ארבע שנים חלפו מאז המתקפה על בית החולים "הלל יפה", אירוע שהדגיש את הפגיעות של מערכת הבריאות בישראל. מאז אירועי אוקטובר 2023, הסביבה המקוונת של ישראל הפכה לחזית סוערת: המדינה ספגה 3,380 מתקפות סייבר עד סוף השנה, המייצגות עלייה של פי 2.5 לעומת תקופות מקבילות בעבר. 800 מהאירועים הללו סווגו כבעלי "פוטנציאל משמעותי לנזק".
ישראל - יעד מרכזי לתקיפות
לפי דוח ההגנה הדיגיטלית של מיקרוסופט לשנת 2025, ישראל מדורגת שלישית בעולם במספר מתקפות הסייבר המופנות אליה, שנייה רק לארה"ב ולבריטניה, וספגה 3.5% מכלל המתקפות הגלובליות.
במזרח התיכון ואפריקה, ישראל נמצאת במקום הראשון, לאחר שספגה 20.4% מכלל אירועי הסייבר המתועדים באזור. מול המדינה ניצבים אויבים עיקשים כמו איראן, המכוונת כ-64% מכלל פעילות הסייבר העולמית שלה כלפי יעדים ישראליים במטרה לאסוף מודיעין, לשבש שירותים ולהפיץ תעמולה.
המתקפות מבוצעות לא רק דרך חולשות ופרצות, אלא גם על ידי שימוש בפרטי הזדהות שנפגעו כתוצאה מפריצות לגופים אחרים או באמצעות מתקפות פישינג קלאסיות (מבוססות הנדסה חברתית) שמצליחות להוביל לגישה בלתי מורשית למחשבי ארגונים.
המתקפות מבוצעות לא רק דרך חולשות ופרצות, אלא גם על ידי שימוש בפרטי הזדהות שנפגעו כתוצאה מפריצות לגופים אחרים
מרות נוכחות מתמדת של גורמים מדינתיים (כמו הממשלות שמהוות 17% מהיעדים הגלובליים), המוטיבציה העיקרית מאחורי המתקפות נותרה כלכלית: ב-80% מהמקרים התוקפים ביקשו לגנוב מידע, וביותר מחצי מהמקרים (52%) המניע היה סחיטה או כופרה. בשיחה עם אמיר פרמינגר, CTO של חברת קלארוטי, המתמחה בהגנה על תשתיות קריטיות, אנו מנסים להבין היכן אנו עומדים כיום מול איומי הסייבר הללו, ומה צופן העתיד.
חשיפה ואיומים: האם בתי החולים מוגנים?
קלארוטי פרסמה נתונים על תקיפות סייבר. האם המספרים שפרסמתם משקפים את מלוא התמונה, והאם הם כוללים רק תקיפות מוצלחות?
"חשוב להגדיר מהי תקיפה. הנתונים שלנו מגיעים בעיקר מפרסומים של קבוצות תקיפה שונות - אם במדיה פורמלית או ברשת האפלה. אנחנו מנטרים את הרשת האפלה, קבוצות טלגרם ופורומים כדי לזקק אינדיקציות לתקיפות שקשורות באופן ודאי לתשתיות קריטיות, כגון בתי חולים, ובמיוחד ארגונים הנמצאים תחת המטריה של קלארוטי.
"אנחנו משקיעים משאבים רבים כדי לוודא שיש תוצרים המעידים על חדירה או גניבת מידע (כמו מדיקל רקורד או שרתי בתי חולים פנימיים). זו ולידציה מינימלית, ומה שפורסם זה מה שהצלחנו לזקק".
הנתונים שפרסמתם מעלים תמונה מדאיגה במיוחד לגבי ישראל. מה המשמעות של העובדה שב-3 השנים האחרונות בוצעו בישראל למעלה מ-136 תקיפות מדווחות על ידי יותר מ-20 קבוצות האקרים? ועד כמה בתי החולים חשופים?
