ב-8 באוקטובר, בשעה שישראל רק החלה להתוודע להיקפו של מחדל המודיעין שהוביל למתקפת הפתע הקטלנית של חמאס יום קודם לכן, הגיחה אל המרחב המקוון קבוצת האקרים בלתי מוכרת: MalekTeam. "אני מאלק. כל המידע האישי שלכם בידי. כל מי שמשרת את הציונים נמצא בשליטתי", כתבו חברי הקבוצה בהודעה הראשונה שפרסמו באפליקציית מסרים מיידיים פופולרית. בשבועות שלאחר מכן, ההאקרים – הקשורים על פי הערכות גורמי המקצוע למנגנוני הביון הצבאי של איראן – פרסמו עשרות אלפי רשומות, ובהן מידע אישי השייך לאזרחי ישראל.
ההדלפה המזיקה ביותר של הקבוצה כללה מאות רשומות רפואיות, לרבות לגבי פציעות של חיילי צה"ל מאז החלה המלחמה. "יש לנו יותר מ-500 גיגה-בייט. ניתן לכם כמה טעימות - בערך 20 אלף אזרחים ו-5,000 חיילי צה"ל", כתבו חברי הקבוצה בהודעה וטענו כי בידיהם עוד רשומות רבות שטרם הופצו. "יש לנו קבצים על החיילים שאושפזו בעשרת החודשים האחרונים", נכתב בהודעה אחרת. בנוסף קיבלה הקבוצה אחריות על פריצות לשרתי הקריה האקדמית אונו ולחברת הפקות גדולה.
MalekTeam אינה היחידה. בדוח שפרסם מערך הסייבר הלאומי בחודש שעבר צוין כי יותר מ-15 קבוצות הקשורות לאיראן, חיזבאללה וחמאס ביצעו מתקפות סייבר על ישראל מאז 7 באוקטובר. לפחות חלק מאותן קבוצות האקרים הצליחו לחדור למאגרי מידע ובהם אלפי קבצים רגישים שתוכנם נוגע לאזרחים, חברות ולאנשי כוחות הביטחון, והפיצו את תוכנם בדארקנט ובפורומים של האקרים. אותו מידע יישאר זמין ברשת, כאשר גורמים עוינים יוכלו להשתמש בו בדרכים מגוונות: החל בשינוי פרטי מידע בריאותי בדרכים מסכנות חיים, דרך גניבת זהות וכלה בפעולות פישינג והנדסה חברתית מותאמות אישית.
אחת מהן היא קבוצת Cyber Toufan, הקשורה אף היא לאיראן ואשר מאז 7 באוקטובר מנסים אנשיה לחבל בכלכלה הישראלית באמצעות שיתוף נתונים שנגנבו מכמעט מאה ארגונים ישראליים, חברות אבטחת סייבר ורשויות ממשלתיות, בהן גם הרשות לחדשנות. "שומרים" בחן את הדליפה ואימת חלק מהמידע שדלף.
מאגרי הנתונים שגנבה Cyber Toufan כוללים לרוב אלפי שמות, מספרי טלפון, כתובות דואר אלקטרוני, כתובות פיזיות וסיסמאות. במקרים מסוימים ההאקרים מאיימים ישירות על אלה שפרטיהם דלפו ושולחים להם הודעות הקוראות להם, "להחרים את הסייבר ואת ההייטק הישראלי". באחד המקרים למשל, פרץ האקר לחברה ישראלית ואיים ב"הודעה" לשר האוצר: "לסמוטריץ', אתה מוכן לשלם את המחיר?".
מערך הסייבר הלאומי מאשר כי Cyber Toufan פעלה נגד מטרות ישראליות אך דוברת מטעמו טענה כי ההדלפות האמורות הושגו בפריצה בודדת למחשבי חברת אחסון האתרים Signature-IT, והדגישה כי בשרתי החברה לא אוחסנו מספרי כרטיסי אשראי. חוקר אבטחת הסייבר קווין בומונט, שעקב במשך שישה שבועות אחר פעילותה של Cyber Toufan, הראה כי כמה מקורבנותיה לא היו לקוחות של Signature-IT, ומכאן, שפעולתה לא נגעה רק לחברה זו.
