הגופים הפיננסיים בישראל תחת מתקפה

במקביל למלחמה הארטילרית הממושכת והנרחבת שמנהלת ישראל מול אויביה במספר חזיתות, מתקיימת חזית נוספת, אכזרית ונפשעת – מלחמת הסייבר.

מתקפות הסייבר על ישראל בחסות איראן ושלוחיה עושות שימוש בנשק מתקדם וזדוני: האקרים מקצועיים אשר מוציאים לפועל מתקפות סייבר מתוחכמות. הנזק שהמתקפות הללו מייצרות הוא משמעותי ודרמטי – החל מגניבת נתונים, דרך שיבוש יכולת הגישה למידע חיוני ועד להשבתת מערכות מחשוב שלמות, רובן חיוניות וקריטיות להתנהלות השוטפת. הנזק משמעותי במיוחד כאשר מדובר במתקפות על ארגונים רפואיים ופיננסיים.

הגופים הפיננסיים בישראל תחת מתקפה

מתקפות הסייבר האיראניות על גופים פיננסיים בישראל בתקופה האחרונה הורגשו היטב. מתקפת הסייבר על חברת HYP (קרדיט קארד) ב־11 בנובמבר השביתה את שירותי הסליקה של החברה וגרמה לשיבושים ממושכים בהעברות תשלומים במשך יממה. שבועיים קודם לכן, על פי הפרסומים, דיווחה חברת שב”א, המספקת תקשורת בין גופי סליקה שונים, על שיבושים בעקבות מתקפת סייבר שאילצה אותה למנוע סליקת עסקאות.

בעקבות איומים איראניים בנוגע למתקפת סייבר על הבנקים בהודעות ב־X ובטיקטוק, התקיימה במהלך נובמבר פגישה דחופה בבנק ישראל בשיתוף עם מערך הסייבר הלאומי ובהשתתפות נציגי הבנקים, חברות האשראי וגופים פיננסיים נוספים.

800 אירועי סייבר בעלי פוטנציאל נזק משמעותי

לוחמת הסייבר האיראנית הנוכחית מגלמת את דור העתיד של אמצעי הלחימה, כשהמערכה הדיגיטלית הופכת למרכזית יותר ויותר בין אמצעי הטרור. הדו"ח השנתי של מערך הסייבר הלאומי לסיכום שנת 2023 שפורסם ב־31 במרץ 2024, חושף עלייה חדה של 43% בדיווחים על אירועי סייבר למוקד 119 של המערך, בהשוואה לשנת 2022.

הדו”ח מציין 800 אירועי סייבר בעלי פוטנציאל נזק משמעותי שנבלמו או הוכלו בתקופה שבין ה־7 באוקטובר ל־31 בדצמבר 2023. מתוך 3,380 אירועי סייבר בזמן המלחמה, 200 התרחשו במגזר הפיננסי.

רעות מנשה, מומחית סייבר ומייסדת חברת Tetrisponse המספקת מענה למתקפות סייבר בזמן אמת ותגובה מיידית, מכירה את הזירה הזו היטב. לאורך שני העשורים האחרונים היא מלווה את תחום הסייבר מקרוב, ורואה את ההתפתחות המהירה של התחום.

“לאורך השנים חווינו התפתחות דרמטית בשני צדי המתרס, המגינים והתוקפים כאחד”, אומרת רעות מנשה, “טכנולוגיות ההגנה השתכללו ללא היכר, אך במקביל גם שיטות התקיפה הפכו למתוחכמות יותר. המרוץ הבלתי פוסק הזה הוביל אותנו להבנה שנדרשת חשיבה חדשנית ופורצת דרך.
“זיהינו מגמה ברורה: איומי הסייבר אינם תופעה חולפת, אלא מציאות מתפתחת החודרת לכל היבט בחיינו העסקיים והאישיים”.

הגורם האנושי הוא החוליה החלשה בשרשרת

מהם המאפיינים העיקריים של מתקפות הסייבר ככלל, ומהם המאפיינים המיוחדים של מתקפות עסקיות ומדיניות?

"מתקפות סייבר ניצלו מאז ומתמיד את החוליה החלשה ביותר בשרשרת – הגורם האנושי", אומרת מנשה, "מתקפות הנדסה חברתית נמצאות בעלייה מתמדת וגוברת בשנים האחרונות, כשהתוקפים מנצלים את הגורם האנושי כנקודת התורפה המרכזית במערך ההגנה הארגוני.

