"עתיד הסייבר שחור אם לא נעשה כלום"

סייבר הפכה לאחת המילים החמות ביותר בתעשיית ההיי-טק ונראה שבתקופה האחרונה אין אף סקטור, עסקי או פרטי, שנשאר מוגן. למעשה, מסבירים בפאנל "הרשת בשירות הטרור" בוועידת ישראל לעסקים של "גלובס" זה יהיה נאיבי לחשוב שאפשר לפעול ללא חשש מתקיפות מצד האקרים וארגונים שונים. כמו במקרים רבים בחיים גם כאן גישת "לי זה לא יקרה" צריכה לצאת מהמשוואה ועדיף לחשוב מראש - כאשר בונים מוצר, שירות או ארגון - על שילוב ההגנות וחסימת פירצות אפשריות מחד ועל דרכים לשתף פעולה ומידע לאחר גילוי התקיפה מאידך.

ראשון הדוברים בפאנל היה סנג'אי וירמני, ראש הזרוע המבצעית לחקירת פשעי הסייבר העולמיים באינטרפול, שסיפר על פעולות הארגון בשנים האחרונות. וירמני הביא דוגמאות שונות לפשעי סייבר שקרו ברחבי העולם והסביר שקבוצת האקרים שפרצה וגנבה אונליין 45 מיליון דולר גרמה נזק ששווה לשורה של מעשי שוד שנעשו בבנקים פיזיים בארה"ב בשנה אחת שלמה. "למה בעצם צריך להסתכן בלהיתפס בעולם הפיזי אם אפשר להתחבא מאחורי המקלדת ולהיות הרבה יותר יעילים", אמר.

וירמני דיבר בנוסף על מגמה הולכת וגוברת של איבוד האמון של הציבור בממשלות, בחברות ובטכנולוגיה בעקבות פרצות שונות. "בדרום קוריאה לפני שנתיים מישהו פרץ למערכות הבנקאות וגרם לשיבוש בכספומטים לכמה שעות. זה מראה שההתקפה נגד התשתית משאירה הרבה אנשים חסרי אמון", הוא הסביר.

וירמני נשאל מה לדעתו האתגר הבא בעולם הסייבר והסביר כי "השימוש של פושעים במטבע וירטואלי יותר קשה לנו כחוקרים כי אתה צריך לעקוב אחרי הכסף, אחרי חשבונות בנקים וכו'. כשזה מגיע לביטקוין זה בעייתי כי זה אנונימי".

מנחה הפאנל, מני ברזילי, יועץ אסטרטגי וחבר המרכז הרב תחומי לחקר הסייבר ע"ש בלווטניק באוניברסיטת תל אביב, התייחס לטכנולוגיות ומתקדמות כמו מחשוב לביש ורכבים אוטונומיים שמסיעים את עצמם, שיוצרים גם בעיות חדשות. "כשאנחנו שואלים שחקן הוקי מקצועי לאן הוא רץ כשהוא רוצה לתפוס את הדיסקית אז הוא אומר שהוא הולך לאן שהוא חושב שהדיסקית תהיה ולא איפה שהיא עכשיו. אנחנו לא קוראי עתידות ואנחנו לא יודעים מה יקרה. כשאנחנו מסתכלים על עתיד איום הסייבר אז יש בעיה", הוא אמר.

ברזילי דיבר על ההתקפות על חברות כמו סוני ואפל, אתרים כמו אשלי מדיסון ורשתות שיווק כמו טרגט ואמר כי "אנשים איבדו אמון בטכנולוגיה. אנשים לא סומכים על חברות גדולות שישמרו על המידע שלהם. האחריות של אנשים שמתעסקים באבטחת מידע היא שאנשים לא יאבדו את האמון שלהם. כשרשת Target נפרצה על ידי האקרים ופרטים אישיים נחשפו, מנכ"ל הרשת הלך הביתה".

ברזילי הביא דוגמה של שירותי פשיעה בתשלום. "מדובר על זירות מסחר בדארקנט שמזכירות את איביי. אתה יכול למכור ולקנות שירותים באופן אנונימי. יש אפילו חברות סטארט-אפ של פשע שיש להן תוכנית עסקית. היא אמנם לא חוקית, אבל יש להם בונוסים למצטיינים, ימי כיף וכו'", הוא ציין.

