נבואת הזעם: "האינטרנט נהפך לקטלני - אנשים ייהרגו"

בדיוק ביום שבו פרצה עוד מתקפת סייבר ענקית בשם פטיה, ופגעה במערכות מחשוב חיוניות בכל העולם, ברוס שנייר נשא דברים בכנס הסייבר הלאומי באוניברסיטת תל אביב. שנייר הוא מומחה אבטחה מהחשובים בעולם, ואינו "מפחידן" טיפוסי כפי שנוטים להיות נציגי חברות האבטחה — שזו דרכם למכור מוצרים. למרות זאת, גם הוא חושש מאוד.

"רוב הזמן אנחנו, תעשיית הסייבר, עסוקים בלשמור על המידע, אבל כשאנחנו מתעסקים עם העולם הפיזי, האיום גדול בהרבה", אמר שנייר בנאומו בכנס. "יש הבדל בין קריסה של קובץ אקסל ואיבוד נתונים לבין התנגשות של מכוניות. כשאנחנו מדברים על האינטרנט של הדברים, אנחנו בעצם מדברים על העולם הממשי, בכל הרמות — לא רק המקרר החכם, אלא גם מטוס הוא בעצם אלפי מחשבים שעפים באוויר. אבטחת מידע היא של הכל, בכל מקום, עם השלכות על הכל.

"אנחנו בעידן של התנגשות בין עולם המחשבים לפרדיגמה הפיזית", טען שנייר. התסריט שלו ברור: אנשים ישלמו בחייהם. "התחזית שלי היא שהאינטרנט נהפך לקטלני יותר — יהיו מתקפות שיהרגו אנשים, ובמקום הזה ממשלות צריכות להתחיל להתערב".

בין הרצאה לחתימה על ספרו, מצא שנייר זמן לשיחה עמנו. לשאלה אם כל הדיבורים על נזק לעולם הפיזי, עד כדי סיכון חיי אדם, הם לא חלק מתעשיית ההפחדה של חברות הסייבר, הוא השיב: "תסתכל על החודשים האחרונים. ראינו מתקפה על מערכת הבריאות הבריטית, ובתי חולים נאלצו לדחות מטופלים; ראינו בסקנידנביה מתקפת כופר שפגעה במערכות חימום לבתים, ראינו מתקפה על תחנת כוח באוקראינה שגרמה להפסקת חשמל, וראינו באחרונה מתקפה על מערכת הסירנות בדאלאס (מתקפה אלחוטית שגרמה למערכת הסירנות בעיר לפעול, וכתוצאה מכך גרמה לעשרות שיחות למוקד המשטרתי עד כדי קריסת המרכזייה, א"ז). אלה דברים שקורים. אני לא חושב שמתקפת כופר נגד מכונית זה דבר בלתי אפשרי. השאלה היחידה היא האם נחכה לאסון? לצערי, אני חושב שנחכה, כי זה מה שבני אדם בדרך כלל עושים".

עוד אומר שנייר: "הפרדיגמה של עולם אבטחת המידע נבנתה על ההיגיון שלאף אחד לא אכפת אם האתר שלך קורס או אם גיליון האקסל נמחק — זה לא כזה חשוב, אבל אם אפשר לגרום להתנגשות של מכוניות בקיר או לפגוע לקלפיות דיגיטליות, זה כבר משחק אחר".

"אנשים מעדיפים תוכנות זולות"

רגע ההתפכחות של שנייר היה המתקפה הגדולה על חברת השרתים Dyn באוקטובר 2016. המיוחד במתקפה הזאת היה שהיא התבססה על צבא רובוטים שגויסו לתקוף את השרתים. הרובוטים האלה היו מצלמות רשת, מדפסות ועוד מוצרים שהיו לאנשים בבית. הם כלל לא ידעו שהמכשירים שלהם נפרצו, וכעת הם חלק מרשת המתקפה.