"בזירה העסקית, המתקפות מתמקדות בעיקר בשני כיוונים: סחיטה כלכלית באמצעות כופרות (Ransomware), וגניבת מידע רגיש לצורכי מכירה או סחיטה. התוקפים משקיעים זמן רב במחקר מקדים, מה שמוביל למתקפות ממוקדות ומתוחכמות יותר. הם מזהים את נקודות התורפה הספציפיות של כל ארגון ומתאימים את וקטור התקיפה בהתאם.

“במישור המדיני, המתקפות מתאפיינות בהיקף נרחב יותר ובמטרות אסטרטגיות ארוכות טווח. לרוב מדובר במתקפות המכוונות לפגיעה בתשתיות קריטיות, איסוף מודיעין, או יצירת דה־לגיטימציה ודה־מורליזציה בקרב האוכלוסייה. מתקפות אלו מתאפיינות ברמת תחכום גבוהה במיוחד, ובמשאבים כמעט בלתי מוגבלים”.

כיצד הטכנולוגיה המתקדמת כיום, ובינה מלאכותית בפרט, משכללות את מתקפות הסייבר?

"כניסת הבינה המלאכותית משנה את כללי המשחק", מסבירה מנשה, "אחד המאפיינים המשמעותיים ביותר הוא השילוב ההולך וגובר של בינה מלאכותית במתקפות – הן בצד התוקף והן בצד המגן. טכנולוגיה זו מאפשרת אוטומציה מתקדמת של מתקפות ויכולת התאמה מהירה לאמצעי ההגנה המתפתחים.

"בעולם של מגן מול תוקף, לתוקף תמיד יש יתרון משמעותי על פני המגן שנאלץ להישאר סטטי יחסית. אמנם הבינה המלאכותית יכולה להוות שינוי משמעותי בעולם ההגנה, אך חשוב לזכור שגם התוקפים נגישים לכלים אלו, ובניגוד למגינים, הם אינם כפופים לרגולציות ומגבלות למיניהן".

 

מתוך טיק טוק TIKTOK

מתקפות סייבר פיננסיות: המטרה העיקרית היא רווח כלכלי ישיר ומיידי

לשאלתי בנוגע למטרה העיקרית של המתקפות הפיננסיות, משיבה רעות מנשה כי "המטרה העיקרית של מתקפות אלו היא רווח כלכלי ישיר ומיידי, במינימום סיכון לתוקפים".

מהם המאפיינים המיוחדים של המתקפות הפיננסיות?

"מתקפות פיננסיות מתאפיינות במיקוד ובתחכום גבוה במיוחד. בניגוד למתקפות מדיניות שמטרתן לעיתים ערעור היציבות או איסוף מודיעין, במתקפות פיננסיות התוקפים מחפשים את הדרך המהירה והיעילה ביותר להשגת כסף.

"המאפיינים העיקריים של מתקפות אלו כוללים, בין היתר, התמקדות בגישה למערכות תשלום ולחשבונות בנק ומערכות פיננסיות; ניצול נקודות תורפה במערכות העברות כספים; שימוש בהנדסה חברתית מתוחכמת להונאת עובדים בכירים; מתקפות המתמקדות בהונאת מנהלי כספים ;התקפות על מערכות תשתית פיננסיות (כמו SWIFT), וכופרות ממוקדות עם דרישות כספיות גבוהות”.

כיצד התוקפים נערכים למתקפות אלו?

"התוקפים משקיעים זמן רב במחקר מקדים, לומדים את התהליכים העסקיים של הארגון, מזהים את בעלי התפקידים המרכזיים ומתזמנים את המתקפה לרגעים קריטיים כמו סוף רבעון או תקופות של פעילות פיננסית מוגברת

"לאחר גניבת כספים, התוקפים משתמשים ברשתות מורכבות להעברת הכספים בצורה שקשה לאתר, כולל שימוש בחשבונות בנק של 'פרדות' כדי להסוות את המקור.