זאת ועוד, לפי בומונט, ששוחח עם "שומרים" בנושא, שליש מהארגונים שהיו יעד למתקפה של Cyber Toufan טרם התאוששו ממנה ולא חזרו לפעילות מלאה. בפריצות מסוימות אף נמחקו נתונים מהמערכות הפנימיות. גם במקרים אלה, הוא מציין, הדליפות התאפשרו בשל חוסר המוכנות של ישראל בתחום הגנת הסייבר. "חברות בישראל צריכות לשאול את עצמן אם הספקים שלהן ערוכים בכל הנוגע לאבטחת סייבר, להתמודדות עם גורמים עוינים בזמן מלחמה", כך בומונט. "במקרה של Cyber Toufan נראה שהספקים פשוט לא היו ערוכים להתמודדות עם איום ברמה כזו".
המבקר התריע, וגם המומחים: "פצצת זמן מתקתקת"
תחום הסייבר הפך לחלק מסדר העדיפויות הלאומי עוד ב-2010, כאשר ראש הממשלה נתניהו השיק את "יוזמת הסייבר הלאומית", שתכליתה הייתה להפוך את ישראל לאחת מחמש המעצמות המובילות בתחום בעולם. כמה שנים לאחר מכן, ב-2016, נתניהו שב והדגיש את חשיבות הסייבר במאמר שפורסם בגלובס תחת הכותרת "ישראל - מעצמת סייבר". נתניהו הסביר כי "הגנת סייבר היא תנאי הכרחי לביטחון לאומי ולצמיחה כלכלית במאה ה-21" והוסיף כי "מטרתנו היא להבטיח עמידות, חוסן והגנה בהכשרת הארגון היחיד והמשק כולו להגיב באופן אפקטיבי לאירועי סייבר, ובמתן מענה מדינתי הולם לתוקפים מתוחכמים ולתקיפות בהיקף גדול".
אלא שלמרות הדברים הברורים הללו, וממש כמו הגדר על גבול רצועת עזה, גם במקרה של הסייבר נראה כי ההיבריס של "מעצמת הסייבר" עשה את שלו. ההבדל המשמעותי בהשוואה לגדר הוא שבמקרה הזה התרעות היו ואפילו הרבה. כך למשל התייחס לנושא מבקר המדינה בדוח השנתי שלו שפורסם לקראת סוף 2022 ובו הוא קרא לביצוע תיקונים דחופים. בין היתר קבע הדוח כי בתי חולים סובלים מאבטחת סייבר לקויה במיוחד, שאינה עולה בקנה אחד עם דימויה של ישראל כמעצמה בתחום.
במאי 2023 התריע שוב מבקר המדינה בעניין חדירותה של ישראל להתקפות סייבר, ושוב הדגיש באופן ספציפי את מאגרי המידע הרפואיים. מי שהיה אמור לפעול, לפי המבקר, הוא מערך הסייבר הלאומי, אלא שגוף זה פועל ללא מסגרת חוקית (מתוקף החלטות ממשלה בלבד) וקודם למלחמה לא היו בידיו כל סמכויות אכיפה.
המבקר לא היה היחיד. "אבטחת הסייבר היא פצצת זמן מתקתקת", התריעה ד"ר תהילה שוורץ אלטשולר, מומחית לתקשורת, משפט וסייבר, במסמך שפרסם המכון הישראלי לדמוקרטיה כבר לפני כשנה.
ההתרעות נפלו על אוזניים ערלות. חמור מזאת: גם מתקפות ודליפת מידע לא הצליחו להביא את המדינה להעלות את הנושא לראש סדר העדיפויות. מדוע? הנה ההסבר של רחל ארידור הרשקוביץ, חוקרת בתחום אבטחת סייבר ומידע רפואי במכון הישראלי לדמוקרטיה, למה שקרה לאחר הפריצה לשרתי בית החולים הלל יפה ב-2021 שנחשבת לאחד מאירועי הסייבר החמורים בישראל. "לאחר הפריצה על הלל יפה לא קרה הרבה, כי מערך הסייבר הלאומי לא יכול היה לעשות הרבה. לא היו לו סמכויות; משרד הבריאות, שאחראי על בתי החולים, אמר שאין לו כסף להשקיע באבטחת הסייבר של בתי החולים".
