ד"ר תומר סיימון בתאריך מאי - 30 - 2014

בתקופה האחרונה נושא הסייבר מסרב לרדת מהכותרות. לפני כעשרה ימים, ב-21/5, חברת המסחר המקוון הגדולה בעולם, eBay, הודיעה כי שרתיה נפרצו ושנגנב ממנה מידע רב. סה"כ, פרטיהם של כ-230 מיליון לקוחות נגנבו ובעקבות זאת eBay שלחה הודעה אליהם כי יחליפו את סיסמתם לאלתר. מאגר המידע שנפרץ כלל את פרטי הלקוחות וממנו נגנב מידע כמו השמות, כתובות המייל, הכתובות הפיזיות ותאריכי הלידה של המשתמשים. פרטי כרטיסי האשראי של הלקוחות נשמרו מוצפנים כך שאין סיכון לגניבתם ולשימוש בהם. לא ידוע מה מטרת הפריצה ומה הפורצים יעשו עם המידע.

באפריל האחרון, כחודש וחצי לפני כן, נערכה התקפת סייבר מתואמת על ישראל על ידי קבוצות האקרים פרו-פלסטיניות מרחבי העולם. ההתקפה מתקיימת זה מספר שנים תחת השם OpIsrael. מרבית ההתקפות אותן ביצעו ההאקרים היו מסוג defacement ('השחתת פנים') בלבד. בדר"כ בהתקפה מסוג זה מוחלף דף הבית של האתר בדף אחר אותו שמו ההאקרים, כפי שניתן לראות בתמונה הבאה בה הוחלף הדף של אתר ישראלי בזמן ההתקפה האחרונה.

תמונת מסך של אתר ישראלי שנפרץ במהלך התקפת הסייבר באפריל האחרון

תמונת מסך של אתר ישראלי שנפרץ במהלך התקפת הסייבר באפריל האחרון

בתחילת חודש אפריל התפרסמה פרצת האבטחה שהוגדרה על ידי מומחים כחמורה והמסוכנת ביותר בתולדות האינטרנט. פרצה זו, אשר זכתה לכינוי Heartbleed ("דימום הלב"), מאפשרת להאקרים לנצל באג בפרוטוקול OpenSSL להצפנת תקשורת של אתרים (קידומת https), ולמעשה יכולים לצפות ולקבל את כלל המידע העובר בו. על פי מומחים ישנם עדיין מאות אלפי שרתים ואתרי אינטרנט שלא תיקנו את הפרצה, למרות קיומו של תיקון פשוט.

עולם הסייבר מקיף אותנו ולמעשה שולט בחיינו. עולם זה כולל את המחשבים הפיזיים, רשתות התקשורת המחברות ביניהן (כמו האינטרנט) והתוכנות שמריצות ומפעילות אותם.

כל אחד יכול לבחון את חייו ולראות את מידת התלות שלו במחשבים ובאינטרנט. כמה מידע אישי שמור על כל אחד מאיתנו באינספור אתרים שנרשמנו אליהם וקנינו דרכם? כמה מידע קיים עלינו ברשתות החברתיות בהן אנחנו חברים?

תחום ההגנה על הסייבר כולל, בין היתר, הגנה על המידע ושמירה על הפרטיות של האנשים. ההגנה הזו נחלקת לשלבים של מניעה, הכוללת למשל שימוש בטוח באינטרנט והתקנת אנטי-וירוס, גילוי וזיהוי התקפות או פריצות ותגובה אליהן. הגילוי מתבצע בדרך כלל ע"י כלים מקצועיים, אך ישנן גם תוכנות הגנה ביתיות המסוגלות לאתר מספר מצומצם של התקפות. תגובה למתקפות כוללת בעיקר חסימה ופעולות מניעה שאמורות להקטין את יכולת ההתקפה והנזק שלה.

מדינת ישראל מתוכננת למערכה בסייבר מאז שנות ה-90, וביתר שאת מאז 2002, אז התקבלה החלטת ממשלה המעניקה סמכות לרשות הממלכתית לאבטחת מידע בשב"כ (רא"מ) להיות רגולטור של תשתיות מידע קריטיות (למשל, חברת חשמל, מקורות, מד-1, בז"ן, בנק ישראל, הבורסה לניירות ערך, ועוד). מדובר ברשימה המתעדכנת מעת לעת ומצויה בתוספת הרביעית לחוק הסדרת ביטחון בגופים ציבוריים התשנ"ח-1998. רא"מ, כרגולטור, מסדיר את ההגנה על מערכות המידע בתשתיות הקריטיות (כלומר, קובע סטנדרטים של אבטחה, מפקח על הפעילות ואוכף כשיש צורך). ככלל, רא"מ נחשבת כאחד הרגולטורים הטובים בעולם בתחום.

