צור קשר
אודותהתקפת סייבר (או מתקפת סייבר) מתרחשת כאשר מתבצעת פעולה לא מורשית כלפי תשתית מחשוב, מה שמפר את סודיות, שלמות או זמינות התוכן שלה.
מתקפת סייבר:
מתקפת סייבר היא פעולה זדונית שמבוצעת באמצעות מחשבים, רשתות או מערכות ממוחשבות, במטרה לפרוץ לתשתיות דיגיטליות, לגנוב, לשבש או לשנות מידע. מתקפה כזו עשויה להגיע ממקורות פליליים, קבוצות האקטיביזם (hacktivists) או אפילו ממשלות, והיא מהווה איום מרכזי על ביטחון המידע בעידן הדיגיטלי.
התלות הגוברת במערכות מחשוב מורכבות ומקושרות כמעט בכל תחומי החיים היא הגורם המרכזי לכך שהן חשופות למתקפות סייבר, מכיוון שכמעט כל מערכות המחשוב מכילות באגים אשר יכולים להיות מנוצלים על ידי תוקפים. למרות שקשה או בלתי אפשרי ליצור מערכת מאובטחת באופן מושלם, קיימים מנגנוני הגנה רבים אשר מקשים על ביצוע מתקפה, מה שהופך את אבטחת המידע לתחום בעל חשיבות הולכת וגדלה בעולם של היום.
באג:
באג הוא שגיאה או כשל בקוד תוכנה או במערכת החומרה, אשר גורמת לפעולה לא צפויה או בלתי נכונה. באגים יכולים לגרום לפגיעויות אבטחתיות כאשר הם מאפשרים לתוקף לנצל נקודות תורפה ולהכניס קוד זדוני, ולכן תיקונם באמצעות עדכונים (פאטצ׳ים) הוא חלק מרכזי מניהול אבטחת מידע.
מבצעי מתקפת סייבר יכולים להיות פושעים, האקטיביסטים סייבר (hacktivists) או מדינות. הם מנסים למצוא חולשות במערכת, לנצל אותן וליצור תוכנה זדונית (מאלוור) לצורך השגת מטרותיהם, ולהעבירה למערכת היעד. לאחר ההתקנה, התוכנה הזדונית יכולה לגרום למגוון תופעות בהתאם למטרתה. זיהוי מתקפות סייבר לעיתים נעדר או מתעכב, במיוחד כאשר המאלוור מנסה לרגל אחרי המערכת תוך כדי שמירה על סודיות. אם היא מתגלה, הארגון היעד עשוי לנסות לאסוף ראיות לגבי המתקפה, להסיר את המאלוור מהמערכות, ולסגור את הפגם שהאפשר את המתקפה.
תוכנה זדונית (מאלוור):
תוכנה זדונית היא קוד שנוצר במודע כדי לבצע פעולות מזיקות, כגון גניבת מידע, השבתה של מערכות או יצירת דלתות אחוריות (backdoors) שיאפשרו לתוקף שליטה מרחוק. היא מתמקמת לרוב במערכת דרך ניצול חולשות (פגיעויות) ונשארת בלתי נראית לעין המשתמש.
מתקפות סייבר יכולות לגרום למגוון נזקים לאנשים פרטיים, לארגונים ולממשלות, כולל הפסדים כספיים משמעותיים וגניבת זהות. הן בדרך כלל בלתי חוקיות הן כמשיטה לפשע והן כמלחמה, אף שלעתים קרובות קשה לייחס במדויק את המתקפה והמבצעים כמעט ולא נתבעים משפטית.
גניבת זהות:
גניבת זהות היא פעולה שבה תוקף משיג ומשתמש במידע אישי של אדם אחר (כגון מספר תעודת זהות, פרטי אשראי או מידע רפואי) כדי לבצע פעולות פליליות או כלכליות בשמו. הפעולה עלולה לגרום להפסדים כלכליים חמורים ולפגיעה במוניטין ובבטחון האישי של הקורבן.
הגדרה מקצועית מתקפת סייבר
ניתן להגדיר מתקפת סייבר כנסיון של פרט או ארגון באמצעות מחשב אחד או יותר ומערכות מחשוב לגנוב, לחשוף, לשנות, להשבית או להסיר מידע, או לחדור למערכות מידע ממוחשבות, לרשתות מחשבים ולתשתיות מחשוב. הגדרות שונות מתייחסות לסוג הפשרה הנדרשת – לדוגמא, כאשר המערכת מפיקה תגובות בלתי צפויות או גורמת לפציעה או נזק לרכוש. חלק מההגדרות לא כוללות מתקפות שמתבצעות על ידי גורמים שאינם מדינתיים ואחרות דורשות שהמטרה תהיה מדינה.
שמירה על מערכת מאובטחת תלויה בשמירה על משולש ה-CIA: סודיות (אין גישה לא מורשית), שלמות (אין שינוי לא מורשה), וזמינות.