חשוב לציין כי בכל הנוגע לחזית הסייבר, המדינה הגדירה כ-40 מוקדים שונים כ"תשתיות קריטיות", שלהם היא מספקת כוח אדם ומימון להגנה ודורשת שיעמדו בסטנדרטים מסוימים. ארגונים וגופים רבים וחשובים אחרים נותרו מאחור ללא הגנה מספקת ובהם גם בתי חולים.
גורם בכיר במגזר הציבורי, ששוחח עם "שומרים" וביקש להישאר בעילום שם, מאשר כי מערכות המחשוב בבתי החולים בישראל ישנות ברוב המקרים. לדבריו אבטחת הסייבר בהם אינה ברמה סבירה וממילא לבתי החולים אין תקציב לטפל בנושא.
המלחמה בעזה הביאה לשינוי מסוים בתחום אולם בישראל כמו בישראל - זה היה מעט מדי ומאוחר מדי. סמכויותיו של מערך הסייבר הלאומי הורחבו מכוח תקנות לשעת חירום וכעת הן מאפשרות לו בין היתר "לתת הוראות מחייבות לספקי שירותי מחשוב מסוימים במקרה של מתקפת סייבר".
חוקר סייבר ישראלי אומר כי זה רחוק מלהספיק. "אנחנו יכולים רק לתהות אם מה שנעשה לפני 7 באוקטובר אפשר לאיראן להשיג דריסת רגל יציבה למדי במרחב הסייבר הישראלי".
נורות האזהרה הבהבו יותר מפעם אחת
בית החולים זיו בצפת יכול להדגים עד כמה קשה מצבם של בתי החולים הממשלתיים בכל הנוגע לאבטחת סייבר. לפי פרסומים, מאגרי המידע של בית החולים נפרצו וגם לאחר פרוץ המלחמה הוא לא הצליח למנוע מהאקרים להגיע למידע רגיש. מערך הסייבר עצמו התייחס לדליפה ואישר כי "הקבוצה גנבה חלק מהמידע הרגיש המאוחסן במערכות בית החולים", תוך שהוא מפנה אצבע מאשימה כלפי איראן וחיזבאללה. בבית החולים אומרים בתגובה כי הוא "הגביר את מוכנותו בגיבוי משרד הבריאות וחטיבת בתי החולים הממשלתיים", אך עם התוצאות קשה להתווכח.
זיו כנראה אינו לבד: מקור המעורה בנושא אמר ל"שומרים", כי בחודשים האחרונים בוצעו מתקפות רבות על בתי חולים ומוסדות רפואיים נוספים. ברשימה נמצאים בין היתר בתי החולים מעייני הישועה בבני ברק, העמק בעפולה והמוסד הפסיכיאטרי איתנים סמוך לירושלים. לא ידוע אם מי מהמתקפות הללו הצליחה.
בעוד רוב מתקפות הסייבר על בתי חולים בעולם מלוות בדרישות לכופר כספי, הקבוצות האיראניות פועלת אחרת ומעדיפות להפיץ תיקים רפואיים של מטופלים, ובעיקר של חיילים.
דליפות כאלה מציבות סכנה משמעותית במיוחד: לא זו בלבד שמדובר בחדירה לפרטיות מטופלים ו/או בחשיפת סוגי הפציעות של חיילים, השגת המידע יכולה להוביל גם לתרחישים מסכני חיים, למשל במקרים שבהם האקרים משנים רשומות בתי חולים. "אם אני אשנה את הרישום לגבי סוג הדם שלך", מסביר גורם המעורה בנושא. "זה יכול לגרום לפגיעה בחיי אדם באופן מיידי". כך, חייל שנפצע חלילה בלחימה בעזה או בגבול הצפון והובהל לבית החולים עלול לקבל טיפול שהסתמך על מידע שגוי או חלקי. התוצאה במקרה כזה עלולה להיות קטלנית.
בראשית נובמבר 2023 חשף מערך ביטחון המידע בצה"ל פרופילים מזויפים שפעלו בשירות חמאס ברשתות החברתיות בניסיון ליצור קשר עם חיילים ולסחוט מהם מידע רגיש. פרופילים כאלה יכולים לנצל מידע פרטי שנחשף בדליפות המידע כדי להצטייר כאמינים ומשכנעים יותר בפני יעדיהם. כמו כן, מידע שדלף יכול לשמש גם למתקפות פישינג מתוחכמות, שבמסגרתן האקרים שולחים הודעות אימייל המבקשות מהנמענים ללחוץ על קישורים זדוניים וכך לאפשר את הפריצה למידע.