לצד זאת, בינואר 2012 החל לפעול המטה הקיברנטי הלאומי תחת משרד ראש הממשלה. לפי שעה, מדובר בגוף מטה שנועד לקבוע סדרי עדיפויות בנושא ההשקעות והמאמצים בתחום (למשל, כיצד לעודד השקעה של הסקטור הפרטי באמצעי הגנה בסייבר). דוגמה לפעילות מעין זו היא מאגד 'קברניט', שהינו קונסורציום של חברות מובילות במשק בתחום הביטחון, שמטרתו לשתף במידע אודות פיתוחים בתחום ההגנה בסייבר, חלקם במימון הממשלה. על ידי רתימת הסקטור הפרטי באמצעות תמריצים, הממשלה יכולה לגשר על פערים בטכנולוגיה ופעילות להגנת מידע.

כיום, האיום המשמעותי יותר הינו האיום על מערכות קריטיות, דוגמת חברת חשמל, מקורות, הרכבת, מד-1, בתי חולים ועוד. מדובר על מערכות שפגיעה בהן עשויה לגרום לפגיעה משמעותית בביטחון הלאומי או בכלכלה של המדינה. כך למשל, פגיעה בחברת החשמל שתביא לשיתוקה תשתק ככל הנראה את מרבית הפעילות שלנו, שהרי כולם נסמכים על אנרגיה לפעילותם.

כל מדינה קובעת לעצמה מהן התשתיות הקריטיות שלה. הקריטריונים עשויים לשקף אינטרסים לאומיים (למשל, בארה"ב אתרי מורשת נכללים ברשימת האתרים הקריטיים שיש להגן עליהם – במקרה זה – פיסית). במדינת ישראל הקריטריונים אינם גלויים, אך על פי מנכ"לית הבורסה, אסתר לבנון, שצוטטה בדיון שנערך באחת מוועדות הכנסת, השב"כ ציין בפניה שהקריטריונים כוללים, בין השאר, "פגיעה של חצי אחוז בתוצר הלאומי הגולמי או כמה מאות הרוגים".

חמ"ל הסייבר של יחידת לוטם, היחידה הטכנולוגית והמבצעית של אגף התקשוב בצה"ל

חמ"ל הסייבר של יחידת לוטם, היחידה הטכנולוגית והמבצעית של אגף התקשוב בצה"ל

במקום בו השוק הפרטי אינו מגיע לפתרון יעיל של בעיות, נכון לגרום לו להגיע לפתרון זה באמצעות כלים רגולטוריים. המונח רגולציה משמש לתיאור כלים שונים שעושים אופטימיזציה של אינטרסים, והיא נועדה להניע (או להניא) פעילות (של אנשים, של חברות, של ארגונים וסקטורים). למשל, אם כל אחד מאיתנו יקבל מענק של 1,000 ש"ח בשנה על התקנת אנטי-וירוס והורדת כלל עדכוני האבטחה למחשבו, יש להניח שהרוב המכריע היה עושה זאת ומצבנו האבטחתי הכולל היה טוב יותר. מדובר בסובסידיה, שהיא סוג של כלי רגולטורי. לחילופין, אם העונש על אי התקנת אנטי-וירוס והורדת עדכונים היה שנה בכלא, גם אז היינו מגיעים לאותה התוצאה (זה נקרא command and controlregulation). מדובר בשני מקרי קיצון, כשברור שהם לא ראויים או יעילים. אבל באמצע ישנם מגוון כלים נוספים שניתן להשתמש בהם ואשר עשויים לדחוף את מצב אבטחת המידע למקום טוב הרבה יותר.

