אי שם בשלהי 2023 מהמרים כבדים שחזרו לסוויטות שלהם במלון בלאג'יו בסטריפ של לאס וגאס, נתקלו במכשול משונה. הצ'יפ לפתיחת הדלת לא עבד.
מלבד התוצאות של הפסד בהימורים, הם התמודדו גם עם ההשלכות של מתקפת כופרה על הבעלים של הקזינו והמלון, MGM. החברה הותקפה על ידי כנופיית האקרים המכונה סקאטרד ספיידר (Scattered Spider), שהשתמשה בשיחות טלפון מזויפות לעובדים ולמרכז התמיכה הטכנית של החברה כדי להשיג את הסיסמאות.
התוצאות של הפריצה כללו לא רק נעילת אורחים מחוץ לחדרים שלהם, אלא גם עצירת הפעילות של מכונות המזל. חמור מכך, הפריצה חשפה את המידע של הלקוחות והפנתה את תשומת הלב להשלכות של נקודות תורפה במערכות ה־IT, כולל במרחבים פיזיים. "מרבית ההיבטים של החיים המודרנים נשלטים בדרך זו או אחרת על ידי מערכת דיגיטלית", אמר ג'יימי מק'קול, חוקר בכיר במכון רויאל יונייטד (Rusi) העוסק בחקר ביטחוני. "כל קורבן יחווה גם קרוב לוודאי השפעה פיזית מסוימת... זה יכול להיות משהו פשוט כמו להינעל מחוץ למשרד או מורכב כמו השבתת קו ייצור".
4 צפייה בגלריה
מלון בלאג'יו בלאס וגאס. המהמרים שחזרו לחדרים לא הצליחו לפתוח את הדלתות עם צ'יפ הכניסה, מה שהתברר לאחר דקות אחדות כפריצה למערכות המחשוב של המלון והקזינו על ידי כנופיית האקרים. מכונות המזל הושבתו, המידע של האורחים דלף ואובדן ההכנסות מאותו הלילה נאמד בכ־100 מיליון דולר
(צילום: Roger Kisby/Bloomberg)
לפי מק'קול, התקפת הסייבר נגד MGM מדגימה כמה מהכשלים המערכתיים הבנויים בתוך המערכת. בחברה העריכו כי התקפת הסייבר מחקה בסביבות 100 מיליון דולר מההכנסות, כך לפי מסמכים שהוגשו לרשות ני"ע האמריקאית (MGM שילמה גם דמי ייעוץ בגובה 10 מיליון דולר).
אלא שהמלונות בווגאס לא לבד במערכה. בסקר שערך השנה המכון הבריטי המלכותי לשמאות מקרקעין (Rics) בקרב מנהלי מבנים, נתגלה כי יותר מרבע (27%) מהבניינים שהם מנהלים חוו צורה מסוימת של מתקפת סייבר במהלך 12 החודשים שקדמו לביצוע הסקר. המכון ציין כי עבריינים מכוונים את ההתקפות שלהם למערכות בניינים הנשענות על מכשירים מקושרים להפעלת שירותים כגון מערכות אינטרקום לפתיחת דלתות בתי מגורים או בקרת כניסה במגדלי משרדים או מלונות, מערכות אוורור, מערכות כיבוי אש ופונקציות מרכזיות נוספות הנחוצות לבניין. גם בתחום זה, עליית הבינה המלאכותית מוסיפה לסיכון הקיים. הדו"ח מזהיר: "הסיכון הדיגיטלי הפך לסיכון נדל"ני לכל דבר".
הבניינים לא עומדים בקצב
מכשירים מקושרים על בסיס רשת האינטרנט המותקנים בבניינים נתפסים ככניסה אחורית פוטנציאלית למגוון רחב יותר של רשתות שבהן נמצא מידע רגיש או סודי, ולכן הם עשויים להיות יעד למתקפה. ממערכת מיזוג ועד קומקום חכם — היום הכל למעשה פריץ. גם רשת הקמעונאות האמריקאית Target ספגה בעבר דליפת נתונים של 40 מיליון כרטיסי אשראי, לאחר שהאקרים חדרו אליה דרך מערכת המיזוג של אחד הספקים.
דן יוז, המחבר של הדו"ח השנתי האחרון של המכון הבריטי לשמאות מקרקעין על הסיכונים הדיגיטליים בבניינים, טען כי יש אי־התאמה בסיסית בין קצב ההתפתחות של מגזר הנדל"ן לבין קצב ההתפתחות של מגזר הטכנולוגיה. השינויים המהירים שמתרחשים בטכנולוגיה פירושם שמכשירים ומערכות הנבנים לתוך הבניינים יכולים להפוך במהירות למיושנים ולסבול מהיעדר תמיכה ראויה.