דוגמה לכך היא מה שנקרא Ransomware. "מדובר בווירוס שנכנס למחשב של משתמש ומצפין את כל הקבצים. אם אתה רוצה את הקבצים, הם מבקשים שתשלח 3 ביטקוין - שהם 600 דולר. אם אתה לא משלם להם את הכסף, הם מוחקים את המפתח ואז אף אחד לא יוכל לפתוח את אותם קבצים. תחשבו על זה. זה מדהים. נותנים לך 72 שעות לשלם".

לדבריו, "מיותר לציין שמשטרות לא אוהבות את זה. הן בעצמן נתקלו בזה ונאלצו לשלם כסף כדי לשחרר את הקבצים. מה שבטוח שאם כל זה היה חוקי, החבר'ה האלה היו מסתובבים עם כרטיסי ביקור והרבה גאווה".

ברזילי דיבר על ההתקפות שעוברות מהעולם הווירטואלי לעולם הפיזי. "חלקכם בטח שמעו על ג'יפ שאפשר לתקוף אותו מרחוק ופשוט משתלטים עליו", הוא אומר, "כל הנושא של מכוניות ללא נהג זה דבר מדהים. אתה יושב במכונית ורואה טלוויזיה. באופן אוטומטי הרדיו נדלק. פתאום אתה שומע את הקול הבא: 'שים לב שתפסנו שליטה מלאה על הרכב שלך. אנחנו לא רוצים לגרום לשום נזק. אנחנו רוצים שתשלם לנו ביטקוין תוך עשר דקות. אם לא, נאלץ להרוג אותך'. ממש כמו Ransomware אבל בעולם הפיזי. אז מה אתה עושה?".

"מבוא לטרור"

ברזילי פתח את הפאנל בשאלה מה צריך לקרות כדי להחזיר את אמון הציבור בטכנולוגיה, שאבדה לטענתו. "אני חושבת שצריך להשתחרר מהעולם הישן", אמרה עו"ד מילי בך, מנהלת מחלקת אכיפה וחקירות ברשות למשפט טכנולוגיה ומידע (רמו"ט) של משרד המשפטים. "אני מתעסקת בפשיעה דיגיטלית ואני יכולה לומר שקו התפר בין פשיעה דיגיטלית לטרור הוא עדין ולא תמיד ניתן להגדרה. אם אנחנו רואים קצה קרחון כמו גניבה של כרטיסי אשראי אז אפשר לומר שזה פלילי אך מנגד זה עשוי להיות רק מבוא לטרור, כמו חוליה אחת מני רבות שבאה לתקוף למשל את מערכת הבריאות. לכן, צריך להשתחרר מהגדרות של פשיעה כי מה שנראה כמו פשיעה בהתחלה עלול להתגלות כטרור".

סנ"צ מאיר חיון, ראש יחידת הסייבר הארצית במשטרת ישראל, טען כי "התמונה לא כל כך עגומה. הכל עניין של פרספקטיבה. אנחנו צריכים לחשוב בצורה אחרת. כשנצא מהתבנית הרגילה של החשיבה הקלאסית ונעבור לחשיבה חדשה יותר שאלה האיומים הקיימים בעידן של היום ושצריך לתת להם מענה אז אין לנו ברירה. אז אולי לא נמשיך להפחיד בתרחישים מאיימים. אני חושב שברגע שנשנה את הפרדיגמה, נדע להתמודד עם הדברים".

לדברי פרופ' יצחק בן ישראל, ראש המרכז הרב תחומי לחקר הסייבר וראש סדנת יובל נאמן באוניברסיטת תל אביב, "העתיד יהיה שחור אם לא נעשה כלום. אנחנו הרי לא נחזור להבעיר אש עם אבנים ולנסוע על עגלות עם סוסים. המחשבים זה טרנד שאי אפשר לעצור אבל צריך מראש, בכל מה שבונים, להביא בחשבון את אבטחת הסייבר".

