הרכבת הקלה שנפתחת היום (ו') היא אולי בשורה של ממש עבור תושבי גוש דן, אבל מסתבר שהיא מהווה גם סכנה פוטנציאלית לא קטנה בכלל. דמיינו תרחיש קיצון שבו מתקפת סייבר מצליחה לשבש את פעילות הרכבת וגורמת חלילה לתאונות קטלניות עם כלי רכב במקטעים שבהם היא נוסעת על פני הקרקע. בתרחיש כזה, הנזק יהיה לא רק כלכלי, אלא יעלה גם בחיי אדם.
"רכבות הן דוגמא מצוינת לתשתית קריטית שבה טווח הפגיעה במתקפת סייבר עשוי להיות מאוד רחב", מזהיר שקד קפצן, מייסד משותף וסמנכ"ל טכנולוגיה (CTO) בחברת הסייבר סרבלו (Cervello) המפתחת פתרון אבטחת סייבר לחברות רכבות מסביב לעולם.
"פגיעה כזאת היא לא רק ברכבת עצמה, אלא גם עשויה לגרום נזק ממשי לכלכלה. רכבת ישראל למשל משנעת מדי יום מעל 270,000 נוסעים המגיעים בעזרתה למקומות תעסוקה. מתקפת סייבר לא רק תסכן את חיי מאות אלפי הנוסעים, אלא גם תעכב את הגעתם לעבודה ותסב נזק כלכלי נוסף. כ-600 רכבות נוסעים ומטען מופעלות מדי יום, ורכבת נוסעים אחת מורידה מהכביש כ-1,000 מכוניות וכ-17 אוטובוסים. כלומר, ההשבתה גם תעכב סחורות וגם תגרום לפקקים בגוש דן ובערים הגדולות".
עד כמה הרכבת הקלה, שבנייתה התעכבה בשנים ארוכות, חשופה למתקפות סייבר מהסוג הזה? לטענתו של קפצן, יש ממה לחשוש. "אנו יודעים שנושא מרכזי לדאגה יהיה וצריך להיות אבטחת סייבר. כולנו נדרג את הצלחתה של הרכבת הקלה בכמה שהיא מפשטת את חיינו, מאיך שאנחנו קונים כרטיסים ועד לגישה מהירה למרכז הארץ, אבל בהתבסס על הניסיון האחרון שלנו עם רכבת קלה בצפון אמריקה, תוכנית אבטחת סייבר ששמה דגש על תפעול ומענה של כל פעולה רשת חשודה ברשת האופרטיבית של הרכבת היא צעד ראשון קריטי".
לדבריו, ישנם אלפי רכיבים, מערכות ונתונים הפועלים בו-זמנית על מנת להפעיל את הרכבת הקלה, וכל אלה מחוברים זה לזה ובעלי פוטנציאל לאיים על פעולתה אפילו דרך נקודות הכניסה הפשוטות ביותר, כגון מערכת כרטוס נוסעים או אפילו רשת ה-WiFi לשימוש הנוסעים ברכבת. "כאשר יש כל כך הרבה מידע שרץ בבת אחת, בידיעה שבכל נקודה יכולה להיות פריצה של אחת מהמערכות, למנהל אבטחת המידע צריכה להיות פלטפורמה שנותנת לו נראות מלאה ורציפה של כל מערכת", אומר קפצן, "כך שאם האקר יפרוץ את מערכת המיזוג לדוגמה, עדיין לא תהיה לו גישה להשתלט גם על מהירות הרכבת. זיהוי הפעולות החשודות הוא השחקן החשוב ביותר באבטחת בטיחות הנסיעה ברכבת".
ניב יונה, ראש קבוצת המחקר בחברת סייבריזן (Cybereason), מסביר כי ישנן שתי תקיפות סייבר נפוצות המכוונות לרכבות קלות ומטרו. "הראשונה היא תוכנת כופר - סוג של תוכנה זדונית המצפינה נתונים ודורשת תשלום כופר על מנת לפענח אותם. הדבר עלול לגרום להשבתה של שירותי הרכבת, וגניבת נתונים רגישים של הרכבת או של הלקוחות שלה.
"השנייה היא התקפות מניעת שירות (DDoS), אשר מציפות את היעד בכמות תעבורה גבוהה, עד שהיא גורמת לאי זמינות של המערכות. זה יכול לשמש כדי לשבש את שירות הרכבות, להקשות על נוסעים לקנות כרטיסים או להשתמש בשירותי רכבת אחרים".
יונה מציין כי רק השבוע פורסם על ידי קבוצת התקיפה Akira שערכה מתקפה של תוכנת כופר על חברת הרכבות של שיקגו, בה נגנבו לטענת התוקפים כ-85GB של מידע רגיש על משתמשי הרכבת. החברה אמרה כי המתקפה לא השפיעה על הפעילות, אך היא משתפת פעולה עם הרשויות הפדרליות ושכרה חברת אבטחת סייבר לחקור את המקרה.
