בתחילת אוקטובר האדמה רעדה. מגזין "ביזנסוויק" (Businessweek) דיווח כי גופי מדינה סיניים השתילו צ'יפ זעיר, גודלו כחוד עיפרון, בלוחות האם של חברת השרתים Supermicro. הציוד של החברה משמש את חוות השרתים של אמזון, אפל ועוד חברות טלקום ובנקים — סך הכל כ–30 לקוחות גדולים. הצ'יפ, נטען בתחקיר, הושתל בקו הייצור והיה אמצעי האזנה לתעבורה של חלק גדול מפעילות האינטרנט כולה.
מיד אחרי התחקיר יצאו הכחשות גורפות וחד־משמעיות מחברות הענק שהוזכרו בו, אבל ב"ביזנסוויק" עומדים מאחורי הפרסום, ומתעקשים שהדברים נכתבו אחרי תחקיר ארוך שהיו מעורבים בו עיתונאים רבים, והעדויות הגיעו בין השאר ממקורות בתוך החברות. הפרשה עוד לא הסתיימה, אבל המקרה המתואר הוא אחד מתרחישי האימים המטרידים ביותר כיום את עולם הסייבר: בחומרה או בתוכנה שארגון קונה יש רכיב להאזנה או החדרה של נוזקה. קוראים לזה "איום שרשרת האספקה" (Supply Chain Attack).
"אתה יכול להגן על עצמך עד מחר ולשים את כל המערכות הכי חדשות, לעדכן נהלים ולתדרך עובדים, אבל בשנייה שפתחת את מערכת ההזמנות או הנהלת החשבונות לגורם שלישי, אפשר לתקוף אותך דרך אותו ספק", מסבירה עינת מירון, בעלת חברת הייעוץ Cyber Resilience. "זה לא משנה כמה הספק נראה לך שולי או קטן. שרשרת האספקה היא כנראה החוליה הכי מסוכנת והכי בעייתית לניהול. ידוע שכמעט בלתי־אפשרי לספק הגנה מלאה מפריצות ומתקפות של האקרים על הארגון האורגני — אז קל וחומר קשה הרבה יותר להגן על אינספור תהליכים עסקיים וממשקים עם ספקים ונותני שירות חיצוניים ואף עם לקוחות".
המקרה המפורסם ביותר של שימוש בשרשרת אספקה הוא מתקפת הסייבר על רשת הקמעונות האמריקאית טארגט. המתקפה אירעה בדצמבר 2013, ובמהלכה נפרצו 1,800 קופות רושמות ונגנב מידע שהכיל פרטי כרטיסי אשראי של 40 מיליון לקוחות. על פי פרסומים שונים, התוקפים הצליחו להיכנס לטארגט באמצעות קודים שגנבו מספקית המזגנים של הרשת, חברה קטנה מפנסילבניה.
עוד ב-TheMarker
להוריד סרט בתוך שניות: כל מה שצריך לדעת על מהפכת דור 5 שיצאה לדרך
כשמארק צוקרברג ישתלט גם על המטבעות הדיגיטליים
עוד קודם לכן, סביב 2007 כנראה, הוחדרה לכורים גרעיניים באיראן נוזקה מפורסמת בשם סטוקסנט, שהצליחה לפגוע בצנטריפוגות ולעכב את פרויקט הגרעין האיראני כולו. רשת המחשבים בכורים היתה מנותקת מהאינטרנט כך שמישהו היה צריך להדביק את המתקנים האלה פיזית. על פי הערכות, הנוזקה הוחדרה אליהם דרך התקן USB, שהגיע לשם אולי דרך טכנאי של סימנס שהודבק בלא ידיעתו (כאמור, זאת השערה).
גם מקלדת ועכבר הם לעתים איום משמעותי
מעבר למקרים האלה, מתקפות על שרשרת האספקה תרחשות כל הזמן. חברת ספיו (Sepio) הישראלית עוסקת בתחום ההגנה על שרשרת האספקה. מנכ"ל החברה, יפתח ברטשפיז, מספר מה הספיקה החברה לראות בשנתיים שהיא על הכביש."יש הבחנה בעולמות שרשרת האספקה בין שני סוגי מתקפות: אם אתרע מזלך וסומנת כמטרה של גוף ברמה מדינתית, אז יש לו מספיק משאבים בשביל לייצר צ'יפ במיוחד בשבילך — שימצא את דרכו לשרשרת האספקה שלך. ופה לא צריך ללכת רחוק מדי — יש תיאורים מקיפים של מה עשתה NSA (הסוכנות לביטחון לאומי של ארה"ב; א"ז) בתחום הזה".