"המספרים הללו מחייבים אותנו להתעורר. מתוך כלל התקיפות המדווחות בישראל בשלוש השנים האחרונות, 34 תקיפות, כ-25%, כוונו ישירות לתשתיות קריטיות. גרוע מכך, 8 מתוך 136 התקיפות, כ-5%, כוונו ישירות כנגד ארגוני בריאות.
"רשתות של בתי חולים הן רשתות ארגוניות לכל דבר ועניין, בדומה לרשת מחשבים בחברת ביטוח או במפעל. האיומים רק גדלים. בתי החולים בישראל צוברים איומים מהאקרים והאקטיביסטים, שרוצים להוכיח שהם הצליחו לפגוע בהם, ורמת החשיפה שלהם דומה לכל ארגון אחר. עם זאת, בגלל הדיגיטציה, בתי החולים חשופים ליותר משאבים חיצוניים".
"מתוך כלל התקיפות המדווחות בישראל בשלוש השנים האחרונות, 34 תקיפות, כ-25%, כוונו ישירות לתשתיות קריטיות"
אילו מגמות בולטות בשיטות התקיפה אתם מזהים, ומהן החולשות המאפשרות את רובן?
"בשנים האחרונות אנו עדים לגידול משמעותי במתקפות שדורשות כופרה (Ransomware) וגניבת נתונים. המניע של התוקפים משלב בין דרישת כופר לבין רצון לפגוע במוניטין. מעבר למוטיבציה, החולשות שמאפשרות את מרבית החדירות נותרו בסיסיות למרבה הצער, והן כוללות שימוש בסיסמאות חלשות ומחזור שלהן; ויתור על עדכוני תוכנה; ושימוש בפרוטוקולים ותוכנות מיושנים שאינם נחשבים לבטוחים".
מדינות, כפתור אדום ומודיעין
כשמדברים על תקיפות ממדינות, האם יש חשש שהתיקים הרפואיים שלנו ימצאו את דרכם למדינות אויב, ומה ההבדל בין מתקפת כופרה לתקיפה מדינתית?
"המניע של התוקף הוא המפתח. יש הבדל בין קמפיין מדינתי לגניבת מידע לבין כופרה שמטרתה כסף או תהילה. תקיפות מדינתיות יכולות להתחלק לשניים - כפתור אדום (השבתה), שזה שימוש ביכולת חשאית כדי להפיל מערך של בתי חולים לדוגמה.
"זה אירוע חד-פעמי שנועד ליצור מקסימום השפעה. לגרום לפגיעה בחולים, מוות או מה שנקרא מקסימילס אימפקט. ברגע שמפעילים אותו, התוקף מעלה מודעות ועלול להיזרק מהרשת. האירוע בהלל יפה למשל השבית חלק מהשירותים של בית החולים לתקופה מסוימת.
"התקיפה השנייה היא לשם איסוף מידע. נוכחות חשאית בתוך הרשתות לאיסוף מידע אישי. על כך כנראה שלא נשמע כי הוא לא גורם להשבתת שירות. ככל שהדיגיטציה גוברת, גם מרפאות פרטיות משתמשות במערכות דומות, מה שהופך את המידע האישי לנגיש יותר".
האם המצב כיום באמת "סביר", או שהוא מדאיג?
"זה מדאיג. דברים נפרצים ברמה יומיומית. אין לנו דרך לחזות תקיפות, והדבר היחיד שצריך להדגיש הוא את הצורך להמשיך ולהשקיע באבטחה מתמשכת. תקיפות פשוט קורות, וזה עניין של הסתברות ותזמון".
מהפכת ה-AI וכניסתם של הסוכנים החכמים
דיברת על בינה מלאכותית והנגשת יכולות תקיפה. האם AI יוצר פער בין התוקפים למגנים, או שיש לנו כלי הגנה דומים?
"זה תמיד יהיה משחק חתול ועכבר. היכולת ניתנה לשני הצדדים, אבל ההגנה תמיד קשה יותר מהתקיפה. בינה מלאכותית שיפרה משמעותית את הזמן לניצול חולשה, והיא מאפשרת לתוקף, שבעבר לא היה לו ידע בשפת תכנות או פלטפורמה מסוימת, לרכוש ידע ולהשתמש בו בסדרי גודל גדולים ומהירים יותר".
