מתחילת המלחמה: מספר מתקפות הסייבר על ישראל גדל פי 2.5

"מאז השבת הארורה של ה-7 באוקטובר אנחנו, במערך הסייבר הלאומי, עובדים בעצימות גבוהה. מערך הסייבר גייס עשרות חיילים מיחידת המילואים שלו כדי שיהיה ביכולתו לטפל בכלל אירועי הסייבר שעוברים על ישראל מתחילת המלחמה. גופים וארגונים במדינה חוו מאז 600 ניסיונות תקיפה בסייבר. הנתון הזה משקף גידול בהיקף המתקפות וניסיונות תקיפה בשיעור של יותר מפי 2.5 לעומת התקופה שטרם המלחמה", כך אמר אורי שיין, ראש אגף בכיר למודיעין והכוונה במערך הסייבר הלאומי.

שיין דיבר במפגש של פורום CSC מבית אנשים ומחשבים, שהתקיים היום (ג') בסינמה סיטי בראשון לציון. פתח את המפגש יהודה קונפורטס, העורך הראשי של הקבוצה, והנחה אותו גיא מזרחי, יו"ר ועדת התכנים של הפורום ומנכ"ל Cypros.

"פעילות הסייבר של החמאס הושבתה בתוך יומיים"

לדברי שיין, "פעילות הסייבר של החמאס הושבתה בתוך יומיים, באמצעיים קינטיים ולא קיברנטיים. כמו כן, זיהינו 12 קבוצות תקיפה איראניות ועוד שלוש קבוצות מהצפון, שערכו ביניהן שיתופי פעולה". הוא הרחיב כי המערך טיפלו ב-600 תקיפות חמורות ורובן הוכלו וטופלו ללא יצירת נזק (חלק מהאירועים אנחנו חקרנו, כ-150, וחלק נחקרו על ידי גופים אחרים)".

שיין אמר כי "מאז ה-7 באוקטובר היו לנו 60 אלף אינדיקציות לניסיות תקיפה ללא הצלחה – משמע, תוקף מובהק, בעל זהות ידועה, שניסה לגשת לנכס משמעותי. טיפלנו ביותר מ-6,000 אירועי סייבר. במסגרת הניסיונות, הבחנו בפעילויות ממוקדות, שבהן התוקפים חיפשו דברים קונקרטיים, לצד ניסיונות תקיפה בעולם ה-IoT. אין כל סיבה שבקרים לסוגיהם יהיו פתוחים לרשת. למרות זאת, 99% מהאירועים לא היו ברמה טכנולוגית מורכבת".

"סוגי המתקפות היו הזלגה, גניבת מידע, שיבוש, השבתה, DDoS ומסעות רבים של השפעה ותודעה", ציין הדובר. "עוד ראינו שילובים בין סוגי מתקפות". לדבריו, "התקיפות היו ניצול הזדמנויות בצורה מבוזרת. רק מעט היו ממוקדות לנתקף ספציפי".

אילו סוגי ארגונים היו הקורבנות הרבים ביותר לניסיונות תקיפה? לדברי שיין, מדובר בארגוני MSP ונותני שירותים, ולאחריהם ספקיות ושירותי אחסון, ארגוני ממשל ושלטון מקומי, מגזר התחבורה (לרבות התעופה), סקטור האנרגיה, הדלק והגז, וכן גופי מחקר ואקדמיה". הוא ציין כי "מגזר הבריאות נתקף בצורה משמעותית יותר החל ממתקפת ה-7 באוקטובר".

שיין סיים בתיאור פעילות המערך במלחמה: "יצרנו יותר מ-400 משטחי תקיפה שבהם אנחנו סורקים איומים ומצמצים את גודל המשטח; הטמענו עשרות חיישנים לזיהוי מתקפות; פיזרנו מלכודות דבש רבות; בכל שבוע ערכנו 5,000 סריקות לאיתור חולשות; ערכנו יותר מ-300 דו"חות וובינט (מודיעין רשת); הוצאנו 2,500 התראות על מתקפות DDoS; הוצאנו יותר מ-100 מחקרי תקשורת מבוססי התנהגות; ערכנו 150 חקירות על אירועים; טיפלנו ב-150 גופי שרשרת אספקה; טיפלנו ביותר מ-500 בקרים שהוחצנו לאינטרנט; וטיפלנו במעל 3,000 עדכוני אבטחה בגופים שונים".

גיא מזרחי, יו"ר פורום CSC מבית אנשים ומחשבים ומנכ"ל Cypros. צילום: ניב קנטור

"אתגר כפול בהגנה"

מזרחי אמר בפתח המפגש כי "ארגונים מתמודדים מול אתגר כפול בהגנה: פחות כוח אדם ויותר מתקפות. אם קודם, מנהלי האבטחה עבדו בסביבת אי ודאות, הרי שהמציאות השתנתה לגמרי: אין להם מושג מה ילד יום, מי ממקצועני ההגנה יעזוב ולמה. לכן, נדרש לתעדף את המשימות לטיפול בעולמות ההגנה בסייבר".

לדבריו, "העולם השתנה פעמיים: בפעם הראשונה בשל הקורונה ובפעם השנייה, כעת – בשל המלחמה. עלינו להיערך לקראת מצב שבו יגיע עוד שינוי".

עוד במפגש: אייל עסילה, מנכ"ל CyberLion Advisory, תיאר את חוויותיו משירות המילואים הרצוף והארוך שלו בדרום, לצד פעילויות ויוזמות התנדבות; אורן יגר, מנכ"ל CyBricks.io, דיבר על אתגר ניהול הזהויות בענן; ושירה שמבן, מייסדת-שותפה ומנכ"לית סולבו, תיארה כיצד ניתן לנצל תצורות שגויות בענן למטרות זדוניות.