בדבריו מכוון ברטשפיז לפרסומים שלפיהם סוכנות הביון האמריקאית שתלה דלתות אחוריות (פרצות אבטחה) אצל יצרני ציוד מחשב ותקשורת שונים, ביניהם סיסקו, כדי לנטר את התעבורה בהם מאוחר יותר. חלק מהכלים שהודלפו ופורסמו ברבים משמשים כיום האקרים זדוניים בכל העולם. במקרים כאלה, של מעורבות מעצמתית, היכולת להתגונן מפני מתקפות היא מוגבלת עד לא קיימת.
"הסוג השני הוא מתקפות באמצעות כלים שנכנסים לארגון, כמו עכבר או מקלדת אלחוטיים, שהתוקפים נכנסים דרכם לרשת הארגונית או מאזינים לה. ראינו את זה אצל לקוחות", מסביר ברטשפיז.
מקלדת או עכבר יכולים להיות איום משמעותי לארגונים. יש מקלדות אלחוטיות "מטופלות", שמלבד התפקוד הרגיל שלהן, גם משדרות לאחור, דרך WiFi או דרך רשת הסלולר כל אות שמוקלדת, כולל שמות משתמש וסיסמאות (ציוד שמכונה keylogger). במקרים אחרים, הציוד הזה גם מספק שער כניסה לרשת הארגונית.
לדברי ברטשפיז, "בעולמות האלה של המקלדות והעכברים מסתובבים הרבה כלים בשוק החופשי, אפילו לא במסווה — כי אם בתור 'כלים לבדיקות'; ואם אתה ארגון פשיעת סייבר, האתגר שלך, במקום לנסות לטרגט את כל מערך אבטחת הסייבר, הוא רק להחליף חמש מקלדות אצל החברה. אפשר לשלם לעובד הניקיון כמה מאות דולרים בשביל שיעשה את זה, או אפילו להחליף את הציוד כבר אצל ספק הציוד או אינטגרטור ה–IT של החברה. הבעיה היא שרוב מוצרי ההגנה, כמו Network Access Control שיש בארגונים גדולים, לא מסתכלים ברמה של המקלדות והעכברים.
"אלה מוצרים שאין להם כתובת (MAC) או מספר סידורי, הם לא נרשמים ברשת — ולכן הם עוברים מתחת לרדאר. הם בלתי־נראים מבחינת הרשת, ולכן יכולים לשרוד הרבה זמן והתוקפים יתגלו רק אם הם יהיו חמדנים או רשלנים. אלה דברים שראינו במדינות שונות.
"שרשרת האספקה היא החל בתכנון של הצ'יפ, דרך פס הייצור ותחנות המשלוח שלו, ועד שהלקוח פותח את המחשב או הראוטר שלו. ואם זה נשלח לתיקון במעבדה, אז זה גם נכלל בקטגוריה של שרשרת האספקה", מסביר ברטשפיז.
הפתרון של ספיו מתמודד עם האתגר הזה: הוא מותקן הן ברמת הציוד הרשתי והן בתחנות הקצה ויודע לזהות התקנים שמערכות הגנה אחרות לא יודעות לזהות. ברטשפיז מספר שזה תמיד מעניין לראות בהתקנות את מנהלי האבטחה בארגון מופתעים לגלות מה מסתובב ומחובר אצלם ברשת. ספיו הוקמה ב–2016, גייסה 2 מיליון דולר מפיקו ונצ'רס פרטנרס ופאונדרס גרופ, ומעסיקה 12 עובדים.
ציוד מגיע לארגון כשהוא כבר נגוע
חברה נוספת שמציעה פתרון דומה־שונה היא ארמיס (Armis). זוהי חברת הזנק שנוסדה ב–2015 וגייסה עד כה 47 מיליון דולר ממשקיעים גדולים, כולל קרן סקויה ו–RedDot.
נדיר יזרעאל, אחד המייסדים ומנהל הטכנולוגיה הראשי שלה, מתאר תרחיש אחר של מתקפה על שרשרת האספקה: "יש תהליך של קונסולידציה בשווקים, וכשחברה גדולה באה לקנות חברה קטנה, וזה בדרך כלל מפורסם, החברה הקטנה חווה המון תקיפות, ממש גל, כי מנסים להדביק אותה לפני שהיא נרכשת וככה להגיע לרשת של החברה הגדולה. ראינו את זה עם חברה שעבדנו אתה בתחום השילוח ועם חברה גדולה בתחום המזון. זה קורה המון"
עוד מספר יזרעאל כי "בתאגידים יש לעתים חברות צד שלישי, שעובדות ממש בתוך הסביבה של התאגיד, רק עם מכשירים שלהן — ואלה עשויים להיות נגועים בכל דבר. אנחנו גם רואים ציוד שמגיע לארגון כשהוא כבר נגוע. רק באחרונה הממשל האמריקאי הזהיר ממצלמות של החברה הסינית Hikvision — שבסבירות גבוהה מכילות דלת אחורית".