דוגמה נוספת היא שבסוף 2022 התבצעה תקיפה על חברת הרכבות של הודו. התוקפים השיגו גישה לדאטה בייס של הרכבת והצליחו לקבל מידע רגיש של כ-30 מיליון אנשים. המידע כלל שמות, כתובות מייל, טלפונים ונתוני הנסיעות של כל אחד מהנוסעים. התוקפים מכרו את המידע הזה בדארקנט, הרשת האפלה.
לפי חברת Faddom (פאדום), סטארטאפ שפועל בתחום מערכות המידע והענן, בעידן המודרני התחבורה הציבורית היא תחום מורכב הדורש תשתיות מתקדמות מסודרות ומדויקות. לדבריהם, כיום הפגיעות האפשריות במערך המחשוב הן האתגר הגדול ביותר: "פגיעה כזו יכולה להביא להשבתה של מערכת כוללת. פגיעה בתחבורה הציבורית היא לא רק בעיה לוגיסטית, אלא גם אסטרטגית. פגיעה שהציבור מרגיש מיידית ומפגין תגובה חריפה".
ניסיונה של פאדום מתבסס על כך שהיא מספקת שירותים בין היתר לחברת RATP DEV UK, שמפעילה את מערך הרכבות והאוטובוסים באנגליה. "הטכנולוגיה שלנו מאפשרת לנו לוודא שיש ניצול מקסימלי של כוח המחשוב הקיים בזמני שיא ובעומס של המערכות של החברה ולבצע אופטימיזציה של סביבת המחשוב שלהם. לאחר מכן, בדקנו את כלל התקשורת הקיימת בסביבת המחשוב בשביל לוודא שאין 'הפתעות' ונקודות חולשה אשר יכולים להוות 'דלת אחורית' לפריצות.
"כאשר נעשה מיפוי של הסביבה מקצה לקצה וכל החיבורים בין השרתים ידועים, הסיכוי לחדירות יורד משמעותית. לאחר כל הידע הנ"ל, עזרנו להם לעצב תוכנית מיגרציה (תהליך טכני של העברת מערכת מסוימת ממקום אחד לשני) ברורה אשר עזרה להם להבין מה צריך לעלות לענן, באיזה צורה זה צריך להתבצע בשביל תפקוד שוטף וכנגזרת מי הם האנשים בתוך הארגון שצריכים להיות חלק מהתהליך", אומר אביב הוקר, סמנכ"ל שיווק ומכירות בפאדום.
"היה ניתן לצפות את המתקפה על מעייני הישועה"
החשש מפני מתקפת סייבר אפשרית על הרכבת הקלה מצטרפת לתרחיש שלחלקו התוודענו רק לאחרונה, עם המתקפה על בית החולים מעייני הישועה בבני ברק. על פי הפרסומים, קבוצת ההאקרים שפרצה למערכות של בית החולים מאיימת להעלות לרשת מידע אישי וחומרים רפואיים על מטופלי בית החולים, לרבות ראש הממשלה, חברי כנסת, אדמו"רים, גדולי תורה ודמויות מוכרות בציבור החרדי, וזאת אם היא לא תקבל את התשלום אותו היא דורשת. סכום זה, כך על פי ההערכות, עשוי להגיע לעשרות מיליוני שקלים.
על אף שהמתקפה גרמה לשיבוש של ממש בפעילות בית החולים ובהפניית מטופלים לבתי חולים אחרים, מה שבטוח זה שמדובר רק באזהרה לקראת מה שעלול להתרחש במקרה של אירוע סייבר חמור יותר. מדינת ישראל אולי קנתה לעצמה שם בעולם בתור מעצמה בתחום, אבל במקרה של מתקפה על מוסדות רגישים כמו בתי חולים, בנקים, חברת חשמל ואפילו גופים ביטחוניים, יהיה קשה עד בלתי אפשרי לעצור את כדור השלג לפני שהוא הופך לאסון של ממש.
אבל האם ניתן היה לצפות את מתקפת הסייבר על מעייני הישועה, ובכלל, האם מתקפות סייבר הן אירוע שניתן לחזות מראש? לדברי יונה, הדבר אפשרי - אך לא קל לביצוע. "התקפות כופר הופכות יותר ויותר מתוחכמות, ויכול להיות קשה לזהות נקודות תורפה במערכות המחשב של בית חולים לפני ניצולן. ספציפית במקרה הזה, היה ניתן לצפות את המתקפה על מעייני הישועה, כי בתי חולים באופן כללי ובישראל בפרט, עובדים בדרך כלל עם מערכות הפעלה מיושנות ועם אפליקציות לא מעודכנות שמאפשרות לתוקפים לחדור אליהן בקלות".
לדברי יונה, ישנם מספר צעדים שבתי חולים יכולים לנקוט כדי להפחית את הסיכון שלהם להיות מותקפים, כגון יישום נהלי אבטחה חזקים, ביצוע הערכות אבטחה קבועות והכשרת עובדים לגבי שיטות עבודה מומלצות לאבטחת סייבר. יובל וולמן, נשיא חברת סייברפרוף (CyberProof), מצטרף לאזהרות ומוסיף כי על ידי עבודת מודיעין עקבית ומדיניות הסברה פנים-ארגונית שמונעת הצלחה של מתקפות דיוג ('פישינג'), ניתן לצמצם את ההסתברות להצלחות של מתקפת סייבר.
