משיפור ההגנה ועד פתרון צבאי: כך אפשר להתמודד עם מתקפות הסייבר

מתקפת סייבר מוצלחת על בית חולים בישראל הייתה עניין של זמן. מדוע? וכיצד ניתן להתמודד עם התופעה?

מתקפות סייבר על בתי חולים ומוסדות רפואיים, ובכללן מתקפות כופרה, בהן התוקף מצפין קבצים על גביי שרתים ודורש כופר בתמורה לשחרורם, הן מגמה עולה המלווה את העולם בשנים האחרונות, וביתר שאת מפרוץ משבר הקורונה. על פי מחקר של חברת Check Point מינואר 2021, מספר מתקפות הכופרה על ארגוני ענף הבריאות בעולם עלה בכ-45% בחודשים האחרונים של שנת 2020. מאז תחילת 2021 הותקפו בתי חולים, מרפאות, חברות ביטוח רפואי ובתי אבות בצרפת, באוסטרליה ובארה"ב ושירותי בריאות לאומיים באירלנד ובניו זילנד נאלצו להשבית מערכות על מנת למנוע נזק נוסף כתוצאה ממתקפות סייבר.

עד כה, רוב מתקפות הכופרה על בתי חולים הובילה להשבתת מערכות המידע שלהם ולהאטת פעילותם, לקשיים ברישום וקבלת חולים חדשים ולדחיית ניתוחים וטיפולים שאינם דחופים. עם זאת, תקיפות אלו עלולות להוביל גם למקרי מוות. בספטמבר 2020, אישה שחוותה התקף לב נפטרה כשנאלצה להתפנות לבית חולים מרוחק, לאחר שבית החולים האוניברסיטאי בעיר דיסלדורף שבגרמניה חווה מתקפת כופרה ונאלץ להפנות מטופלים לבתי חולים אחרים. סכנה נוספת היא דליפה של מידע רפואי רגיש השייך למטופלים.

תקיפות אלו מיוחסות לרוב לעבריינים בעלי מניע רווח כספי, המנצלים את הצורך החיוני שבפעילותם התקינה של בתי החולים ואת הדחיפות של צוותי בתי החולים להחזיר את מערכותיהם לשגרה מלאה על מנת לדרוש סכומי כופר גבוהים. התפרצותה של מגפת הקורונה הובילה לעלייה בחיוניותו של ענף הבריאות, והפכה את בתי החולים למטרה אטרקטיבית אף יותר עבור גורמים זדוניים. 

עם זאת, במקרה של תקיפות סייבר כנגד מטרות ישראליות, קשה לעתים לשלול מעורבות מדינתית. דוגמה לכך ניתן לראות בקמפיין מתקפות הכופרה Pay2Key, שהתמקד בשורת חברות ישראליות בסוף שנת 2020, ונקשר לקבוצות האקרים איראניות, או מתקפת הכופרה על חברת הביטוח שירביט. בשני המקרים נקבע כי מטרת התקיפה הייתה לגרום לנזק, למבוכה ולהד תקשורתי וציבורי. כמו כן, תקיפות סייבר שיוחסו לאיראן בעבר כללו שימוש בקוד זדוני המכונה wiper שמטרתו למחוק מידע ולגרום להרס, כל זאת במסווה של מתקפת כופרה המיוחסת לעבריינים.

מתקפות כופרה על תשתיות קריטיות, כגון בתי חולים, הפכו בשנים האחרונות לבעיה עולמית, ומדינות רבות, בראשן ארצות הברית ובריטניה, פועלות במספר ערוצים במטרה למזער את התופעה ולפגוע ברווחיות העסקית שלהן. ערוצים אלו כוללים את הדיון האם יש לאסור על הארגונים המותקפים לשלם את הכופר, מעקב אחר תשלומים במטבעות דיגיטליים בהם מתבצע התשלום וחסימתם, ואף שימוש ביכולות סייבר צבאיות על מנת לשבש את פעילותם של ההאקרים מבעוד מועד ובהסתמך על מודיעין מקדים. 

בהינתן יכולות הסייבר המתקדמות של ישראל, פתרון צבאי התקפי שמטרתו לנטרל את תשתיות ההאקרים כפעולה מקדימה או כתגובה עלול להישמע מפתה. עם זאת, יעילותן של תקיפות סייבר נגד עבריינים מוטלת בספק והן הובילו בעבר לשיבוש זמני בלבד של פעילותם. בנוסף, ייחוס המתקפה לתוקף מסוים הוא אתגר סבוך ומורכב ובהינתן תוצאות מוגבלות, העלות שלו גבוהה מהתועלת.

מערך הסייבר הלאומי פועל לפרסם הנחיות והמלצות עבור ארגונים, חברות ותשתיות קריטיות. על המוסדות הרפואיים לנסח מדיניות אבטחת סייבר ברורה, המגדירה לוחות זמנים לעדכון תוכנות תקופתי, ובכללם פתרונות לחיבור מרחוק לרשת הארגונית, להטמיע פתרונות של אימות משתמשים רב-שלבי, לפצל את רשתותיהם הפנימיות על מנת למנוע מתוקף פוטנציאלי מלנוע ברחבי הרשת הארגונית.

הכותב הוא חוקר בכיר ואחראי פרויקט הסייבר של סדנת יובל נאמן למדע, טכנולוגיה וביטחון באוניברסיטת תל אביב