שנייר חוזר וטוען כי יש כיום כשל שוק: "רוב התוכנה נכתבת באופן גרוע, כי אנחנו לא רוצים לשלם על תוכנה איכותית. אנחנו מעדיפים מהר וזול על פני איכות, ולכן יש בתוכנה באגים", אמר בהרצאה. "חברות תוכנה מחזיקות צוותי מהנדסים שמתקנים פרצות אבטחה (פאצ'ים), אבל זה לא עובד בחברות של מצלמות רשת זולות — להן אין צוותי סייבר, אין מי שיכתוב את טלאי האבטחה, ולעתים אי־אפשר בכלל לעדכן קושחה למוצר, אלא צריך לזרוק אותו לפח ולקנות חדש", הוא מוסיף. "במכונית שנמכרת היום ותחזיק ל–20 שנה הקרובות, מי ידאג לה לעדכוני תוכנה לאורך התקופה הזאת? אף אחד. לכן, אני מעריך שייהרגו אנשים, וזה המקום שבו ממשלות נדרשות להתערב".

לטענת שנייר, יש דברים שכוחות השוק אינם יכולים לפתור. "תחשוב על חגורות הבטיחות ברכב, למשל — מה המודל העסקי שלהן? מה השוק שלהן? הן קיימות לא בגלל השוק, אלא בגלל רגולציה. כך זה בכל תחום — האוכל במסעדות, מוצרים רפואיים — הכל בפיקוח ממשלתי. אני הגעתי לכאן במטוס. לא בדקתי אותו לפני הטיסה, גם אין לי יכולת כזאת, אני סומך על הרשויות שיעשו את זה. אותו הדבר בסייבר — יכול להיות שמצלמת הרשת אצלך בבית היא חלק מרשת המתקפה על שרתי Dyn, אבל מה אכפת לך? אין לך תמריץ בנושא, לכן צריך חוק. זו גם לא צריכה להיות האחריות של האזרח, כי זה לא בידיים שלו".

הרעיונות ששנייר משמיע כבר כמה חודשים, בעיקר בבלוג שלו, שהוא תחנת חובה לכל מי שעוסק בתחום, מתחילים להדהד כבר בקרב מומחי סייבר אחרים. בכנס הסייבר ביטאה אסתי פשין, מנהלת מפעל הסייבר של התעשייה האווירית, דברים ברוח דומה, וקראה להדק את הרגולציה בתחום.

בינואר נרשם תקדים כשרשות הסחר האמריקאית (FTC), העוסקת באיכות ובטיחות של מוצרים, תבעה את יצרנית הראוטרים ומצלמות הרשת D–Link בגין אבטחת מידע לקויה במוצריה ואיום על פרטיות המשתמש. FTC טענה כי המוצרים הנידונים הכילו "דלתות אחוריות" שאיפשרו גישה זדונית אליהם, כולל לשידור הווידאו מהמצלמה, והחברה אף לא דאגה לתקן את פרצות האבטחה גם כשהן כבר נחשפו. הנושא נלמד בימים אלה ברשות הסייבר הישראלית כמקרה מבחן.

שנייר הוא קריפטוגרף, בעל תואר שני בהנדסת מחשבים. מלבד זאת הוא חבר דירקטוריון ב–Electronic Frontier Foundation, העמותה האמריקאית החשובה בתחום הזכויות הדיגיטליות וחופש הרשת. הוא מרצה במרכז ברקמן לאינטרנט וחברה ובאוניברסיטת הרווארד, וגם חיבר כמה ספרים בתחום הסייבר. בנוסף לכל אלה, הוא גם איש עסקים. חברת הסייבר שהקים, רזיליאנט (Resilient), נרכשה באחרונה בידי יבמ, וכעת הוא עובד של הענק הכחול.

במה עוסקת החברה שלך?

"בתחום התגובה לאירועי סייבר (Incident Response). זהו פתרון לחלוקת משימות בעת משבר, לא רק לאנשי אבטחת המידע, אלא גם למחלקת המשפטים, למנהלים וכן הלאה — כי בעת משבר אנשים נוטים לשכוח דברים".

איך אתה מחלק את הזמן בין הבלוג לפעילות הציבורית ולעסקים?

"אני טס הרבה".

בישראל פועלות כ–400 חברות סייבר. אם היית צריך לייעץ ליזמים, איזו בעיה בתחום היא הדחופה ביותר שמצריכה פתרון?

