לפחות שתי חברות ביטוח, בנוסף לשירביט, נפלו קורבן למתקפת סייבר בחודשים האחרונים, זו ההערכה המושמעת על ידי גורם בכיר בכיר בענף הביטוח. לדבריו הותקפו חברות ביטוח גדולות, ונדרשו לשלם סכום גדול יותר ממה שנדרש משירביט, תוך שמירת האירועים "מתחת לרדאר". מומחי סייבר אחדים אומרים כי מדובר בחברות ביטוח קטנות יחסית, בעוד אחרים שוללים את הטענה כליל. במערך הסייבר הלאומי אומרים כי לא נמסר להם מידע על התקפות כאלה. אם נכונה עובדה זו, ייתכן והמתקפה על שירביט היא חלק ממתקפה כוללת על ענף הביטוח הישראלי.
שירביט תחת מתקפה - עוד כתבות:
ממידע שהגיע לידי ynet עולה, כי תוקפי הסייבר הצליחו לחדור לתוך מערכות שירביט לפני ארבעה חודשים לפחות, ובמשך הזמן הארוך הזה הצליחו לחדור למערכי נתונים רבים. המערכות שהיו אמורות להתריע על דליפת מידע בכמות כזו לא פעלו כנדרש וכך התאפשר לתוקפים לפעול ללא הפרעה.
ההתמודדות בחברה עם מתקפת הסייבר נמשכה גם היום, בעוד התוקפים פרסמו בבוקר הודעה שהם ממשיכים בתוכנית ומוציאים למכירה את כל המידע שהצליחו להוציא לשאוב מהחברה. למרות המעורבות של המשטרה ושל מערך הסייבר בחקירת המקרה, טרם ניתן לומר מי הם הפורצים ומה המוטיבציה למתקפה, ואפילו לא באיזו דרך הצליחו התוקפים לחדור למחשבי שירביט. בחברה מכחישים את הטענה כי חשבון של עובד לשעבר של החברה שימש כנתיב חדירה.
החשש העיקרי, שמעסיק את רשויות הביטחון בישראל הוא, שהפרטים האישיים שדלפו משירביט ישמשו לחדירה לחברות וארגונים בהם עובדים אותם מבוטחים. בין השאר מדובר בעובדים של משרדי ממשלה ביטחוניים, שהמידע בהם עלול לפגוע בביטחון המדינה.
בחברת שירביט ממשיכים גם לטעון כי הנזק מהמתקפה הוא מזערי ומסתכם בכמה מאות תעודות זהות ורשיונות נהיגה ושלושה כרטיסי אשראי. החברה החליטה שלא לשלם את סכום הכופר, שתפח בימים האחרונים ל-4 מיליון דולר, מתוך הערכה כי הדבר לא ימנע את דליפת כלל-הנתונים. מנהלי המשא ומתן מול התוקפים ממשיכים בהידברות עם התוקפים אבל ההנחה היא שהאינטרס מאחורי המתקפה אינו קבלת תשלום אלא פגיעה בחברה, גרימת מבוכה והשפלה ולכן גם הפרופיל התקשורתי הגבוה שניתן לה.
"למידע שיש בידי התוקפים יש ערך גבוה מאוד. קיים 'מחירון' של שווי כספי של מידע, והוא גבוה אם הפורצים מצליחים להוכיח שהמידע שלהם מאומת"
גורם בחברה טוען בתוקף כי לנתונים שהתוקפים הצליחו להוציא ממחשבי שירביט יש ערך מזערי אם לא אפסי בשוק השחור של הדארקנט, שכן מספרי תעודות הזהות של אזרחי ישראל הודלפו בתקופה האחרונה פעמיים, הן באירוע פנקס הבוחרים והן באירוע פייבוקס, ולכן לא ימצא פושע סייבר שירצה לשלם עליהם שוב.