קרן אלעזרי, אנליסטית וחוקרת אבטחת מידע מהמרכז הרב תחומי לחקר הסייבר באוניברסיטת תל אביב, ניסתה להסביר איך תקיפות סייבר הן לא רק תקיפות על אתרים אינטרנט. "לאחרונה הייתי בטיסת אל על למינכן. הקברניט אמר במיקרופון שיש עיכוב בהמראה בגלל תקלה במחשב של המטוס. מכיוון שישבתי מקדימה יכולתי לראות את הטייס, את עמיתיו ואת הטכנאים מנסים לפענח את מקור התקלה. זה נתן לי זמן לחשוב על זה. אני שמה את חיי בידיהם כמעט מדי שבוע, והם מצוינים, אבל הם צריכים להפעיל מערכות בידור, ניווט, בקרה ושיוט, מערכות תשלום, גישה לאינטרנט בחלק מהמטוסים, יש להם גם אפליקציית מובייל וסליקת אשראי כשקונים דיוטי בפרי במטוס. אז למעשה אל על היא חברת היי-טק אבל הקברניט הוא לא ממש טכנאי.

"הסיפור הזה עוזר להמחיש מה זה סייבר. סייבר זה לא מידע ולא רק פריצה לאתרי האינטרנט של חברות. לפגוע במערכות האלה זה הרבה יותר סייבר מאשר סתם באתר של אל על. יתרה מזאת, מה שמעניין טרוריסטים זה לא סיסמאות לחשבונות שלכם אלא סביבות ומערכות בקרה שונות", הסבירה אלעזרי.

חיון התייחס בפאנל לדבריו של וירמני וחיזק אותם. "מאוד התחברתי למה שסאנג'י אמר לגבי המטבעות הווירטואליים. שילוב של מטבעות וירטואליים יחד עם האנונימיות של הדארקנט יהוו אתגר משמעותי לכל רשויות האכיפה בעולם. אנחנו צריכים לעשות מאמץ כלל מדינתי".

"אין גבולות"

בן ישראל דיבר על ההגנה מפני התוקפים. "הגנה היא תמיד יותר קשה מהתקפה. זה כלל ידוע. אבל אחד האמצעים שעושים את ההגנה סבירה יותר זה שימוש באמצעים התקפיים בהגנה. בכל תחום זה אחרת. אם זה צבא אז אתה הולך ומפציץ את התוקף. בסייבר, זה אומר שלא מספיק המודיעין שהיה לך, אלא שאתה צריך לנקוט אמצעים. אני הולך ותופס פושע כדי להפסיק את הפעולה שלו, כדי שכולם יידעו שיש עונש, שמגיעים לרעים וכך לייצר נורמה שלא כדאי להיגרר לתחום הזה. בשורה התחתונה התקפה היא חיונית אבל היא בעייתית בגלל קשרים בינלאומיים בין מדינות כי לסייבר אין גבולות מדיניים".

לדברי בך, "אם מסתכלים קדימה, אחת ההתמודדויות של אכיפת חוק זה להסתכל על מערכת סנקציות יותר מודרנית ומפותחת. לי זה לא צורם באוזן לדבר על תקיפת התוקפים. בעולם העכשווי ברגע שיש פשיעה דיגיטלית, אנחנו נהיה במצב של אפס או אחד. בהנחה שגילינו את התוקף ואנחנו יודעים מי זה ויש לנו ראיות וספק סביר והתגברנו על המכשולים ועשינו את כל מערך ההסגרה, בסוף עומדת ההעמדה לדין. זה דבר מצוין במקרים המתאימים, אבל מה עם כל שאר המקרים? מה אם תוקפים שאפשר להפעיל עליהם סנקציות אחרות? אפשר לתקוף את התוקפים - לא במובן הפיזי כמובן. אלה רעיונות דמיוניים כמובן אבל אם זיהיתי את התוקף והוא יושב בארץ אחרת ואני יודעת שמה שחשוב להם זה המוניטין שלהם אז אולי אעשה פרסום פומבי ואספר כמה הוא חובבן ואעשה לו סוג של שיימינג ואחסל את המוניטין שלו ואולי אני יכולה לתקוף בשמו אתר אחר כדי שזה יתקוף בחזרה? האמצעים צריכים להיות הרבה יותר משוכללים ממה שהם היום. הבעיה היא שרשויות אכיפת החוק פועלות במסגרת נוקשה והעבודה הרבה יותר מאתגרת וקשה. אולי צריך לצייד את הרשויות בסל כלים הרבה יותר רחב, אם לפעמים בקצה יש טרור".

