פרשת הסחיטה מחברת הביטוח שירביט ממשיכה להסעיר את ישראל. נכון להיום, שירביט מסרבת לשלם את הכופר שדורשים ההאקרים, ואלה מצידם פרסמו הבוקר (ראשון) בערוץ הטלגרם שלהם הצעה לכל דכפין לבוא ולרכוש את המסמכים שגנבו משירביט. האם מדובר ביוזמה פרטית, ישראלית או מחו"ל, העומדת מאחורי קבוצת ההאקרים "בלאק שאדואו"? האם מדובר במתקפה על רקע לאומני של מדינת אויב? ובעיקר - איך ניתן למנוע את המתקפה הבאה? שאלנו את מומחי אבטחת המידע לדעתם.
הפניית האצבע המאשימה לאיראן היא מכוונת?
הפריצה מוצגת פעמים רבות בתקשורת כפעולה של גורמי ביון זרים, כאשר האצבע המאשימה מופנית לכיוון איראן. אך האם באמת מדובר בפורצים כה מתוחכמים שמדינה עומדת מאחוריהם, ולא באנשי סייבר חובבים, אולי אפילו עובדים לשעבר של שירביט?
שאלה זו מטרידה גורמים רבים בישראל שעוסקים בתחום. גורם מנוסה בתחום (שמו שמור במערכת) שבחן את הממצאים, אמר ל"ישראל היום" הבוקר: "מדובר בקבוצה שהוקמה לפני חודש, שמתנהלת בחובבנות, וניכר שאנשיה מבינים עברית טוב. האנשים הללו קוראים עברית, ובנוסף מבינים את הלך הרוח הישראלי. לכן לא נראה לי שמדינה עומדת מאחורי הפריצה, ולא הייתי מוציא מכלל אפשרות שמדובר בעובד לשעבר בחברה או בגורם שרוצה לנקום בה ממניעים אחרים לגמרי".
איש השב"כ לשעבר ארז קריינר, שעובד כיום בחברת "סייסר אבטחת מידע", שותף לכיוון המחשבה הזה. "כל אדם שמבין בהאקינג יכול היה להוביל פריצה כזו. אין כרגע שום ראיה לפעילות של מדינה. לדעתי יש גורמים בישראל שיכולים בקלות להגיע אל הפורץ, אבל זה לא תפקידם כשמדובר בחברה אזרחית".
לטענת קריינר, עצם העלאת ה"אופציה האיראנית" בהקשר הפריצה לשירביט אינה מקרית, ונובעת אולי יותר מאינטרסים שונים ופחות מראיה של "אקדח מעשן".
קריינר: "למה מזכירים את איראן? זו שאלה טובה. למעשה אין שום הוכחה שמי שעומד מאחורי הפריצה הוא גורם איראני, או גורם מטעם מדינה כלשהי. לטעמי, כל האופציות על השולחן. יש כל מיני בעלי אינטרסים שרוצים שזו תיחשב כפריצה איראנית, אבל כשמסתכלים מבחוץ על הדרישות של הפורצים - מגלים התנהלות חובבנית שמזכירה פעילות של כנופיה".
קריינר מזהיר, כי במידה והפורץ או הפורצים הם מישראל, הרי שבהתנהלותם כעת הם עברו קו אדום נוסף שמעביר את העבירה מהקטגוריה הפלילית – ללאומנית. " לטובת הפורץ, אני מקווה שהוא לא ישראלי. כי במקרה כזה, מכירת המדינה לאיראן זה כבר לא עבירה רגילה אלא עבירה על חוקי הריגול של מדינת ישראל. זו רמה אחרת לגמרי של עבירה. ועדיין, אני מניח שמדובר בגורם שעבר בעבר בחברה, או סתם באדם עם כישרון האקינג אי שם ברחבי הגלובוס", הוא מסכם.
"המשבר נוהל בצורה לא נכונה"
הגורם המנוסה שהעדיף להישאר בעילום שם, אומר כי "שירביט והמדינה עושים כאן טעות ענק. צאו מייד ברגע הפריצה, ספרו כל מה שיש לכם, תנו לאנשים להבין מה בדיוק נחשף, מה מסתובב בחוץ. לצערי, המדינה נכנסה כאן והפקיעה את הסמכות משירביט. המצב הזה נמשך כמו מסטיק, והוא זה שנותן את הנראות והרעש הגדולים בפרשה הזו. מה שעצוב זה שייצאו עוד תכנים הרבה יותר מביכים מאלה שיצאו עד כה, בגלל ניהול לא נכון של המשבר. כשמשבר כזה קורה בכל מקום אחר בעולם המערבי מיד מדברים בשקיפות לציבור, מספרים הכל - וגומרים את העסק. כאן העיסוק המתמשך במשבר רק מזיק יותר".
גם ד"ר הראל מנשרי, ממקימי מערך הסייבר בשב"כ וראש תחום הסייבר במכון הטכנולוגי, מסכים עם הביקורת על שירביט. "שירביט לא נוהגת בשקיפות מול לקוחותיה. היא צריכה לצאת בהודעה בהקדם ללקוחותיה ולהגיד בצורה ברורה מה קרה, וכיצד יסייעו להם מכאן והלאה".