למרות שזמינות פחות חשובה עבור כמה שירותים מבוססי אינטרנט, היא עשויה להיות ההיבט הקריטי ביותר במערכות תעשייתיות.
משולש ה-CIA:
משולש ה-CIA הוא עיקרון יסוד באבטחת המידע, שמבוסס על שלושה עקרונות מרכזיים:
• סודיות (Confidentiality): שמירה על כך שרק גורמים מורשים יקבלו גישה למידע.
• שלמות (Integrity): הבטחת שהמידע לא יעבור שינוי לא מורשה או לא צפוי.
• זמינות (Availability): הבטחת שהמידע יהיה נגיש וזמין בזמן הצורך.
עקרונות אלו מהווים את הבסיס לכל מערך הגנה דיגיטלי ונחוצים לתכנון מערכות מאובטחות.
שכיחות
בששת החודשים הראשונים של 2017, נגנבו או הושפעו שני מיליארד רשומות נתונים על ידי מתקפות סייבר, ותשלומי כופר (ransomware) הגיעו ל-2 מיליארד דולר, כפול מ-2016. בשנת 2020, עם עליית העבודה מרחוק כתוצאה מהמגפה העולמית של COVID-19, סטטיסטיקות אבטחת המידע חשפו גידול עצום בכמויות המידע שנפרצו ונדלפו.
שוק אבטחת המידע העולמי צפוי להגיע ל-170.4 מיליארד דולר בשנת 2022.
רנסומוור:
רנסומוור הוא סוג של תוכנה זדונית שמצפינה את הנתונים במערכת או נועלת את הגישה אליה, ולאחר מכן דורשת תשלום – לרוב במטבעות קריפטוגרפיים – כדי לספק את המפתח לפענוח או לשחרור המערכת. מתקפה כזו עלולה לגרום לנזקים כלכליים משמעותיים ולהפריע לפעילות התקינה של הארגון.
עם הזמן, מערכות מחשוב מהוות חלק הולך וגדל מחיי היום-יום והאינטראקציות. למרות שהמורכבות והקישוריות הגוברת של המערכות מגדילה את היעילות, העוצמה והנוחות של טכנולוגיית המחשוב, היא גם הופכת את המערכות ליותר חשופות למתקפות ומחריפה את התוצאות במקרה של מתקפה.
פגיעות (Vulnerability):
פגיעות היא חולשה או פגם בתוכנה או במערכת מחשוב, אשר יכול לשמש כפיתיון לתוקפים לנצל את המערכת לביצוע מתקפות. פגיעויות עשויות לנבוע מטעויות תכנות, עיצוב לקוי או בעיות תאימות, והן מהוות את הבסיס להתקפות כגון הזרקת קוד או מתקפות מניעת שירות.
למרות שמטרת המפתחים היא לספק מוצר הפועל בצורה מושלמת כמתוכנן, כמעט כל תוכנה וחומרה מכילות באגים. אם באג יוצר סיכון אבטחה, הוא נקרא פגיעות. לעיתים קרובות משחררים עדכונים (פאטצ׳ים) לתיקון פגיעויות שזוהו, אך אלו שנשארו לא ידועים (zero day) וכן אלו שלא תוקנו עדיין, עדיין עלולות להיות מנוצלות. הספק של התוכנה אינו נושא באחריות משפטית על העלות אם נעשה שימוש בפגיעות במתקפה, מה שיוצר תמריץ לייצר תוכנה זולה יותר אך פחות מאובטחת. פגיעויות משתנות ביכולתם להיות מנוצלות על ידי גורמים זדוניים. הפגיעויות היקרות ביותר מאפשרות לתוקף להזריק ולהריץ קוד משלו (המכונה מאלוור), ללא ידיעת המשתמש. ללא פגיעות המאפשרת גישה, התוקף לא יכול לחדור למערכת.
עדכון (פאטצ׳):
עדכון, או פאטצ׳, הוא תיקון תוכנתי המופץ על ידי מפתחי התוכנה או הספק, במטרה לתקן באגים ופגיעויות שהתגלו במערכת. עדכונים הם חלק חיוני מתחזוקת מערכות המחשוב ומסייעים לשמור על רמת אבטחה גבוהה ומניעת ניצול זדוני של מערכות.
מודל הפגיעות (VM)
מודל הפגיעות (VM) מזהה דפוסי מתקפה, איומים ונכסים יקרי ערך, אשר יכולים להיות פיזיים או בלתי מוחשיים. הוא מתייחס לנושאי אבטחה כגון סודיות, שלמות, זמינות ואחריותיות בהקשרים של עסקים, יישומים או תשתיות.
מודל הפגיעות הוא מסגרת ניתוח שמטרתה לזהות את נקודות התורפה במערכות מחשוב, לאתר דפוסי מתקפה פוטנציאליים ולהעריך את הסיכונים הנלווים לנכסים קריטיים. המודל מסייע בקביעת אסטרטגיות הגנה יעילות ובשיפור התגובה לאירועי אבטחה.
