הכירו את מנהל האבטחה שנפרץ במתקפה סופר-מתוכמת – ושרד

"היה זה עוד יום שבת בבוקר, כשלפתע קיבלתי טלפון חריג מהמנכ"ל שלי – הוא עדכן שחברת הגנת סייבר מסרה לו שנפרצנו, ומחר תצא הודעה על האירוע. נכנסנו לשורה אינסופית של תחקירי עומק: מי הושפע, כמה נפגעו ובאיזו חומרה, מה קרה ומה לעשות?. מאז לא ישנתי היטב חצי שנה… את הלקחים שלי אני חולק עם לקוחות ועמיתים. הלקח החשוב מהמתקפה המתוחכמת אינו טכנולוגי, אלא תרבותי: צריך לנהוג בשקיפות", כך אמר טים בראון, מנהל האבטחה העולמי של סולארווינדס (SolarWinds).

הראיון עם בראון התקיים במסגרת Cyber week, שבוע הסייבר השנתי, שעורך המרכז למחקר סייבר בינתחומי ע"ש בלווטניק באוניברסיטת תל אביב, בשיתוף מערך הסייבר הלאומי, משרד הכלכלה ומשרד החוץ.

סולארווינדס מיוצגת בארץ על ידי פרולוג'יק (Prologic), שהקים ומנהל ליאור לוי. בראון משמש בתפקידו שמונה שנים, והאירוע שהוא מדבר עליו נחשב למתקפת הסייבר החמורה ביותר שאירעה אי-פעם בארה"ב.

מתקפת שרשרת אספקה החלה בחשאי ב-2019 ונחשפה ב-2020. ההאקרים החדירו נוזקה Sunburst ל-אוריון (Orion) – תוכנת ניטור וניהול הרשת של החברה. מערכות של 18 אלף לקוחות סולארווינדס, כולל עשרות ארגוני ממשל בארה"ב, תשתיות קריטיות וארגונים – קיבלו עדכון תוכנה מזוהם. הפריצה פגעה במאות מהם. את המתקפה ערכה קבוצת APT29 – שבמקרה זה התהדרה בשם Cozy Bear ('דובי חמים ונעים') – המקושרת לביון הרוסי, ומוסקבה, כצפוי, הכחישה זאת.

"לא קבענו שזו מתקפה בגיבוי מדינתי", סיפר בראון. "כן ידענו – והודענו – שזו מתקפה מאד מתוחכמת. לא יכולנו לייחס את האיום. שיתפנו את גורמי האכיפה, FBI, CISA, וכעבור זמן הממשל ייחס אותה לרוסיה".

"מיד התחלנו עם שקיפות חוצת-ארגון – היא הכי חשובה", אמר.

"בנינו תוכנית תגובה והתחלנו בשטף עדכונים ללקוחות ולשותפים. עדכנו מידע באתר שלנו, עבדנו צמוד מול התקשורת. מילה כתובה אינה חזקה מספיק ואינה רגשית, ולכן יצרנו קשר ישיר עם כלל 18 אלף הלקוחות. חלקם – בעיקר גופים מדינתיים וצבאות – היו מודאגים. ממשלות פחדו מפגיעה במערכות לניהול חיסוני הקורונה, וכ-20 חברות תרופות שפיתחו חיסונים, חששו גם הן".

"במקביל", אמר בראון, "תגברנו במהירות את הצוותים האדומים (מומחי אבטחה המדמים את היריב ותוקפים את הארגון לבחינת הפרצות – י"ה) שלנו. לאחר מאמצים זיהינו את המערכת שנפגעה, ניתחנו אותה, עשינו דה-קומפילציה (החזרת התוכנה לקוד המקור), ופרסמנו את הקניין הרוחני שלנו".

בראון הוסיף כי "התחלנו לממש את תפישת Secure by Design לאורך כל שלבי הפיתוח וההפצה של מוצרי החברה. זו לא רק פעולה טכנולוגית, אלא שינוי תפישתי: מעבר ממצב אבטחה 'טוב' – ל'מצטיין'. נדרשנו להחזיר את אמון הלקוחות עם תוכנות חדשות – ומעולות".

"הדקנו את הבקרה על המוצרים", ציין. הוא הוסיף וסיפר כי "פיצלנו את הפיתוח: כל מוצר עבר שלוש בקרות, סריקות ובדיקות – על ידי קבוצות אבטחה שונות בחברה. אם הממצאים לא היו זהים – המוצר לא עבר לייצור".

"כעבור עבודה מאומצת של חצי שנה, במחצית 2021, הצלחנו לייצב את הספינה והתחלתי לישון לילות שלמים ברציפות", אמר בראון.

SolarWinds Dismissed: What the SEC’s U-turn Signals for Cyber Enforcement, https://t.co/DwhuEvWWRL #corpgov

— Harvard Law School Program on Corporate Governance (@HarvardCorpGov) December 7, 2025

הרעים ינצחו רק בטווח הקצר

סיבה נוספת לחיוך של בראון אירעה באחרונה: ה-SEC, רשות ניירות הערך בארה"ב, הודיעה שביטלה את התביעה נגד סולארווינדס ונגדו. זו הייתה תביעה חריגה מאד, בה הקורבן של מתקפת סייבר נתבע על ידי הממשלה. ה-SEC טענה במקור ש-סולארווינדס ובראון ידעו על ליקויים בהגנת הסייבר בחברה, אך "הם התעלמו מדגלי התרעה אדומים שהונפו שוב ושוב".

לפי בראון, "זו הייתה דרך ארוכה, ואני שמח שזה סוף סוף נגמר. לא עשינו דבר לא נכון".

"הגל החדש של ה-AI", אמר, "מעניק לרעים יתרון. הם משוחררים ממשקולות: ממגבלות חוקיות, רגולטוריות ומוסריות. לכן הם ינצחו בטווח הקצר. אבל המגינים, הטובים – ישיגו אותם בטווח הארוך". הוא סיכם באופטימיות ואמר כי על אף כל זאת, "ה-AI משנה את תפישות ההגנה ומסייעת לבנות יותר חוסן סייבר".

ב-2022 הקים ד"ר נמרוד קוזלובסקי את סייטקטיק (Cytactic). החברה פיתחה פלטפורמה מבוססת AI לטובת מוכנות וניהול תגובה למשברי סייבר (CIRM – Cyber Incident Response Management), קטגוריה שהוכרה על ידי גרטנר (Gartner).

הפלטפורמה מאפשרת מוכנות יזומה לאירועי סייבר, המותאמת לסיכונים הפרטניים של הארגון.

"פגשתי את נמרוד בכנס אבטחה בארה"ב, והתלהבתי", אמר בראון. "זיהיתי את הפער הקריטי בניהול אירועי סייבר. סייטקטיק מביאה סדר, בהירות ושליטה ברגעים כאוטיים. צריך מוכנות אמתית, לצמצום הכאוס ולהפחתת הנזקים", המשיך ואמר.

ב-2024 בראון הצטרף כחבר בוועדה המייעצת של החברה.

"המלצתי למנהלי/ות הגנת הסייבר", סיכם בראון, "היא להניח שכבר נפרצתם/ן. או שהאירוע יקרה בקרוב. היו פרואקטיביים. עבדו באופן מושכל, בלי ניחושים. הזמן הרע ביותר להיות תלוי באנשים הוא כאשר האירוע מתחולל. חשבו אילו כלים יש לרעים, אם לא תטמיעו כלים חדשים – תפסידו".