אילוסטרציה
אילוסטרציהצילום: ISTOCK

ד"ר טל פבל, מומחה לאיומי ומדיניות סייבר, מרצה בחוג לפוליטיקה ותקשורת במכללה האקדמית הדסה, מתייחס בראיון לערוץ 7 לפרשת שירביט וההתמודדות עם האקרים בכלל ובמקרה זה בפרט.

כבר בפתח דבריו מדגיש ד"ר פבל כי לא נכון להתיימר ולומר דברים בוודאות כאשר עוסקים בלוחמת סייבר שכן הביטוי הנכון ביותר הוא עמימות. עם זאת כאשר אנו מבקשים לרכז את הנתונים שאנחנו כן יודעים על הפרשה ניתן לסכם ולומר ש"חברת הביטוח נפרצה ונגנב מידע, שנגנב הרבה מאוד מידע. את זה אנחנו יודעים גם כי זו הטענה וגם כי מעת לעת הם משחררים מידע. בינתיים ראיתי תעודות זהות וכד'. בנוסף אנחנו יודעים בוודאות שבניגוד להצהרה הראשונה של מנכ"ל החברה ביום שישי בבוקר שנגנבו כמה שמות ולא מעבר לזה והאירוע הסתיים, אנחנו יכולים להעריך שהאירוע לא רק שלא הסתיים אלא שהוא אפילו עוד לא התחיל. מבחינה תקשורתית הסיפור רק בהתחלתו".

"על פניו נראה שהם בסוג של משא ומתן ולכן ברור שהעניין עדיין לא הסתיים. היה אולטימטום. ביום שישי בבוקר דרשו מיליון דולר והסכום הוכפל לשני מיליון והלאה, כלומר מדובר באירוע מתגלגל. בנוסף, אנחנו לא יודעים את גלי ההדף".

מציין ד"ר פבל כי "לא רק שמידע רב יצא, אלא שבניגוד להתייחסויות ולהודעות שדיברו על קצת שמות שיצאו, המידע שיצא הוא מידע ערכי. חשוב להבהיר שבאירועי תקיפות סייבר כאלה הדבר הראשון שאנחנו נותנים עליו את הדעת הוא דליפת פרטי האשראי שלנו, אבל ראוי לשים לב לכך שהדבר היחיד שניתן לבטל הוא כרטיס האשראי. לעומת זאת את שאר הנתונים האישיים הרפואיים והאחרים לא ניתן לבטל והם יהיו שם תמיד".

"לכן צריך לעשות קצת סדר. הדבר האחרון שצריך להטריד אותנו הוא פרטי כרטיס האשראי, אבל כשנתונים אישיים יוצאים זה סיפור אחר לגמרי", אומר פבל ומציין מעיון בנתונים שפורסמו כי אמנם "חלק מהנתונים שנחשפו הם משנת 2012-13 ויהיה מי שיגיד שאלו נתונים ישנים, אבל ראיתי גם מכתב ממאי 2020. חשוב לזכור שזה שיש מידע מ-2012 זה לא אומר שאין מידע עדכני. מעבר לכך שאם יש לי מידע מ-2012 מרבית הנתונים עדיין קיימים ורלוונטיים. המידע שיצא הוא אישי ערכי שלנו והמשמעות היא שמה שנחשף הוא הרבה מידע על הרבה לקוחות ושמדובר במידע ערכי. כשלמישהו יש את צילום תעודת הזהות, הפוליסה רשיון הרכב וכו' זה משמעותי מאוד ומעל זה נוסיף את הנתון הנוסף ששירביט ביטחה עובדי מדינה גם ממערכת המשפט ומערכת הביטחון והמידע שלהם דלף החוצה. כלומר אנחנו באירוע מתגלגל שיכולים להיות לו הרבה גלי הדף".

על גלי ההדף הללו אומר פבל: "אנחנו לא יודעים נגד מי השתמשו ואיך, אולי יסחטו אנשים, אולי יזייפו זהויות, אולי יימכרו את הנתונים האלה, אולי ישלחו הודעות וכו'. אולי לקוחות יתבעו את החברה, אולי הרשויות יקנסו את החברה. דבר נוסף הוא הנזק שעלול להיגרם ללקוחות, ראיתי כבר הכנה לתביעה ייצוגית ראשונה כנגד החברה שיכולה לסבול גם מקנס שיושת על ידי הרשויות, גם בתביעה של לקוחות וגם בפגיעה במוניטין שלה, או שהיא לא תוכל לגייס לקוחות חדשים או שלקוחות יעזבו אותה. זה אירוע שיכול להתגלגל במשך חודשים ושנים".

