תחום הגנת הסייבר על ארגוני תשתיות קריטיות אינו חדש, אך בניגוד לחברות מסחריות שהשקיעו הון וכוח אדם, ואימצו במהירות רבה יותר אסטרטגיית הגנת סייבר (ארגונים קריטיים בתחומי האנרגיה, מים, תחבורה ותקשורת, כמו גם חברות קטנות ובינוניות) - התקשו לעמוד בקצב המהיר. ארגוני אנרגיה פעלו עד לעשור האחרון יותר כחברות תעשייתיות מאשר כחברות טכנולוגיה מתוחכמות.
תהליכי המחשוב והדיגיטציה קרו בקצב איטי, וכך גם הגנת הסייבר שלהם. בשנים האחרונות אנחנו מבחינים בתנועה ברורה של האצת תהליכי הדיגיטציה, מחשוב ומעבר לענן גם בארגונים אלו. בנוסף, אנחנו מבחינים בארגוני תשתית קריטיים שמשקיעים בנושא משאבים ומקצים כוח אדם.
לפי איגוד חברות ה-HLS והסייבר בישראל (ISBU) ישנן כיום בישראל כ-800 חברות סייבר. בכל שנה צומחת התעשייה בעשרות חברות נוספות אבל אין בנמצא מספרים מדוייקים מאחר ורבות מהן פועלות מתחת לרדאר. הערכות לא פורמליות מדברות על היקף צמיחה של בין 3% ל-5% בשנה.
לפי איגוד חברות ה-HLS והסייבר בישראל (ISBU) ישנן כיום בישראל כ-800 חברות סייבר. בכל שנה צומחת התעשייה בעשרות חברות נוספות ורבות מהן פועלות מתחת לרדאר. הערכות לא פורמליות מדברות על היקף צמיחה של בין 3% ל-5% בשנה
בשנים האחרונות נכנסים יותר ויותר משקיעים לתחום הסייבר והיקף ההשקעות בישראל מוערך בכמה מאות מיליוני דולרים בכל שנה. התחום גם ידע מספר אקזיטים גדולים כמו חברת הסייבר גארדיקור (Guardicore) שנמכרה לאקמאי (Akamai) בסכום של כ-600 מיליון דולר, חברת XM Cyber, שנרכשה בשנת 2021 על ידי החברה הגרמנית Schwarz Group בסכום של כ-700 מיליון דולר ואחרים.
לאחר פרסומו של דוח מבקר המדינה בנוגע להיערכות גופים חיוניים להגנת הסייבר בשנת 2019, נראה שממשלת ישראל לקחה ברצינות את האיומים ובחודש מאי 2022, שר התקשורת יועז הנדל וראש מערך הסייבר הלאומי גבי פורטנוי הודיעו על אסדרה חדשה במערך הגנת הסייבר של ישראל, שתחייב את ספקיות התקשורת לעמוד ברמת הגנה ומוכנות כנגד מתקפות סייבר. אלו חדשות טובות שיוצרות סטנדרט אחיד והנחיות ברורות לארגוני תשתית פרטיים או ממשלתיים.
בחינת מצבן של מדינות אחרות בעולם בנוגע לרמת ההגנה של ארגוני תשתיות קריטיות רחוק מלהשביע רצון, אך נראה שבעתיד הקרוב נחזה בשינוי משמעותי. בחודש מרץ 2022, הנשיא ביידן חתם על צו נשיאותי שמחייב חברות לדווח על אירועי סייבר.
הצו שמגן על החברות מפני מתקפות
הצו (CIRCIA) Cyber Incident Reporting for Critical Infrastructure Act יוצר הגנות משפטיות ומספק הנחיות לחברות הפועלות במגזרי תשתית קריטיים, כולל דרישה לדווח על תקריות סייבר תוך 72 שעות, ולדווח על תשלומי כופר תוך 24 שעות. פרסום הצו הנשיאותי נעשה בתגובה למתקפת הסייבר על חברת הזיקוק הגדולה בארה”ב קולוניאל פייפליין (Colonial Pipeline). מתקפת הסייבר נגד חברת קולוניאל פייפליין בוצעה באמצעות תוכנת כופר שאפשרה גניבה של כ-100 ג’יגה בייט של מידע, והביאה להשבתה של מערכות המחשוב של צינור הנפט המרכזי והגדול ביותר בארה״ב, המספק כמעט מחצית מהדלק של מדינות החוף המזרחי. המתקפה גרמה לעצירה מוחלטת של פעילות החברה למשך מספר ימים, למחסור בדלק בנמלי התעופה ובתחנות הדלק במדינה, עליה חדה במחירי הדלק ובהלה ציבורית.
בעיה מרכזית בזירת הסייבר, שמשותפת גם לאמריקנים וגם לישראלים, היא הכיסוי הלא אחיד שתעשיית הסייבר המסחרית מספקת כשזה נוגע לצרכים המיוחדים של מדינות. הבעיה מתעוררת בחריפות עם מתקני תשתית קטנים ובעלי משאבים מצומצמים. למשל, נמל התעופה בן גוריון כנראה מוגן, אבל מה עם שדות תעופה קטנים יותר בישראל? ומה עם ארה"ב, שם יש מאות ואולי אלפי נמלי ים ותעופה שאין להם הגנה מספקת.