הגנה
אבטחת סייבר ועמידות סייבר
ארכיטקטורת המערכת והחלטות התכנון משחקות תפקיד מרכזי בקביעת רמת הבטיחות שלה. הגישה המסורתית לשיפור האבטחה היא זיהוי מערכות פגיעות למתקפה וחיזוקן כדי להקשות על ביצוע מתקפות, אך גישה זו יעילה רק חלקית. הערכת סיכונים פורמלית עבור מערכות מורכבות ומקושרות מאוד היא בלתי מעשית, והשאלה כמה להשקיע באבטחה היא קשה למענה. בשל אופיין המשתנה והבלתי ודאי של איומי הסייבר, הערכת הסיכונים עלולה להניב תרחישים יקרים או בלתי ניתנים למימוש. נכון לשנת 2019, אין מערכות הגנה אקטיביות זמינות מסחרית ונפוצות להגנה על מערכות על ידי הגדלת המורכבות או השונות במערכות כדי להקשות על מתקפה. לעומת זאת, גישת עמידות הסייבר מניחה שהפרצות יתרחשו ומתרכזת בהגנה על פונקציונליות חיונית גם אם חלקים מהמערכת נפגעים, תוך שימוש בגישות כגון מיקרו-סגמנטציה, אפס אמון (zero trust) ותכנון המשכיות עסקית.
מיקרו-סגמנטציה:
מיקרו-סגמנטציה היא שיטה לחלוקה והפרדה של רשתות מחשוב לתת-רשתות קטנות יותר, כך שגם במקרה של פריצה לאחד הסגמנטים, הנזק יוגבל ולא יתפשט לכל המערכת. גישה זו מאפשרת שליטה מדויקת בהרשאות גישה ומגבילה את אפשרויות התוקף לנוע חופשית בתוך המערכת.
רוב המתקפות ניתנות למניעה על ידי הבטחת עדכון מלא של כל התוכנות. עם זאת, מערכות מעודכנות לחלוטין עדיין חשופות לניצול פגיעויות מסוג zero-day. הסיכון הגבוה ביותר למתקפה מתרחש מיד לאחר חשיפת פגיעות לציבור או שחרור עדכון, משום שתוקפים יכולים ליצור ניצולים (exploits) במהירות רבה יותר מהקצב שבו ניתן לפתח ולהפיץ עדכון.
ניצול (Exploit):
ניצול הוא קוד או טכניקה בהן תוקפים מנצלים חולשה או פגם במערכת כדי להשיג גישה לא מורשית או לבצע פעולות זדוניות. ניצול פגיעות הוא השלב הקריטי במתקפה, שבו הפגם הופך לכלי בידי התוקף להשגת מטרותיו.
פתרונות תוכנה שואפים למנוע גישה לא מורשית ולזהות פריצות של תוכנה זדונית. הכשרת המשתמשים יכולה לסייע במניעת מתקפות סייבר (למשל, לא ללחוץ על קישור חשוד או קובץ מצורף למייל), במיוחד מתקפות שתלויות בטעות אנוש. עם זאת, יותר מדי כללים עלולים לגרום לעובדים להתעלם מהם, מה שמבטל את השיפור באבטחה. חלק מהמתקפות מבפנים יכולות להימנע גם על ידי שימוש בכללים ונהלים. פתרונות טכניים יכולים למנוע רבות מהסיבות לשגיאות אנוש שמשאירות את הנתונים חשופים לתוקפים, כגון הצפנת כל הנתונים הרגישים, מניעת שימוש בסיסמאות לא מאובטחות על ידי עובדים, התקנת תוכנת אנטי-וירוס למניעת מאלוור, והטמעת מערכת עדכונים חזקה שמבטיחה שכל המכשירים יהיו מעודכנים.
הצפנה:
הצפנה היא תהליך שבו המידע מומר לפורמט לא קריא, באמצעות אלגוריתמים מתמטיים, כך שרק בעלי מפתח הצפנה נכון יוכלו לשחזר את המידע המקורי. היא מהווה שכבת הגנה חיונית להעברת מידע רגיש ולשמירת סודיותו.
קיימות מעט עדויות לגבי היעילות והחסכוניות של אמצעי מניעה שונים למתקפות סייבר. למרות שהקפדה על אבטחה יכולה להפחית את סיכון המתקפה, השגת אבטחה מושלמת למערכת מורכבת היא בלתי אפשרית, ורבים מהאמצעים לאבטחה מגיעים בעלויות בלתי מתקבלות או פוגעים בשימושיות. לדוגמה, הפחתת המורכבות והפונקציונליות של המערכת יעילה בהקטנת משטח ההתקפה.
ניתוק מערכות מהאינטרנט הוא אמצעי יעיל באמת למניעת מתקפות, אך הוא לעיתים רחוקות ישים.
בחלק מהתחומים המשפטיים קיימות דרישות חוקיות להגנה מפני מתקפות.