גם השסע הישראלי בשירות האיראנים
לצד חשיפת נקודות התורפה וערעור תדמיתה של המדינה כמעצמת סייבר, דליפות המידע מציבות סכנות פוטנציאליות גם למרחב האזרחי הישראלי ולא רק לזה הצבאי. כך, למשל, נעשה שימוש במתחים הפוליטיים המאפיינים את החברה הישראלית ואשר להם קבוצות ההאקרים הפועלות בגיבוי איראני מודעות היטב.
דוגמה לכך היא KarmaGroup, המתחזה לקבוצת האקרים ישראלית-שמאלנית ומשתמשת בנוזקה המכונה Bibi-Wiper. היא הוקמה במועד הלא מקרי של 21 באוקטובר – יום הולדתו של ראש הממשלה נתניהו – ושימשה כדי למחוק ולהדליף נתונים מכמה גופים ישראליים, כולל חברות אחסון אתרים וחברות ביטחוניות. כדי להצטייר כגוף ישראלי משתמשים חברי הקבוצה בסימן היכר הכולל רמיזות לימי המחאה נגד נתניהו: "#no2Bibi# no2CrimeMinister".
מומחה ישראלי לאבטחת סייבר מסביר ל"שומרים" כי KarmaGroup תקפה חברות במגזר הפרטי בניסיון לחדור דרכם לגופי ממשל ובראשן חברות העוסקת באחסון אתרים. "הם מתמקדים בחברות שנמצאות בשוליים משום שלגופי הממשל יש פחות שליטה כשמדובר בחברות פרטיות", אומר המומחה.
דוגמאות להשפעה ההרסנית של פריצות מסוג זה, אפשר למצוא במלחמה באוקראינה, שבה האקרים רוסים השתמשו בין היתר בנתונים שהודלפו, כדי לערער את אמון האוקראינים בממשלתם. "דליפות נתונים מעין אלה יוצרות הזדמנויות לריגול, לשיבוש או לפעולות בעלות מניע כלכלי שאחריתן עלולה להיות חמורה מאוד", מסכם בשיחה עם "שומרים" אלכסנדר מילנקוסקי, חוקר בכיר לאיומי סייבר בחברת האבטחה Sentinel Labs. "מדובר במתקפות רחבות היקף על שרשראות אספקה, מבצעי פישינג ממוקדים וגם בחדירות לרשתות פרטיות וניתוב זדוני של משאבים כלכליים".
תגובת מערך הסייבר הלאומי
בנוסף להתייחסויות המובאות בגוף הכתבה, ממערך הסייבר הלאומי נמסרו בתגובה גם הדברים הבאים: "בשנה האחרונה זיהה המערך יותר מ-40 מתקפות על חברות בתחום השירותים הדיגיטליים. בעקבות כך, הממשלה אישרה תקנות לשעת חירום, שהגיש מערך הסייבר הלאומי המאפשרות לבלום ולטפל במתקפות סייבר חמורות על חברות המעניקות שירותים דיגיטליים.
"חברות אלו לעיתים מחוברות לגופים רבים במשק ופגיעה בהן עשויה לאיים במקרים מסוימים על הרציפות התפקודית של המשק או על ביטחונה הלאומי של המדינה. מטרת התקנות היא להגן על האינטרס הציבורי מפני מתקפות סייבר שעשויות לפגוע באופן רוחבי במספר גופים במקביל.
"מפרוץ המלחמה, ניכרת עלייה באזכורים בדארקנט וברשתות החברתיות לאירועי דלף מידע מסוגים שונים, רבים מאלו שפורסמו באחרונה הם מאגרי לקוחות של חברות פרטיות. חשוב לציין כי חלק מקובצי הדלף שפורסמו בתחילת המלחמה הם מאירועים ישנים או ממוחזרים. כמו כן, לא נצפו באחרונה אירועים גדולים של דלף כרטיסי אשראי. על פי תקנות הגנת הפרטיות, בעל המאגר שדלף הוא שמחויב לעדכן את הלקוחות שלו בדבר אירוע דלף מידע".