לפחות פעם בשבוע אנו שומעים וקוראים על תקרית של אבטחת מידע. בין אם מדווח על פריצה לחברת ענק כמו גרמין; על גניבת פרטיהם של אורחים בבתי מלון בלאס וגאס; ואפילו על נסיונות חדירה של האקרים צפון קוריאניים, נראה שקצב התקריות רק הולך ועולה. באותה הנשימה, אי אפשר שלא לשאול אם באמת יש יותר אירועי סייבר, או שהתקשורת פשוט מדווחת עליהם באופן תדיר יותר.
התשובה, כמו כל דבר שקשור בסייבר, מורכבת. אבל לפני שנצלול פנימה, חשוב לעשות קצת סדר. בניגוד למה שרוב הציבור חושב ולדיווחים רבים בתקשורת, רוב אירועי הסייבר כלל לא מתארים פריצה (או "האקינג" בלשון העם). בשפה המקצועית, אירועים אלו מכונים Data Breach. בעברית נהוג להשתמש במונח "דלף מידע", אך הוא לא מדויק. לפי מכון התקנים האמריקני, NIST, אירוע כזה הוא "תקרית שקשורה להעתקה, שידור, צפייה, גניבה או שימוש בחומרים רגישים, מסווגים או מוגנים על ידי אדם שלא מאושר לעשות כן. המידע שנחשף יכול להכיל פרטי כרטיסי אשראי, מידע רפואי, מידע של לקוחות, סודות מסחריים או לאומיים".
לכן, מעתה נשתמש במונח "תקרית אבטחת מידע". הבדלה זו חשובה, משום שישנם אירועי סייבר שכלל לא קשורים למידע או לאבטחתו – כמו חדירה לרשתות או השבתת מערכות קריטיות – וישנם אירועים שכלל לא מתרחשים כלל במרחב הדיגיטלי, כמו למשל כשבית חולים בלונדון משאיר ברחוב קרטונים עם תיקים רפואיים של מטופלים.
חוזרים ללאומי קארד ולהאקר הסעודי
נתחיל דווקא מהחלק הפשוט של התשובה: כן, התקשורת מדווחת יותר על תקריות אבטחת מידע. במדינות רבות בעולם ישנה רגולציה שמחייבת חברות להודיע על תקריות אבטחה שמערבות זליגה של פרטי משתמשים, החל בתקן הפרטיות האירופי GDPR ו-CCPA המקביל בקליפורניה, דרך חוקי חובת יידוע משתמשים שקיימים בכל מדינות ארצות הברית וברבות ממדינות אירופה, ועד לחוק הגנת הפרטיות אצלנו (ועוד תקנות של בנק ישראל והממונה על הביטוח).
כיום, ארגונים שנפרצים מחוייבים לדווח על כך לרשויות, ללקוחות ולעיתים אף לרשויות ניירות ערך; מובן שהמדיה נחשפת לדיווחים אלו ושמחה להעבירם לציבור הרחב, שכן סייבר נתפס יותר ויותר כנושא "סקסי". זה החל בארצות הברית בשנת 2013 עם המתקפה על ענקית הקמעונאות טרגט, ופה בארץ בערך באותו זמן עם הפריצה למאגר הלקוחות של "לאומי קארד" והתקרית המפורסמת עם ההאקר הסעודי אי אז בשנת 2012. בנוסף, חברות וגופים שניסו להסתיר תקריות אבטחה גילו במהרה שלא ניתן לעשות זאת כיום; בסופו של דבר הפריצה נחשפת והחברה זוכה לביקורת רבה על כך שלא הייתה גלויה עם הלקוחות שלה. אבל החובה של גופים לדווח על תקריות סייבר והלהיטות של גופי התקשורת להדהד את אותם דיווחים לא מסבירה את העליה בכמות ובסדר הגודל של התקריות.
