"סייבר נגד תשתיות – שדה הקרב הכלכלי העתידי"

"סביבת איומי הסייבר השנה מתאפיינת בשילוב של שאפתנות גיאופוליטית וריגול, ואיסוף מודיעיני מתקדם (Tradecraft) והתקפי. לכך יש השלכות ישירות על השווקים הגלובליים. התנהגות היריבים עברה מריגול אופורטוניסטי – למיצוב אסטרטגי, עם היערכות מראש של יכולות משבשות בתוך תשתיות קריטיות. זו כבר לא אפשרות תיאורטית – כי זהו שדה הקרב הכלכלי העתידי", כך לפי חוקרי אורקוס (0rcus).

החברה – העוסקת בתקיפות אתיות ומבדקי חדירה מבוססי AI ויושבת בארה"ב – פרסמה נייר עמדה באחת מקהילות האבטחה ובו נכתב בין השאר: "סין, רוסיה, איראן וצפון קוריאה התקדמו מעריכת מבצעים מקבילים – להיערכות פרגמטית. הן שואפות להחליף את ההשפעה הכלכלית והצבאית של ארה"ב, תוך בניית מודלים חלופיים של ממשל וסחר. שיתופי הפעולה הללו לא הוכרזו רשמית, אבל יש להם סימנים בשטח: סינרגיות מבצעיות מבוססות מודיעין משותף, חילופי טכנולוגיה וקמפיינים מתואמים של השפעה. מלחמת רוסיה באוקראינה האיצה את ההיערכות מחדש הזו, בעוד מסעות ה'טייפון' מסין, ממחישים את מודל החדירה ארוך הטווח, המועדף על שחקנים מתקדמים".

"יש לנו סביבה שבה פעולה של יריב אחד עלולה להיות מוגברת על ידי אחר. הגנת סייבר הפכה לחלק בלתי נפרד מניהול סיכונים גיאו-פוליטיים, ומתחים אלה משפיעים על אסטרטגיית האבטחה בארגונים: אחד מכל שלושה מנכ"לים מדרג את ריגול הסייבר כדאגה עליונה בדירקטוריון".

"היריבים כבר לא מתעניינים רק בגניבה"

0rcus

לפי נייר העמדה, "היריבים כבר לא מתעניינים רק בגניבה. סין התבססה במערכות הבקרה במגזרים המהווים עורקים חיוניים, כמו תקשורת, אנרגיה ותחבורה. הנגישות שהם פיתחו לחדור לשם, נשמרת לשימוש פוטנציאלי בעת משבר. רוסיה שואפת לערער את האמון במוסדות הדמוקרטיים, וגם לשבש את תמיכת בעלות הברית באוקראינה. איראן מקרינה עוצמה אזורית, עם פרוקסיז הפועלים נגד תשתיות ארה"ב ובעלות בריתה. צפון קוריאה מממנת את תוכניות החימוש שלה בגניבת מטבעות קריפטו בהיקף עצום, ושותלת סוכנים כעובדי IT בחברות טק. פעילויות אלה מתמקדות בהקניית יכולות מתמשכות ומטרתן להגדיל את הנזק הכלכלי".

לפי החברה, ישנן שלוש מגמות חשובות בפעילות של גורמי איום: המעבר מנוזקות מותאמות אישית לטכניקות של LOTL (ר"ת Living off the land) – טכניקה שבה התוקפים משתמשים בכלים ובתכונות הקיימים במערכות הקורבן, בלי נוזקות חיצוניות, מה שמקשה על זיהוי המתקפה.

"כמעט 80% מהמתקפות הן כעת נקיות מנוזקות. וולט טייפון (Volt Typhoon), למשל, נסמך על כלי עזר מקוריים של Windows לפעילותו".

מגמה שנייה: "פגיעה בזהות הפכה לווקטור הגישה העיקרי. אישורים גנובים מהווים יותר משליש מהחדירות לענן. רצף התנועה המסורתי של 'חדירה-התמדה-לרוחב' – התאגד לכדי צעד אחד. לאחר קבלת אישורים חוקיים, היריב פועל כמשתמש מהימן. זה צמצם את זמן הפריצה הממוצע לפחות משעה, ונותן למגנים רק דקות להגיב ולפעול".

"המגמה השלישית", ציינו, "היא ההונאה שמתועשת באמצעות אוטומציה מתקדמת. מדינות פורסות קול, וידיאו ויצירת ישויות סינתטיות בהיקף גדול. מבצעי דיפ פייק רוסיים ומסעות השפעה אוטומטיים של סין מדגימים את המהירות והתחכום של הרחבות היכולות שלהם".

ההשפעה הכלכלית: יותר מ-10 טריליון דולר בשנה

"שיבוש בסייבר הפך לגורם מאקרו-כלכלי", נכתב. "ההפסדים הגלובליים עומדים על כ-10.5 טריליון דולר בשנה: הנתון של פשעי הסייבר גדול יותר מהתל"ג של ארה"ב וסין. קמפיינים המכוונים לשרשרת אספקת התוכנה ולקצה הרשת מגדילים עלויות אלו ומגדילים את היקף הקורבנות שנפרצו".

"השיבושים ב-Change Healthcare וב-CDK גלובל (CDK Global) הדגימו כיצד חדירה בודדת יכולה להתפשט בין תעשיות ושרשראות אספקה, לעצור עסקאות, לפגוע בשירותים ולהפחית את אמון השוק", ציינו. "ריכוז תשתיות קריטיות בידי מספר קטן של ספקים יוצר נקודות כשל בודדות. התקפה בקנה מידה גדול על אחת מהן עלולה לעכב עסקאות פיננסיות, לשבש שרשראות אספקה ולהביא לאובדן אמון בשווקים דיגיטליים".

החוקרים ציינו שלוש תגובות למגמות העל הללו: "יש לצאת מההנחה שהזהות נפגעה, ולהטמיע אימות עמוק, מבוסס ניתוח בזמן אמת, שעמיד בפני היכולות החדשות של היריב. עוד נדרשת שקיפות בשרשרת האספקה, עם ניטור סיכונים רציף של צד שלישי ובקרות 'אפס אמון'. צריך לבנות חוסן הנדסי גם לאחר הפגיעה. היכונו להפסקות חשמל מתמשכות במערכות קריטיות. שמרו על גיבויים לא מקוונים ובלתי ניתנים לשינוי ותרגלו בקביעות תרחישי שיבוש תשתיות בסייבר. השקיעו בהגנה פרואקטיבית, עם ציד איומים מתמשך, פילוח רשתות להגבלת התנועה הרוחבית וניטור ברמת הרשת, כדי לזיהוי חריגות בתעבורה מוצפנת ובסביבות OT (טכנולוגיות תפעוליות)".

"שחקני האיום בסייבר המדינתיים רוצים לשנות את מאזן הכוחות", סיכמו החוקרים. "בשנים הקרובות, בשלות ההגנה תהיה מותנית ביכולת שלנו לחזות, לעמוד ולהסתגל לשחקנים היברידיים, שפועלים מתחת לסף הלוחמה הקונבנציונלית. הגנת הסייבר הפכה לסיכון שוק מאקרו-קריטי, וצריך לנהל אותה בחדר הדירקטוריון לצד ניהול האשראי, הנזילות והחשיפה הגיאו-פוליטית".