הלל יפה, חדרה
(דוברות בית חולים הלל יפה חדרה)

בשלב זה, המידע על המתקפה נגד הלל יפה מוגבל, והיא נמצאת בחקירה משותפת של ווייט האט, 2B סקיור ו-OP Innovate, בפיקוח וליוווי צמוד של מערך הסייבר שאנשיו נמצאים גם הם בשטח.
עם זאת, לפי הערכות הפרצה לארגון התבצעה דרך גרסה לא מעודכנת של תוכנת VPN של Pulse. מערך הסייבר אף המליץ לארגוני לוודא באופן מיידי בשרתי ה-VPN והאימייל שלהם מותקנות הגרסאות העדכניות, לעדכנן במידה הצורך וכאמצעי הגנה פרואקטיבי לאפס באופן יזום את הסיסמאות של כל המשתמשים.
היה אפשר למנוע את הפריצה
דברים אלו מצביעים על כך שהמתקפה היתה, בפוטנציאל, כזאת שהיה אפשרי מאוד למנוע. לא מדובר כאן במתקפת zero-day, שמקורה בפרצה או חולשה שלא היתה ידועה קודם לכן. מתקפות מהסוג הזה הן לחם חוקן של חברות כמו NSO, שכן יקר מאוד לאתר ולשמר אותן, ולכן המוצרים של החברה כל כך יקרים ומופעלים בצורה ממוקדת יחסית.
פושעי סייבר, מנגד, לא מחפשים מטרות ספציפיות, הם מרססים בצורה רחבה, ומה שיפגע יפגע. הם לא מחפשים פרצות אקזוטיות וסודיות, אלא כאלו שקלות לתפעול ולחדירה. פעמים רבות אלו יהיו פרצות מוכרות היטב, כאלו שכבר הוצאו להן עדכוני אבטחה לפני שנים, אולי אפילו כאלו שרוב הארגונים כבר התמגנו מהן. כי הם לא צריכים להגיע לרוב הארגונים, רק למיעוט שלא חסמו את הפרצה. ובעולם כיום, המיעוט הזה יכול להיות מספר גדול מאוד, ורווחי מאוד.

4 צפייה בגלריה
פיגוע סייבר
פיגוע סייבר
פיגוע סייבר
(צילום: שאטרסטוק)

המתקפה נגד הלל יפה יוצאת דופן בכך שזו ככל הנראה מתקפת כופרה ראשונה נגד תשתית חיונית משמעותית בישראל. היו כבר מתקפות סייבר נגד בתי חולים, בעיקר קטנים יותר, אך אלו לא היו ככל הנראה מתקפות כופרה. מתקפת כופרה ששיתקה ביולי השנה אתרים של כמה בתי חולים, בהם אסותא, רמב"ם והדסה, הופנתה לא נגד בתי החולים עצמם אלא נגד חברת ניהול אתרים שבתי החולים, לצד חברות אחרות, היו בין לקוחותיה. במתקפה זו, ככל הנראה, נפגעו רק אתרי תדמית של המוסדות ובשונה מהמתקפה הנוכחית לא היה שיבוש במערכות פנימיות או פגיעה בעבודה.
אבל למרות שהמתקפה יוצאת דופן, היא לא חדשנית או מפתיעה. בתי חולים רבים כבר נפלו קרבן למתקפות סייבר, מגמה שהתגברה במיוחד בעת המגפה כשפושעים מנצלים את התלות המוגברת בתפקוד תקין של מוסדות בריאות כדי לסחוט סכומים גבוהים, וגם תשתיות חיוניות אחרות, כמו המתקפה על צינור הנפט בארה"ב במאי השנה וכמובן, שגם בישראל היו לא מעט מתקפות כופר, בעיקר נגד גופים פרטיים. למשל מתקפה נגד טאואר במסגרתה שלימה החברה מאות אלפי דולרים כדי לשחרר את שרתיה; או במתקפה נגד שירביט שהובילה לגניבת מידע בנפח של טרה-בייט ונחשבת לאחד מאירועי הסייבר החמורים בישראל, אז מתקפת כופר נגד תשתית חיונית מרכזית בישראל היתה רק עניין של זמן.
מערכות רעועות
אם כבר מה שמפתיע זה שהמתקפה התרחשה רק עכשיו. איני מכיר לעומק את מערכות המחשוב של הלל יפה. ייתכן שהן עדכניות, מאובטחות, מעודכנות בקביעות והמתקדמות ביותר. אבל אם זה המצב, בית החולים יהיה יוצא דופן ביחס למרבית המוסדות הציבוריים הגדולים ביותר. מערך המחשוב של ארגונים ציבוריים גדולים הוא לרוב אוסף של מערכות שונות מספקים שונים, שהותקנו ופותחו בזמנים שונים, שפועלות ומתוחזקות על בסיס סטנדרטים מגוונים. חלקן חדשות ומעודכנות, אחרות ישנות ורעועות.