משטח התקפה:
משטח התקפה מתייחס לכל נקודות התורפה במערכת, כלומר למרחב הכולל של כל החיבורים, הממשקים והחולשות אשר יכולות לשמש כתשתית למתקפה. הקטנת משטח התקפה נעשית באמצעות סגירת חיבורים לא נחוצים, צמצום מורכבות ושימוש בטכנולוגיות הגנה מתקדמות.
תהליך וסוגי מתקפה
אבטחת מחשבים פגיעויות ומתקפות
שרשרת ההשמדה (kill chain) לפריצות אבטחת מידע
מודל נוסף של שרשרת מתקפת הסייבר
שרשרת ההשמדה היא התהליך שבו מבצעים את מתקפות הסייבר.
שרשרת ההשמדה (Kill Chain):
שרשרת ההשמדה היא מודל המתאר את שלבי המתקפה, החל מהשגת מודיעין והכנה ראשונית, דרך זיהוי חולשות, יצירת ניצול (exploit), עד להזרקת תוכנה זדונית ולביצוע פעולות נוספות כמו גניבת נתונים. המודל מסייע לארגונים לזהות מוקדם שלבים במתקפה ולנקוט בצעדים למניעת נזק.
זיהוי: תוקפים פוטנציאליים מחפשים מידע אודות המערכת במטרה לבחור אותה כיעד. הם עשויים לחפש מידע זמין לציבור או לבצע מתקפות הנדסה חברתית כדי להשיג פרטים נוספים אודות מערכות היעד.
הנשק: לאחר מציאת פגיעות, התוקפים בונים ניצול (exploit) כדי לקבל גישה, ותוכנה זדונית (מאלוור) לצורך ביצוע המתקפה.
אספקה: לאחר שהכל מוכן, המאלוור מועבר אל היעד.
רוב פריצות הנתונים והחדירות עם תוכנות זדוניות מתאפשרות באמצעות פישינג, שבו התוקף שולח תקשורת זדונית, לעיתים קרובות במייל, בניסיון לגרום לנמען ללחוץ על קישור או קובץ מצורף שיביאו להעלאת המאלוור.
הורדה אוטומטית (Drive-by-download) אינה דורשת לחיצות, רק ביקור באתר זדוני.
לפעמים מתקפה מתבצעת על ידי מבפנים, המשתמשים בהרשאות שלהם כדי לעקוף את האבטחה.
חלק מהמתקפות מועברות בעקיפין דרך חברות קשורות שיש להן מערכת יחסים עסקית עם היעד.
אחרות עשויות להתבצע באמצעות גישה ישירה לחומרה, בעיקר במקרים של שוחד או סחיטה.
ניצול: תוכנת התוקף מתבצעת במערכת היעד, ולעיתים קרובות יוצרת דלת אחורית (backdoor) כדי לאפשר שליטה מרחוק על ידי התוקף.
רבים מהתוקפים אינם משיקים מתקפה מידית.
התוקף שואף לעיתים להמשיך לפעול גם לאחר הפסקת המערכת (כגון קריסה או אתחול), לעקוף זיהוי, ולהגביר את ההרשאות, ולבצע ריבוי ערוצי תקשורת עם הבקרה.
פעולות נוספות נפוצות כוללות תגובה לשליטה מרחוק ואיסוף והעתקת נתונים למכשיר הנשלט על ידי התוקף (גניבת נתונים).
הנדסה חברתית:
הנדסה חברתית היא טכניקה שבה תוקפים מנצלים את נטיות האמון והסקרנות של בני אדם כדי להשיג מידע רגיש או לגרום להם לבצע פעולות מסוימות. השיטה מתבססת על מניפולציה פסיכולוגית ועל שימוש באמצעים תקשורתיים (כגון טלפונים, מיילים או רשתות חברתיות) כדי לעקוף אמצעי אבטחה טכניים.
פעילות
לאחר התקנת המאלוור, פעילותו משתנה מאוד בהתאם למטרות התוקף. תוקפים רבים מנסים לרגל אחרי מערכת מבלי להשפיע עליה. למרות שסוג זה של מאלוור יכול לגרום לתופעות לוואי בלתי צפויות, הוא לעיתים קרובות קשה מאוד לזיהוי.
רשתות בוטנט הן רשתות של מכשירים שנפרצו, שיכולות לשמש לשליחת ספאם או לביצוע מתקפות מניעת שירות (DoS) – בהן מערכת מוצפת בבקשות רבות מדי עד שהיא הופכת לבלתי שמישה.
תוקפים עשויים גם להשתמש במחשבים כדי לכרות מטבעות קריפטוגרפיים, כגון ביטקוין, למטרות רווח אישי.
רנסומוור הוא תוכנה המשמשת להצפנה או השמדת נתונים; התוקפים דורשים תשלום עבור השבת המערכת היעד.
הופעת המטבעות הקריפטוגרפיים, המאפשרים עסקאות אנונימיות, הובילה לעלייה דרמטית בדרישות הכופר.
