סגור
באנר דסקטופ כלכליסט טק

שוברת קודים
החיסכון באבטחה עולה ביוקר - ובסייבר מחפשים כבשה שחורה

מתקפות סייבר נגד חברות ענק מצליחות לשתק את התעשייה האמריקאית ומניעות לפעולה את הממשל. הבעיה היא שבמקום לטפל באבטחה, מעדיפים להטיל את האחריות על מטבעות הקריפטו

שורה של מתקפות כופר נגד חברות ענק במשק האמריקאי בשבועות האחרונים הניבה תגובה ממשלתית יוצאת דופן. תחילה חתם נשיא ארצות הברית ג’ו ביידן על צו נשיאותי שמטרתו לשפר את התקשורת בין המגזר הפרטי לרשויות אכיפת החוק בנוגע למתקפות סייבר. אחר כך הודיע הממשל כי יתייחס למתקפות מסוג זה כאל “איום על הביטחון הלאומי”, הגדרה שתאפשר לארצות הברית להפעיל אמצעים צבאיים כדי להתמודד עם האיום. ולבסוף, ראש ה־FBI כריסטופר ראיי העניק ראיון ל”וול סטריט ג’ורנל”, שבו השווה בין המתקפות האחרונות לבין הפיגוע במגדלי התאומים ב־11 בספטמבר 2001.

1. עד לבשר והנפט

התקפות כופר (Ransomware) הן פרקטיקה שכוללת פריצה למערכות המחשב של אדם או ארגון והצפנת הנתונים ששמורים בהן. רק מי שמחזיקים במפתח ההצפנה יכולים לקבל גישה לנתונים, והתוקפים מציעים אותו לקורבן בתמורה לכופר שישולם באמצעות ביטקוין או כל מטבע דיגיטלי אחר.
2 צפייה בגלריה
איור ציור קריקטורה להייטק איור יונתן פופר
איור ציור קריקטורה להייטק איור יונתן פופר
(איור: יונתן פופר)
תקיפות סייבר ודרישות כופר הפכו זה מכבר לעניין שבשגרה. הן משביתות חברות פרטיות וציבוריות, מוסדות חינוך, בתי חולים וארגונים ממשלתיים. לפי ה־FBI, ב־2020 חלה עלייה של 66% במתקפות המדווחות במדינה. בשבועות האחרונים עלו לכותרות שתי תקיפות בולטות. המתקפה בחודש מאי על חברת Colonial, שאחראית על אחד מצינורות הובלת הדלק הגדולים במדינה, אילצה את החברה להשבית את פעילותה. תורי ענק לדלק השתרכו בחלקים מהחוף המזרחי, וחברות תעופה נאלצו לחסוך בדלק סילוני. קולוניאל שילמה 4.4 מיליון דולר לתוקפים. בשבוע שעבר היתה זו תעשיית הבשר האמריקאית שהושבתה בעקבות מתקפה על חברת עיבוד הבשר הגדולה בעולם JBS, שאילצה אותה לסגור תשעה מפעלים ושיבשה את אספקת הבשר במדינה.
המתקפות הללו על תעשיות שחשובות לאמריקאיים, כמו גם העובדה שבבית הלבן כבר לא יושב נשיא בעל קשרים מפוקפקים עם רוסיה, הביאו לתגובה מצד הממשל, ששם על הכוונת שלו שני אחראים מובהקים למתקפות – רוסיה ושוק הקריפטו. רוסיה, מסכימים גופי המודיעין, נותנת מקלט למשגרי המתקפות האחרונות, והקריפטו הוא הכלי שמאפשר לתעשייה לשגשג. מסמך בנושא שהופץ לאחרונה במשרד המשפטים האמריקאי ממליץ על בחינת שוק הקריפטו, ובוושינגטון אף הודיעו כי הנושא יידון במפגש בין ביידן ונשיא רוסיה ולדימיר פוטין בהמשך החודש.

2. בעקבות הכסף

השימוש במטבעות דיגיטליים לתשלום כופר הוא מעין סטנדרט של “התעשייה”. האנונימיות שטבועה במטבעות הקריפטו הופכת אותם כלי נוח לביצוע עסקאות מפוקפקות. פלטפורמות המסחר הלא מפוקחות מאפשרות להאקרים להשלים את הצעד המורכב של קבלת תשלום, הלבנת כספי הכופר ולבסוף גם המרתם לכסף פיאט (כסף מדינה). לפי חברת Chainalysis, ב־2020 שולמו 350 מיליון דולר באמצעות מטבעות דיגיטליים בתקיפות כופר – פי ארבעה מ־2019. ואלו רק המספרים המדווחים, רבים מהקורבנות לא מדווחים על התקיפה או התשלום.
שוק הקריפטו אמנם קיים כבר כעשור, אך הוא סובל עדיין מבעיית הסדרה. הגורמים הממשלתיים בעולם לא יודעים או מעוניינים להבין, לפקח או למסות אותו, ולא מצליחים לעמוד בקצב הפיתוחים. על אף ההבטחה הגלומה בו להוות חלופה למערכת הפיננסית, הוא עדיין משרת היום בעיקר ספקולנטים שלא נרתעים מהתנודתיות הבלתי אפשרית שלו. אך מכאן עד להכתרת התחום כמי שאשם בריבוי מתקפות הסייבר המרחק גדול. הבעיות סביב מתקפות הכופר הן רבות ומורכבות הרבה יותר – לא אמצעי התשלום הוא הפרצה שקוראת לגנב, אלא הפרצה עצמה.