הפורטה של ארמיס הוא הגנה על האינטרנט של הדברים (IoT) ציוד שמתחבר לרשת — כמו מצלמות, מדפסות וטלוויזיות חכמות. "כל מה שהוא לא לפטופ, שלא רגילים להגן עליו ושאי־אפשר להתקין עליו אנטי־וירוס", אומר יזרעאל.
"מוצרי אבטחה סטנדרטיים שואלים 'מה נמצא ברשת?' — אנחנו שואלים 'מה כל מכשיר עושה?' יש לנו בסיס מידע מתעדכן, כנראה הגדול בעולם, של כ–7 מיליון מכשירים והתקנים עם הפרופילים ההתנהגותיים הנורמליים שלהם. למשל, אם מצלמה מתחילה לסרוק את הרשת מסביבה או לתקשר עם מכשירים אחרים, אנו מזהים התנהגות חריגה ויכולים לנעול את ההתקן כדי שלא יפגע בשאר הרשת".
ואולם לא מדובר רק בחומרה. באחרונה חשף חוקר האבטחה נעם רותם כי מידע רגיש מכמה חברות שילוח כמו צ'יטה, HFD, צוות הוריקן וקנגורו — זולג לרשת, והכל דרך ספקית שלהן, צד שלישי, חברה קטנה שמפתחת את האפליקציה הסלולרית של השליחים.
הוא מצא גם רשימה של 213 אלף לקוחות מכמה רשתות קמעוניות גדולות, חשופה לרשת, וזאת דרך החברה שמטפלת לרשתות בכרטיסי מועדון הלקוחות. לבסוף, הוא חשף כי תוספים להנגשת האתרים לבעלי מוגבלויות (כמחויב בחוק בישראל) חושפים את מרבית האתרים הישראליים למתקפות.
ב–2017 ספג בנק יהב מתקפה של גניבת מידע של לקוחות והיה נתון לניסיונות סחיטה. העבריין הגיע לרשימת הלקוחות לא דרך מערכות הבנק — אלא דרך חברת דיוור ישיר ברשת שאתה עבד הבנק (Active Trail).
מי שחקרה באחרונה את התחום של איום שרשרת האספקה היא פירמת BDO, שמחזיקה בישראל חברת ייעוץ בתחום הסייבר בשם סיקוז (SECOZ). על הממצאים מספר נועם הנדרוקר, מנהל פעילות ישראל SECOZ–BDO: "אני אוהב להשתמש בדימוי של ספק הפרחים של בנק גדול. הוא מחזיק את רשימת כל העובדים ואולי גם את לקוחות הפרימיום. איך הרשימה הזו שמורה? האם היא מוצפנת? האם במחשב שלו יש אנטי־וירוס? לגוף פיננסי יש בין 1,000 ל–4,000 ספקים שהוא עובר מולם. לא תמיד יש מקום מרכזי אחד שבו הספקים מנוהלים. יכול להיווצר מצב שיש ספקים שנותנים שירות ולא מנוהלים על ידי אבטחת מידע".
ספק בארגון נבדק אחת לשנתיים וחצי בממוצע
מעניינים במיוחד הנתונים על תדירות הבדיקות של ספקים. לדברי הנדרוקר, "בגדול, מתוך רשימת הספקים, כ–10% מוגדרים ספקים קריטיים (בארגונים פיננסיים יש כ–100 ספקים כאלה בבמוצע). ספק קריטי הוא ספק שמחזיק מידע רגיש של הארגון, או מהווה איום סייבר מהותי, למשל אם הוא מתחבר מרחוק; או ספק שהפעילות שלו קריטית לפעילות השוטפת ואם הוא יושבת — הארגון ייפגע. רוב הארגונים 'נוגעים' בכל שנה בערך ב–40% מהספקים הקריטיים (כ–40 ארגונים בגוף פיננסי קטן). כלומר, ספק מקבל 'יחס' רק אחת לשנתיים וחצי בממוצע. זהו נצח בעידן הטכנולוגי.