"אין בעיה אחת שהיא הגדולה והחשובה ביותר, ולכן טוב שיש פה כל כך הרבה חברות. הייתי מציע ליזמים לבדוק את השוק שבו הם רוצים לפעול ואת מבנה התמריצים שלו (מהזווית של התוקף, א"ז)".

"פרטיות היא היבט של אבטחת מידע"

העמדות החריפות שמשמיע שנייר לא נוגעות רק לסכנות שהוא רואה במתקפות סייבר ובצורך בהתערבות ממשלתית, אלא נוגעות גם לסוגיות של פרטיות ברשת ואבטחת מידע. שניר סבור כי שיטות האיסוף הדיגיטליות של הסוכנות לביטחון לאומי האמריקאית (NSA) כוללניות, ופוגעות בזכות של אזרחים תמימים לפרטיות ברשת. את שיטות האבטחה והבידוק בשדות תעופה, למשל, שאומצו אחרי הפיגוע במגדלי התאומים בניו יורק ב–2011, הוא מכנה "הצגה".

"פרטיות היא היבט של אבטחת מידע — זה בעצם אותו דבר", הוא מסביר. "למשל, מצלמת רשת — אתה רוצה להגן עליה כדי שלא תהיה חלק מרשת רובוטים אינטרנטית (Botnet), אבל גם כדי שלא יציצו לך".

יש לך עמדה בוויכוח הלוהט מי מבין תוכנות המסרים המיידיים מספקת יותר פרטיות למשתמש — ווטסאפ, סיגנל או טלגרם?

"זה לא חד משמעי, אבל לדעתי טלגרם היא החלשה מבין השלוש. אני משתמש בסיגנל ובווטסאפ וגם ב-iMessage (התוכנה המובנית באייפון), אבל לא בטלגרם".

בסוגיית הפרטיות אנחנו רואים מגמות הפוכות: האיחוד האירופי מקדם את תקנות הפרטיות המחמירות GDPR, אבל בארה"ב של עידן טראמפ מאשרים לספקיות אינטרנט למכור מידע על הרגלי הגלישה של משתמשים לגופים מסחריים. לאן הולך העולם? מי ינצח?

"בעיני, אנחנו — הצד של תומכי הפרטיות — ננצח, כי זו זכות אדם. אבל האמת היא שבארה"ב יש שלטון תאגידים, שבו כל אחד עושה מה שהוא רוצה, ואין שיח מפותח על פרטיות ברשת. יידרש זמן, אולי עשרות שנים, אבל בסוף זה ישתנה".

מי נפגע במתקפת הסייבר האחרונה?

בסוף השבוע שעבר היינו עדים למתקפת סייבר גלובלית נוספת. "המתקפה האחרונה בישראל ובעולם, המכונה פטיה (Petya או Notpetya), היא לא מתקפת כופרה כפי שחשבו בהתחלה, אלא מתקפה מסוג Wiper, שנועדה להשמיד מידע. אמנם גם מתקפה זו דורשת תשלום כופר, אך לאחר התשלום הקבצים אינם מוחזרים, אלא מושמדים מיד לאחר העברת הכסף", מסביר עדי נאה גמליאל, מנהל הטכנולוגיות הראשי של חברת הסייבר 2BSecur.

כופר או לא כופר, המתקפה מוכיחה במידה רבה את הטענה המרכזית של ברוס שנייר, שלפיה עולם המחשבים משרת מערכות יותר ויותר קריטיות, ולכן לפגיעה במחשבים כבר יש השלכות על העולם הפיזי.

במתקפה האחרונה נפגעו בין היתר הגופים הבאים: חברת השילוח TNT, שבבעלות פדקס, נפגעה עד כדי שיבוש משלוחים של החברה; נזק משמעותי נגרם למסופים של ענקית הספנות הדנית Maersk בכל העולם, במה שיכול להשפיע בטווח הקצר על המסחר הבינלאומי כולו; באוסטרליה נפגעו ממתקפת הסייבר האחרונה מפעלים של יצרנית השוקולד קדברי. עוד נפגעו, מערכת הרכבת התחתית ושדה התעופה בקייב, בירת אוקראינה, חברת האנרגיה הרוסית רוסנפט וחברת הפרסום הבריטית WPP. מלבד אלה נפגעו במתקפה קופות רושמות ברשתות קמעונות, כספומטים רבים והרשימה עוד ארוכה.