4 צפייה בגלריה
אישה עובדת ב סייבר
אישה עובדת ב סייבר
מערך סייבר
(צילום: שאטרסטוק)

לדוגמה, האוניברסיטה שבה התחלתי השבוע לימודים (אני לא נוקב בשם, כי מה שאתאר אופייני להרבה אוניברסיטאות והמכללות הגדולות בישראל). יש שם מערכת להרשמה ללימודים, מערכת נפרדת לרישום לקורסים, מערכת נוספת לצפייה במידע אישי וביצוע תשלומים ועוד מערכת להעלאת תמונת סטודנט (שלא הצלחתי לתפעל, כי אנחנו כנראה ב-2003 והיא עובדת רק עם ווינדוס). וזה רק מה שגיליתי עד עכשיו. אני בטוח שהשנים הקרובות יזמנו לי עוד מערכות קסומות ונפלאות.
וכמה שנחמד לרדת על המערכות המיושנות של ארגונים ציבוריים, יש כאן סכנה אמיתית. כי כל מערכת נפרדת היא סט נפרד של דאגות, עלויות תחזוקה ואבטחה ופרצות אפשריות. ככל שארגון מתחזק יותר מערכות, כך גדלים החשיפה שלו למתקפות סייבר והקושי שלו להתגונן מהן. בנוסף, ארגונים ממשלתיים וציבוריים רבים פעמים רבות לא מפתחים את המערכות שלהם בעצמם אלא עובדים עם מגוון ספקים חיצוניים, מה שרק מוסיף מורכבות למערכת מורכבת גם ככה.
מערך הסייבר מוגבל בסמכויות
לפעמים, מדובר במערכות ישנות מאוד, כאלו שמבוססות על שפות תכנות שכבר לא נמצאות בשימוש עשרות שנים. רק תגשו למנמ"ר של ארגון גדול בן כמה עשורים, תגידו לו "קובול", ותראו איך הוא תופס את הראש בייאוש ומתחיל לקלל. יש אמנם חברות סייבר שמציעות פתרונות להתמודדות עם הבעיות השונות האלו, אך ארגונים ציבוריים רבים לא עושים בהם שימוש.
ובינתיים מערך הסייבר, שאמור לסייע במוכנות של ארגונים להתמודדות עם מתקפות מסוג זה, מחזיק רק בסמכויות מוגבלות ויכולת הפעולה שלו מבוססת בעיקר על הרצון הטוב של הגופים השונים. חקיקת חוק הסייבר שאמור לפתור בעיה זו מתעכבת (ובצדק, החוק בנוסח הנוכחי מעניק סמכויות קיצוניות מדי למערך הסייבר ולשב"כ).

4 צפייה בגלריה
נעם רותם נועם רותם האקר מחשבים
נעם רותם נועם רותם האקר מחשבים
נעם רותם
(צילום: אוהד צויגנברג)

את התוצאות של זה אנחנו רואים כמעט מדי יום, בדמות פרצות אבטחה שמזהים חוקרי אבטחה עצמאיים כמו נעם רותם ורן בר-זיק. פרצות אלו, חלק ניכר מהן מתפרסם בקביעות בכלכליסט. לאורך השנים חשפנו פרצות בגופים ציבוריים או בספקים של גופים ציבוריים כמו משרדי ממשלה, רשויות מקומיות, חברת נסיעות שסיפקה שירותים למדינה, חברת מוקדי שירות שעבדה עם משרדי ממשלה.
כשזה המצב, כשיש כל כך הרבה ארגונים ציבוריים גדולים שעושים שימוש במארג לא אחיד של מערכות מחשוב, כשאין גורם סמכותי מספיק על מנת לפקח עליהם, כשאין הסדרה מספקת על התקשרויות עם ספקי מחשוב ושירותים חיצוניים והגדרה של נהלי אבטחת מידע בעבודה מולם ובארגון עצמו, אנחנו לא באמת צריכים להיות מופתעים שמתקפת כופר שיבשה בהצלחה את הפעילות של בית חולים גדול בישראל.
אם שום דבר לא ישתנה, ומהר, לא תהיה לנו שום סיבה להיות מופתעים כשתקרה עוד מתקפה כזו. וכשזו תתרחש, ההשפעה יכולה להיות גדולה הרבה יותר מהפניה של מטופלים לבתי חולים אחרים. המתקפה הבאה, אם תהיה נגד בית חולים אחר, או תשתית חיונית או קריטית, כבר יכולה לעלות בחיי אדם. במקרה כזה, התגובה הציבורית תהיה זעם נרחב על המחדלים וקריאות להקמת ועדת חקירה שתבדוק איך הגענו למצב הזה. אבל פעולה נחושה כעת, תחסוך מאתנו את כל זה. אנחנו לא צריכים ועדת חקירה אחרי אסון. הבעיות כבר ידועות ומוכרות, אנחנו צריכים לפעול עכשיו לפני שהאסון מתרחש.