"היבט נוסף של פגיעה הוא ההשלכות הגדולות מבחינת עלויות. החברה שילמה כדי לשכור מומחים לניהול מו"מ עם התוקפים, החברה מפעילה צוותים ואולי היא תצטרך גם לשלם פיצויים, כלומר יהיו השלכות אולי עד כדי חשש לרמת השרידות שלה עוד בלי קשר לתביעות עתידיות. הסיפור מאוד מורכב ורחוק מלהסתיים ויכול להיות תמרור אזהרה ללקוחות ולחברות במשק בנושא אבטחת מידע, הון אנושי ותרבות ארגונית".

על המו"מ אותו מנסה לנהל שירביט מול התוקפים, אומר ד"ר פבל כי "המו"מ בסדר, אבל יש את המדיניות של החברה, ואם היא החליטה שהיא לא משלמת שקל אחד מה מרחב התמרון של המו"מ?".

פבל מציין כי לא מדובר במקרה ראשון או יחיד ויש מקרים רבים שכאלה, אלא שבדרך כלל אירועים שכאלה נסגרים בין החברה לתוקפים בעוד במקרה זה התוקפים הקפידו לדווח על הפריצה והדרישה כשהם מקפידים לתייג את הודעתם לאמצעי התקשורת המובילים.

"יש דברים מתחת לפני השטח ואנחנו לא יודעים עליהם כי ההאקרים לא הוציאו את זה לתקשורת", סבור פבל ומוסיף: "קשה להיכנס לנעלים של ההחלטה אם לשלם או לא, אבל ניתן לקבוע שמהרגע שדברים יצאו אי אפשר ללכת אחורה. הם מפרסמים נתחים נוספים של מידע וכל נתח של מידע שיוצר אי אפשר להכניס את השד לבקבוק ולסגור אותו".

בדבריו מעיר ד"ר פבל כי כלל לא בטוח שמטרת ההאקרים היא כספית, ולא בטוח שמענה כספי יחזיק את המצב לקדמותו שכן לא בטוח שבעקבות קבלת תכתיב התוקפים והעברת תשלום אכן יימסר כל המידע חזרה והוא לא יישמר. זאת מעבר למידע שכבר יצא ודלף החוצה. "גם אם דלפו רק 10 אחוזים אנחנו לא יודעים איפה המידע שמור ואיפה הוא מגובה, אולי הוא כבר בעשרים שרתים ברחבי העולם ושם זה משמש כגיבוי ולאנשים יש ססמאות אליהם לשימוש במקרה הצורך. מהרגע שהמידע יצא מהשרתים שלך שירביט גם אם תקבל את המידע חזרה אליך ותחזיר את ההמשכיות העסקית שלך לא בוטוח שהמידע נשאר רק אצלך".

"גם אם היו משלמים וגם אם היו מקבלים את כל המידע עד אחרון הקבצים שדלף, והפעילות הייתה ממשיכה כסדרה, אף אחד לא מבטיח שלא נוצרו עותקים ואז ברמת התיאוריה ואולי גם ברמת המעשה הם היו מקבלים את המיליון או שניים אבל המידע עדיין אצלם ואפשר להמשך לסחור בו".

האם מהלך כזה של ההאקרים לא יגרום להם להפסיד את יכולת המיקוח בפעם הבאה? ד"ר פבל משיב ומטיל ספק בעצם הקביעה שמה שמעניין אותם הוא כסף. "אני ממש לא בטוח שהסיפור כאן הוא כופר. לעניות דעתי ועם כל ההסתייגויות הרלוונטיות, יכול להיות שהסיפור כאן הוא אחר. היו טענות שאחד או חלק מהתוקפים הם ישראלים, אבל יכול להיות שזה שחקן מדינתי שרוצה לפגוע בישראל, ועד פושעי סייבר מתוחכמים שרצו לגרום לנזק אסטרטגי לישראל או פושעי סייבר שרצו לגנוב כסף או שרצו להזיק לשירביט באופן ממוקד, או סתם חבורת צעירים שרצתה להתנסות. מנעד האפשרויות גדול ויתכן שמי שמעורה בנבכי החקירה יתכן ויש לו מידע על הזהות האפשרית שלהם".

