האם משרד החינוך חווה מתקפת סייבר נוספת?

האקרים שזהותם לא ידועה התגאו כי פרצו למשרד החינוך, והם מאיימים לפרסם בדארקנט את הנתונים שנקצרו. לא ברור האם מדובר בפריצה נוספת למערכי המחשוב במשרד, או שזו אסופת נתונים וקבצים שנקצרה במתקפה איראנית שהמשרד חווה בחודש שעבר.

בערוץ הטלגרם של קבוצת ההאקרים, שמכנה את עצמה ArGhosts, התפרסמו כמה הודעות, שבאחת מהן נכתב: "שימו לב, אנחנו מאשרים בזאת שגנבנו מספר רב של אישורי גישה לאתרי ממשל ישראליים. המתקפות תימשכנה כל עוד יימשך מסע רצח העם בעזה. נמשיך להסב נזק למערכות הממשל הישראלי ולחברות טלקום ישראליות, ונגרום נזק היקפי ככל שנוכל". חברי הקבוצה פרסמו תצלומים של הכניסה לפורטל של משרד החינוך.

"ככל הנראה, מערך ההזדהות בכניסה לפורטל לא חזק מספיק"

גורם המעורה בפרטי המקרה מסר לאנשים ומחשבים כי "בפריצה הקודמת של ההאקרים, הם התגאו שיש להם נתונים שנקצרו מפורטל המשכורות של משרד החינוך. כעת, חברי הקבוצה הזו טוענים שיש בידיהם נתונים נוספים, 'חדשים מהמדף'. הדבר מעיד על כך שככל הנראה, מערך ההזדהות בכניסה לפורטל לא חזק מספיק. בנוסף, לא ברור האם זו פריצה נוספת, שבוצעה על ידי האקרים בלתי מזוהים, או שמדובר בהאקרים מהפריצה הקודמת, של האיראנים, שבוצעה בחודש שעבר, והם מאיימים לשחרר נתונים נוספים ממנה".

בסוף ינואר השנה, משרד החינוך הותקף בסייבר – מתקפה שבעטייה הונחו עובדי המשרד שלא להשתמש בשרת ה-SharePoint של מיקרוסופט, שמאפשר להם לעבוד מרחוק. החשש למתקפה עלה "בשל פעילות חשודה בשרתי משרד החינוך". השרת כולל, בין השאר, את פורטל עובדי ההוראה, פורטל הרשויות והבעלויות, ועשרות אתרי יחידות של המשרד. המשרד הודיע לעובדים כי השבת האתרים "עלולה לארוך כחודש ימים, ונעשה כל שביכולתנו כדי להתקדם כמה שיותר מהר".

צילום מסך מערוץ הטלגרם של ArGhosts

משרד החינוך מסר אז כי "האתר הראשי של המשרד לא הותקף והוא פועל כסדרו. כמו כן, אין כל אינדיקציה לדליפת מידע רגיש ממערכות המשרד. יחד עם זאת, לאחר שזוהתה פעילות חשודה בחוות השרתים החיצונית, המשרד פעל מיידית להסרת השרת החשוד מהאוויר. מדובר בשרת התומך בחלק מאתרי התוכן של יחידות המשרד ובשניים מהפורטלים של המשרד, שלא מכילים מידע אישי או נתונים רגישים. האירוע מצוי כעת תחת חקירה".

לאנשים ומחשבים נודע כי ההאקרים נכנסו לפורטל עובדי ההוראה, שכל עובדי ההוראה מתקשרים ביניהם דרכו, ומחקו, או קצרו, פרטי מידע שלהם. ההערכות הן שמטרת המתקפה הייתה ריגול וגניבת מידע – ולא מניע כספי.

"מומחי הגנה ממשלתיים לא יודעים איך מתאוששים מאסון"

גורם בענף שבקיא בפרטי האירוע אמר לאנשים ומחשבים כי "מומחי הגנה ממשלתיים לא יודעים איך מתאוששים מאסון. המתקפה הזו היא חלק מהכישלון הממשלתי בהגנה על מידע אישי של אזרחים ושל עובדי מדינה. זהו עוד מהלך שהוא תוצאה של זלזול בלתי נסבל בטיפול במידע של אנשים".

מומחה אבטחה אחר אמר לאנשים ומחשבים כי "אנחנו רואים פעם נוספת את הבעייתיות שבשמירה על מידע ממשלתי. מערכות ההגנה הממשלתיות לא טובות מספיק. זה מתקשר לאירוע שהיה במערך הבריאות, שבו בשל 'תקלה' ניתנו לחולים הוראות ליטול תרופות באופן שגוי, תרופות שלא מתאימות להם. זה נושא חמור ורציני ואין להקל בו ראש".

ממשרד החינוך נמסר: "מבדיקה שערך המשרד עולה כי אין כל אינדיקציה למתקפת סייבר נוספת וכפי שפרסמנו בעבר, עד עתה לא דלף כל מידע רגיש מהמשרד. ההודעה שפורסמה על ידי התוקף נוגעת למרחב הישראלי בכלל, בדגש על גופים ממשלתיים, חברות תקשורת והסקטור הפרטי. המשרד עוקב כל העת ויגיב לכל חשד או איום שיהיה".