בחצי השנה האחרונה: זינוק בדיווחים בישראל
מערך הסייבר הלאומי של ישראל מגדיר תקרית סייבר בתור "פעילות נגד מערכת מחשוב שמטרתה לחדור, לשבש או להסב להן נזק". בשנת 2019 התקבלו כ-8,600 דיווחים במרכז 119 של המערך שממוקם בבאר שבע, והשאר התקבלו ממערכות נוספות. לא פחות משני שליש מהם אומתו בתום הבדיקה בתור אירועי סייבר, וההתפלגות שלהם מפתיעה: 48% היו דיווחים על חדירה למערכות; 21% היו דיווחים על גניבת מידע; ו-15% היו נסיונות דיוג (פישינג). תוכנות זדוניות כגון כופרה היוו בשנת 2019 רק חמישה אחוזים מהמקרים. בשנת 2020 התמונה נראתה כבר שונה. עד חודש יוני דווחו לא פחות מ-7,614 תקריות, ומתוכן אומתו 6,893 בתור אירועי סייבר. חדירות למערכות מחשוב היוו 36.5% מהמקרים, נסיונות לגניבת מידע היו 7.5% בלבד, ו-7.5% בלבד היו נסיונות דיוג. מדובר בעלייה תלולה ביחס לשנת 2019.
למעשה, הגענו לחלק המסובך יותר של התשובה: כנראה שבאמת יש יותר תקריות אבטחת מידע, ואחת הסיבות לכך היא שפשוט יש הרבה יותר מידע. חשוב להבין שהיום כל ארגון מנהל פי כמה יותר מידע ממה שניהל לפני עשור. מכיוון שכמות המידע גדלה, הרי שסביר להניח שתקרית שמערבת מידע שכזה תהיה בסדרי גודל שונים ממה שהורגלנו בעבר. כך, רשת סופרמרקטים יכולה להקים מועדון לקוחות ולשמור את פרטיהם של מאות אלפי בני אדם, כמו כתובות, מספרי טלפון, תאריכי יום הולדת, הרכב משפחתי, העדפות קנייה, ולעתים גם מספר תעודת הזהות ואמצעי תשלום, שנחשבים למוגנים יותר הודות לרגולציה מחמירה בנושא.
רוב המידע המדובר כבר עבר דיגיטיזציה ומאוחסן בשרתי הארגון או בענן, וכאן אנו מגיעים לשורש התופעה שאותה אנו מנסים לפענח. ארגונים רבים פשוט לא יודעים איך לאבטח את המידע שלהם, וגם אם כן, הרי שפעמים רבות עובדים מבצעים טעויות שחושפות את המידע הזה לעולם. לא חסרות לכך דוגמאות: עובדים ששולחים מידע רגיש במייל לגורמים מחוץ לארגון; או אתרי אינטרנט לא מוגנים שמאפשרים לכל אחד להזין פרטי משתמש, כמו שקרה לאחרונה לביטוח הלאומי. אך חמור מכך, חוקרי אבטחה חושפים פעם אחר פעם איך שרתים עם כמויות מידע עצומות נמצאים בענן ללא אבטחה בסיסית, לעתים אפילו בלי סיסמה. מאחר שפעילות בענן היא חדשה יחסית ואין מספיק עובדים שהתמקצעו בהפעלת מערכות ענן (Devops) ואבטחתן, המידע של כולנו נמצא בסכנה.
אל תשכחו את ההאקרים
העובדה שארגונים מתרשלים באבטחת המידע לא גורעת מכך שמידע שווה כסף עבור האקרים. בתקופה האחרונה החלו האקרים לתקוף ארגונים באגרסיביות, כשהם מצפינים את המידע הקיים על שרתי הארגון (או בענן) ומבקשים כופר. אך שלא כמו במבצעי "כופרה" מסורתיים, היום ההאקרים דואגים להוציא עותק של המידע מן הארגון לפני הצפנתו ולאחסנו בשרת חיצוני. בעזרת המידע שנגנב הם ממחישים לקורבן שהמידע אכן בידיהם, וכך הם מעצימים את האיום ואת הסחיטה. גישה זו מזרזת מאוד את המשא ומתן על תשלום הכופר, וכאפקט צד שלה, היא גם גורמת להרבה יותר תקריות אבטחת מידע.
יותם גוטמן הוא מנהל השיווק של חברת הסייבר סנטינל וואן
עוד ב-NEXTER:
>> מי הנערים שעומדים מאחורי פריצת הענק לטוויטר?