"חשוב להגיד שגם אם הם לא יקבלו את הכסף משירביט זה מידע ששווה הרבה מאוד להרבה מאוד. לדוגמא, מידעים נמכרים ברשת האפלה. ניתן למכור את המידע כמה פעמים לכמה אנשים ובכמה צורות. אפשר לייצר קובץ של כרטיסי האשראי ולמכור אותו, לייצר קובץ נפרד של פוליסות ולמכור אותו אולי בהקשר רפואי, ליצר קובץ של רישיונות הנהיגה וכו' ולמכור לגורמים מדינתיים, גורמי פשע או טרור.. כלומר גם אם הם לא יקבלו את הכסף משירביט לקובץ הזה יש ערך רב מאוד".

מוסיף ד"ר פבל ואומר: "אני לא יודע אם עניין הכופר הוא העיקרי. אירועי כופר בדרך כלל הם אירוע שבו התוקף שלח קובץ נגוע למחשב של קרבן והקרבן באמצעות הנדסה חברתית, עושים עליו מניפולציה וגורמים לו לפתוח את הקובץ, הקישור או המייל או שגורמים לו לשתף פעולה עם גורם פיקטיבי. ברגע שבו הקרבן לחץ על הקובץ השד יצא מהבקבוק, התכנה נועלת את הקבצים ומתפשטת ברשת. באותו רגעי מי שירצה לגשת לקבצים, וזה יכול להיות בתי חולים, סופרמרקטים, עורכי דין וכו' לא יוכל לעשות את זה".

מזכיר ד"ר פבל כי לפני שנתיים "בבריטניה הייתה מתקפה על מערכת הבריאות. מערכות המידע ננעלו ולא מערכות תפעול, אבל די היה בזה כדי להביא לביטול 3000 ניתוחים, כי עובדים לא ידעו את מי צריך לנתח וכו' וזה עלה בחיי אדם".

כאמור, ד"ר פבל מטיל ספק בשאיפתם של התוקפים לקבל סכומי כסף כאלה ואחרים, שכן הם יכולים להשיג סכומים הרבה יותר גדולים על ידי סחר במידע שנאסף אצלם.

עוד שאלנו את ד"ר פבל אם יתכן שבמקביל למו"מ של הצוותים מתקיים גם ניסיון של גורמים אחרים לאתר את התוקפים באופן פיזי ולהביא ללכידתם, מעין סיירת מטכ"ל המשחררת בני ערובה תוך כדי ניהול מו"מ. ד"ר פבל משיב ואומר כי "האנלוגיה של בני ערובה היא חשובה", והוא מסביר: "המרחב הפיזי הוא מרחב של וודאות רבה יותר. כשיש שריפה לא ניתן להתכחש אליה וכך גם כשנופל טיל. זה מרחב של וודאות. כאן מדובר במרחב שעל פי רוב לא ידוע בו מי האויב, מי ומה מאחוריו". במציאות שכזו, הוא אומר "אפשר לנסות ולהתחקות אחריהם ויתכן שיתפסו", ובהקשר זה הוא מזכיר אירועים שבהם עלה בידי הגורמים השונים ללכוד את התוקפים: "בתחילת העשור שעבר היה ברשת האפלה אתר בשם 'רשת המשי' שהיה ה"אמזון של הסמים". הקים אותו בחור צעיר. הוא פעל במשך שנתיים. אותו בחור הרוויח כחצי מיליון דולר והוא נתפס על ידי השלטונות האמריקאים. הוא קיבל שני מאסרי עולם ועוד ארבעים שנה בלי אפשרות לחנינה. זה אדם שידע להתנהל ולמרות זאת תפסו אותו. כלומר שזה לא מרחב של אנונימיות מוחלטת. זה מרחב שניתן להגיע בו לתוקפים. היו גם בארץ מקרים שאנשים נתפסו, למרות שעבדו לפי הכללים ושמרו על אנונימיות".

"אם הם ייתפסו ויתברר שמדובר בחבורה של שלושה צעירים שרק רצו להשתעשע ומצאו את הפרצה ואין כאן ארגון פשיעה או טרור או גורם מדינתי, בכלל בכלל לא אופתע", מסכם ד"ר פבל.