"סיכוני הסייבר לא צפויים לרדת"
זירת הסייבר הייתה פעילה מתמיד בשנתיים האחרונות על רקע הלחימה, וכללה מתקפות בעיקר על גופים פיננסיים ובתי חולים. אלא שלמרות סיום המלחמה, מומחי סייבר מזהירים: "אנחנו עשויים לראות ניסיונות נקמה ושכלול מתקפות בעזרת AI"
מלחמת חרבות ברזל מתקרבת לסיומה לאחר שנתיים, והן הורגשו במיוחד בגזרת הסייבר. על פי נתוני מערך הסייבר הלאומי, רק ב-2024 לבדה חלה עלייה של 24% בהיקף המתקפות נגד גופים ישראליים וגם במהלך השנה האחרונה הורגשה עליית מדרגה במתקפות. רובן המוחלט הופנו לחברות וגופים בתחום הפיננסי והרפואי, וכן לבתי חולים.
"לפי הדוח האחרון שלנו, מגזרי הפיננסים והבריאות הם הסקטורים הכי מותקפים בעולם בהתקפות כופרה", מסביר לוטם פינקלשטיין, מנהל המחקר והמודיעין בצ'ק פוינט. "אלו סקטורים שנחשבים ליעדים מועדפים מבחינת התוקפים משום שהם משלבים עבודה עם תלות גבוהה במערכות דיגיטליות, כוללים מידע רגיש ובעלי יכולת תשלום גבוהה. ההתקפות על בתי חולים אף יוצרות לחץ מידי לשלם לתוקף ולכן אלה מסתמנות כאטרקטיביות במיוחד".
גם אמיר מיטווך, שותף ומייסד בחברת CWG, מסביר כי המתקפות על שני המגזרים הללו רחוקות מלהיות מקריות. "מדובר בשני תחומים שנחשבים קריטיים לתפקוד המדינה והחברה. פגיעה בהם משפיעה באופן ישיר על הציבור ועל אמון האזרחים במוסדות. במגזר הפיננסי, כל שיבוש בתשלומים, דליפת נתונים או מתקפות DDoS (מתקפות סייבר שמטרתן מניעה או שיבוש של שירות מסוים) הפוגעות בזמינות השירות עלולים לגרום לטלטלה כלכלית ולערעור היציבות. מספיק שאזרחים לא יוכלו לשלם באשראי בחנויות במשך כמה שעות בודדות כדי לעורר פאניקה ציבורית וליצור אפקט דומינו במשק. בדומה, גם בתחום הבריאות, ההשלכות של מתקפת סייבר עלולות להיות חמורות: חשיפת מידע אישי ורפואי של מטופלים, שיבוש שירותים קריטיים כתוצאה ממתקפות כופרה, ופגיעה ביכולת להעניק טיפול דחוף שמציל חיים. תקיפה במערכות כאלה עלולה להשבית שירותים חיוניים וליצור תהודה ציבורית רחבה. לכן, בעיני תוקפים, אלו יעדים שמספקים השפעה מקסימלית ביחס למאמץ".
זיו כהן, מנכ"ל CloudEx מקבוצת CodeValue מוסיף כי "מדובר גם במטרות שקל יותר להגיע אליהן לעומת מתקנים ביטחוניים, עם שילוב של ערך מודיעיני והשפעה תודעתית רחבה. קבוצות תקיפה איראניות כמו MuddyWater ו־Agrius מתמחות בתקיפת מערכות אזרחיות ומשתמשות בשיטות כמו פישינג, מחיקת נתונים והדלפות כדי לייצר כותרות ולשבש שגרה". אופיר זילביגר, מוביל פעילות הסייבר ב-EMEA של פירמת BDO סבור כי המיקוד בסקטורים הללו עשוי גם להיות כתוצאה ממוטיבציה ותמיכה בניסיונות ריגול איראניים. לדבריו, "הסקטורים הללו מכילים מידע פרטי בשפע ולכן הוא עשויה לשמש ככלי לסחיטה ואפילו להפעלה של סוכנים".
ה-AI מעלה את התחכום
תמריץ נוסף שהופך את מתקפות הסייבר לקלות לביצוע ומסוכנות במיוחד הוא ה-AI. לדברי פינקלשטיין, "אנחנו כבר רואים הסלמה בשיטות ובמהירות התקיפות. טכנולוגיות GenAI מאפשרות לתוקפים לייצר פיתיונות פישינג מתוחכמים ולזהות חולשות בקצב גבוה בהרבה, בספטמבר בלבד, 1 מכל 54 פרומפטים שנכתבו בכלי GenAI הכיל מידע רגיש ו91% מהארגונים היו חשופים לסיכונים משימוש בכלי אלה. אני מעריך שההיקף והתחכום של המתקפות צפוי להמשיך ולעלות".