נעם פרוימוביץ', מנכ"ל קספרסקי ישראל, אומר: "ההצהרה שלהם מפחידה בעיניי! הם בעצם מאמתים עכשיו לעיתונות ולתוקפים, שניתן להצליב בין המידע הקודם שדלף למידע שיש לתוקפים, ולאמת את מספרי תעודות הזהות הישראליות. ומי שנותן להם כרגע את המידע זה שירביט בעצמם. הם מדברים שטויות והיה עדיף שישתקו. אני לא מבין מה עובר להם בראש".
פרוימוביץ' מסביר כי אימות מספרי תעודות הזהות הוא בעל ערך רב לפושעי סייבר: "למידע שיש בידי התוקפים יש ערך גבוה מאוד. קיים 'מחירון' של שווי כספי של מידע, והוא גבוה אם הפורצים מצליחים להוכיח שהמידע שלהם מאומת". לדבריו, מידע מאומת מאפשר לעשות התקפות "ספיר פישינג" (Spear phishing) שבהן מטרגטים אדם בודד בעזרת פרטים אישיים רבים שלו, מה שמאפשר להערים על מקום העבודה שלו או גופים שנותנים לו שירות, ולהיכנס לכל המידע באמצעות זהותו הגנובה.
"קח רשימה של אנשים מאומתים, חפש אותם ברשתות החברתיות, אתר אנשים בתפקידים בכירים או בגופים ביטחוניים, ואז אתה יכול לשלוח מייל עם כל הפרטים המאומתים לחברה של אותו אדם. כל מה שהתוקף ירצה זה שהעובדת במחלקת כוח אדם תלחץ 'קליק' על קובץ, וממנו יתחיל אירוע שירביט נוסף. זה מקדם הדבקה 2".
לדברי פרוימוביץ', העובדה שרבים ממבוטחי שירביט הם עובדי מערכת הביטחון ובתפקידים רגישים היא הסיבה למעורבות הגבוהה של מערך הסייבר וגופים נוספים. במערך הסייבר חייבים לדבריו לוודא שכל מי שנחשף או עלול להיחשף יהיה מודע לסכנה ויעשה צעדים אקטיביים להגן על האפשרות לחדור למערכות שהוא מנוי בהן.
עינת מירון, מומחית להתמודדות עם אירועי סייבר, אומרת כי קיימת סבירות גבוהה שיקרה אירוע דומה נוסף במערכת הפיננסית, יתכן אף באחד מהבנקים הגדולים. לדבריה, הבנקים, בתי ההשקעות וחברות ביטוח מותקפות כל הזמן והצלחת מתקפות אלה היא רק עניין של זמן.
רגולציה מ-2016
מירון מפנה אצבע מאשימה כלפי גופי הרגולציה, שלדבריה לא עושים די לוודא שהחברות מגינות על עצמן: "הרגולציה נכתבה ב-2007 ועודכנה ב-2016. ארגוני הפשיעה מייז וראיוק השתלטו על העולם בחצי השנה האחרונה, ועם זה רוצים להתמודד עם רגולציה מ-2016? כיום הרגולציה בעצם מראה לתוקפים את מפת הארגון ואת סוגי ההגנות וסוגי תרגילי ההערכות. תוקף מיומן עושה עבודת מודיעין, בוחר את המטרה שלו ופועל בדרך שונה ממה שמכתיבה הרגולציה. שירביט עשתה המון טעויות אבל אי אפשר להאשים רק אותה כי היא עשתה רק מה שאמרו לה וזה לא מספיק".
אלון ארבץ, ממייסדי חברת מודיעין הסייבר IntSights, אומר: "בניגוד להערכות הראשוניות, מסתמן שיש פה מתקפה מתוכננת היטב שבוצעה לאורך פרק זמן ממושך. זו לא מתקפה שמבוססת על זה שהאקרים נתקלו בטעות במסמך של שירביט בדארקנט. זו לא רק פירצה - ישבו להם על הרשת תקופה ממושכת, יצרו גישה למקומות מאוד רגישים. עשו פה עבודה יסודית. להערכתי זו לא מתקפה אופורטוניסטית. אין פה גם מניע פוליטי - סביר שזו מתקפה ממוקדת ששירביט נבחרה מראש לצורך כך ואף יש סיכוי שיש פה מניע אישי כנגד החברה".
