"שיטות פריצה מתקדמות הופכות לנחלת הכלל – וטבעי שיגיעו גם לחמאס"

צה"ל זיהה פעילות ריגול של החמאס בקרב חיילים, באמצעות יצירת קשרים חברתיים על ידי "צעירות יפות", ובדרך זו הצליח להשיג שליטה על סמארטפונים. כאיש אבטחת מידע ותיק, הופתעת מהחשיפה?
"אני חושב שמעצם החשיפה הופתעה כל המדינה. האם הופתעתי מהמידע עצמו שנחשף? אני, ואני מניח שכמוני עוד אנשי אבטחת מידע, לא באמת הופתענו. אחרי הכול, שיטות תקיפה שנחשבו מתקדמות בעבר הופכות בעידן הדינמי שבו אנחנו חיים לנחלת הכלל ואך טבעי שהחמאס לא יישאר מאחור. ככלל, אנחנו לא אמורים להיות מופתעים – לא מהסיפור הזה ולא מהסיפורים היותר דרמטיים, שעוד ייחשפו. בגרנו ולמדנו, אנחנו כבר לא באמת תמימים".

מה בעצם קרה הפעם?
"הנדסה חברתית (Social Engineering) היא שיטת תקיפה מאוד ותיקה, שכשהיא מבוצעת בחכמה והקפדה, היא מצליחה להשיג לתוקפים תוצאות יפות. החיסרון בה הוא שהיא מחייבת ירידה לפרטים ואפיון איכותי של הגורם המותקף – החל במעגל החברתי שלו, דרך זה המשפחתי, סביבת הלימודים וכמובן, במקרה זה, המעגל הצבאי.

על פניו, עושה רושם שאופן התקיפה – פרופילים מפתים של בחורות צעירות בפייסבוק (Facebook) – עשה את העבודה והחמאס הצליח 'לעבוד' על החיילים הצעירים. אחרי שנוצרו שיחה ועניין הדדי, התוקף שלח לחייל לינק, שהוא בעצם Malware – קוד זדוני, שמאפשר לו להשתלט על המכשיר שממנו בוצע הפעולה ואף מעבר לזה. הכול בהתאם לתחכום ולידע שיש בידי התוקף. ברגע שהושגה השליטה, התוקף קיבל מידע רב, שאותו הוא היה צריך לנתח כדי להבין מה בעל ערך עבורו ומה לא. שוב, בהתאם למטרותיו".

האם הבעיה כאן הייתה אצל החיילים עצמם או בעיה מערכתית גדולה יותר?
"אין בכלל ספק שהכשל הנקודתי היה אצל החיילים, ששיתפו פעולה בלי ידיעתם עם תוקף בעל כוונות זדוניות. אבל אין צורך להתנשא על החבר'ה הצעירים האלה. מנהלים בכירים ומנוסים נתפסים 'עם התחתונים למטה' כשהם מטורגטים עם מתקפות זהות או דומות. הנדסה אזרחית היא, כאמור, אחת המתקפות הותיקות והיעילות המוכרות לאנשי המקצוע".

מה צה"ל צריך לעשות כדי למנוע או לצמצם את התופעה?
"בראש ובראשונה, אסור לחשוב שאם אנחנו ב-2017, עמוק בתוך העידן הדיגיטלי, אנחנו יודעים הכול. אנחנו בהחלט לא וגם אם נדמה לנו שכן, תמיד כדאי לרענן הנחיות ונהלים שידועים כמצמצמי נזקים. חייבים לחזור ולהסביר מהן הסכנות הקיימות וגם לדבר על הסכנות הפוטנציאליות. פעם פחדו להזכיר איומים פוטנציאליים מהחשש שאם ידעו שיודעים, הם אכן יקרו. כיום אין סיבה אמיתית להסתיר – להפך. ככל שנדבר על תרחישים הזויים ומוזרים ככל שיישמעו, כך נגדיל את הסיכויים שאנשים יפנימו שהם צריכים תמיד להיות ערוכים ולשאול שאלות, לפני שהם מקבלים החלטות לענות על מייל מסוים או לצרף חבר חדש לפייסבוק שלהם.

לצה"ל יש יחידות טכנולוגיות ומקצועיות מאוד מתקדמות. אני בטוח שהוא יודע מה נדרש לעשות, ברזולוציה הכי מדוקדקת שיש, ואין לי ספק שמאז שנחשף היקף התופעה הוא פועל, מרענן את הנהלים וההנחיות ומתגבר את ההדרכות והפעילויות להגברת המודעות בנושא".

מה אפשר להסיק מהאירוע הזה על השוק העסקי?
"כאמור, השוק העסקי לא שונה בכלל. אם בצה"ל, המוטיבציה היא להגיע למידע על סדרי כוחות ותוכניות פעולה, בשוק העסקי מדובר במודיעין רלבנטי על בעלי תפקידים בעמדות מפתח, צוותים שמלווים אותם ונהלים שניתן ללמוד כדי לנצל את התהליך הארגוני הנכון או כדי למצוא בו פרצות.
ארגונים עסקיים משקיעים הרבה מאוד בהגברת מודעות העובדים שלהם. בדרך כלל, בארגונים הגדולים יש מנהל מקצועי שאמון אך ורק על הנושא הזה ובארגונים קטנים יותר, חברות חיצוניות מספקות סדנאות וימי מודעות, בכפוף להנחיית מנכ"ל החברה.

כדאי להוסיף על שכבת המודעות שכבה טכנולוגית רצינית, שתחסום כלים לא מאושרים ותרים דגל אדום כשנעשה ניסיון שחורג מהנהלים המותרים בארגון. בתחום הזה ניתן לעשות ללא סוף. הכול שאלה של תקציב ונכונות להשקיע. בסופו של דבר, על המידע שיש אצל כל אחד ואחד מאתנו יש תג מחיר, ואנחנו צריכים לבחון מהו תג המחיר הזה וכמה אנחנו מוכנים להשקיע כדי לשמור על המידע".