רשת בוטנט:
רשת בוטנט היא קבוצת מכשירים שנפרצו ונלקחו תחת שליטת תוקף, אשר מנוהלים באופן מרוכז לביצוע פעולות זדוניות כגון מתקפות מניעת שירות, שליחת ספאם או ביצוע פעולות נוספות. כל מכשיר ברשת (בוט) פועל תחת פיקוד מרכזי, מה שמאפשר לתוקף לתאם מתקפות רחבות וקשות לעצירה.
מבצעים ומניעים
הסטריאוטיפ של ההאקר הוא אדם העובד לבד. עם זאת, רבות מאיומי הסייבר מבוצעים על ידי צוותים של מומחים בעלי משאבים רבים. הכנסות גוברות לפושעי סייבר מובילות למתקפות רבות יותר, המגדילות את רמת המקצועיות ואת ההתמחות של התוקפים. בנוסף, בשונה מצורות פשע אחרות, פשעי סייבר יכולים להתבצע מרחוק, והתקפות סייבר לעיתים קרובות מתרחבות היטב.
מתקפות סייבר רבות נגרמות או מונעות על ידי מבפנים, לעיתים קרובות על ידי עובדים שעוקפים נהלי אבטחה כדי לבצע את עבודתם בצורה יעילה יותר. תוקפים משתנים מאוד במיומנותם, במורכבותם ובנחישותם לתקוף מטרה מסוימת, לעומת בחירה אקראית של מטרה קלה לתקיפה. רמת המיומנות של התוקף קובעת את סוגי המתקפות שהוא מוכן לבצע. התוקפים המורכבים ביותר יכולים להמשיך לפעול ללא זיהוי במערכת מחוזקת למשך תקופה ממושכת.
המניעים והמטרות משתנים גם הם. תלוי אם האיום הצפוי הוא ריגול פסיבי, מניפולציה של נתונים או חטיפה פעילה, ייתכן שיהיה צורך בשיטות מניעה שונות.
ספקי תוכנה וממשלות מעוניינים בעיקר בפגיעויות שלא נחשפו (zero-days), בעוד שקבוצות פשע מאורגנות מתעניינות יותר בערכות ניצול מוכנות לשימוש המבוססות על פגיעויות ידועות, שהן הרבה יותר זולות. חוסר השקיפות בשוק גורם לבעיות, כגון קושי להבטיח שהפגיעות מסוג zero-day לא נמכרה לצד אחר. גם הקונים וגם המוכרים מפרסמים ברשת האפלה ומשתמשים במטבעות קריפטוגרפיים לעסקאות בלתי ניתנות למעקב.
בשל הקושי בכתיבה ותחזוקה של תוכנה שיכולה לתקוף מגוון רחב של מערכות, גילו הפושעים שהם יכולים להרוויח יותר כסף על ידי השכרת הניצולים שלהם במקום להשתמש בהם ישירות.
פשעי סייבר כשירות, בהם האקרים מוכרים תוכנה ארוזה מראש שיכולה לשמש לביצוע מתקפת סייבר, הולכים ותופסים פופולריות כפעילות בעלת סיכון נמוך ורווחיות גבוהה יותר מאשר פריצה מסורתית. צורה מרכזית של פעילות זו היא יצירת רשת בוטנט של מכשירים שנפרצו והשכרתה או מכירתה לפושע סייבר אחר. רשתות בוטנט שונות מצוידות למשימות שונות כגון מתקפות DDOS או שבירת סיסמאות. ניתן גם לרכוש את התוכנה המשמשת ליצירת רשת בוטנט ובוטים שמטעינים את המאלוור של הרוכש למכשירי הרשת.
-DDOS כשירות, באמצעות רשתות בוטנט הנשמרות תחת שליטת המוכר, הוא גם נפוץ, ועשוי להיות מוצר ראשון בתחום פשעי סייבר כשירות, וניתן לבצעו גם על ידי הצפת SMS ברשת הסלולרית.
תוכנות זדוניות ורנסומוור כשירות הפכו את זה לאפשרי עבור יחידים ללא יכולת טכנית לבצע מתקפות סייבר.
פשעי סייבר כשירות:
פשעי סייבר כשירות (Cybercrime as a Service) הם מודל עסקי שבו כלים, תוכנות ושירותים המאפשרים ביצוע מתקפות סייבר נמכרים או מושכרים על ידי גורמים מומחים. מודל זה מוריד את רף הכניסה לעולם הפשע הדיגיטלי בכך שהוא מאפשר גם לאנשים חסרי מומחיות טכנית לבצע מתקפות, תוך שימוש בכלים מוכנים מראש כמו ערכות ניצול, רשתות בוטנט ותוכנות זדוניות.
יעדים ותוצאות
יעדי מתקפות הסייבר נעים מאנשים פרטיים ועד תאגידים וגופים ממשלתיים.
רבות ממתקפות הסייבר ניתנות לנטרול או אינן מצליחות, אך אלו שמצליחות יכולות לגרום להשלכות הרסניות.
