"זוכר שהטורקים הפילו מטוס קרב רוסי?" שואל תא"ל במיל' אלי בן-מאיר, ששימש עד לפני כשנה ראש חטיבת המחקר באגף המודיעין. "איך הרוסים הגיבו? השביתו אלפי אתרים של הממשלה הטורקית. מי שנכנס יום לאחר מכן לאתר טורקי נתקל בשקופית: 'האתר הותקף על ידי האקרים רוסים'. נדרשו לטורקים בין ימים לשבועות כדי לשקם את הנזק. כשמפילים מטוס, אתה כבר לא חייב להחזיר בהפלה, אתה יכול לעשות משהו יותר מזיק. גם הנפגע אומר לעצמו: 'אם זה מה שהוא יודע לעשות בתוך שעתיים, מה הוא עוד יכול להפיל - חשמל, רמזורים?' זה איום שונה מחיזבאללה. אין בארגז הכלים את אותו מחסן של תגובות שיש בארגז הקונבנציונלי. לכן זה איום הרבה יותר משמעותי ומיידי מהאיומים שאליהם הורגלנו".
בן-מאיר, מייסד שותף של חברת CyGov שעוסקת בייעוץ אסטרטגי בנושאי סייבר, משתתף בכנס "סייברטק", שנפתח היום (שני) בביתן 2 במרכז הירידים בתל אביב ויינעל ברביעי הקרוב. מדובר באירוע הסייבר השני בגודלו בעולם, שייערך זו השנה הרביעית, ואליו יגיעו מאות משלחות מחו"ל כדי להתעדכן בטכנולוגיות הסייבר החדשות. אחד הנושאים המרכזיים שבהם ידונו בכנס הוא IOT, "האינטרנט של הדברים" Internet of Things, מונח כולל לתופעה שבה כל המכשירים בעולם מתחברים לאינטרנט ומתקשרים עם הסביבה - עם אנשים ועם מכשירים אחרים.
מדובר בחפצים שמחוברים לרשת ויש אפשרות לתקשר ביניהם, להעביר מידע, להשתמש בהם כבמחשב, לשלוט בהם באמצעות הסמארטפון. מונח זה כולל תחתיו טלוויזיות, מצלמות אבטחה, שעונים חכמים, וכמובן, את הבית החכם או העיר החכמה.
לפי אחת מחברות המחקר, מספר ההתקנים החכמים בעולם יגיע ב־2020 ל־26 מיליארד. "כל דבר יכול לשוחח עם דבר אחר", מסביר בן־מאיר. "מהנייד אפשר להפעיל את המזגן, לתכנת את מכונת הכביסה. יש הרבה יותר מכשירי קצה שבסוף הם מחשבים, וזה הרבה יותר ממכפיל את עצמו כל שנה. פעם היה רק פלאפון, היום זה כבר האוטו, ולפחות עוד מכשיר אחד בבית".
כצפוי, הפרצה קוראת להאקר. "יש המוני מוצרים כאלה, שלא רק שהם פגיעים, אלא המוטיבציה לתקן אותם ולאבטח אותם היא אפסית", אומר פרופ’ יובל אלוביץ’, מנהל מעבדות החדשנות של חברת דויטשה טלקום באוניברסיטת בן גוריון בנגב ומנהל המרכז לחקר הסייבר באוניברסיטה. “כך, למשל, יש לי מקרר חכם שקנינו ב־16 אלף שקלים. המקרר כל כך חכם, שהוא מחובר לאינטרנט. בגלל העובדה שהוא IOT ויש לו מעין מסך טאץ’, הוא מספק המון מידע ליצרן. מתי פותחים, מתי סוגרים. אלא שיש לו חולשה שהתגלתה לפני כשנה: המקרר לא בודק ספציפית את ההתחברות לגוגל, אם היא באמת לגוגל האמיתי. החברה לא טורחת לתקן זאת, כי היא כבר מתעסקת עם המוצר הבא. היכולת שלה לתמוך ולתחזק מוצרי IOT ישנים היא מוגבלת, כי זה יקר. המקרר עם החולשה כנראה ישב אצלי עוד 20 שנה עד שאזרוק אותו. והוא לא לבד. בעתיד נהיה בסביבה שבה יש מיליארדי מוצרים שהאקרים לא צריכים להתאמץ כדי לפרוץ אותם”.