האם יש כבר סוכנים חכמים שיכולים לבצע תקיפה באופן אוטונומי?
"כן, יש כבר מספר סוגים שונים של סוכנים שמסוגלים לכך. ההבדל מכלים אוטומטיים שהיו בעבר הוא ש-AI יודעת לקבל החלטות מושכלות. במקום כלי סריקה פשוט, AI מכניסה אלמנט של קבלת החלטות ויכולת למידה המקצרת זמנים ומגדילה את כמות המידע שהיא יכולה לבסס עליו את החלטותיה.
"בתחום הרפואי, השימוש בסוכני AI מוביל לשיתוף מידע רפואי רב יותר, מה שמעלה תהיות בנוגע לפרטיות. בנוסף, טכנולוגיות אלו יוצרות משטח חדש לחולשות, והבעיה היא שארגונים ממהרים ליישם אותן בלי להבין מספיק את משמעות האבטחה".
"בינה מלאכותית שיפרה משמעותית את הזמן לניצול חולשה, והיא מאפשרת לתוקף לרכוש ידע ולהשתמש בו בסדרי גודל גדולים ומהירים יותר"
לאן עולם הסייבר צועד בשנים הקרובות להערכתך?
"אם תשאל אותי, אנחנו צועדים לכמה כיוונים. הראשון הוא הגברת השינוי על ידי ה-AI - ארגונים יצטרכו לשתף מידע עם גורמים חיצוניים (כמו שירותי ענן) שיש להם את המשאבים הנדרשים. זה מעלה סוגיות קשות של פרטיות.
"השני הוא עלייה בכמות התקיפות והמורכבות שלהן. כמות התקיפות עולה בצורה מגמתית, והתוקפים נעשים מוכשרים יותר. הכיוון השלישי שאנחנו נראה את עולם הסייבר הולך אליו הוא הצורך בהגנה מחוץ ל'ארבע החומות', כאשר החומה הארגונית המסורתית כבר לא קיימת.
"אנחנו נראה יותר חשיפת מידע עקב גורמי צד שלישי, וארגונים יצטרכו להתערב במצב האבטחה של שותפיהם. ההדדיות הנדרשת הזו תאלץ את כלל הגופים לשפר את יכולות האבטחה שלהם".
איפה אנחנו עומדים מבחינת רגולציה ממשלתית בתחום הסייבר?
"מעורבות הממשלה בהגנה על גופים פרטיים היא מוגבלת מאוד. למרות שלמדינת ישראל יש יכולות סייבר רציניות, יכולתה לאכוף או להעביר ידע לתעשייה הפרטית היא בעייתית, בעיקר בגלל חוק הפרטיות. ספקית אינטרנט או המדינה מנועות מלהתערב בתוכן המגיע ללקוח הפרטי.
"המדינה לא יכולה לכפות על ארגון פרטי להתגונן. דוגמה לשינוי נרשמה בזמן המלחמה, כאשר המדינה העבירה תקנת חירום שאפשרה לה לסגור מצלמות רשת פתוחות. זה הוכיח שהבינו את גודל הבעיה, אך זו פעולה שדורשת רגולציה רבה. כיום, לגופים במדינה אין את הכלים הנדרשים לפעול על בסיס מידע מודיעיני על חולשות חשופות".
האם צריך רגולציה אגרסיבית יותר, או שעדיף פתרון כירורגי לכל בעיה?
"עדיף להתחיל במודעות והרבה חינוך. בגופים גדולים כמו בתי חולים, הממשלה צריכה לעזור תקציבית ובמתן הנחיות וסיוע קריטי במידת הצורך. הבעיה החמורה יותר נמצאת בשוק הפרטי, שם אין גוף מסודר לעבוד מולו, וקשה להגיע לאזרח בקצה. צריך להגביר מודעות, ואולי ליצור דרישה לסט מינימלי של כלים באמצעות חברות ביטוח סייבר".
