פעולות אבטחת הסייבר של ישראל מתנהלות בבאר שבע, העיר הגדולה במדינה בדרום מדבר הנגב.
של ישראל צוות חירום סייבר (Il-CERT) מספקת מענה קו ראשון לחברות ואזרחים שנפגעו ממתקפות סייבר.
ה CERT מהווה חלק ממרכז אבטחת סייבר של חברות סטארט-אפ, הנתמכות על ידי אוניברסיטת בן גוריון בנגבמעבדות חדשנות בהייטק וקמפוס הסייבר והטכנולוגיה של צבא ההגנה לישראל.
איזה שבעה מרכזי תפעול אבטחה (SOCs) פועלים לצד ה-CERT, ניטור, זיהוי וניתוח איומי סייבר במגזרים שונים של הכלכלה, כולל מים ואנרגיה, שירותים ציבוריים ושירותי משטרה וחירום. העבודה מתבצעת על עוד שישה SOCs.
בלב המבצע עומד מוקד חירום טלפוני 119 הזמין לכל אחד להתקשר בדיווחים על כל דבר שיכול להיות קשור למתקפת סייבר. זה יכול להיות דוא"ל חשוד, כתובת אתר חשודה או תוכנה זדונית.
המוקד נמצא בשימוש נרחב על ידי כולם, החל מצעירים שנשלחו להם קישור חשוד ברשתות החברתיות ועד למנהלי חברות המאמינים שהם נפרצו.
על ידי מיפוי התקריות, מומחי אבטחת הסייבר של ה-CERT מסוגלים לראות מגמות לאומיות ולזהות את ניסיונות הפריצה הקריטיים ביותר עבור צוותי התגובה של ה-CERT.
מפיק בפועל
דנה תורן היא מנכ"לית ה-CERT. מנתחת מודיעין לשעבר ומנתחת נתונים במשרד ראש הממשלה, אחראית לפיקוח על פעילות ה-CERT.
"אנחנו צריכים להבין אם לאירועים יש חשיבות לאומית", אמרה למחשב וויקלי.
התקפה נגד חברה קטנה, למשל, עלולה להשפיע על חברות רבות אחרות המסתמכות על שירותיה.
בשנה שעברה, ה-CERT קיבל 13,000 דוחות תקריות, עלייה של 43% לעומת השנה הקודמת.
ב-270 הימים מאז הכריזה ישראל מלחמה על עזה, ה-CERT זיהה 1,900 מתקפות סייבר משמעותיות נגד חברות ישראליות, ואופי התקיפות השתנה.
כעת הם נועדו לגרום נזק לתשתיות ישראליות, ומספר התקפות כופר גדל. קבוצות הנתמכות על ידי איראן מבקשות לפרסם נתונים פרוצים ברשת האפלה או להדליף אותם לתקשורת.
האיומים הכי גדולים
גבי פורטנוי, מנכ"לית מנהלת הסייבר הלאומית בישראל (INCD), מזהה את איראן, חיזבאללה וקבוצות פריצה הקשורות לאיראן כאיום הסייבר הגדול ביותר נגד ישראל, והמתקפות שלהם הפכו לחמורות יותר מאז המלחמה. "עד 7 באוקטובר, הם לא תקפו בתי חולים", אמר. "החל מה-7 באוקטובר, כל בתי החולים הישראליים הותקפו על ידי איראן".
תורן אמר שלמרות שאיראן משחקת תפקיד גדול בהתקפות נגד ישראל, צוות החירום מודאג יותר בתגובה לפריצות סייבר מאשר בזיהוי מי עומד מאחוריהן. "קשה לייחס התקפות לשחקנים ספציפיים", אמרה. "כולם משתמשים באותם כלים. (אנחנו) ארגון הגנתי. אנחנו לא מתעסקים עם תוקפים. אנחנו מגנים רק על תעשיות".
חדר הבקרה של ה-CERT מכיל עמדות עבודה לתריסר אנשים ו-10 צגים גדולים צמודי קיר. תצוגה אחת היא מפה המציגה מתקפות סייבר בזמן אמת שנאספו באמצעות מידע מודיעיני שסופק על ידי חברת אבטחת הסייבר האמריקאית-ישראלית צ'ק פוינט.
מסך אחר מציג את אתרי האינטרנט של חברות שהושחתו על ידי האקרים. אנליסטים בודקים אותם פעמיים ביום ומתריעים בפני הארגונים שנפגעו.
מאז תחילת המלחמה, תורן הגדילה את מספר האנשים העובדים במשרה מלאה ב-CERT מ-90 ל-120 עובדים.