3. פגיעה מסוג חדש

יש סיבות רבות שבגינן מתקפות הכופר האחרונות יעילות כל כך. אחת מהן היא הריכוזיות בחלקים מהמשק האמריקאי; סיבה נוספת היא היעדר חוקים מחייבים עבור אבטחת מידע. אחד מתפקידיה של המדינה הוא הגנה על אזרחיה, אבל המציאות היא שארצות הברית ומדינות רבות אחרות לא התייחסו עד כה לסייבר כאיום על ביטחון האזרחים. בארצות הברית לא קיימים סטנדרטים מחייבים בנוגע לאבטחת סייבר או לאופן שבו חברות צריכות לטפל בנתונים, לא שלהן ולא של אחרים. למעשה אין אפילו חובה על חברות לדווח אם הן הותקפו או שילמו כופר. ניסיון אחרון משמעותי להשית כאלו, אי שם ב־2012, נבלם אחרי שקבוצות לחץ שונות מהמגזר העסקי טענו כי התקנות יכבידו על החברות.
2 צפייה בגלריה
אן נויברגר סגנית היועץ לביטחון לאומי של ארה”ב
אן נויברגר סגנית היועץ לביטחון לאומי של ארה”ב
אן נויברגר, סגנית היועץ לביטחון לאומי של ארה”ב. “למגזר הפרטי אחריות עיקרית”
(צילום: בלומברג)
כך, בשעה שמתקפות הכופר הולכות ומתרבות, הסקטור הפרטי נותר להעריך את הסיכונים בעצמו, וחלקים ממנו סובלים מהיעדר תמריצים או משאבים. למעשה רק שבוע וחצי לפני הפריצה לחברת JBS, קבוצת אנליסטים מאוניברסיטת מינסוטה הזהירה את משרד החקלאות האמריקאי כי תעשיית המזון פגיעה במיוחד למתקפות כופר. ובכל זאת, במקרים האחרונים ההאקרים הצליחו לגרום נזקי ענק באמצעים פשוטים למדי: שליחת הודעות מייל מזויפות (המכונה מתקפת פישינג) במקרה של JBS; והחדרת תוכנה זדונית בזמן עדכון תוכנה שגרתי למערכות קולוניאל.
התלות העמוקה והגוברת במערכות ממוחשבות מייצרת פגיעות גדולה למתקפות סייבר. שנת הקורונה אף הגבירה את התלות הזו, לעתים בקרב חברות וארגונים שלא נערכו לכך מספיק מבחינת אבטחה. הביטקוין ושאר המטבעות מסוגו הם רק הכלי דרכו עובר הערך, ואם ייעלמו או ייאסרו, תימצא חלופה אחרת לביצוע התשלום.
הייחוד של המתקפות האחרונות הוא בכך שאף שהקורבנות הן חברות עסקיות, התוצאה של המתקפה היא פגיעה בתשתית, בין אם מדובר בצינור נפט או בייצור ושילוח מזון.
זו כנראה הסיבה שהביאה את אן נויברגר, סגנית היועץ לביטחון לאומי של ארצות הברית, לומר בשבוע שעבר “איננו יכולים להילחם באיום הכרוך בכופר בלבד, למגזר הפרטי יש אחריות מובחנת ועיקרית”.
נויברגר צודקת חלקית. מתקפות הכופר הן אכן בעיה שלא תיפתר אם חברות ימשיכו לגלות אדישות לחסינות המערכות שלהן, אבל הן גם לא יכולות לפתור את הבעיות כולן בעצמן משום שהאקרים משתכללים מהר יותר מיכולתה של חברה בודדת אחת, שלרוב לא יכולה להחזיק מומחי אבטחה בתלוש המשכורת.
נדרש מאמץ קולקטיבי שיכלול את המדינה, החברות המותקפות, חברות הטכנולוגיה שמפתחות את מערכות המחשוב וההגנה, וכן - גם את שוק הקריפטו, שחייב להתחיל להכיר בשימוש הפלילי התדיר שעושים בפלטפורמה שלו.