דורשים כופר
האיום, שיכול היה להישמע כמדע בדיוני, הפך בחודשים האחרונים למעשי, כשבאוקטובר 2016 נערכה מתקפה על חברת "דין", שמספקת פלטפורמה ברשת. עקב המתקפה נפגעו שירותיהן של ענקיות כמו אמזון, פייפאל, טוויטר ונטפליקס. אחרי חקירה התברר שהמתקפה התבצעה בידי בוטנטים (רובוטי רשת), שהצליחו להתחבר בין היתר דרך מצלמות אבטחה, שהיו חסרות הגנה מספקת, והכניסו דרכן את התוכנה המזיקה "מיראיי".“במחקר אנחנו מנסים להבין מה יכול להשיג תוקף כאשר הוא פוגע במוצר IOT“, מספר פרופ’ אלוביץ’. “יש, למשל, סוגי שעונים חכמים שיכולים להפוך למרגלים בתוך הארגון. שעון יכול ללמוד על הרשתות האלחוטיות שיש, כולל אלה שאולי בטעות לא אובטחו, ולעשות מיפוי של הארגון. אני יכול לייצר שעון חכם שמדמה מדפסת אלחוטית. הוא רואה מדפסת קרובה, מדמה אותה וכשאתה מדפיס ומשוכנע שהכל תקין - בפועל אפשר להזליג את המידע החוצה”.
זה לא איום שקיים כיום רק בתיאוריה?
“הניסיון מוכיח שכל דבר שאנחנו מאתרים בסוף קורה. קח לדוגמה את ההתקפות של ‘מיראיי’. היו חמש כאלה, שבהן תקפו דרך מצלמות אבטחה. בעתיד יהיו עוד התקפות כאלה. אנחנו צריכים קודם כל להגן מיידית על התקני IOT שהם בקו הראשון מול האינטרנט. מצלמות, נתבים אלחוטיים. החששות הם שזה יגיע גם לאמצעים רפואיים שמחוברים לרשת, כמו הרובוט המתקדם ‘דה וינצ’י’ לביצוע ניתוחים, שהוא גם התקן ממוחשב. אנחנו בודקים מה יקרה אם יתקפו את ‘דה וינצ’י’ מרחוק. יכולים כך לפגוע באנשים”.
אלון קנטור, סמנכ”ל פיתוח עסקי בחברת צ’ק פוינט, העוסקת באבטחת מידע ורשתות, חושש שמי שינסו לנצל את יתרונות איום IOT הם דווקא האקרים כלכליים. “כיום להרבה מכוניות יש חיבור עם אפליקציות ניווט”, הוא מסביר. “מאיפה זה מגיע? ממודם שמחובר לאינטרנט ומביא משם את המידע. אם יחידה כזו כתובה בצורה לא מאובטחת - וזה לצערי כך בהרבה מהמקרים, כי הם מפותחים על ידי מהנדסים נהדרים בתחומם, אבל לא מומחים באבטחה - אז זה מאפשר חיבור לא מאובטח. אפשר להתחבר לרכב ובמקרים מסוימים לגרום נזק ממשי. אנשים הראו איך אפשר להשתלט מרחוק, לנטרל ולדרוש כופר כדי לשחרר את המכונית. אם יש כסף, יגיעו לשם האקרים”.
בן־מאיר מספר שנושא הכופר אינו חדש. “המגזר שכלפיו מתבצעות הכי הרבה תקיפות סייבר בארצות הברית הוא המגזר הרפואי”, הוא מספר. “תוקפים בתי חולים לא מוגנים, גונבים ידע, מאגרי מידע. המטרה המרכזית היא לקבל דמי כופר. יש בתי חולים שהושבתו לשבועות כי לא הצליחו להיכנס לתיקים של חולים. בית החולים לא משלם את הכופר, ואם אתה מנסה להיכנס אליו דרך חברה אחרת, אנשיו כבר מוחקים את המידע”.
פתרון אסטרטגי
האויב החדש הוא כבר לא גנרל שבע קרבות, אלא יכול להיות השכן מהבית ממול, שיושב ליד המחשב ומחפש ריגושים. “יש האקרים מקצועיים, בין אם עצמאים או ממומנים על ידי מדינות”, מספר בן־מאיר. “יש כאלה שפועלים לצורכי טרור, ויש גם אנשים פרטיים שחלק מהם פועל משעמום, חלק רוצה לנקום במעביד וחלק גונב מידע כדי להיות רלוונטי במקום אחר. לפעמים אותם אנשים אפילו לא מבינים שעשו משהו רע. הם לא יודעים לזהות מייל שמחדיר תוכנה פוגעת. פעם לא היו אויבים שלא ידעו שהם רוצים להיות האויב שלך”.