לפי דוח IBM לנזקי מתקפות סייבר נמצא כי תשתיות קריטיות אינן מוגנות דיין בהשוואה לסקטור הפרטי. בנוסף, הדוח מצא שעלות ממוצעת של תקיפת סייבר על ארגון קריטי מגיעה ל-5.4 מיליון דולר
כך גם לגבי חברות קטנות ובינוניות – מרפאות שיניים ופלסטיקה, משרדי רו"ח ועו"ד, משרדי פרסום, חברות ייצור קטנות. מה יקרה אם מחר יכנס גורם עויין למחשבים שלהם וישאב את רשימת הלקוחות והתקציבים? או יוציא הוראות פעילות בשמם? במקביל, IBM פרסמה בחודש יולי האחרון דוח מקיף שכימת את נזקי מתקפות הסייבר. בדוח פרק העוסק בתקיפות סייבר על מתקני תשתית קריטיים. הדוח מצא שתשתיות קריטיות אינן מוגנות דיין בהשוואה לסקטור הפרטי: "כמעט 80% מארגוני התשתית הקריטיים שנחקרו אינם מאמצים אסטרטגיות אפס אמון (Zero turst)". הדוח מצא שעלות ממוצעת של תקיפת סייבר על ארגון קריטי מגיעה ל-5.4 מיליון דולר, ושרוב התקיפות על ארגונים קריטיים היו מסוג תוכנות כופר או התקפות שמטרתן לזרוע הרס לשמו.
הסערה המתחוללת בגזרת מתקפות הסייבר
זוהי הסיבה שממשלות ארה"ב וישראל הקימו במשותף קרן השקעות חדשה בשם "BIRD Cyber", שמחפשת להשקיע במערכות סייבר שיעניקו הגנה לגופים קריטיים ולחברות בינוניות וקטנות. ברשת אפשר למצוא מידע רב על מלחמת הסייבר שמתנהלת בין מדינות רבות בעולם. כך על פי פרסומים זרים, מלחמת הסייבר בין ישראל לאיראן אינה פוסקת.
לפי מקורות זרים, ישראל השביתה נמלים ותחנות דלק באיראן, והאירנים גרמו לנזקים לאתרי ממשל וחברות פרטיות בישראל. קוריאה הצפונית פורצת לבנקים ובורסות ביטקוין, תקיפות רבות ברחבי העולם מיוחסות לסין, ורוסיה מנהלת את המלחמה נגד אוקראינה גם בחזית הסייבר. רוסיה אחראית לקמפיין NotPetya - נוזקה שהצליחה להשבית ולפגוע בפעילות של חברות כגון ענקית הימאות מארסק ב-2017 עם נזקים מצטברים של מיליארדים. שירות הבריאות הלאומי הבריטי (NHS) נפגע מנוזקת WannaCry.
מלחמות הסייבר אינן פוסקות: לפי מקורות זרים, ישראל השביתה נמלים ותחנות דלק באיראן, והאירנים גרמו לנזקים לאתרי ממשל וחברות פרטיות בישראל. קוריאה הצפונית פורצת לבנקים ובורסות ביטקוין, ורוסיה מנהלת את המלחמה נגד אוקראינה גם בחזית הסייבר
חלק מהנזקים שנגרמים לארגוני תשתית קריטיים כתוצאה מתקיפות סייבר, מכוסה על ידי חברות הביטוח. ענקית הפרארמה מרק (Merck), שנפגעה גם היא כתוצאה מנוזקת NotPetya תבעה פיצוי של 1.4 מיליארד דולר. שירות הבריאות הלאומי הבריטי תבע כ-100 מיליון דולר לכיסוי הנזקים שנגרמו מתקיפת WannaCry . שתי התקיפות האלה יוחסו רשמית על ידי ממשלת ארה"ב לרוסיה ולצפון קוריאה, כך שהיה קל להגדיר אותן כתקיפות מדינתיות. אבל נראה שזה הולך להשתנות.
בחודש ספטמבר האחרון, ענקית הביטוח לוידס (Lloyd's of London Ltd) הודיעה לקבוצת המבטחים שלה ברחבי העולם, כי החל מחודש מרץ 2023, פוליסות הביטוח למתקפות סייבר לא יכסו יותר נזקים הנגרמים ממתקפת סייבר שנוהלה בידי מדינה. בהודעה, לוידס הסבירה את החלטתה בשל הסיכון המערכתי לשוק הביטוח ממתקפות אלו.
הגיוני להניח שחברות ביטוח נוספות ינקטו במדיניות דומה, שצפויה להעלות את הסיכון הצפוי מהתקפות סייבר על חברות ומתקני תשתית קריטיים. היקף מתקפות הסייבר המצוי בעליה מתמדת עשוי לתמרץ ממשלות לסייע ליצירת מנגנוני הגנת סייבר גם לחברות וארגונים שמתקשים לעשות זאת באופן עצמאי, ולחוקק ולתקנן מדיניות אבטחת הסייבר המתאימה והנדרשת לכל תחום, עסקי או תשתיות לאומיות ואזרחיות.
הכותב הוא טל קלם, מנהל פיתוח עסקי בקרן BIRD וראש תכנית BIRD סייבר