- אנשים ומחשבים – פורטל חדשות היי-טק, מיחשוב, טלקום, טכנולוגיות - https://www.pc.co.il -

"ככל שהסנקציות יחריפו – איראן תתקוף בסייבר את ארה"ב וישראל"

"אנחנו עוקבים אחרי כלל שחקני האיום בסייבר, והם רבים. הדאגה שלנו היא שככל שהסנקציות נגד איראן יחריפו, ההאקרים שלה יערכו עוד מתקפות סייבר, ויכניסו למעגל ההתקפות שלהם גם את ארצות הברית וישראל. בין כלל שחקניות הסייבר – איראן היא הבעיה הראשונה", כך אמר ג'ון הולטקוויסט, מנהל בכיר לניתוח איומים בפייראיי, בראיון לאנשים ומחשבים.

לדבריו, "המצב הגיאו-פוליטי משתנה במהירות. האיראנים היו מאוד אגרסיביים בסייבר נגד גופים פיננסיים עד 2014. לאחר הסכם הגרעין ב-2015 הם חדלו מהפעילות נגד המגזר הפיננסי ועברו להתמקד במאבק במדינות המפרץ הפרסי, בין השאר נגד סעודי ארמקו [1], חברת הנפט הממלכתית של ערב הסעודית. הם בפירוש הוכיחו יכולת לשבש ולהרוס מערכות IT. ראינו בשנים האחרונות לפחות תריסר מתקפות שלהם – נגד חברות גז, נפט ותשתיות קריטיות".

"אנחנו לא חושבים שההאקרים האיראניים יצליחו להוריד מערכות או להביא לתרחישי אסון", ציין. "הרוסים הצליחו לעשות זאת באוקראינה והאיראנים – לא. ב-2017 הרוסים תקפו את מחשבי חברת התרופות הגרמנית מרק והסבו לה נזק של 1.3 מיליארד דולר. זו דוגמה למתקפה הרסנית וממוקדת על ארגון. לאיראן יש יכולת הרס, והם יותר נכונים לעשות זאת מבעבר. לא עברנו ממצב של מלחמה לשלום, אלא המלחמה נמשכת בדרכים אחרות. האיראנים רוצים לא רק להפיל ספינה במפרץ אלא להרוס כלכלות. הם מבינים שמתקפה בסייבר היא כלי א-סימטרי, כמו טרור ולוחמת גרילה. נוח להם לתקוף בסייבר, הם מבינים את זה ועושים זאת היטב. הם עושים זאת בגלל בעיות פנימיות, יש לחץ – אז עליהם להגיב, לא רק כדי להגיב אלא גם כדי לאותת לאויבים".

"מצאנו תמונה של דגל אמריקני שרוף"

"המתקפה הקיברנטית שחוותה סעודי ארמקו ב-2012 הייתה מאוד מעניינת", ציין הולטקוויסט. "היא פגעה ב-30 אלף תחנות עבודה. כשניתחנו את הנוזקה, ראינו בין שורות הקוד תמונה של דגל אמריקני שרוף. לכן, ייתכן שזו בכלל הייתה תגובה לסטוקסנט (תולעת שתקפה את איראן, ויוחסה לישראל ולארצות הברית – י"ה): הם הבינו שהם לא יכולים לתקוף את ארצות הברית, אז 'במקום', הם תקפו מדינות חברות שלה, כמו ערב הסעודית".

הולטקוויסט מנה מדינה נוספת שפעילות הסייבר ההתקפי שלה מדאיגה: צפון קוריאה. "הם גנבו מיליארדים והפכו את הפעילות הזו לדרך חיים, להזדמנות לעשות כסף", אמר. "צפון קוריאה ואיראן דומות, כיוון ששתיהן נמצאות תחת סנקציות. המשטרים שם מגיבים על הלחץ, אבל זה בא עם רצון לכסף. הצפון קוריאנים מתמקדים במגזר הפיננסי. יש להם סבלנות. כשהם מחליטים לתקוף יעד, הם משקיעים בו זמן רב, מסתובבים בסתר במערכות הארגון הרבה מאוד זמן. ברוב המקרים הם גם מטשטשים את העקבות שהשאירו".

"האיומים הפנימיים: אדוארד סנואודן ופייג' תומפסון"

"לצד האיומים החיצוניים, יש לזכור כי האיום הפנימי היה תמיד בעייתי וגדול. פה ניתן למנות כמובן את אדוארד סנואודן, אבל גם את מהנדסת התוכנה מסיאטל פייג' תומפסון [2], שפרצה לקפיטל וואן – פריצה שהשפיעה על יותר מ-100 מיליון לקוחות החברה. הנתונים שלהם נשמרו בשרת אמזון פגיע, שהוגדר על ידי הבנק בצורה שגויה", הוסיף הולטקוויסט.

אדוארד סנואודן. צילום: היץ' אט נונק, מתוך ויקיפדיה

אדוארד סנואודן. צילום: היץ' אט נונק, מתוך ויקיפדיה

"ככלל", אמר, "ראינו מקרים רבים שבהם האקרים ניצלו גישה מבפנים כדי לגרום לנזק רב. זה קורה רבות, זה עולה הרבה, ופעמים רבות ניתן היה למנוע זאת. בעולם אידאלי, היה אפשר, וצריך, לגלות את האיום הפנימי באופן מידי, אבל זה לא קורה".

הוא דיבר על הצוות שבראשו הוא עומד ואמר כי הוא "מונה 100 אנליסטים של מודיעין סייבר, פשעי סייבר, ריגול, נוזקות, פגיעויות והגנה על מערכות בקרה תעשייתיות (ICS). המומחים אוספים מידע מהדארקנט, מנתונים שמגיעים ממוצרי האבטחה של פייראיי, ממרכזי תפעול אבטחה (SOC) ומצוותי תגובות לאירועי אבטחה. הרעיון הוא להנפיק ללקוחות תמונה בהירה על מה קורה בארגון שלהם, כדי שהם יוכלו לקבל החלטות מבוססות נתונים, טובות ומושכלות. אנחנו מספקים נראות טובה על האויב והאיומים".

לסיכום אמר הולטקוויסט כי "מנהלי אבטחת המידע צריכים להבין שהם לא יכולים לכסות את כל הבעיות. אי אפשר לבנות מחסה ממוגן אם בונים קיר דק. לכן, הם צריכים להשקיע את המשאבים המוגבלים שיש להם כדי להיות יעילים. עליהם לעשות הערכה של הנכסים הדיגיטליים של הארגון שלהם, לערוך ניהול סיכונים אמיתי. הם צריכים לבחון האם הבקרות שלהם יעילות, ולעשות זאת באופן עקבי ומתמשך, תוך קשר ישיר לסיכונים. עוד עליהם למדוד את הבקרות תוך שילובן במודיעין האיומים. בצד האיומים, רצוי שיבחנו אילו מהם רלוונטיים לארגון שלהם, ובהתאם יבנו את משטח ההגנה. או אז, עליהם להביא לצמצום של מספר כלי האבטחה שברשותם, כי הריבוי הזה יוצר עומס ומורכבות, כמו גם בעיות ניהול ותזמור".