Petya היא במידה רבה שידור חוזר של מתקפת WannaCry מאמצע מאי, שגם היא פגעה במערכות מחשוב בכל העולם, שהמשמעותית שבהן היתה רשת בתי חולים בריטית. בשתי המתקפות לא ידוע על נזקים לחברות ישראליות. במקביל, וכנראה במקרה לגמרי, בסוף השבוע שעבר דיווחה רשות הסייבר הלאומית על ניסיון נפל של מתקפה אחרת על בתי חולים בישראל — ניסיון שסוכל על ידי תוכנות ההגנה.

למחצית החברות בישראל אין מנהל הגנת סייבר

לרגל שבוע הסייבר, שהסתיים בשבוע שעבר, ערכה חברת ייעוץ הסייבר קונפידס (Konfidas) עם פירמת הייעוץ וראיית החשבון דלויט, המרכז למחקר סייבר בינתחומי על שם בלווטניק באוניברסיטת תל אביב ואיגוד האינטרנט הישראלי — סקר מקיף בקרב חברות, תחת הכותרת: "מצב הגנת הסייבר בישראל".

לפי הסקר, חלה ירידה ניכרת במספר אירועי הסייבר המשמעותיים: 15% מהחברות שהשתתפו בסקר דיווחו על אירוע כזה, לעומת 48% ב–2016. נראה כי השיפור הושג בזכות עלייה במודעות ובפעילות הסייבר בארגונים, ואכן נרשמה עלייה במדדים כמו בניית תוכנית מודעות והדרכה, תרגולים והעסקת מנהל הגנת סייבר בחברה (CISO).

בנוסף, נראה כי ארגונים גדולים ערוכים הרבה יותר מחברות קטנות. כך, למשל, 77% מהחברות שבהן יותר מ–2,000 עובדים מעסיקות CISO, לעומת 28% מהחברות של עד 100 עובדים. בממוצע, לכמחצית מהחברות אין מנהל סייבר. גם בכל הקשור לדיווח לדירקטוריון על סיכונים ואירועי סייבר ניכר יחס ישר לגודל החברה. בנוסף, 36% מהחברות הקטנות ערכו סקר סיכוני סייבר בשנה האחרונה, לעומת 52% בתאגידים הגדולים.

כשנשאלו החברות ממי הן מבקשות עזרה בעת מתקפת סייבר, ענו 45% מהן כי הן פונות לחברות פרטיות; 32% פונות לרשות הסייבר הלאומית; ורק 27% מהן פונות למשטרה.

מהסקר עולה עוד כי הנזק הגודל ביותר ממתקפת סייבר הוא בכלל תדמיתי (35%). מיד אחר כך ציינו 19% במקום הראשון נזק של הפסקת פעילות; שיעור דומה טען כי הנזק המשמעותי ביותר הוא כלכלי. 65% מהחברות שדיווחו על מתקפה אמנם דיווחו על נזק ישיר ועקיף מוערך בסך פחות מ–100 אלף שקל, אך 4% מהחברות דיווחו על נזק של יותר מ–5 מיליון שקל.

החברות נשאלו בסקר גם, "מהם המכשולים הגדולים ביותר ליישום תוכנית הגנת הסייבר בארגון?" 40% מהן השיבו כי הקושי הוא חוסר בתקציבים, 33% השיבו כי הסיבה היא חוסר בידע בתחום, ו–20% הלינו על מחסור בכוח אדם מיומן (ייתכנו כפילויות בתשובות). הסיבה האחרונה היא גם המנוע למגמת המעבר לשירותי סייבר מנוהלים שניתנים על ידי חברות חיצוניות. 50% מהמנהלים מסרו בסקר כי תקציב הסייבר שלהם יגדל בשנה הקרובה.

בסקר השתתפו 382 מנהלים ממגוון תפקידים (בקרה פנימית, מחלקה משפטית, אבטחת מידע, תפעול ועוד) וממגוון תעשיות, שבראשן היי־טק, לצד בנקאות, משרדי ממשלה, אקדמיה, ביטוח, קמעונות, ותיירות.

'בחדרי' גם ברשתות החברתיות - הצטרפו!