פרופ’ יצחק בן ישראל: ממשלות מחכות להתממשות האיום עד יתחילו לפעול, כמו בטרור האיסלאמי הפונדמנטליסטי, כך גם בסייבר

פרופ’ בן ישראל אמר את הדברים במפגש שבו נדונה הפריצה למחשבי סוני וגניבת המידע הרגיש ממנו, שקיימו סדנת יובל נאמן למדע, טכנולוגיה וביטחון והמרכז הרב-תחומי לחקר הסייבר ע”ש בלווטניק באוניברסיטת תל אביב

אירוע הטרור המשולב בצרפת המחיש עד כמה קשה לממשלה מערבית להתמודד עם איום הטרור האיסלמי מבלי לפגוע בשאר המוסלמים ובחופש הפרט של כל האזרחים. גם בסייבר המצב דומה – עד שאין מתקפה, המדינות מהססות להשקיע משאבים בטיפול באיום. כך אומר פרופ’ יצחק בן ישראל, ראש המרכז הרב-תחומי לחקר הסייבר ע”ש בלווטניק באוניברסיטת תל אביב וסדנת יובל נאמן למדע, טכנולוגיה וביטחון במפגש משותף של שני המרכזים שעסק בניתוח הפריצה למחשבי סוני מזוויות שונות.

ישראל הייתה אחת המדינות הראשונות בעולם, לפני עשור וחצי, שהחלה להגן על תשתיות המחשוב הקריטיות שלה ועל אתרי הממשלה. ישראל הייתה גם המדינה הראשונה בעולם בה הוקם גוף במשרד ראש הממשלה – המטה הקיברנטי הלאומי – לתיאום ולניצוח על כל חברי תזמורת הסייבר במדינה.

בקרוב תעלה לממשלה החלטה שבמרכזה עומדת השאלה כיצד להגן על אזרחי המדינה ועל פרטיותם מבלי לפגוע בפרטיות ובזכויות האזרחים. האם להטיל את ההגנה על מרחב הסייבר האזרחי על שירות הביטחון, ולהסתכן במה שקרה ל-NSA בארה”ב, או להעדיף את זכות הפרטיות? האם יש דרך לאזן בין צרכי הביטחון הלאומי ובין הזכויות הבסיסיות של כל אדם במשטר דמוקרטי? הצעת ההחלטה שתובא בקרוב לממשלה עוסקת בהקמת גוף אופרטיבי – רשות לאומית אזרחית להגנה בסייבר – שתאזן בין שתי הדרישות לעיל.

אותה רשות תצטרך להתמודד עם איומים הולכים וגוברים שבהם מטשטש הגבול בין המדינה לחברה פרטית. לכאורה חברות פרטיות צריכות להגן על המידע שלהן אבל מה קורה אם מדינה תוקפת חברה כמו במקרה של סוני?

אילן גרייצר, מתן שרף וענבר רז – חברי “הצוות האדום” העורכים בהתנדבות מבצעי ביקורת הכוללים נסיונות חדירה לגופים שנופלים בין הכסאות – בעלי חשיבות לאומית אך אינם מפוקחים על ידי רא”מ או רשויות אחרות. השלושה תיארו כיצד הצליחו בקלות לחדור למחשב של בית חולים גדול.
אילן: אנחנו שומעים מזה שנתיים על נפילות בפח של גופים גדולים ומאובטחים העומדים בתקינות הכי טובות: טרגט, לוקהיד מרטין, ג’ פי מורגן, RSA (שכידוע מפתחים את הצפון שבאמצעותו נעשים לדוגמה התשלומים באינטרנט וכמובן הדוגמה האחרונה – סוני. אם ארגונים כאלה נופלים מה תגיד החברה הקטנה שאין לה את אותם משאבים ויכולות.

אבל לא צריך צופן מתוחכם כדי להכנס למחשבים של עובדים במוסדות הללו, ויש מספיק עובדים לשעבר שיש להם עדיין הרשאות. גופים כמו בתי חולים אפילו לא יודעים כמה מחשבים יש להם, וכמה מהם מחוברים לרשתות חיצוניות, וכן האם לאנשים מותר להכנס למבנה של מרכז המחשבים. “אם התשובה לאחת השאלות היא כן, ההאקרים ניצחו”.