4 צפייה בגלריה
מערכת מיזוג חכמה הנשלטת גם מרחוק ומקרר חכם המאפשר לכוון טמרפטורות שונות בחלקים שונים בו ולעשות רשימת קניות
(צילום: Chris Ratcliffe/Bloomberg)
עוד הוסיף יוז כי שיעור התחלופה הגבוה בקרב הדיירים מוסיף שכבה נוספת של מורכבות למאמצים לשמור את המערכות מעודכנות. "בניין משרדים טיפוסי יחליף ידיים מספר פעמים, וכשזה קורה המידע שמועבר הלאה אינו טוב במיוחד", הסביר יוז. "הדיירים החדשים מתחילים למעשה מנקודת ההתחלה, ואין בידיהם את כל המידע הנדרש כדי לשמור על המערכות מעודכנות".
כך, למשל, הוא מזכיר כי חיישני בקרה בבניינים מחזיקים לרוב מעמד רק 15-9 שנה, וכי מערכות הפעלה ישנות כמו Windows 7, שעדיין מותקנות בבניינים שנפתחו לפני עשור, אינן נתמכות עוד מאז 2020, ולכן חשופות במיוחד לפריצות. חמש שנים נחשבות אומנם לזמן קצר בתוחלת חיים של בניין, אך מבחינת תוכנה מדובר בחיים שלמים, כך שאם המערכות הללו לא מקבלות שדרוג באופן תדיר, הדיירים נמצאים בסיכון.
טכנולוגיית בניינים מיושנת יכולה להשפיע גם על פוליסות ביטוח נגד מתקפות סייבר. חברות הביטוח מתייחסות לכשלים במערכות ולהתקפות סייבר המתאפשרות בשל תחזוקה חלשה של הציוד כ"התנהלות כושלת", כך שההפסדים אינם נכללים בכיסוי של פוליסת הביטוח. ייתכן אף שיהיה צורך בפוליסות נפרדות כדי לכסות על נזק פיזי הנובע מהתקפת סייבר.
"יש יוצא מהכלל בשוק הביטוח לסייבר והוא אם מערכת מתוחזקת לפי הסטנדרטים הגבוהים ביותר", אמר פבלו קונסטנלה, אנליסט בפירמת הייעוץ לביטוח, Aon. "אם המערכת מיושנת מדי ולא מעדכנים אותה, אז חברת הביטוח עשויה לטעון שאי אפשר לכסות את ההפסדים".
עוד הוסיף כי המודעות לסיכונים הללו הולכת וגוברת בקרב הדרגים הבכירים של חברות, זאת בעקבות כניסתן לתוקף של חובות חוקיות חדשות והתכיפות הגדלה של התקיפות. עם זאת, הוא הזהיר כי בו בזמן חברות הביטוח מצמצמות את החשיפה שלהן, מה שמוביל להוספת סעיפי החרגה נוספים, בהם מקרים של מלחמה או מתקפות שנתמכות בידי מדינות.
עלויות עצומות של מיליוני דולרים
העלויות של ההתקפות הללו הן עצומות. בנוסף לפגיעה בהכנסות ודמי ייעוץ ש־MGM שילמה, היא נאלצה גם לשלם פיצויים של 45 מיליון דולר כדי ליישב תביעה ייצוגית שהגישו לקוחות שנפגעו, בגין ההתקפה ב־2023 ופריצה מוקדמת יותר מ־2019.
דוגמה מהזמן האחרון אומנם לא לקוחה מעולם הנדל"ן, אבל כן נותנת ביטוי טוב מה יכול לקרות במקרה של היעדר ביטוח מתאים בעת פריצה למערכות שכאלה. במקרה של יגואר לנד רובר, נתגלה בעקבות התקפת סייבר הרסנית שספגה בספטמבר כי יצרנית המכוניות הבריטית לא מכוסה לגמרי מבחינת הביטוח, כך שההפסדים של מיליארדי ליש"ט מאיבוד הכנסות ורווחים נפלו על החברה עצמה, כך לפי דיווח ב"פייננשל טיימס".
עם זאת, מק'קול ממכון רויאל יונייטד הזהיר כי לא תמיד ניתן להתכונן להתקפה, וכי ספקים הם פגיעים במיוחד. "קשה מאוד לדעת מה יהיו ההשלכות עד שלא מתרחשת תקרית, במיוחד עם פעילות ה־IT הוצאה למיקור חוץ", הסביר. "יכול להיות שנסמכים על עשרות ספקים, כל אחד עם נקודות תורפה משל עצמו".
סינתיה קייזר, לשעבר בכירה ב־FBI המשמשת כיום כיועצת של חברת Halcyon שפועלת נגד כופרות, אמרה כי חברות עדיין צריכות לעשות יותר כדי לתכנן ולחשוב על השווי של מערכת טכנולוגית גם זמן רב אחרי שהיא הותקנה. לדבריה, ניתן להגן על מערכות לא מאובטחות באמצעות פעולות פשוטות כמו החלפת סיסמאות או ניהול מעקב אחר מי שיש לו גישה למכשירים ספציפיים. "לא כל דבר הוא אינו מאובטח מטבעו", הוסיפה. "צריך פשוט לתעדף ולזהות אילו מערכות הן הפגיעות ביותר ולתקן אותן ראשונות".
