שיתוף מידע להגנה מסייבר

מתקפות הסייבר הגדולות האחרונות היו יכולות להימנע, לו החברות והארגונים היו משתפים, מתריעים ומודיעים בזמן על תחילת המתקפה. אך החשש שלהם מפני דליפת המידע מהחברה או הארגון – גובר על החשש מהסייבר.

לקראת כנס סייברטק 2017.

מתקפת הסייבר כנגד ארה"ב שהתרחשה בעיצומה של מערכת הבחירות האמריקאית, הפילה לשעות רבות את האתרים הגדולים ביותר בעולם, ביניהם: טוויטר, Paypal, רדיט, נטפליקס, CNN ועוד. בעוד שההתקפה התרכזה בעיקר בחוף המזרחי של ארה"ב, היו למעשה שיבושים גם בקרב משתמשים ברחבי העולם. מחקירת המתקפה עולה, כי מדובר במתקפה למניעת שירות (DDo’s) אשר תקפה את שרתיו של אחד מספקיות 'מערכת שמות המתחם' (DNS) הגדולים בארה"ב - חברת Dyn. ה-DNS מהווה צומת מרכזי בימינו בביצוע תקשורת מחשבים, הואיל ובהפשטה היא מאפשרת התאמה של שם מתחם (domain) ל-IP המאפשר את הגישה ליעד המבוקש. פגיעה ביכולת התאמה זו, למעשה מונעת גישה ליעד הגלישה באמצעות רישום הכתובת בתצורת ה-domain שלו. במתקפה האמורה, הציפו האקרים את שרתיה של Dyn בבקשות רבות אשר גרמו לעומס שמנע מתן שירות לבקשות אחרות ומכאן הפילו את הגלישה לאתר המבוקש.


הואיל ומוצרי ההגנה כיום יכולים לזהות שימוש בכתובות IP פיקטיביות, על מנת להתגבר על מכשול זה, ההאקרים יצרו בקשות רבות שנראות "לגיטימיות", תוך שימוש בהתקנים רבים של 'האינטרנט של הדברים' (IoT), כגון מצלמות אינטרנטיות, התקנים בבתים חכמים ועוד, אשר להערכתם הינם קלים לפריצה. לפי חוקרי סייבר, ההאקרים עשו ניסיונות חדירה באמצעות סיסמאות ברירות מחדל מהסוג שהיצרנים מספקים בעת רכישת המוצר. ברגע שהצליחו לחדור למכשיר, הזריקו לו רובוט אינטרנטי (BOT) שכל תפקידו היה לשלוח בקשות למערכת ה-DNS באופן בלתי מוגבל כדי לגרום להצפה. ההערכה היא שבהתקפה זו נעשה שימוש ביותר מ-10 מיליון התקנים שהודבקו ב-BOT, מה שיצר "צבא" שלם של רובוטים המפוזרים בכל העולם. לארגון בודד קשה מאוד להתמודד עם מתקפה בסדר גודל ובהיקף כזה ולא אחת נשמעה הטענה כי מערכות ההגנה אינן ערוכות דיין בכדי לתת מענה למתקפות הללו. מתקפת סייבר זו הינה הגדולה והנרחבת ביותר שידע העולם עד כה, הן מבחינת השימוש בהתקנים רבים ובטכנולוגיה חדישה והן מבחינת היקף השפעה שלה במדינות וביבשות שונות.


דוגמה זו ממחישה כי מתקפות סייבר שגורות בימינו, הופכות להיות יותר ויותר גלובליות ומורכבות והן תמהיל של שימוש בטכנולוגיות, מתודות התקפה שונות ושל מתקפות "קטנות" במכשירים, מערכות וארגונים שונים אשר לרוב אינם קשורים, החוברים יחדיו למתקפה אחת גדולה. במתקפה האמורה, ניצלו ההאקרים את התלהבות הספקים וארגונים רבים לחבר כמה שיותר מכשירי חשמל ביתיים לאינטרנט ללא תכנון ובדיקות מעמיקות של אבטחת מידע. כאן יש להוסיף את ההתנהגות הלא זהירה של המשתמשים אשר נמנעים מלשנות את סיסמת ברירת המחדל אשר מוגדרת במכשירים, מה שאפשר את החדירה אליהם בקלות, השתלת רובוט אינטרנטי ותקיפתה של חברת Dyn. שימוש בהתקנים רבים נקודתיים וקטנים הנתפסים בעיני המשתמש כ-"בלתי מזיקים", אפשרה התחמקות מגילוין בשלב מוקדם ושילוב שלהם למתקפה מסיבית אחת גדולה.