בראשית שנת 2012 נחשפו פרטי כרטיסי האשראי של עשרות אלפי ישראלים בפרשה שזכתה לשם "פרשת ההאקר הסעודי". לאחר חשיפת פרטיהם של אזרחים רבים ע"י ההאקר הסעודי OxOmar פורסם כי הרשות למשפט טכנולוגיה ומידע במשרד המשפטים (רמו"ט) הוציאה צו סגירה לכ-1,700 אתרי אינטרנט ישראליים שלא עמדו ברמות אבטחה סבירות. פעולה ריאקטיבית זו היתה סבירה, זאת בהנחה שכלל האתרים היו בלתי מאובטחים והיתה סכנה למשתמשים ולמידע של המשתמשים בהם. בתחום הסייבר וההגנה על האזרחים יש לבצע פעולות פרואקטיביות במטרה להימנע מראש מכניסה לבעיות מעין אלה. כך, חיוב אתרי רכישה בתקן אבטחה על ידי חברות כרטיסי האשראי (פעילות שכבר מתבצעת במקרים רבים) היתה מונעת את הפיאסקו הזה, שכן אתרים ללא תקני אבטחה מתאימים לא היו יכולים לבצע סליקה של פעולות בכרטיסי אשראי.

כמובן, נראה שהפעולה של רמו"ט היתה מתערבת מאד במובן שהיא פשוט הורתה להוריד אתרים. פעולה דומה, אך מתערבת פחות, היתה לפרסם את שמות האתרים כך שהציבור היה מקבל את המידע ומחליט, תוך הפעלת שיקול דעת עצמאי, האם להסתכן או לא. במידה רבה, הפעולה של רמו"ט הייתה פטרנליסטית, מתוך הבנה, שלא בטוח שקלרה מדימונה או משה מתל אביב אכן קוראים עיתונים, או מפעילים שיקול דעת סביר, ולכן רצוי למנוע מהם את הפעילות.

ברמה האישית, לכל אחד מאיתנו אמור להיות אינטרס להגן על המידע שלו, על המחשב שלו. וניתן לעשות זאת בקלות יחסית באמצעות התקנת אנטי-וירוס מעודכן על המחשב (קיימות גרסאות חינמיות טובות, למשל AVG), והורדת עדכוני אבטחה באופן סדור. עדכונים אלה משמשים לסגירת חולשות/פגיעויות בתוכנות הקיימות ואשר משמשות אותנו באופן שוטף. האקרים עושים שימוש בד"כ בפגיעויות ידועות (מתוך הבנה שיש רבים שאינם מעדכנים באופן שוטף את התוכנות שלהם). בימים האחרונים מתקיים דיון בין ענקיות האבטחה על עתיד האנטי-וירוס, כשבכיר בחברת סימנטק הספיד את האנטי-וירוס, בעוד מייסד חסרת קספרסקי טוען שהאנטי-וירוס הוא חלק אחד ממערכת הגנה רב-שכבתית.

התקיפות המסוכנות יותר הן תוך ניצול פגיעויות שאינן מוכרות (מכונות zero day), וכנגד אלה עדכוני אבטחה לא יפעלו בהתחלה. לכן חשוב גם לבצע גיבוי של המידע. מעבר לזה, לכל אחד מאיתנו אחריות מעבר למידע ולמחשב האישיים שלו. לפעמים, האקרים יעשו שימוש במחשבים בלתי מוגנים כפלטפורמה לתקיפות של מחשבים או מערכות מידע אחרים/ות. כך למשל, מתקפות DDoS (Distributed Denial of Service) בנויות על כך שהתוקף הצליח להשתלט על מאות, אלפי, ואף עשרות אלפי מחשבים ללא ידיעת בעליהם. בעת הצורך, הוא נותן לכולם פקודה ליצור קשר עם שרת מסוים. העומס שנוצר כתוצאה מהפעילות הבו-זמנית הזו מפילה את האתר. זה מה שקרה לאתרי הבורסה וחברת אל על ב-2012. למעשה, בגלל רשלנותם של עשרות אלפי בעלי המחשבים, שלא הגנו על מחשביהם כמו שצריך, נוצר נזק משמעותי לצד שלישי. בשפה כלכלית, מדובר בהחצנה שלילית (negative externality), והתיאוריה הכלכלית קובעת שמדובר בכשל שוק, שכן בעלי המחשבים לא לקחו בחשבון את פוטנציאל הנזק לצד שלישי כששקלו האם לאבטח את המחשב שלהם וכיצד.

למה הדבר דומה? למצב בו אנשים מתחסנים במטרה למנוע התפשטות מגיפות. אמנם, כל אחד דואג לעצמו, אך ככל שחלק גדול יותר מהאוכלוסיה יתחסן, הסבירות למגיפה ברמה הלאומית (שיכולה להביא לקריסת מערכת הבריאות, למשל, ולפגיעה כלכלית בתוצר הלאומי) יורדת משמעותית. קמפיין ההתחסנות מפני מחלת הפוליו בשנת 2013 היא דוגמא לכך.

