- אנשים ומחשבים – פורטל חדשות היי-טק, מיחשוב, טלקום, טכנולוגיות - https://www.pc.co.il -

השלב הבא של הסייבר: האם אנחנו מוכנים למתקפות שעלולות להרוג?

גיל שויד, מנכ"ל צ'ק פוינט, אמר אתמול (ב') במסיבת עיתונאים שארגונים ישראליים חשופים הרבה יותר מהממוצע העולמי [1] למתקפות סייבר, בסדר גודל של פי 2.5 פר ארגון. הוא מסר כי ארגונים ישראליים חווים במצטבר 1,000 מתקפות סייבר בשבוע, מתוכם 300 מתקפות כופרה. שויד נגע בנקודה אקוטית, שמטרידה יותר ויותר ארגונים במשק.

הסיבות לריבוי המתקפות על ישראל הן מגוונות, בין אם מטעמים כלכליים או מדיניים-ביטחוניים (איראן כשם קוד). ברמה הלאומית, המטרות של ההאקרים הן תשתיות לאומיות, ואתרים וארגונים שהפגיעה בהם יכולה לגרום נזק ממשי. כך גם כאשר מדובר במתקפות כופרה: חלקן מונעות ממניעים מדיניים ובין מדינתיים וחלקן – ממניעים כלכליים. ההאקרים רוצים כסף, אלא שייתכן שלפחות חלק מאותו הכסף הולך לארגוני טרור ולמדינות אויב.

בזמן האחרון מתחילים לזהות תקיפות סייבר מסוג חדש, שמטרתן הישירה היא להרוג אנשים, או לפחות לפגוע בהם. פיזית, כמובן. השיח סביב הנושא הולך ומתרחב: מחקר של גרטנר [2], שאת עיקריו פרסמנו אתמול, צופה שעד 2023, הפגיעה במערכות משולבות, פיזיות וקיברנטיות, תביא לאובדן חיי אדם ולעלויות כספיות של יותר מ-50 מיליארד דולר.

ההאקרים מנצלים את הידוק הקשר בין ה-IT ל-OT

התקיפות האלה מתרחשות בסביבות ה-OT (טכנולוגיות תפעוליות) במפעלי ובמתקני תשתיות קריטיות. הן מתאפשרות ביתר שאת על רקע מגמה אחרת, והיא הקשר ההדוק יותר בין ה-IT, שעד כה היה היעד המסורתי לתקיפות, לבין ה-OT. מסתבר שהחיבור בין שני סוגי מערכות אלה מלא חורים שלא נסגרו כהלכה על ידי מנהלי האבטחה בארגונים, כי במשך שנים הם נחשבו לזניחים. אחד האירועים היותר מפורסמים בהקשר זה הוא המתקפה על חברת הזיקוק הגדולה בארצות הברית, קולוניאל פייפליין, שעצרה את כל הפעילות שלה לאחר שנפלה קורבן להתקפת סיייבר במערכות ה-OT. מעבר לנזק הלוגיסטי הכלכלי, יכולה הייתה אותה מתקפה, לו היא הייתה יותר מתוחכמת, לשבש גם את תהליכי זיקוק הדלק, ברמה כזו שדלק שמיועד למטוסים היה מוזרם בתמהיל אחר, שיכול היה לגרום להתרסקות מטוס. וזוהי רק דוגמה אחת.

ואם רוצים להרחיב את תרחישי האימה, מתקפות סייבר מהסוג החדש יכולות לפגוע, למשל, בקווי ייצור של חברות תרופות, לשבש את המינונים ולגרום למוות או לנזק חמור למי שצורך אותן, מבלי שמישהו יחוש מבעוד מועד בכך שהמקור הוא מתקפת סייבר.

מדובר באיומים מוחשיים, וחוקרי גרטנר קוראים למנהלי האבטחה ולמנכ"לי ארגונים להשקיע הרבה יותר מחשבה באיומי סייבר שיכולים לפגוע בבני אדם – ולא רק בכאלה שעלולים להביא גניבת מידע. מתקפות מהסוג האחרון הן אמנם חמורות, אבל הן עדיין לא הרגו אף אחד.

כדי להגן מפני האיומים החדשים, דרוש להפנות לכך שיטות הגנה מוכרות. בין היתר, ההמלצות הן להכשיר כוח אדם להגנה בתחום ה-OT, לבצע תרגולים דחופים ולהשקיע במתודולוגיות ותוכנית שיאפשרו התאוששות מהירה, ובכך להקטין את גודל הנזק.

האם ישראל ערוכה מספיק טוב כדי להתמודד עם איומים אלה?

התשובה לשאלה הזו היא שסביר להניח שברמה הטכנולוגית יש לנו את הכלים למנוע עד כמה שאפשר מתקפות כאלה. הבעיה היא ביישום, במודעות וביכולת האכיפה של המדינה באותם מקומות שפגיעה בתהליכי הייצור המתנהלים בהם עלולה להרוג אנשים. נכון שבמדינות קפיטליסטיות כמו שלנו דוגלים באי התערבות ממשלתית, או לפחות בהתערבות ממשלתית קטנה ככל הניתן, אבל יש כאן דילמה: האם זה חל וגובר על האינטרס הציבורי גם במקרה שבו חברת תרופות, למשל, חשופה למתקפות שעלולות לפגוע בבני אדם? האם גם כאן למדינה, שאחראית על חיי תושביה או לפחות אמורה להיות אחראית עליהם, אין כל זכות להתערב?

המענה לשאלה צריך לבוא, לפחות בחלקו, בחקיקה – שלא קיימת. למשל, בחוק הסייבר, שעד היום חקיקתו לא הושלמה. מה גם שבהעדר ממשלה יציבה בשנתיים האחרונות חל קיפאון בפעילות של חלק מהגופים שתפקידם הוא לטפל בהגנה מפני מתקפות מסוכנות על המגזר העסקי. אחד מהם הוא רח"ל, שבמשך כמה שנים עבר שינויים מבניים וטולטל בין משרד למשרד בגלל פוליטיות ואגו בין שרים וראשי ממשלות.

בדיון שנערך באחרונה בוועדת החוץ והביטחון של הכנסת למדו הח"כים שהגוף הזה נמצא בשלבי התארגנות. ההאקרים, כידוע, לא ממתינים, הם רואים את החולשות וזה נותן להם תמריץ לשכלל את המתקפות שלהם. יש לקוות שלא נצטרך להגיע לוועדת חקירה בעקבות מתקפת מוצלחת שחלילה הרגה בני אדם.