"בינה מלאכותית מעניקה לתוקפים “מכפיל כוח”, אומר מיטווך. "היא מאפשרת לייצר הודעות פישינג ממוקדות בשפת היעד, לנתח חולשות ולאתר נקודות תורפה במהירות גבוהה, ואף להפיק תוכן משכנע להטעיה תודעתית כמו תמונות או קולות מזויפים. כנראה שה-AI כבר יכול להחליף חלק מהידע והניסיון האנושי בשלבים טכניים של זיהוי, ניתוח ותגובה, ולאפשר לתוקפים לפעול בהיקף ובקצב שלא היו אפשריים בעבר. יחד עם זאת, ההבנה האסטרטגית והיכולת לנהל מתקפה או הגנה מורכבת עדיין דורשות שיקול דעת אנושי. התוצאה היא עלייה הן בכמות המתקפות והן בדיוק שלהן. במקביל, גם בצד המתגונן נרשמת צמיחה מהירה בפתרונות הגנה מבוססי בינה מלאכותית, שמטרתם לזהות חריגות ולבלום מתקפות בזמן אמת. בשנה האחרונה אנו רואים גל משמעותי של סטארטאפים חדשים שקמים בתחום זה".
לדברי זילביגר, ה-AI הוא אכן איום שלא מפסיק להשתנות, בהתאם להתפתחות הטכנולוגיות. עיקר השימוש בו היה עד כה להונאה אולם לאחרונה אף נחשף מקרה שבאחד מכלי ה-GenAI בוצע ניסיון לכתוב קוד זדוני מבוסס בינה מלאכותית והוא נחסם".
על רקע התעצמות האיומים והפיכתם למורכבים יותר, סבור כהן כי "היום אי אפשר להסתפק באבטחה בסיסית, כל ארגון צריך לבנות לעצמו 'חוסן דיגיטלי'. זה מתחיל בבקרות גישה חכמות, כמו אימות כפול שמונע שימוש בסיסמה גנובה, וממשיך ביכולת לזהות בזמן אמת פעילות חריגה ולהגיב אליה במהירות. חשוב להגן גם על הדוא"ל, שבו מתבצעות רוב מתקפות הפישינג, לשמור על גיבויים מבודדים של המידע, ולהקפיד על עדכונים שוטפים של מערכות ותיקון פרצות. בנוסף, כדאי להתחיל לנהל באופן יזום גם את הסיכונים שמגיעים משימוש בכלי בינה מלאכותית - להבין מה נכנס למערכות הארגוניות, ולוודא שכלים כאלה לא הופכים לדלת אחורית לתוקפים. בסופו של דבר, זה לא רק עניין טכנולוגי אלא גם תרבות ארגונית של אחריות וזהירות".
האיום נותר גבוה
לנוכח ההסכם לשחרור החטופים וסיום המלחמה שצפוי לצאת לפועל ממש בימים אלו, עולה השאלה האם הדבר יוביל גם לירידה בפעילות גם בזירת הסייבר. אלא שהמומחים בתחום לא אופטימיים בהקשר הזה. "גם אם תהיה רגיעה ביטחונית, לא צפויה ירידה חדה במתקפות", מבהיר פינקלשטיין. "האיומים הגלובליים, ובעיקר מתקפות כופרה וגניבת מידע, אינם תלויים ישירות בעימותים צבאיים. לפי הדו"ח האחרון שלנו בצ'ק פוינט, מתקפות כופרה עלו ב־46% ביחס לשנה שעברה באופן גלובלי, עם מגמה חזקה בצפון אמריקה ובסקטורים קריטיים. לכן, הסיכון נותר גבוה ויציב גם כעת".
"תחום הסייבר לא מגיב לאירועים באופן ליניארי", מחדד זילביגר, "ואם יש משהו שלמדנו אחרי ה-7.10 זה שאסור להיות שאננים – וזה נכון גם בתחום הסייבר. מאוד סביר שנראה ניסיונות נקם דווקא בתקופה הקרובה וזה עשוי להתבטא גם במתקפות סייבר".
לדברי מיטווך, "רמת האיום לא צפויה לחזור לרמות שלפני השנתיים האחרונות. תקיפות הסייבר הפכו לחלק קבוע בזירת העימותים הדיגיטליים, ומשמשות גם ככלי לחץ כלכלי ותודעתי. ייתכן שנראה שינוי באופי המתקפות, משמע פחות מתקפות השחתה רועשות ויותר פעולות שקטות שמטרתן השגת מידע או שיבוש תהליכים. עם זאת, ההתמודדות עם האיום תישאר ארוכת־טווח, והצלחה תימדד לא במספר המתקפות שנמנעו, אלא ביכולת לשמור על רציפות עסקית, להגן על שירותים חיוניים ולהחזיר מערכות לפעילות מלאה בזמן הקצר ביותר".