ענבר רז מנה שורה של תקלות הנובעות מהממשק האנושי – למשל שימוש מחדש באותן סיסמאות לרשתות חברתיות, קניות בנקים וכו’. לא כל האתרים הללו מאובטחים ויש אפילו כאלו שרשימת המשתמשים והסיסמאות אינה מוצפנת. כיום אפילו המצב החמיר משום שניתן להכנס לכל השירותים הללו דרך פייסבוק.
דרך מעניינת לפריצה היא באמצעות חיבור המחשבים והטלפונים בארגון למערכת המקליטה את תוכנם ומשדרת אותם – הם בנו מטען לטלפונים סלולארים שיש בו את כל מה שנחוץ כדי להטעין טלפון אך גם רכיבים אלקטרוניים המשמשים להאזנה. כאשר מישהו מטעין את המכשיר שלו האייפד או האייפון, המערכת שותה את כל תוכנו. בהסתכלו על שקע המחשב בקיר חדר הישיבות אמר רז כי ניתן להגיע משם לכל מחשבי האוניברסיטה, אפילו למחשבי המשכורות.
מתן: אנחנו צריכים נקודה אחת כדי להיכנס דרכה. המגן צריך להצליח להגן כל הזמן, ולתוקף מספיק להצליח פעם אחת.

ערן זיו, מנכ”ל סקיוריטי דאמפ איפשרה לסוני להפיץ את הסרט “הראיון” שבגללו ביצעו לפי החשד אנשי ממשל במדינה פריצה למחשבי סוני. זו חששה שברגע שהסרטים יצאו להפצה, תהיה מתקפת מניעת שירות על השרתים בהם הם מוחזקים, והחברה הישראלית סיפקה להם תמיכה במערכת למניעת התקפות מניעת שירות של רדוור. “במקרה הזה מדובר בפרויקט מורכב משום שהסרט א וחסן במאות שרתים ברחבי העולם. העברנו דרכנו את כל הבקשות להורדת הסרט כדי לאתר מתקפת מניעת שירות לפני שהיא מגיעה לשרתי סוני, אך למזלנו לא היתה מתקפה כזו.”

אנדרי דולקין – מנהל המחקר לנושאי תקיפות הסייבר בחברת סייבר ארק אומר כי נקודת התורפה היא חשבונות פריבילגים של אדמיניסטראטורים וכך היה גם במקרה של סוני. בוקר אחד הגיעו העובדים לעבודה, פתחו את המחשבים שלהם והיה עליו הודעה שהותקפו. לאחר מכן נמחקו קבצים אצל מי שלא סגר בזמן את המחשב. לפני שנמחקו הם הועתקו למחשבי ההאקרים וכך פורסמו חמישה סרטים לפני צאתם לאקרנים, דבר שגרם לנזק ישיר לסוני. כמו כן נגנבו קבצי וורד ואקסל שהכילו סיסמאות ואפילו קובץ טקסט שנקרא חשבונות ללא סיסמה.

בין היתר נחשפו גם קבצי דואר אלקטרוני רגישים של בכירים ובהם המנכלית, שכלל פרטים על משכורות הכוכביםם, סריקות של דרכונים של עובדים ומידע רפואי. לא ברור כיצד סוני תתמודד עם תביעות העובדים.