הבנת ההשפעות השליליות של מתקפות סייבר מסייעת לארגונים לוודא שהאסטרטגיות למניעתן הן חסכוניות.
מחקר אחד מסווג את הנזק הנגרם על ידי מתקפות סייבר במספר תחומים:
• נזק פיזי, הכולל פציעה, מוות או השמדת רכוש
• נזק דיגיטלי, כגון השמדת נתונים או הכנסת תוכנה זדונית
• הפסדים כלכליים, כגון אלו הנגרמים מהפרעות בפעילות, עלויות חקירה או קנסות רגולטוריים
• נזק פסיכולוגי, כמו עצבנות המשתמשים בעקבות חשיפת המידע שלהם
• נזק למוניטין, אובדן מוניטין שנגרם מהמתקפה
• תופעות לוואי שליליות על החברה בכללותה, כגון אובדן גישה של צרכנים לשירות חיוני
• נתוני צרכנים
• פריצת נתונים
אלפי רשומות נתונים נגנבות מאנשים פרטיים מדי יום. על פי הערכה מ-2020, 55% מפריצות הנתונים נגרמו על ידי פשע מאורגן, 10% על ידי מנהלי מערכות, 10% על ידי משתמשי קצה כגון לקוחות או עובדים, ו-10% על ידי מדינות או גורמים הקשורים למדינה. פושעים אופורטוניסטיים עשויים לגרום לפריצות נתונים – לעיתים קרובות באמצעות מאלוור או מתקפות הנדסה חברתית, אך הם נוטים לעבור הלאה אם רמת האבטחה היא מעל הממוצע. פושעים מאורגנים יותר מחזיקים במשאבים רבים יותר ומתמקדים ביעדי נתונים ספציפיים. שניהם מוכרים את המידע שהם מקבלים למטרות רווח. מקור נוסף לפריצות נתונים הם האקרים בעלי מניעים פוליטיים, לדוגמא Anonymous, הפוגעים ביעדים ספציפיים. האקרים הנתמכים על ידי מדינות פוגעים באזרחים או בגופים זרים, למטרות כמו דיכוי פוליטי וריגול.
לאחר פריצת נתונים, הפושעים מרוויחים כסף על ידי מכירת המידע – כגון שמות משתמש, סיסמאות, פרטי חשבונות ברשתות חברתיות, מספרי כרטיסי אשראי ומידע רפואי אישי. מידע זה יכול לשמש למגוון מטרות, כגון ספאם, רכישת מוצרים באמצעות מידע נאמנות או תשלום, הונאות תרופות, הונאות ביטוח ובעיקר גניבת זהות.
הפסדי הצרכנים בעקבות פריצה הם לרוב תופעה שלילית עבור העסק.
פריצת נתונים (Data Breach):
פריצת נתונים היא אירוע שבו מידע רגיש או חסוי נחשף או נגנב בצורה לא מורשית. הפריצה עלולה להתרחש עקב מתקפות סייבר, טעויות אנוש או כשלים טכניים, והיא גורמת לנזקים כלכליים, אובדן אמון ושבר במוניטין של הארגון.
תשתיות קריטיות
תשתיות קריטיות הן אלו הנחשבות לחשובות ביותר – כגון שירותי בריאות, אספקת מים, תחבורה ושירותים פיננסיים – והן כפופות במידה רבה למערכות סייבר-פיזיות התלויות בגישה לרשת לצורך תפקודן. במשך שנים הזהירו כותבים מהשלכות קטסטרופליות של מתקפות סייבר, אשר עד כה (נכון ל-2023) לא התממשו.
תרחישים קיצוניים אלו עדיין יכולים להתרחש, אך רבים מהמומחים סבורים כי לא סביר שיהיה ניתן להתגבר על האתגרים ביצירת נזק פיזי או בהפצת אימה.
מתקפות סייבר בקנה מידה קטן יותר, שלעיתים גורמות להפרעות בשירותים חיוניים, מתרחשות באופן קבוע.
מערכת סייבר-פיזית:
מערכת סייבר-פיזית היא מערכת שמשלבת רכיבים פיזיים (כמו חיישנים, בקרות ומכשירים) עם טכנולוגיות מידע מתקדמות, כך שהיא תלויה בתקשורת נתונים ובבקרת רשת לצורך תפעול. מערכות אלו נפוצות בתשתיות קריטיות ודורשות הגנה חזקה, כיוון שחדירה אליהן עלולה לגרום לנזק פיזי ממשי.
תאגידים וארגונים
קיימות מעט ראיות אמפיריות לנזק כלכלי (כגון נזק למוניטין) בעקבות פריצות, מלבד העלויות הישירות בנושאים כמו עלויות משפטיות, טכניות ומאמצי שיקום יחסי הציבור. מחקרים שניסו לקשר בין מתקפות סייבר לירידות קצרות טווח במחירי המניות מצאו תוצאות סותרות – חלקם מצאו הפסדים מתונים, אחרים לא מצאו השפעה, וחוקרים ביקרו את המחקרים על רקע מתודולוגי.