"מה זה אומר לגעת בספק? בדרך כלל מדובר על ביקור של תשע־עשר שעות של יועץ בחצר הספק, שכולל שאלון ספק — שאלון מובנה, הרבה גיליונות, עונים על השאלון, רואים קצת ראיות וכיוצא בזה. הנושא מטופל בעיקר ברמת ציות (הרבה סימוני V), אבל לא מבוצעות בדיקות טכניות מעמיקות, הבנת החשיפות המהותיות ומיקוד בסיכון האמיתי ללקוח. ובכל זאת, בממוצע, אצל כל ספק שסוקרים נמצאים כ–15 פערים מהותיים. אם נכפיל ב–40 ספקים קריטיים מדובר על 600 חשיפות מהותיות.
"בנוסף, אין שום מערכת שיודעת לנהל את הפערים האלה. בדרך כלל זה שמור בקובץ אקסל שאף אחד לא מבצע אחריו מעקב. גם ההנהלה לא יכולה לקבל תמונת מצב אגריגטיבית של פערי האיום". הנדרוקר מסביר שזה לא רק "סייבר" — רגולציית הפרטיות החדשה מחייבת את התאגידים לתשומת לב רבה יותר לניהול של מאגרי מידע ושמירה על הפרטיות של הלקוחות.
כדי להתמודד עם האתגר הזה, סיקוז חברה לסטארט־אפ שעוסק באתגר הזה בדיוק: אידרא (Idrra), של היזם קובי פרידמן. "אנחנו מעין יועץ וירטואלי — במקום לשלוח לספק אדם שיבקר אותם", אומר פרידמן, "מיכנו את תהליך השאלון, כך שאפשר יהיה להגיע אתו לסקייל. התהליך הוא ללא מגע יד אדם ובסופו של דבר משקלל ציון ספק, מצביע על הפערים הקריטיים, נותן לו מסגרת זמן לטפל בהם וכולל גם מערכת ניג'וס שלמה כדי שהפער באמת ייסגר. אבל לפעמים יש דברים שאי־אפשר למכן, ולכן חברנו ל–BDO, שמספקים מעטפת שירות על גבי הפלטפורמה".
באחרונה סיים מערך הסייבר הממשלתי יחד עם מכון התקנים קורס "בודקים מוסמכים לתאימות סייבר בשרשרת האספקה הארגונית". מלבד כמה עשרות בוגרים אנושיים, את ההסמכה סיימה בהצלחה גם אידרא (השם הוא מהמקורות ויש לו כמה משמעויות, בהן גורן או אסיפה). "אבל שאלונים זה לא מספיק", מסביר פרידמן, "כחלק מהתפישה אנחנו בונים פלטפורמה ועובדים בשיתוף עם כלי צד שלישי, כמו כלי סריקה אוטומטיים". בשלב זה אידרא חברה לחברה האמריקאית Normshield לטובת סריקות אוטומטיות ודירוג סייבר לספק.
אידרא מכילה גם כלי להערכת פרופיל של סיכון סייבר עם חברת Cyberwrite הישראלית, שעוסקת בחיתום לטובת פוליסות ביטוח סייבר; יש לאידרא שיתוף פעולה בקנה גם עם חברת מודיעין סייבר, שנועד לזהות אם מידע של הספק זלג כבר לרשת, ויש עוד תוכניות להרחיב את הפלטפורמה עם חברות דירוג אשראי. "ספק ממוצע שנותן שירות לכמה בנקים למשל, מטרידים אותו כל פעם מחדש, ואין אחידות בשאלונים. אנחנו רוצים ליצור סוג של בוחן ביצועים (Benchmark) וסטנדרט לבדיקות ספקים", הוא מסכם.
אידרא נוסדה ב–2017, גייסה מיליון דולר ומעסיקה שבעה עובדים. באחרונה אף נכללה בדירוג Cool Vendor של גרטנר (חברות הנחשבות פורצות דרך וחדשניות) ל–2018. יש לחברה כמה עשרות לקוחות, רובם מחו"ל, והיא מיפתה עד כה 15 אלף ספקים. בנוסף, החברה מציעה גירסה חינמית של אידרא עבור ניהול של עד 50 ספקים.
אל מול האיום של שרשרת האספקה, בהסתכלות מאקרו, יש גם היבט חיובי ואף הזדמנות. הוא מחייב ארגונים גדולים להסתכל ולבדוק גם את הספקים שלהם, וכך, בהדרגה, גם ארגונים קטנים נאלצים להגביר את עמידות הסייבר שלהם.