ארבץ אומר כי בטווח הקצר יש נזק אדיר לתדמית החברה וככל שהמשבר נמשך ונמשך, הנזק מתגבר. בטווח הארוך יותר הנזק חמור אף יותר: "למסמכים עצמםיש פוטנציאל לקנסות של בנק ישראל ויש פה גם סכנה של תביעות אזרחיות מצד אלו שפרטיהם נחשפו. פרטי אשראי שמתברר שיש להם, והמידע האישי על מבוטחים יכול לשמש האקרים למתקפות אחרות, גניבת זהויות והזדהות מול הבנק ואפילו עד כדי ביצוע פשיעה תוך שימוש בזהויות שנגנבו. אם יתגלה שיש מידע על עובדי מדינה – אז תהיה התעניינות של גורמים מדינתיים, ופוטנציאל הנזק הוא אדיר".
מומחה: "הפורצים לא ישראלים"
ד"ר הראל מנשרי, ממקימי מערך הסייבר בשב"כ וראש תחום הסייבר במכון טכנולוגי HIT, אומר: "להבנתי, כל נושא הכסף הוא מסך עשן - לדעתי והבנתי הפורצים לא רוצים כסף. הם לא תכננו להחזיר את המידע בכל מקרה וכל המטרה שלהם בדרישת הכסף הייתה להביך את הציבור. הם מנצלים את הדיווחים ואת הסיקור התקשורתי בנושא הזה ומעצימים את אפקט התודעה של האירוע בהצלחה רבה. בגלל העובדה שמעורבים כאן כל הגורמים המדינתיים, לדעתי הפורצים אינם ישראלים. אם הם היו ישראלים, כבר היו שמים עליהם את היד. לדעתי התקיפה הזאת מקורה לא מתוך ישראל. בקשר למכור את הכסף לאיראן - זה בדיוק חלק מאותו מסך עשן, המידע כבר נמצא בחוץ והוא נמצא אצל גורמים שאנחנו לא רוצים שימצא אצלם".
מנתונים של חברת אבטחת המדע צ'ק פוינט עולה כי בחודש נובמבר בלבד הותקפו 141 ארגונים וחברות ישראליות במתקפת כופר, עלייה של 3% בהשוואה לאוקטובר. בעוד שבעולם נצפו עליות חדות במתקפות כופר והתמקדות של קבוצות התקיפה בסקטור הרפואי, בישראל המתקפות מתפלגות באופן אחיד בין הסקטורים: ובראשם 14 אחוזים בהיי-טק ותוכנה, 11.5 אחוזים בגופים ממשלתיים ומוניציפליים ו-7 אחוזים בגופי ביטוח ומשרדי עו"ד.
בצ'קפוינט אומרים כי יש הבדל במוטיבציה למתקפות בין ישראל לשאר העולם: בעולם המתקפות מתאפיינות בעיקר במוטיבציה כלכלית ואילו בישראל המצב הגיאו-פוליטי מושך מתקפות המשלבות גם מוטיבציות אידיאולוגיות. כך למשל בנובמבר נערכה מתקפת הכופר Pay2Key, בה הותקפו כ-12 חברות וארגונים ישראלים בתוך שבוע. המתקפה התבצעה על ידי האקרים איראנים בעלי יכולות טכניות גבוהות, אשר מעורים בטכניקות התקיפה החדשות בעולם הכופר ואף שיכללו אותן. בין השאר, המתקפה הצפינה רשתות שלמות בזמן שיא של כשעה אחת.
