טאואר כמשל: מה קורה כשהאקרים משביתים חברה גדולה?

חברת השבבים הישראלית מתמודדת עם מתקפת כופרה על מפעליה בישראל ובארה"ב • מה קורה מאחורי הקלעים של חברות שמתמודדות עם מתקפות כאלו?

ראסל אלוונגר, מנכ"ל טאואר / צילום: עינת לברון, גלובס
ראסל אלוונגר, מנכ"ל טאואר / צילום: עינת לברון, גלובס

בסוף השבוע פרסמה חברת השבבים הישראלית טאואר הודעה לפיה ספגה מתקפת סייבר מסוג כופרה - "מערכות אבטחת המידע של החברה זיהו אירוע אבטחה בחלק ממערכות המידע שלה כתוצאה מאירוע סייבר". מתקפת כופרה היא מתקפה שבו התוקפים, ההאקרים, מזהים נקודת חולשה במערכות הארגון, חודרים אליו, לומדים אותו, לפעמים במשך חודשים רבים. ברגע המתאים, לאחר שאיתרו מידע ארגוני בעל ערך, נועלים הפורצים את המידע באמצעות הצפנה, במטרה לסחוט את הארגון תמורת שיחרורו.

טאואר סמיקונדקטור היא אחת מחברות הטכנולוגיה הישראליות הוותיקות והחשובות ביותר. עם מרכז במגדל העמק ומפעלים ביפן, סין וארה"ב, טאואר מתמחה בייצור שבבים אנלוגיים בעבור חברות אחרות. לפי גורמים שמעורים בפרטים, המתקפה כוונה למפעלי החברה בישראל ובארה"ב. בחברה עוד מקווים כי יצליחו להתמודד עם המתקפה מבלי לשלם לתוקפים. ככל הנראה, אם החברה תצליח להתמודד עם הבעיה בתוך ימים ספורים, ההשפעה עליה תהיה יחסית לא מהותית.

בהמשך ההודעה שפרסמה טאואר, נכתב כי "כצעד מניעתי עצרה החברה חלק משרתיה וביצעה פעולות יזומות לעצירת הייצור בחלק ממתקני החברה באופן מבוקר והדרגתי. טאואר דיווחה על המקרה לרשויות הרלוונטיות ועובדת בשיתוף פעולה עם רשויות אכיפת החוק וצוותי מומחים עולמיים, תוך תיאום מלא עם חברות הביטוח של החברה, על מנת להשיב את מערכותיה לפעילות סדירה בהקדם האפשרי. החברה נקטה במספר צעדים על מנת למנוע התפשטות אירוע זה. בשלב זה לא קיימת הערכה לגבי מידת השפעתו בפועל".

ההתמודדות עם מתקפות סייבר בסדר גודל שכזה עשויה להימשך ימים רבים, שבועות ואף חודשים, בטרם מתברר מלא היקף הנזק לארגון, או עד שהארגון מחליט לשלם לתוקפים על שחרור המידע שננעל. בחודשים האחרונים אירעו כמה מתקפות כופרה חמורות בחברות מוכרות כמו ורינט, סאפיינס ורויאל קריביין.

בכדי להבין מה קורה בשטח באירועים מסוג זה, בלי קשר ספציפי לאירוע בטאואר, שוחחנו עם כמה גורמים בכירים בעולם הסייבר.

האיום: נעילת המידע או הפצתו

"אלו תקיפות שבדרך כלל לוקחות הרבה זמן, לעיתים חודשים", הסביר עופר לווינגר, מנכ"ל חברת הסייבר White Hat, "מדובר במשימה שלוקחת זמן, כי התוקפים לא מחפשים רק את המידע שאותו הם יכולים להצפין, אלא גם את הגיבויים שלו. בדרך כלל מתקפות אלה מתוזמנות לסוף השבוע משום שהדבר מעניק לתוקפים חלון זמן לנהל משא ומתן עד פתיחת יום עסקים, לשלם את הכופר ולצאת מזה בשלום".