חיון: "מה שנאמר כאן רלבנטי רק במידה והחוק ישונה. כרגע, החוק לא מאפשר למגן לבצע תקיפות. זה לא שאנחנו צריכים לשנות את החוק. אנחנו מאוד מתוסכלים במקום מסוים שיש בו עבריין ומטעמים חוקיים אנחנו לא יכולים לשים את היד עליו, אפילו במדינה ידידותית".

ברזילי הוסיף כי "לתקוף את התוקף זה לא חוקי וזה מייצר תסכול. אפשר למצות את הדין עם המגן אם הוא עשה משהו לא בסדר, אבל לא תמיד עם התוקף".

לדברי אלעזרי, "יש דברים שאפשר לעשות במה שנקרא הגנה אקטיבית שמעלה את רמת האינטראקציה עם התוקף. יש למשל טרנד של לשתול בקובץ PDF של חברה שאנחנו מגינים עליה קוד מסוים וברגע שהוא נפרץ ונפתח במחשב של התוקף, הוא מאפשר לנו לדעת היכן נמצאים הקבצים שנגנבו. זה למשל נחשב חוקי".

"משנים פרדיגמה"

שאלת הסיכום של פאנל הסייבר עסקה בקשר בין העולם העסקי לעולם הסייבר.

בך אמרה כי "אנחנו צריכים לייצר תמריצים לסקטור העסקי כדי לדווח לרשויות המתאימות על תקיפות שנעשות אצלו ולא להשאיר את זה אצלו בבית. הרבה תשובות נמצאות אצל הסקטור העסקי. הוא יכול לסגור, לטאטא ולחזור לעסקים כרגיל אבל ברגע שהמדינה תיכנס לזה היא יכולה להשתמש בכלים שלה ולראות למשל איפה היה המגע הראשוני של ההאקר עם הגוף העסקי".

חיון אמר כי "במשטרת ישראל משנים את הפרדיגמה שצריך לעבוד עם הסקטור העסקי בצורה הדוקה ולעשות שינויים בחשיבה ולצאת מהתבניות. בהיבט השני יש רצון לגרום ליותר חברות להרגיש חופשי יותר להתלונן כשהן נפגעות מסייבר".

בן ישראל סיכם ואמר כי "בארבע השנים האחרונות הוקמו 300 חברות שעוסקות בסייבר וכל זה בגלל שהמדינה יצרה את המעטפת ועודדה את הסקטור העסקי להיכנס לתוך התחום הזה ולעשות את מה שצריך לעשות. הפוטנציאל העסקי הוא עצום וכמו כל דבר בחיים אנחנו קצת לפני כולם - כמעט 10% מהשוק העולמי במכירות אבל כמעט 15% בהשקעות בפיתוח מהשוק העולמי. אפשר להמשיך את זה די הרבה שנים".

פאנל

הרשת בשירות הטרור פשיעת סייבר, טרור ולוחמה דיגיטלית

סנג'אי וירמני, האינטרפול

עו"ד מילי בך, מנהלת מחלקת אכיפה וחקירות, הרשות למשפט טכנולוגיה ומידע, משרד המשפטים

קרן אלעזרי, אנליסטית וחוקרת אבטחת מידע

פרופ' יצחק בן ישראל, ראש סדנת יובל נאמן למדע, אונ' ת"א

סנ"צ מאיר חיון, ראש יחידת הסייבר הארצית, משטרת ישראל

מנחה:

מני ברזילי, יועץ אסטרטגי למרכז המחקר הבינתחומי, אונ' תל אביב