במשך שנים ישראל השקיעה מיליארדים בהגנה על תשתיות קריטיות מפני מתקפות סייבר. מערכת הביטחון, הבנקים, ספקי האנרגיה ואפילו גופים ממשלתיים מוגנים מאחורי חומות סייבר מתקדמות, אך בעוד כולם עסוקים בלחזק את החומות, התוקפים למדו לעקוף אותן לחלוטין.
המתקפות החדשות אינן מכוונות ישירות כלפי היעד הסופי אלא כלפי מי שמחזיק את המידע - הספקים. כך, במקום לתקוף ישירות את משרד המשפטים, למשל, התוקפים יעדיפו לחדור לחברה חיצונית שמספקת לו שירותי תוכנה או תקשורת ולגנוב את המידע משם.
החוליה החלשה בשרשרת האספקה
זה בדיוק מה שקרה לאחרונה בפרשת דליפת המידע שנחשפה לאחרונה ב"הארץ". המידע שדלף לא כלל סודות מדינה, אך הוא הכיל פרטים רגישים על אזרחים המחזיקים נשק, כולל מספרי רישיונות וכתובות.
זה היה מקרה קלאסי של מתקפה על שרשרת האספקה - התחום הרגיש ביותר כיום בעולם הסייבר. במקום לנסות לחדור למאגרי הנתונים המוגנים של המדינה, התוקפים זיהו את החוליה החלשה - ספקים פרטיים שמחזיקים נתונים רגישים אך לא נהנים מאותן רמות הגנה מחמירות.
המקרה הזה הוא לא יוצא דופן. ככל שהרגולציה על אבטחת מידע במוסדות מרכזיים מתחזקת, כך גדל הפיתוי לתקוף את השחקנים ההיקפיים שמחזיקים במידע קריטי אך ללא מנגנוני הגנה מתקדמים. בעולם העסקי ראינו זאת קורה שוב ושוב - מחברות טכנולוגיה ועד תשתיות קריטיות, ספקי המשנה הופכים ליעד המועדף על האקרים.
כשהאקרים נכנסים מהדלת האחורית
הבעיה חמורה במיוחד בענפים שבהם יש תלות גבוהה בספקים חיצוניים. לדוגמה, בעולם התקשורת יש רשת סבוכה של ספקי משנה - טכנאים, מתקינים וקבלני שירות - שלכולם יש גישה לנתוני לקוחות.
לעיתים, במכשירי השירות שלהם (כגון טאבלטים) מאוחסנים פרטים אישיים של עשרות אלפי לקוחות, כולל כתובות, מספרי טלפון, ולעיתים אף סיסמאות לראוטרים הביתיים. אם האקר מצליח לפרוץ למכשיר כזה, הוא מקבל גישה לנתונים רבים, מבלי שיצטרך להתמודד עם חומות ההגנה של חברות התקשורת הגדולות.
לבלום את המתקפה
הפתרון? ראשית, יש צורך ברגולציה מחייבת על ספקי שירותים וגורמים חיצוניים שמחזיקים במידע רגיש. אמנם כבר כיום יש רגולציה על ספקים של אחסון ושירותים דיגטליים (הוראת שעה למלחמת חרבות ברזל). אבל אין רגולציה כללית. בבסיס הרגולציה החדשה צריכה לעמוד ההבנה כי לא מספיק להגן על המערכות המרכזיות; יש להבטיח שגם השחקנים הקטנים יותר יעמדו בסטנדרטים מחמירים של אבטחה.
שנית, על גופים ממשלתיים ועסקיים לבחון מחדש את שרשרת האספקה שלהם ולהבטיח שכל ספק שעובד עימם מאמץ נהלי אבטחה נוקשים. לבסוף, נדרשת הגברת הפיקוח והאכיפה - לא רק על מאגרי מידע גדולים, אלא גם על החברות שמספקות להן שירותים.
העולם עבר ממתקפות ישירות למתקפות עקיפות. במקום לתקוף את החומה, התוקפים פשוט מחפשים את השער האחורי. הגיע הזמן שגם מדינת ישראל תבין זאת ותתחיל לפעול בהתאם.
הכותב הוא עו"ד ד רמי תמם, שותף במשרד עו"ד פטמן תמם ושות'. עוסק בפלילים ובסייבר. ראש תוכנית תואר שני MBA סייבר בקריה האקדמית אונו