דולקין ציטט את מנכ”ל חברת מנדיאנט, המספקת שירות תקופה מיידית לפיה היתה כאן תקיפה מתוחכמת שאי אפשר להתכונן אליה.
החדירה בוצעה באמצעות תולעת שהתפשטה ברשת הפנימית של החברה בפרוטוקול SMB ומנתחת הקשרים של סיסמאות תוך חיפוש אחר הסיסמאות האדמיניסטרטיביות. התקפה דומה היתה בתחילת 2014 על שרתי בתי הקזינו של חברת סנדס, בעקבות התבטאותו של בעליה – שלדון אדלסון על כך שאובמה צריך להפציץ את המתקנים הגרעיניים של אירן. האירנים חדרו לשרת בדיקות, וברגע שאדמיניסטראטור נכנס אליו הם קלטו את הסיסמה וחדרו דרכה לשרתים הפעילים.
המחקר שלו בסייבר ארק עוסק בדרך לנתק את האדן והסיסמה האישית שלו לבין התשתיות הארגוניות המנוהלות אוטומטית.
מני ברזילי עמית בסדנת יובל נאמן וחבר בפורום הבכיר, הדגיש את העובדה כי קיים טשטוש בין הסקטור הבטחוני לסקטור האזרחי. חברות אזרחיות מותקפות או עוזרות לממשלות להגנה מפני מתקפות.

אין תשובה לשאלה היכן מתחילה האחריות של המדינה והיכן של החברה. ברור שבבנק יש שומרים שאמורים להתמודד עם איומים מקומיים, מדינה יכולה להגן על מדינה. למדינה יש סמכות בלעדית לתקוף אם נעשה אבטחה פרואקטיבית זו בעצם תקיפה.

עמית אשכנזי מהמטה הקיברנטי הלאומי הציג את העמדה המשפטית. “הטיפול המדינתי והמשפטי באירועים מסוג זה צריכים להתבסס על רמת הארגון ורמת המדינה. מה נדרש ברמת הארגון כדי שיהיה ערוך טוב יותר. עד היום התפיסה היתה שההיערכות לאירועי סייבר הם חלק מניהול הסיכונים הפנימי של הארגון ולממשלה יש תפקיד רק בארגונים חיוניים ובניהול מאגרי מידע.
התפיסה של המטה היא שכדי להקטין את הסיכון הקיברנטי יש צורך בעליית מדרגה בתפקיד של המדינה. מצפים מהארגונים שיבצעו את הדברים שהממשלה תבקש מהם כדי שיהיו ערוכים. שאלה נוספת היא האם כוחות השוק יעילים. בתחום כוח אדם, שירותים ומוצרים יש פערי מידע שגם אם ארגון רוצה להשקיע בכך את השקל השיורי, הוא לא בטוח שזה יהיה אפקטיבי. לממשלה יש תפקיד לכך שהשקל יהיה אפקטיבי.
אחת הנגזרות המשפטיות היא הצורך להגדיר את מקצועות אבטחת המידע. בארה”ב אומרים שחוסר טרמינולוגיה אחידה במקצועות האבטחה פוגעת בבטחון הלאומי.
המשלה גם שולטת ברגולציה המגזרית. הרגולטורים המגזריים דוגמת המפקח על הבנקים והממונה על שוק ההון.
סוגיה משפטית חשובה לא פחות היא מה התפקיד של המדינה באירועים מהסוג הזה. אנו מרחיבים את בעיות אבטחת המידע של הארגונים לתוך הסייבר. אין פה שחור ולבן. בדומה לטרור, הארגון המאויים נמצא בחזית. צריך אדם שילמד את המערכת ויבין אותה בשגרה ובוודאי בחרום. יש להכין את מנהל ה-IT לשעת החירום הזו
התפקיד של המדינה הוא לעסוק בפתרון הפער בשיתוף המידע. במדינות המערב הוא מוישם על ידי הקמת CETRT לאומי. החשש הוא שכניסת המדינה לפיקוח על האינרטנט עלולה לגרום לפגיעה בזכויות הפרטיות וחופש המידע. אל כל אלה מצטרף גם המטה-דטה – המערכות מתעדות כל הזמן מה עושים הגולשים. לחברות כמו קספרסקי, מקאפי ומיקרוסופט יש תמונת מצב טובה יותר על המתרחש בסייבר הישראלי מאשר בממשלה.
לסיכום – האסטרטגיה המשפטית של המטה, כחלק מהאסטרטגיה הכוללת של המידע, היא לחזק את הארגונים בטיפול בשגרה ובמקום שבו אנחנו חושבים שהארגונים רואים יותר מדי את הסיכוי ולא את הסיכון להצביע על הסיכון, להסיר חסמים משפטיים בתוך הארגון (עובדים, לקוחות) ולפקח.