ארגונים המרכיבים את התשתית הלאומית הקריטית של ישראל, כמו מים, חשמל ובתי חולים, מחויבים על פי חוק לדווח על פרצות סייבר. אבל עבור האחרים, קו הטלפון 119 הוא התנדבותי.
תמורת טלפון לדיווחים, חברות ואנשים פרטיים מקבלים שירות ייעוץ סודי. לדוגמה, ה-CERT לא ידווח על התקפות סייבר לרגולטורים, או יזהה בפומבי אילו ארגונים נפרצו.
ה-CERT מספק עצות והמלצות לאנשים המתקשרים לקו הסיוע בנושאי אבטחת סייבר.
עם זאת, המשאבים שלה מוגבלים. יש לו ארבעה צוותים של חוקרי תגובה לאירועים המרכיבים צוות תגובה של 16 אנשים בלבד.
"אנחנו צריכים לחשוב היטב לפני שאנחנו מספקים את השירות הזה," אמר תורן, בהתחשב במשאבים המוגבלים של ה-CERT.
צוותים נפרסים רק במקרים בעלי חשיבות לאומית ובהם התקפה על חברה אחת עלולה להוות איום על תעשייה רחבה יותר.
האק השפיע על 80 חברות
במקרה אחד כזה, חוקרי CERT גילו שקבוצת פריצה הקשורה לאיראן חדרה לחברת שרשרת אספקה קטנה, והשתמשה בחברה זו כאבן דרך להדביק 80 ארגונים נוספים.
לתקיפה, שהתרחשה ב-2020, הייתה פוטנציאל לשבש את היבוא והיצוא של הנפט לישראל, אמר תורן ל-Computer Weekly.
"היו לנו שלוש או ארבע שיחות ל-119 שדיווחו שהם הותקפו", אמרה. "בהתחלה לא הצלחנו למצוא קשר."
אז התקשרה חברת תגובה פרטית לאבטחת סייבר לדווח שחברת מערכות מלאי נפרצה.
"יצרנו איתם קשר מיד ואמרנו להם שאנחנו מאמינים שיש פריצה לרשת שלך", אמר תורן. "זה היה יום שישי ושלחנו צוות תגובה לאירועים".
החוקרים הצליחו לזהות את החתימה – או אינדיקטורים לפשרה – של מבצע הפריצה בזמן כדי להתריע על 80 הארגונים בסיכון.
התוכנה הזדונית זוהתה כ Pay2Key תוכנת כופר הקשורה לאיראן המקושר פוקס חתלתול קבוצת פריצה.
סריקת פגיעות
תפקיד נוסף של ה-CERT הוא להזהיר ארגונים מפני חולשות אבטחה במערכות המחשוב שלהם. ה- INCD הגביר את תוכנית סריקת הפגיעות שלו לאחר ה-7 באוקטובר, אמר פורטנוי.
בתי חולים ושירותים קריטיים אחרים קיבלו לפחות שש בדיקות "משטח התקפה" של הרשתות שלהם כדי לזהות חולשות שעלולות להיות מנוצלות על ידי האקרים.
INCD גם סורקת את הרשת האפלה כדי לזהות סיסמאות או מידע קריטי אחר שעלול לחשוף רשתות של החברה.
המבצע מכסה 5,000 ארגונים וכ-33,000 כתובות IP. "הם סורקים לעומק את התשתית כדי למצוא מערכות הפתוחות לפרצות, ואנחנו יוצרים איתם קשר כדי לספק הנחיות כיצד לתקן אותן", אמר תורן.
התראות אחרות מגיעות מבדיקות זיהוי ותגובה של נקודות קצה שהוצבו ברשתות של ארגונים כדי לספק מבט פנימי על אבטחת הסייבר שלהם.
לאחר שה-CERT זיהה את החתימה של מתקפה, המכונה "אינדיקטורים של פשרה", הם משותפים עם ארגונים אחרים על ממשק תכנות יישומים, שיכול לעדכן אוטומטית את הגנת הסייבר.
אבל יש הכרה שצריך לעשות יותר. ישראל החלה בפרויקט לשיפור הגנת הסייבר שלה בשנת 2021.
המכונה Cyber Dome, מרמזת למערכת Cyber Dome נגד טילים של ישראל, היא שואפת להשתמש בבינה מלאכותית ובביג דאטה כדי לזהות ולהפחית מתקפות כשהן מתרחשות.
יחד עם זאת, ישראל כן להגביר את שיתוף הפעולה עם מדינות אחרות על פיתוח הגנת סייבר.