ממה שידוע, מה הנזקים שגרמה מתקפת הסייבר לבית החולים?
יונה: "מתקפת הסייבר במעייני הישועה גרמה לנזק משמעותי למערכות המחשוב של בית החולים. המתקפה שיבשה את הטיפול בחולים ואילצה את בית החולים להפסיק לאשפז חולים חדשים ולהפנות חולי חירום לבתי חולים אחרים. לפי מה שדווח, הנזק היה רק במערכות התומכות, כך שלא הייתה פגיעה במכשור הרפואי או למאושפזי המרכז. נזקים אחרים שעלולים לקרות במתקפה שנועדה לפגוע בבית החולים באופן ספציפי ולא רק על מנת לסחוט כסף, עשויים לכלול אובדן רישומי מטופלים, הפרעה לשירותים רפואיים קריטיים, דלף מידע רגיש של נתוני מטופלים, וכן הפסדים כספיים עקב השבתת המערכת ונזק למוניטין".
כזכור, רק לפני כמעט שנתיים הותקף בית חולים אחר בישראל - הלל יפה בחדרה. התקיפה, שאירעה באוקטובר 2021, הובילה לשיבוש בפעילות המרכז הרפואי וגרמה להסטת חולים ממנו למרכזים אחרים, למעבר לעבודה ידנית ולא ממוחשבת ומנעה גישה למידע הרפואי של המטופלים ועוד. יונה מוסיף כי על אף שלא יוכל לנקוב ספציפית בשמות של מוסדות פגיעים נוספים, כל ארגון עם מערכות מיושנות, פרוטוקולי אבטחה חלשים והכשרת עובדים לקויה, עלול להיות מועד לתקיפות סייבר.
יום כיפור של הסייבר
"מבלי להיכנס לשמות, אני חושב שישראל נמצאת במקום יותר פגיע בהשוואה למדינות אחרות באופן כללי", מזהיר קפצן. "מדינות וארגונים שונים רוצים לפגוע בה על מנת לגרום לנזק לה פיזי, ולא פחות מכך, נזק תדמיתי. רק דמיינו מתקפה על אחת ממערכות הביטחון הלאומי, כמו כיפת ברזל. תקיפה כזאת תוביל לכאוס אזרחי ממשי ולפגיעה בחיי אדם".
בענף הסייבר חוששים מתרחיש קיצון אפשרי המכונה "פרל הרבור סייבר" כרפרנס לאירוע המכונן ממלחמת העולם השנייה, או "יום כיפור של הסייבר", בהתאמה למושגים המקומיים. דמיינו תרחיש שבו משביתים רמזורים, מה שעלול להוביל לתאונות, או על השבתה נרחבת של רשת האינטרנט. כל זאת עלול להוביל לכאוס נרחב, קריסה כלכלית, אובדן חיים ואיומי ביטחון לאומי.
"תרחיש כזה התממש במידה מסוימת מוקדם יותר הקיץ באיראן", אומר וולמן. "תוקפים הצליחו להחדיר נוזקה (תוכנה זדונית) בשם 'מטאור' שכוונה נגד מערכות פיזיות ודיגיטליות של רשת הרכבות. מסכים בתחנות רכבת נשלטו מרחוק והנתונים בהם שונו במכוון, אתר משרד התחבורה האיראני הושבת ושירותי הסעות הופסקו. בשל מורכבות ותחכום המתקפה עלו טענות שמאחורי התקיפה עומדת מדינה זרה, אבל זו רק דוגמה אחת לתקיפה מרובת-שכבות נגד מערכת תשתיות קריטיות. מהלכים כאלו יכולים לסכן חיים ולשתק את הכלכלה".
האם מערך הסייבר של ישראל ערוך לסכנות האלו? מה עוד אפשר לשפר לדעתכם?
קפצן: "מערך הסייבר של ישראל הוא אחד המתקדמים בעולם, והוא מוכן במידה רבה להתמודד עם איומים רבים. עם זאת, העולם הדיגיטלי הוא דינמי והאיומים משתנים באופן תדיר. כדי לשמר את היתרון הטכנולוגי, ישראל תצטרך להמשיך ולהפיק לקחים מאירועים בינלאומיים, לעדכן את מערך ההכשרה שלה ולקדם יותר חדשנות בתחום הסייבר בשירות הציבורי".
וולמן: "כדי שישראל תהיה ערוכה לאירועים מהסוג הזה, כל חברה (או סוכנות ממשלתית) תידרש להקים מערך שבו יהיה ניטור קבוע שנועד לזהות אנומליות ברשת הארגון, עם מוצרי-קצה שיתריעו מפני תנועות דיגיטליות חשודות, פנימיות או חיצוניות. בשלבים מתקדמים יותר אפשר להשתמש בכלים מבוססי בינה מלאכותית, ולא פחות חשוב מכל אלה, לקדם קמפיינים של מודעות להתנהגות זהירה של העובדים וערנות לסימנים ונורות אדומות שיכולות להעיד על תקיפות".