"בשנים האחרונות אנו עדים גם לעלייה במתקפות על ארנקים דיגיטליים ומטבעות קריפטוגרפיים, שמציעים לתוקפים אפשרויות חדשות להעברת כספים באופן אנונימי יותר".

מתקפות סייבר המיוחסות לאיראן מתאפיינות בעיקר במטרות מדיניות, אסטרטגיות וכלכליות

איך נראות מתקפות החשודות כמתקפות איראניות?

"מתקפות סייבר המיוחסות לאיראן מתאפיינות בעיקר במטרות מדיניות, אסטרטגיות וכלכליות, תוך פגיעה בתשתיות קריטיות, גניבת מידע, והפצת דיסאינפורמציה. התוקפים מתמקדים בפגיעות ידועות וביצוע מחקר מקדים על המטרות, ומשתמשים בכלים מקומיים או זמינים בקוד פתוח.

"דוגמאות בולטות לכך, הן Shamoon (2012 ו־2016): מחיקת נתונים מארגוני אנרגיה במזרח התיכון, כולל חברת Saudi Aramco, ו־Operation Cleaver (2014): מתקפה על תעשיות אנרגיה ותעופה בארה"ב ובמזרח התיכון".

כיצד מתקפת סייבר פוגעת במוניטין הארגון, גם אם היא לא מתרחשת בפועל?

"מתקפת סייבר, או אפילו חשד למתקפה, יכולה להוות מכה משמעותית למוניטין הארגוני. בעידן הנוכחי, שבו מידע מתפשט במהירות והציבור רגיש במיוחד לסוגיות של אבטחת מידע ופרטיות, אפילו שמועה על אירוע סייבר עלולה להוביל לנזק משמעותי, לדוגמה, - אובדן אמון מצד לקוחות וספקים, - פגיעה ביחסים עם משקיעים ובעלי מניות, ירידה בערך המניה בחברות ציבוריות, קושי בגיוס לקוחות חדשים, פגיעה במעמד התחרותי בשוק, השפעה שלילית על מורל העובדים ועל יכולת גיוס טאלנטים.

"גם אם המתקפה לא מתממשת בפועל, עצם החשיפה לאיום יכולה להוביל להטלת ספק ביכולות אבטחת המידע של הארגון, עלייה בעלויות הביטוח, דרישות מוגברות לשקיפות מצד רגולטורים, צורך בהשקעות נוספות במערכות הגנה, ופגיעה ביתרון התחרותי מול מתחרים שנתפסים כמאובטחים יותר".

מהם הפתרונות הישומיים במהלך המתקפה?

"כשארגון נמצא תחת מתקפה, הטיפול הוא קריטי וצריך להיות מהיר ומדויק בדיוק כמו בחדר מיון. התגובה המיידית כוללת מספר שלבים מקבילים הכוללים נדבכים רבים. בין היתר, זיהוי מוקדי הפגיעה והיקפה, בידוד מערכות נגועות, חסימת נקודות כניסה של התוקפים, ומניעת התפשטות הפגיעה. ייצוב המצב באמצעות הקמת חדר מצב ייעודי, הפעלת הפעלת תוכנית המשכיות עסקית, שימור ראיות דיגיטליות, ועוד.

"בנוסף יבוצע טיפול ושיקום של המערכות הנגועות, חיזוק נקודות תרופה והחזרה הדרגתית לפעילות תוך ניטור מוגבר. במקביל לכל אלו תתבצע תקשורת שוטפת עם ההנהלה, עדכון גורמים רלוונטיים ותיאום עם גופי אכיפה במידת הצורך".

 

אירועים משמעותיים בתקופת המלחמה. מתוך הדו”ח השנתי של מערך הסייבר הלאומי סיכום שנת 2023

בעידן הנוכחי, כל ארגון וכל אדם הם מטרה פוטנציאלית

מה אנשים לא יודעים על מתקפות סייבר ומעניין לדעת?

"חשוב להבין כי השאלה כיום היא אינה 'האם' אלא 'מתי' תתרחש מתקפת סייבר. לכן, היכולת להתאושש ולהגיב במהירות חשובה לא פחות מההגנה עצמה.

"בעידן הנוכחי, כל ארגון וכל אדם הם מטרה פוטנציאלית. התוקפים מחפשים כל נקודת כניסה אפשרית, וארגון קטן יכול לשמש כקרש קפיצה לארגונים גדולים יותר איתם הוא עובד.