בן־מאיר עוסק היום בייעוץ אסטרטגי בנושא סייבר גם למדינות. הוא מספר שכמו אצל חלק גדול מאיתנו, גם בקרב החלונות הגבוהים האסימון לא נפל. “אני לא רוצה לדבר ספציפית על ישראל, רק להגיד שהיא יחסית מתקדמת - יש מטה סייבר לאומי, רשות סייבר”, אומר בן־מאיר, ששימש בעבר גם קצין מודיעין ראשי. “אבל ברמת המדינות והממשלות המצב קשה. יש חוסר מוכנות. יש מדינות שמבינות שיש בעיה, אבל משום שהיא מורכבת זונחות אותה. ישנן אלה שלא מבינות שיש בעיה, וישנן המדינות, שמספרן קטן ממספר האצבעות שלי, שמבינות שיש בעיה ופועלות כדי לפתור אותה. הבעיה היא שהן קונות טכנולוגיות, ואילו הדרך לפתרון היא אסטרטגית; לבדוק מי האויב, כי האויב בסייבר הוא לא האויב הרגיל. צריך לייצר פתרון שכולל גם טכנולוגיות, אבל לא רק. ברוב המדינות אין חוקי סייבר. אם תקפת מישהו, אין חוק שמאפשר להעמידך לדין”.
זה נובע מאדישות?
“כן. אין מדינה שלא הותקפה בסייבר, כמו שאין ארגון שלא הותקף. זה מתחלק לאלה שיודעות זאת, ואלה שלא יודעות וחושבות שהכל בסדר. יש מעל מיליון תקיפות ביום. לא מטפלים בכך כי קשה מאוד לטפל, ויותר קל לטפל בבעיות קטנות. יש פה אתגרים טכנולוגיים גדולים ומורכבים, אז קונים עוד מטוסים וטנקים. מי שהכי מגיבים ומובילים בתחום הם הבנקים, כי יש להם פוטנציאל להפסיד כסף. ממשלות יותר כבדות בהתנהלותן”.
קנטור מספר שבצ’ק פוינט עמלים במרץ על אבטחת IOT ומקדישים הרבה מאוד משאבים למציאת פתרונות. גם פרופ' אלוביץ’ מדווח על עבודה מוגברת בתחום. “באקדמיה כמעט כל הקבוצות המרכזיות עברו לעבוד על אבטחת IOT”, הוא מספר. “במרכז הסייבר, שאני מנהל, יש פעילות בעשרה מיליון שקלים רק על אבטחת IOT. זה הנושא ששמים עליו הכי הרבה פוקוס, זה האיום הגדול. הבנו שתוקפים יכולים לתקוף התקן IOT בארגון ודרכו לבצע התקפות סייבר, אבל אז גילינו שיש תנאי מקדים; מתברר שארגונים בקושי יודעים איזה ציוד יש להם: נתבים, מחשבים, כל שכן התקני IOT. פיתחנו עכשיו טכנולוגיה שדרכה ניתן להאזין לרשת התקשורת בארגון ולזהות נוכחות של התקנים כאלה. אנחנו מסוגלים להתריע אם התחבר התקן לא מורשה. אם אין לך רשימה של התקני IOT, איך תבדוק אם הם הותקפו?”
בן־מאיר משוכנע שאפשר להילחם בתופעה. “מתוך כל הנכסים הדיגיטליים, ארגון צריך לזהות מה הכי חשוב לו ולהגן עליו”, הוא אומר. “אם מישהו תקף התקן בארגון - צריך לגלות את זה הכי מהר ולצמצם את הנזק. הכי חשוב להתאושש ולחזור לתפקד בצורה תקינה”.
איך מצמצמים את התקיפות?
“40% מההתקפות בעולם מבוצעות על ידי עובדים מתוך הארגון. את זה אתה עוצר באמצעות נהלים, תקנים, פיקוח. 75% מתוך העובדים הם אנשים שיודעים שהם עושים משהו בעייתי, כלומר רק 25% הם אנשים שטועים. אם אתה עוצר את זה, אתה יכול לצמצם משמעותית את מספר ההתקפות”.
הקדמה לא מסבכת את המצב?
"קצב השינויים מהיר, ויש המון דברים חיוביים. הרכב הממוחשב, למשל, יודע לפלוט פחות גזי חממה, אבל עדיין יש בו סיכונים. צריך לנצל את היתרונות ולצמצם את נקודות התורפה”.