דב האוסן כוריאל, חברת מרכז הסייבר הרב תחומי הציגה את סוגיית שלוש התביעות הייצוגיות של עובדי סוני שעזבו בינתיים נגד החברה.
התביעה נובעת מכך שלמרות שבסוני ידעו על התקיפה במשך שבועות ארוכים, הם לא עשו דבר כדי לעצור את דליפת המידע הרגיש. “לתובענה הזו יש בסיס איתן. סוני לא דאגה להגנה מספקת – טבלאות אקסל לא מוגנות, החברה גם התעלמה מחוות דעת מקצועית של אנשי האבטחה. החברה לא עדכנה את העובדים במשך שבוע, לא פרסמה את היקף הנזקים, לא שיתפה בצעדים שננקטים. גם לא הופקו לקחים מהפריצה לסוני פלייסטיישן ב-2011 (חברה אחות נפרדת).
העילות לתביעה – אי דיווח על פריצה כפי שדורשים היטקען ב-47 ממדינות ארה”ב, אי ביצוע חובת ההגנה על מחשבים, שרתים, אחסון מידע אישי , כלומר רשלנות. הפרת הזכות לפרטיות ברמה החוקתית. יש גם דרישות להגנה על מידע מסוגים מסויימים כגון מידע רפואי ופיננסי.
עד כה לא ראינו בעלי מניות של סוני שהגישו תביעה אישית, יש לציין כי ניתן להגיש תביעות נגזרות נגד מנהלי החברה.
לסיכום אומרת האוסן-כוריאל: “מעניין אותי להבין שההתמודדות המשפטית ברמה כזו של תובנה ייצוגית של סוני מנותקת לחלוטין מזהות התוקף. מבחינה משפטית יבשה, התקיפה, ההגנות והטיפול הוא דבר שקורה באופן עצמאי מסוגית מי התוקף ומכל הרקע ההסטורי והדיפלומטי לאירוע.”
רם לוי (להשלים מהשקפים שלו ) תיאר את ההיבט הביטוחי של התקפת סייבר.

“שיטת ההתקפה של סוני איננה חדשה. נעשה בה שימוש בתקיפת ארמקו ב-2012 ובתקיפה ב-בדרום קוריאה. גם התקפות על סוני אינן חדשות, בשנת 2011 הותקפה חברת סוני פלייסטיישן, הפעילה פוליסת ביטוח, שופתה אך נאלצה להחליף חברה ל-AIG. היקף הפרמיה לפי מה שנחשף למרבה האירוניה במסמכים שפרסמו התוקפים היהבין 80 ל-100 מיליון דולר.

AIG יכולה לדחות את התביעה בנימוק של רשלנות משום שהתעלמה מהאיומים של צפון קוריאה. פוליסה כזו היא סוג של פוליסת טרור, ובה מי שקובע את השיפוי הוא החתם ולא חישוב אקטוארי, זאת בהעדר נסיון מספיק בהפעלת ביטוחים כאלה.

גם אם מבחינה מהותית, 80 מיליון דולר אינם רציניים עבור חברות הביטוח, אך מה יקרה אם ייפגעו חברות בהן הנזק יהיה 800 מיליון, ומה אם ייפגעו 100 כאלה בו זמנית. מדובר גם באיום עם משרעת מאוד גדולה, אי אפשר לחשוב אפילו מה יקרה אם תוקף יגרום לשיבוש בסיס הנתונים של אורקל שעליו מושתתת תעשיית המידע.

בעוד שלוש שנים שוק הביטוח למקרי סיכוני טרור בכלל וסייבר בפרט ישתנה. יותר חברות יכנסו לתחום, הן גם משקיעות בפיתוח מודלים אקטואריים. הפרמיות יתחילו לרדת אך המבטחים ידרשו סקר סיכונים שעלותו לא מעטה. חברות הביטוח גם יחייבו את הלקוחות שלהן ליישם פתרונות התאוששות בתמורה להפחתה בפרמיה.