"המניע של הפורצים אינו כספי"
לדברי מנשרי, המניע של הפורצים אינו כספי. "להבנתי, כל נושא הכסף הוא מסך עשן. הפורצים לא רוצים כסף. הם לא תכננו להחזיר את המידע בכל מקרה, וכל המטרה שלהם בדרישת הכסף הייתה להביך את הציבור".
לפי ד"ר מנשרי, "ההאקרים מנצלים את הדיווחים ואת הסיקור התקשורתי בנושא, ומעצימים את אפקט התודעה של האירוע בהצלחה. בגלל העובדה שמעורבים כאן גורמים מטעם המדינה, לדעתי הפורצים אינם ישראלים. אם הם היו ישראלים, לדעתי כבר היו שמים עליהם את היד. אני סבור שהתקיפה הזאת לא מגיעה מתוך ישראל".
באשר לתאוריה לפיה מדובר בגורמים מטעם איראן, אומר ד"ר מנשרי: "זה בדיוק חלק מאותו מסך עשן. הלא המידע כבר נמצא בחוץ, והוא נמצא אצל גורמים שאנחנו לא רוצים שהוא יהיה אצלם".
"מעריכה שמדובר במדינת אויב"
מומחית הסייבר עינת מירון, מעריכה לעומת זאת כי אכן מדובר בתקיפה שעומדת מאחוריה מדינה. לדבריה, "למרות ניסיונות של גורמים מסוימים להציג כבר באותו היום את המתקפה כמתקפת כופר, היה ברור כי לא מדובר במוטיבציה כספית אלא במתקפה שנועדה לחשוף מידע נרחב על תושבי המדינה. דרישת הכופר שהגיעה לבסוף, בתוכנה ומטרותיה, הוכיחה כי מדובר במשחק בלבד, וכי ברור לתוקפים שעצם היקף הדרישה יחד עם לוחות הזמנים - אינו ריאלי למימוש".
לפי מירון, "ניכר היה שהתוקפים משתעשעים ברעיון הסחיטה. ההערכה שעולה היא כי מדובר בקבוצת תוקפים המייצגים מדינה עוינת. מטרתם היא לזרוע פחד וטרור בקרב לקוחות החברה, באמצעות חשיפת פרטיהם האישיים, עד לרמת צילומי תעודות הזהות. כידוע, בתעודת הזהות מופיע תאריך ההנפקה המשמש כמידע אישי להזדהות באמצעות שירותים הניתנים מרחוק".
מירון מעריכה שפרופיל ההתנהלות של התוקפים הוא אופייני למדינות כמו איראן. "הם מחזיקים בנפח מידע עצום, כולל גישה לשרתי החברה ול'אקטיב דירקטורי' (מה שמספק מידע על כל הנעשה בארגון). ניתן להניח בסבירות גבוהה שמלכתחילה כוונתם של התוקפים לא הייתה לעשות רווח כספי, שכן דרישת הכופר הייתה לא הגיונית - הן ברמת לוחות הזמנים, הביצוע, והיקף הסכום".
מירון: "גושפנקא נוספת למידת הסרקזם של הפורצים, הייתה בהפצת ההתכתבות עם מנהל המו"מ מטעם שירביט. ככלל, מתקפת סייבר היא פונקציה של 'מתי' ולא של 'אם'. לכן, ישנה אמפתיה לכל חברה המתמודדת עם אירוע מסוג זה. יחד עם זאת, רצף הכשלים, עד כדי ביצוע כל פעולה בניגוד למצופה או לנדרש, הזחיחות והניתוק, כפי שהשתקפו בתקשורת, חוסר ההבנה למהות ולסדר הגודל של האירוע - הובילו למשבר גדול יותר".
איך למנוע את התקיפה הבאה?
אז מה אפשר לעשות כדי למנוע את התקיפה הבאה? לפי מירון, "היערכות מקדימה שלוקחת בחשבון טריגרים, צוותים מעורבים, הערכות מצב והחלטות עקרוניות, בהן משתמשים כעוגן במהלך ניהול האירוע, עשויה להיות כל ההבדל בין התמודדות וקריסה".
שאלה מהותית נוספת שצריכה להישאל במקרה הזה לדעתה של מירון, היא אחריותו של המפקח על הביטוח. "האם המפקח סיפק מסמך דרישות שמספק מענה שמניח את הדעת למקרים כאלה?", שואלת מירון. "יש פה שאלות שצריכות להישאל: כיצד יתכן שהמפקח לא מנהל בצורה יעילה ומהירה את הבדיקות שהוא מבצע על מפוקחיו? כיצד הוא מאפשר לחברת ביטוח להעסיק איש אבטחת מידע במשרה חלקית? מדוע הוא אינו אוכף את הרגולציה שלו עצמו? מדובר בשאלות רבות המחייבות בדק בית יסודי, ולא רק בנושא הרגולציה".