על נושא יכולות ההתקפה של ישראל בתחום לוחמת המידע והסייבר לא ניתן לכתוב. כדאי לציין כי שנים רבות עסקו בארה"ב באופן נפרד בהגנה בסייבר והתקפה בסייבר, ומאז כניסתו של ג'נרל קית' אלכסנדר לתפקיד ראש ה-Cyber Command בצבא ארה"ב, קיימת הבנה שמגן טוב צריך לדעת לתקוף ותוקף טוב צריך לדעת להגן. לכן, האמריקאים החליטו שמומחי סייבר ישרתו בתפקידי תקיפה, הגנה, תקיפה וחוזר חלילה. גם בישראל היום ישנה חלוקה בין הסייבר ההתקפי שעליו אחראים ביחידה 8200, ועל הגנת הסייבר אחראי אגף התקשוב.

אחד הדברים הבולטים בתחום הסייבר הוא שמדובר ביכולות שהן נגישות למעצמות, מדינות מפותוחת ומתפתחות, ארגוני טרור, קהילות האקרים והאקרים בודדים. אמנם, מתקפות מתוחכמות מאד אינן נחלתם של האקרים בודדים, אך הן בהחלט נגישות לארגוני טרור ומדינות שאינן מעצמות. אין מדובר בפיתוח של מטוסי קרב, מדובר בכתיבת קוד עוין (ואף רכישתו באינטרנט!). כך, שהאיום מצד מדינות אויב ויריב הינו ממשי.

מעבר למערך הסייבר הלאומי והמוסדר ישנם בישראל האקרים שלעתים לוקחים את החוק לידיהם ומבצעים התקפות נגד. התקפות אלה תורמות לליבוי האש וודאי שלא תורם להרתעת ההאקרים שתוקפים אותנו. אותם האקרים שפועלים בשם המדינה כנקמה על התקפות אל מולנו עוברים על החוק (דיני מחשבים, דיני הגנה על הפרטיות). כמו שאנחנו מצפים שמדינות אחרות יעצרו את ההאקרים הפועלים אל מולנו משטחן, כך מדינת ישראל צריכה לפעול מולם ולעוצרם. הן משטרת ישראל והן ראש רמו"ט פועלים בנושא. הסינים, שהם אולי המעצמה המובילה בתחום ה-cyber warfare, עצרו בעבר רשתות האקרים שפעלו בשטחם וגזרו על ראשיהן עונשים כבדים, עד כדי עונש מוות. עם זאת, לא כדאי או ראוי לקחת מהסינים דוגמא בנושא.

לאחרונה פורסם כי התקפות הסייבר על ישראל גורמות לנזקים כלכליים של כ-3 מיליארד דולר בשנה. שאלה חשובה שיש לשאול, היא האם מדינה יכולה לחוות אסון עם נזקים ממשיים כתוצאה מאירועי סייבר?

דוגמה לאירוע סייבר יכולה להיות כדלהלן: תקיפה של מערכות התפעול (SCADA) של בתי זיקוק נפט במפרץ חיפה באופן שמעלה את הלחץ במיכלי האמוניה, עד כדי פיצוצם. הדבר יביא לעשרות אלפי הרוגים ופגיעה סביבתית ארוכת שנים. דוגמה אחרת עשויה להיות שיבוש הנתונים בבנק הדם, באופן שיגרום למתן עירויי דם מהסוג הלא נכון לחולים/פצועים, דבר שעשוי להביא למותם. בסוף שנת 2013 אמר מומחה בתחום הסייבר בישראל אמר כי "היקף המתקפות על מערכות SCADA הוא פי 100 ממה שמתפרסם". ככל הידוע מספר תקיפות הסייבר בעולם שגרמו לנזק פיזי היו מועטות, אך זאת ככל הנראה בגלל מניעת פרסום וצנזורה. ב-2010 התרחשה ככל הנראה תקיפת הסייבר הראשונה שגרמה לנזק בעולם האמיתי. וירוס ה-Stuxnet, שנועד לפגוע בפרוייקט הגרעין האירני, גרם להאצתן הבלתי נשלטת של הצנטריפוגות עד להריסתן, תוך שיבוש מערכת ההתרעה והבקרה. בשנה שעברה, אדווארד סנואדן טען כי ישראל וארה"ב היו אחראיות לפיתוחו והפצתו.

קטגוריות: טכנולוגיות, כללי

השאר תגובה

דף הפייסבוק של אתר אסונות   ספריית החירום הלאומית   ערוץ המסמכים של אתר אסונות