חוקרי הסייבר של חברת צ'קפוינט, שמספקת פתרונות הגנת סייבר לאלפי גופים וחברות בישראל, נדהמים לגלות מדי יום כמה המידע שלנו חשוף לפריצה. אחרי התקיפה החמורה נגד בית החולים הלל יפה, קשה להבין איך עדיין חברות רבות חיות בנחת עם הידיעה שהדלת שלהן לא נעולה - ובכל רגע עלול להיכנס גנב.

היטיב לתאר זאת ד"ר נמרוד קוזלובסקי מחברת Cytactic, שאמר: "מצד אחד אנחנו בישראל מייצאים ביטחון לעולם, בטח בסייבר, ומצד שני נופלים שוב ושוב כאן בבית". לדבריו, שלל המתקפות האחרונות הן חסרות תקדים בהיקפן, ומונעות הן ממניעים כלכליים והן ממניעים אנטי-ישראליים – אך לא בהכרח מתוחכמות יתר על המידה.

"בסופו של דבר, כשכולם שומעים: 'אוקיי, יש התקפת סייבר' – מה יורים? פגזים? לא, בסוף מריצים קוד שינצל את החולשות במטרה שלי וייתן לי כניסה לדלת הראשית שם", הסביר עודד ואנונו, ראש מחקר חולשות מוצרים בצ'ק פוינט. הוא ואנשיו מנטרים באמצעות פלטפורמה אינטרנטית אחר רשתות עם רכיבים בעלי פוטנציאל לחדירה, והמספרים מדהימים: יותר מ-3 מיליון כאלה חשופים להאקרים.

מלחמת הסייבר (צילום: החדשות 12)
השרתים. עד כמה חשופים לפריצה? | צילום: החדשות 12

על מנת להבין עד כמה קל לחדור לשרתים של חברה ולגנוב מידע, השתמשנו בשירותיו של תומר דרורי מחברת MADSEC, שפרץ לאתרי אינטרנט להנאתו כבר בהיותו תלמיד בחטיבת הביניים. תוך ניצול חולשה מוכרת שמערך הסייבר הלאומי התריע מפניה, הוא הגיע מהר מאוד לשמות משתמשים ולסיסמאות באותה חברה: אני יכול לגשת לכל הדברים, לבצע כל פעולה עם ההרשאה הכי גבוהה בשרת. "אפשר לראות תיקיות של פיננסים, לקוחות, תעודות זהות, רישיונות - המון מידע רגיש. זה עניין של שניות".

מרגע שהתוקף משיג שליטה, עומדות בפניו שתי אפשרויות: הראשונה היא זו שבה בחרו לפעול התוקפים של הלל יפה, שהשתלטו על המידע במערכות במטרה לסחוט את המרכז הרפואי. האפשרות השנייה מזוהה יותר עם קבוצת ההאקרים "בלאק שאדו" שמקורה באירן, ותמציתה פשוטה: בואו נביך את ישראל. זה מה שעשו ההאקרים בתקיפת אתר "אטרף" למשל.

תומר דרורי, מנהל טכנולוגי (צילום: החדשות 12)
תומר דרורי. הראה כמה קל להשתלט על המידע שלנו | צילום: החדשות 12

לטענת דורון סיון, מנכ"ל MADSEC, הציבור משלם ביוקר בחשיפת הפרטים האישיים שלו משום שחברות לא רואות חשיבות מספקת בשמירה על המידע: "מה משותף לכל התקיפות האלה? את כולן ניתן היה למנוע. חוסר היערכות מספק מראש". עם זאת, למרות שנראה שחברות לא נותנות דין וחשבון אמיתי על המחדלים שלהן, רצוי לזכור גם את האחריות שלנו, משום שאנחנו בסוף פותחים בטעות את הדלת להאקרים.

אישה בבית קפה (אילוסטרציה: 123RF‏)
גם בבית קפה. כך ניתן לשמור על המידע האישי | אילוסטרציה: 123RF‏

סיון ממחיש זאת מצוין: "אדם מתחבר מהבית ל-VPN ומתחיל להתעסק בדברים אחרים. למשל, נותן לבן שלו לגלוש ולהוריד משחקים, מוריד כל מיני וירוסים ואז ההורים מתחברים שוב לארגון ומכניסים אליו את הווירוסים. אחרים יושבים בבית קפה ושותים בירה, פותחים את המחשב הנייד שלהם ואז נכנסים לחשבון הבנק מחיבור לווייפיי חוקי. אלה דברים קטנים, אבל זה משמש לתקיפה נגד ארגון". במציאות שבה קל כל כך לחדור לשרתים ישראילם, נראה שהפריצה הבאה בדרך.