השפעת המתקפה על מחיר המניה עשויה להשתנות בהתאם לסוג המתקפה.
חלק מהמומחים טוענים כי העדויות מצביעות על כך שאין נזק ישיר או נזק למוניטין בגובה שיספק תמריץ מספק למניעתן.
נזק למוניטין:
נזק למוניטין מתייחס לאובדן האמון הציבורי, האמון מצד לקוחות, משקיעים ושותפים עסקיים בעקבות אירועי אבטחת מידע או פריצות. נזק זה יכול לגרום להפסדים עקיפים כבדים ולהשפיע על עתיד החברה בשוק.
ממשלות
בשנת 2022, אתרי ממשלה של קוסטה ריקה לא היו פעילים עקב מתקפת רנסומוור.
אתרי ממשלה ושירותים ממשלתיים הם בין אלו שנפגעים ממתקפות סייבר.
חלק מהמומחים סבורים שמתקפות סייבר עלולות להחליש את האמון החברתי או את האמון בממשלה, אך נכון ל-2023 העדויות לכך מוגבלות.
אתר ממשלתי:
אתר ממשלתי הוא פלטפורמה דיגיטלית המנוהלת על ידי גוף ממשלתי, שמטרתה לספק מידע ושירותים לציבור. בשל חשיבותם הרבה, אתרים אלו חייבים להיות מאובטחים במיוחד כדי למנוע פריצות והשפעות שליליות על השירות הציבורי והאמון בממשלה.
תגובות
ניהול אירועי אבטחת מחשבים
תגובה מהירה למתקפות היא דרך יעילה להגבלת הנזק.
התגובה צפויה לדרוש מגוון רחב של מיומנויות, החל מחקירה טכנית ועד משפטית ויחסי ציבור.
בגלל שכיחות מתקפות הסייבר, חברות מסוימות מתכננות את תגובתן לאירועים עוד לפני גילוי מתקפה, ויכולות למנות צוות תגובה חירום למחשבים כדי להיות מוכנות לטפל באירועים.
צוות תגובה חירום למחשבים (CERT):
צוות תגובה חירום למחשבים הוא קבוצה של מומחי אבטחת מידע שמוקצית לטיפול מיידי באירועי סייבר. תפקידו לכלול זיהוי, ניתוח וטיפול בתקריות, וכן לתאם פעולות שיקום ולסייע במניעת נזק עתידי.
זיהוי
מתקפות רבות אינן מתגלות כלל. מביניהן, זמן הגילוי הממוצע הוא 197 ימים.
חלק מהמערכות יכולות לזהות ולסמן חריגות שעשויות להעיד על מתקפה, באמצעות טכנולוגיות כגון אנטי-וירוס, חומת אש או מערכת לזיהוי פריצות. ברגע שמתעוררת חשד לפעילות חשודה, החוקרים מחפשים אינדיקטורים למתקפה ואינדיקטורים להפרה. גילוי מתקפה הוא מהיר יותר וסביר יותר כאשר המתקפה מכוונת לזמינות המידע (למשל, מתקפת מניעת שירות) מאשר לשלמות (שינוי נתונים) או לסודיות (העתקת נתונים ללא שינוי). גורמים מדינתיים נוטים לשמור על סודיות המתקפה.
מתקפות מתוחכמות המשתמשות בניצולים יקרים פחות נחשפות או מוכרזות – מכיוון שהתוקף מעוניין לשמור על תועלת הניצול.
איסוף ראיות מתבצע מיד, תוך מתן עדיפות לראיות נדיפות שעלולות להימחק במהירות.
איסוף נתונים אודות הפריצה יכול להקל על תהליכי תביעה משפטית או פרקליטות פלילית, אך רק אם הנתונים נאספים בהתאם לסטנדרטים משפטיים ושמירה על רצף ההסמכה.
מערכת לזיהוי פריצות (IDS):
מערכת לזיהוי פריצות היא מערכת תוכנה/חומרה אשר מנטרת את תעבורת הרשת ומנתחת פעילות חשודה, במטרה לזהות ולדווח בזמן אמת על ניסיונות פריצה או מתקפות. המערכת מאפשרת תגובה מהירה ומסייעת בהקטנת נזקי מתקפות הסייבר.
שיקום
סגירת המערכת שנפגעה היא לרוב עדיפות גבוהה לאחר מתקפה, והיא עשויה להתבצע על ידי כיבוי, בידוד, שימוש במערכת סנדבוקס כדי לברר פרטים נוספים על התוקף, תיקון הפגיעות ועדכון המערכת.
לאחר זיהוי האופן המדויק שבו נפגעה המערכת, לרוב נותרו רק אחת או שתיים מהפגיעויות הטכניות שצריך לטפל בהן כדי לסגור את הפרצה ולמנוע הישנותה. בדיקת חדירה (penetration test) יכולה לאשר שהתיקון פועל כמצופה.