"נקודה מפתיעה נוספת היא שלא תמיד מדובר בהאקרים מוכשרים במיוחד. רבות מהמתקפות מתבססות פשוט על טעויות אנוש בסיסיות כמו סיסמאות חלשות או לחיצה על קישורים חשודים.

"עובדה מטרידה במיוחד היא זמן השהייה - לעיתים תוקפים יכולים לשהות בארגון חודשים ואף שנים לפני שהם מתגלים. הם מבצעים מעקב שקט, לומדים את הארגון ומחכים לרגע המתאים לתקוף. וכמובן, כפי שהזכרנו קודם, העלות האמיתית של מתקפת סייבר חורגת הרבה מעבר לנזק הכספי הישיר".

האם ארגונים בישראל ברובם חשופים למתקפות סייבר מדינתיות?

"ארגונים בישראל, בדומה לארגונים ברחבי העולם, חשופים למגוון איומי סייבר, כולל מתקפות מדינתיות. כיום, כל ארגון צריך לראות את עצמו כמטרה פוטנציאלית למתקפות סייבר. המציאות הגיאופוליטית והמעמד של ישראל כמדינת סטארט-אפ הופכים כל ארגון ישראלי לנקודת כניסה אפשרית עבור תוקפים מדינתיים".

האם יש מתקפות כיום שאין לישראל פתרון עבורן?

"האתגר בעולם הסייבר כיום הוא כפול והוא אינו ייחודי לישראל: ראשית, קיימת אסימטריה מובנית בין תוקף למגן - התוקף צריך להצליח פעם אחת, בעוד המגן נדרש להצלחה מתמדת. שנית, וזה אולי האתגר המשמעותי ביותר בעולם כולו, קיים מחסור חמור בכוח אדם מיומן ומנוסה בתחום אבטחת המידע והסייבר.

"בעוד שהטכנולוגיה מתפתחת בקצב מסחרר, היכולת להכשיר ולפתח אנשי מקצוע מיומנים אינה מדביקה את הפער. ב־Tetrisponse שמנו לנו כמטרה מרכזית לעבוד על פתרון בעיה זו. אנחנו מפתחים גישות חדשניות להתמודדות עם האתגר, ובקרוב נוכל לחשוף מידע נוסף על הדרכים בהן אנו מתכוונים לתת מענה לאתגר משמעותי זה. זו אינה רק בעיה טכנולוגית, אלא אתגר אסטרטגי שדורש חשיבה מחודשת על האופן בו אנו מכשירים, מפתחים ומשמרים את ההון האנושי בתחום הסייבר”.

איזה טיפ תוכלי לתת ללקוחות של הבנקים על מנת שיוכלו להיזהר ממתקפות פישינג?

“ברמת האינדיבידואל, הטיפ החשוב ביותר הוא טיפוח מנגנון החשיבה הביקורתית. כשמדובר בפעולות פיננסיות, אל תקבלו שום דבר כמובן מאליו, וזהו סימנים חשודים, כגון: הודעות דחופות הדורשות פעולה מיידית, לחץ פסיכולוגי (‘חשבונך יחסם בעוד שעה’), שגיאות כתיב ודקדוק, כתובת URL שונה במעט מהכתובת המקורית, ובקשות חריגות למידע אישי או פיננסי”.

“זכרו כי עדיף להיות זהירים מדי מאשר להיפגע ממתקפת פישינג. אם משהו נראה חשוד, כנראה שהוא אכן חשוד”.

האם תחום ביטוח הסייבר תופס תאוצה? יש בישראל חברות שכבר מציעות ביטוח סייבר?

"תחום ביטוח הסייבר נמצא בעלייה משמעותית בשנים האחרונות, לנוכח התעצמות המתקפות על מגוון רחב של חברות והיצע נרחב של סוגי מתקפות. למרות זאת, התחום הזה עדיין מציב אתגרים משמעותיים, הן למבוטחים והן למבטחים.

"האתגר המרכזי טמון בקושי לכמת את הסיכונים. בעוד שתעשיית הביטוח המסורתית מסתמכת על ניהול סיכונים אקטוארי המבוסס על נתוני עבר, תחום הסייבר מציב קשיים ייחודיים".