תופעה חדשה שנלווית לנעילת המידע, מספר לווינגר, היא איום של התוקפים להזליג מידע רגיש מהחברה החוצה "חלק מהתהליך של ההתקפה הוא לא רק הצפנה, אלא גם איום על הארגון לפיו אם לא ישלם את דמי הכופר, לא רק שהמידע יישאר נעול אלא גם מידע רגיש שאספו התוקפים יופץ. במקרים כאלה התקופים שולחים לנתקפים דוגמה למידע במטרה להוכיח רצינות".

מתקפות נגד ארגונים עם כמה אתרים

מאפיין נוסף למתקפות שאירוע לאחרונה, אמר עוד לווינגר, הוא ש"כל ההתקפות החמורות האחרונות היו נגד ארגונים שיש להם כמה אתרים. גם משום שהדבר מצביע על גודל הארגון וגם משום שלארגון כזה קשה יותר לעמוד שוב על הרגליים. ריבוי האתרים הופך את המשימה למורכבת יותר. כמו כן, בדרך כלל מקור המתקפה לא קורה במטה, אלא באחת השלוחות. סטטיסטית, הרבה ארגונים לא משלמים. הכל זה פונקציה של גיבויים - אם יש מערך גיבוי טוב, מנותק מהסביבה, עדיף לשחזר את המידע מהגיבוי ולא לשלם".

מאחורי הקלעים, הטיפול באירועי סייבר כולל גורמים בחברה ומחוצה לה ומנוהל בצורת חמ"ל, מסבירים יובל לזי, שותף במשרד ברנע, ומוביל תחום הסייבר במשרד, וענת אבן חן, מרכזת תחום הרגולציה במשרד.

"חברות מרגישות יותר נוח להיכנע לחוטפים. אין מדיניות של לא-נכנעים-לסחטנות. הגישה היא שאם חברות גדולות אחרות שילמו, אז לא אנחנו אלה שצריכים להיות לוחמי הצדק", הם אומרים, "בחברה ציבורית כמו טאואר שחבה חובה לבעלי מניות שלה הדירקטוריון, צריך לשקול האם הוא נכנע לדרישת כופר, או מצד שני מחליט לשלם אותו ומה ההשלכות של זה. האופציות פתוחות על השולחן. זה לא בלתי סביר שחברה תשלם כדי להימנע מהאפשרות שאולי יחבלו לה במערכי הייצור", מסבירים לזי ואבן חן.

השניים מוסיפים כי "מרגע שחברה גילתה שיש לה כופרה במערכת, אמורה להיכנס לפעולה תוכנית תגובה מיידית בכדי לאתר את ההתקפה, לנסות להבין את ההיקפים שלה ולחשוב על איך מתגברים עליה. חברה ציבורית צריכה לחשוב באיזה שלב להוציא דיווח לבורסה. ברגע שלאירוע עלולות להיות השלכות על מחיר המניה, היא מחויבת לדווח לציבור וזו שאלה שבוחנים בחדר המצב מה רמת הפירוט, ובאיזו רמת שקיפות, תוך שצריכים לפעול לפי דרישות לפי רשות ניירות ערך.

מהודעת טאואר ניתן ללמוד שככל הנראה מקור המתקפה הוא במערכות המידע (IT) של הארגון ולא במערכת הבקרה תפעולית (OT). עם זאת, לדברי תא"ל (מיל’) דני ברן, מנכ"ל ומייסד שותף בחברת Otorio, מאז מאי השנה חל זינוק עולמי במתקפות שמקורן ב-OT, ברצפת הייצור. ברן, שהחברה בראשה הוא עומד מתמחה בהגנה על תעשיות יצרניות, סיפר כי "מאז מאי השנה אירעו ברחבי העולם 97 מקרים של מתקפות כופרה שהחלו ברשתות יצרניות. בגלל הקורונה הרבה מפעלים פתחו רצפות ייצור לשליטה מרחוק מתוך הנחה שלהאקרים יהיה מאוד מסובך לתקוף מערכות מסוג זה כדי להגיע למערכות המידע".