אם מעורבת תוכנה זדונית, על הארגון לחקור ולסגור את כל נתיבי ההחדירה והגניבה (exfiltration), וכן לאתר ולהסיר את כל המאלוור מהמערכות. סגירת הפרצה עלולה לפגוע בחקירה, וחלק מהטקטיקות (כגון כיבוי שרתים) עלולות להפר את ההתחייבויות החוזיות של החברה.
לאחר שהפריצה נסגרה לחלוטין, החברה יכולה לעבוד על שחזור כל המערכות לפעילות.
שמירה על גיבוי וביצוע תהליכי תגובה לאירועים שנבדקו, משמשים לשיפור השיקום.
בדיקת חדירה (Penetration Test):
בדיקת חדירה היא תהליך מבוקר בו מומחי אבטחת מידע מנסים לחדור למערכת בצורה מדומה, במטרה לזהות חולשות ולוודא שהאמצעים להגנה אכן עובדים כמצופה. תהליך זה מסייע לארגונים להבין את רמת האבטחה ולהתכונן למתקפות עתידיות.
זיהוי מקור המתקפה (Attribution)
זיהוי מקורות מתקפת סייבר ופורנזיקה דיגיטלית
לייחס מתקפת סייבר לגורם מסוים הוא קשה, ובתחום החברות הנפגעות מתקפות סייבר אין לכך עניין רב. לעומת זאת, שירותי מודיעין נוטים להיות בעלי עניין עז בבירור אם מתקפה נגרמה על ידי מדינה. בשונה ממתקפות שמתבצעות פיזית, קביעה של הגורם מאחורי מתקפת סייבר היא משימה מאתגרת.
אתגר נוסף בזיהוי המקור של מתקפות סייבר הוא האפשרות של מתקפת דגל שקרי, בה המבצע האמיתי גורם להיראות כאילו מתקפה בוצעה על ידי גורם אחר.
כל שלב במתקפה עשוי להשאיר עקבות, כגון רשומות ביומני מערכת, אשר ניתן להשתמש בהן כדי לקבוע את מטרות וזיהוי התוקף.
לאחר מתקפה, החוקרים לעיתים קרובות מתחילים באיסוף כמה שיותר של עקבות, ולאחר מכן מנסים לזהות את התוקף.
רשויות אכיפת החוק עשויות לחקור אירועי סייבר, אם כי האקרים אחראיים כמעט ולא נתפסים.
פורנזיקה דיגיטלית:
פורנזיקה דיגיטלית היא תחום המתמקד בזיהוי, איסוף, ניתוח ושימור ראיות ממערכות מחשוב, רשתות ומכשירים דיגיטליים. באמצעות כלים מתקדמים, פורנזיקה דיגיטלית מסייעת בזיהוי גורמים אחראיים למתקפות, בביסוס ראיות לתהליכים משפטיים ובשיפור האבטחה בעתיד.
חוקים
מדריך טאלין (Tallinn Manual)
רוב המדינות מסכימות שמתקפות סייבר מוסדרות תחת החוקים הקובעים את השימוש בכוח לפי המשפט הבינלאומי, ולכן מתקפות סייבר כצורת מלחמה ככל הנראה מפרות את האיסור על האגרסיה. על כן, ניתן לתבוע אותן כעבירת אגרסיה. יש גם הסכמה שמתקפות סייבר מוסדרות לפי המשפט ההומניטרי הבינלאומי, ואם הן מכוונות לתשתיות אזרחיות, ניתן לתבוע אותן כעבירת מלחמה, עבירה נגד האנושות או מעשה של השמדה (ג’נוסייד). בתי משפט בינלאומיים אינם יכולים לאכוף חוקים אלה ללא זיהוי אמין של מקור המתקפה, ובלעדיו אמצעי נגד מצד מדינה אינם חוקיים.
במספר מדינות, מתקפות סייבר ניתנות לתביעה לפי חוקים שונים המיועדים לפשעי סייבר. הקביעה כי מתקפה נגרמה על ידי הנאשמים מעבר לכל ספק סביר היא אתגר מרכזי בהליכים פליליים. בשנת 2021, מדינות החברות באומות המאוחדות החלו במשא ומתן על טיוטת אמנת פשעי סייבר.
ברבות מהתחומי שיפוט קיימים חוקים על הודעת פריצות נתונים, המחייבים ארגונים להודיע לאנשים שמידע אישי שלהם נחשף במתקפת סייבר.
אמנת פשעי סייבר:
אמנת פשעי סייבר היא מסמך משפטי בינלאומי המיועד להסדיר את הגדרת עבירות הסייבר, לקבוע תקנים משפטיים ונהלים לשיתוף פעולה בין מדינות במאבק בפשעי סייבר. מטרתה ליצור מסגרת אחידה להגשת תביעות, להעמקת שיתוף הפעולה הבינלאומי ולהגברת האכיפה של עבירות בסביבה הדיגיטלית.