סביר להניח כי לו אחד מהגורמים (משתמש הקצה, ספקי אינטרנט, Dyn, או היצרנים) היה מתריע על כל מתקפת סייבר שהתרחשה או מתרחשת ולו הקטנה ביותר או מתריע על חולשות, היה ניתן ליצור מפה כוללת אשר הייתה מצביעה על התנהגות חשודה הרומזת על סוג ההתקפה העתידה, או לכל הפחות גורמת לגורמים השונים לבצע פעולות מניעה כגון אבטחה של המכשירים ושינוי סיסמה. מכאן, שהתרעה בזמן לגופים הרלוונטיים יכלה לצמצם את היקף המתקפה ואף אולי למנוע אותה.


אולם, דיווחים על מתקפות סייבר ו/או על חולשות אינם תכופים בימינו וגופים רבים נמנעים מלדווח, זאת בין היתר מהחשש לפגיעה במוניטין, חשיפת סודות מסחריים, פגיעה בפרטיותם וכן בשימוש הממשל במידע כנגדם. הואיל והתקפות סייבר נעשות במערכות פנימיות של הארגון, לרוב אין לצד שלישי יכולת לאתרן ומכאן שגילוין למעשה תלוי בהודעה של הארגון המותקף. לכן ניסה המחוקק להידרש לשאלה כיצד ניתן לחייב או לעודד חברות ו/או יחידים לשתף מידע ולהודיע על מתקפות סייבר.


ביולי 2016 אומצה אמנת אבטחת הרשת ומערכות מידע (the NIS Directive), לפיה כל מפעיל של תשתיות חיוניות בסקטורים חיוניים של מדינה באיחוד האירופי כגון אנרגיה (חברת החשמל), תחבורה, בנקאות, מסחר בורסאי, בריאות (בתי חולים) וכד'; וכל ספקי מפתח שירות דיגיטלי כגון מנועי חיפוש (גוגל), ספקי שירות בענן (אמאזון), נותני שירותי מסחר אלקטרוני (איביי), פלטפורמות חברתיות (פייסבוק) ועוד, מחויבים להודיע על כל מקרה סייבר אשר לו השפעה משמעותית לאבטחה של אותו ארגון או פגיעה משמעותית בשירות שהוא נותן. לגוף הרלוונטי בכל סקטור - לרוב יהיה מרכז להתמודדות עם אירועי סייבר (cert). על הדיווח לכלול, בין היתר, את מספר הנפגעים, משך זמן ההתקפה, מהם גבולותיה הגיאוגרפיים של ההתקפה, מידת הפגיעה של השירות החיוני, מידת ההשפעה של ההתקפה על הכלכלה והחברה ועוד. להבדיל מספק שירות חיוני אשר עליו חלה חובת הודעה מוחלטת, על ארגון בו לספק השירות הדיגיטלי אין גישה למידע אשר יש לכלול בהודעה, לא תחול חובת ההודעה.


אמנה זו מרחיבה את החובה להודעה על מתקפות סייבר אשר בעבר הייתה מצומצמת למקרים בהם היה נפגע מידע פרטי המוגן על פי חוק בלבד, גם למקרים בהם נפגע הארגון בכללותו; ומחילה את חובת ההודעה ושיתוף המידע על קשת רחבה של ארגונים פרטיים, להבדיל מהעבר שהיה חל בעיקר על ספקי תקשורת ואינטרנט. יחד עם זאת, האמנה אינה מחילה חובת דיווח כללית על מתקפות סייבר כשלעצמן או מציעה מנגנון שמטרתו להוות תמריץ לדיווח וולונטרי כאמור, ואינה נותנת מענה לדיווח על מקרי סייבר "קטנים" שבסופו של דבר עלולים ליצור מתקפה אחת גדולה.


בארה"ב, בשנת 2003, הוצאה אמנת ביטחון לאומי מס' 7, המורה לשוק הפרטי והציבורי העוסקים בתשתיות קריטיות, לשתף מידע אחד עם השני בכל הקשור לאיומים, חולשות ומקרי סייבר. הצו הרחיב את המונח תשתית קריטית גם ל"משאבי מפתח", קרי משאבים חיוניים לתפעול מינימלי של הכלכלה והממשלה אשר בשליטתם של גורמים ציבוריים ופרטיים כדוגמת בנקים. הצו הסמיך את המשרד לביטחון פנים כמי שאחראי על יישומו, וכן מכוחו הוקמו בסקטורים שונים גופים ייעודיים לכך, כדוגמת מרכז לניתוח ושיתוף המידע לשירותים פיננסים.


אולם הדבר לא נתן מענה לסוגי ההתקפות אשר אינן בסקטור של התשתיות קריטיות אשר להם השפעה רבה על החברה כשם שראינו בדוגמא לעיל. על כן, בשנת 2015, הוציא הנשיא אובמה, צו נשיאותי מס' 13691 המבקש להקים מנגנון אשר יאפשר לכל אחד - חברות פרטיות, ארגונים ללא מטרת רווח, רשויות אכיפה ועוד, לשתף מידע בדבר כל סיכוני ומקרי סייבר וכן לשתף פעולה בדבר התמודדות עימם. לצורך כך, מורה הצו להקים גופים שאינם ממשלתיים (ISAO) רלוונטיים לכל סקטור (כדוגמת המרכז לשיתוף המידע של רשתות קמעונאות) אשר יונחו ויעבדו ישירות עם המשרד לביטחון פנים ואף יתוקצבו על ידו. שיתוף המידע יעשה תוך שמירה על הפרטיות והסודות המסחריים.


אולם, הצו לא פתר את החשש של החברות מפני השימוש במידע הנמסר על ידי הרשויות כנגדם וכן את החשש לפגיעה במוניטין. על כן, עוד באותו החודש חוקק חוק שיתוף מידע באבטחת סייבר, אשר עיגן את המנגנון האמור, ולצורך הדיווח מסמיך גופים פרטיים לניטור מערכות מידע שבבעלותן ואף שבבעלות גוף אחר, בכפוף להרשאה והסכמה בכתב מאת אותו גוף, במטרה למנוע, לגלות, ולנתח איומי אבטחת סייבר. בכדי לתמרץ את אותם גופים לעשות זאת, ניתנת הגנה לאותו גוף מפני כל תביעה בכל בית דין, כתוצאה מניטור או שיתוף המידע או כתוצאה מנקיטת אמצעים למניעת ההתקפה. מצויין כי במקרה בו תוגש תביעה, על בית המשפט לדחותה, במידה ולא התרשלו או ניצלו לרעה את המנגנון, ובמידה ועמדו בתנאי החוק. בנוסף מגביל החוק את השימוש של המדינה במידע הנמסר לשימוש הקשור לאבטחת סייבר, לחקירה והעמדה לדין בפשעים מסוימים כגון התחזות, גניבת זהות, ריגול, צנזורה, סודות מסחריים, איום ממשי למוות, פגיעה משמעותית בגוף או בכלכלה, וכן בכל הקשור בטרור ושימוש בנשק השמדה המונית.


יש לציין כי חוק זה הינו משלים לחוקים אחרים הקשורים בחובת הדיווח במקרי סייבר אשר נפגע בהם מידע המוגן על פי חוק, כשם שנהוג ב-47 מדינות. בישראל, לעומת זאת, אין חוקים המחייבים או מסדירים דיווח על אירועי אבטחת סייבר או חובה לשתף מידע. בכדי לקדם את שיתוף המידע, הוקם מנגנון וולונטרי על ידי הממשלה במסגרת המרכז הלאומי להתמודדות עם איומי סייבר, גוף המבקש לשתף מידע יכול לפנות ל-CERT ונחתמים בינו לבין ה-CERT הסכמים המסדירים את החיסיון של המידע, מה ניתן יהיה לעשות איתו וכד'. כמו כן, מוקמת היום תשתית לשיתוף מידע מאובטח. בכדי להקנות ביטחון למבקשים לשתף מידע, מצהיר ה-CERT כי המידע ישמש למימוש מטרותיו בלבד וכי הוא אינו משמש כגוף אכיפה (כנגד התוקף למשל או כנגד הגוף המשתף). כמו כן, להבדיל מארה"ב ואירופה, אין חובת דיווח על מקרי סייבר המשלבים פגיעה במידע המוגן על פי חוק ואף הצעת חוק שביקשה לעגן זאת לא התקבלה. יחד עם זאת, אנו רואים היום כי דווקא בסקטורים מסוימים מבינים את החשיבות שבשיתוף המידע, ובמסגרת סמכות הרגולטור מחייבים שיתוף מידע והודעה על מקרי סייבר. כך למשל, אמנת בנק ישראל 361 מחייבת מבנקים לדווח למפקח על הבנקים על אירועי סייבר פנימיים וחיצוניים, על פי אמנה 848 אשר הינה חסויה ולא ברור כיום כיצד הדבר מיושם ומה המשמעויות שלו.


נראה, כי ההסדר האמריקאי הינו המקיף ביותר הואיל ואינו מוגבל לגופים מסוימים, לסקטור מסוים או לסוג התקפה, ומכיוון שקיים התמריץ האפקטיבי ביותר לשיתוף המידע. למעשה הוא מאזן בין הצורך בשיתוף המידע בכדי להגביר את הגנת הסייבר במדינה לפגיעה הפוטנציאלית בגופים עם חשיפת הרגישויות שלהם.

7 צפיות