שטייניץ הכריז על כוננות סייבר מוגברת בתשתיות האנרגיה והמים של ישראל

בעקבות מתקפת הסייבר שאירועה אמש שהגיעה לכ-100 מדינות ואלפי גופים וארגונים, הכריז היום שר האנרגיה, דר' יובל שטייניץ, על כוננות סייבר מוגברת בתשתיות האנרגיה והמים של ישראל. בשעות הבוקר נערכו במשרד האנרגיה, בחברת החשמל, בתחנות הכוח ובתשתיות האנרגיה והמים, פעולות שנועדו לחזק את הגנת הסייבר ולהגביר את הכוננות, בהתאמה למתאר התקיפות המאפיין את גל התקיפות הנוכחי בעולם.פעולות אלו תואמו על ידי מרכז הסייבר של משרד האנרגיה, שהוקם לפני כשנה, בכדי להגן על תשתיות האנרגיה של ישראל מפני התקפות סייבר.

נציין כי מוקד המתקפה היה באירופה. דורון סיון, מנכ"ל Cronus Cyber Technologies ומחלוצי תעשיית הסייבר בישראל, מסביר כי "ארגון NSA (הסוכנות לביטחון לאומי בארה"ב), עוסק מן הסתם בין היתר בנושא סייבר. במסגרת זו הארגון מזהה חולשות במערכות קיימות וכותב עבורן exploit, כלומר קטע תוכנה שיכול לנצל את הפגיעות לשם חדירה למחשב. לאחר פעולת החדירה מוזרקת למערכת ההפעלה תוכנה שמאפשרת מגוון פעילות זדוניות, לדוגמה: הצפנת קבצים, השתלטות על המחשב ועוד. הבעיה במקרה זה, היא שהאקרים, במקרה זה ארגון Shadowbrokers, מצליחים לגנוב את הכלים והקוד שה-NSA פיתח, ואז הם עושים בו שימוש לצרכיהם הפרטיים. במקרה זה, החולשה שאותרה היתה בפרוטוקול SMB, אשר מאפשר גישה משותפת אל קבצים, מדפסות ותקשורת בין מחשבים ברשת. השימוש בו מערב כמובן את נושא הרשאות הגישה למידע והוא בשימוש בעיקר במערכות Windows, אם כי גם מערכות לינוקס יכולות להתקין תמיכה ב-SMB".

"עכשיו נשאלת השאלה, כיצד ה-exploit מגיע אל המחשב? והתשובה פשוטה, או כקובץ מצורף במייל, מתוך ציפיה שמשתמש יפעיל את הקובץ. או שמערכות אבטחת המידע בארגון מאפשרות גישה ל-SMB גם מחוץ לארגון פנימה. דבר שהוא מאד מסוכן ולא מומלץ", מסביר סיון.

"מיד לאחר שהודלף המידע מה-NSA, פרסמה מיקרוסופט עדכון תוכנה (patch) שמספרו MS17-010, אולם ארגונים רבים לא התקינו אותו. הסיבה לכך היא שבמרבית הארגונים מבצעים עדכוני גרסה פעם בחודש, עקב נהלי עבודה ישנים והטרחה שקשורה בכך כגון, ביצוע אתחול למחשבים ושרתים. כך נוצר מצב שהפגיעות מופצת בעולם, ארגונים לא מתקינים את העדכון ולוואקום הזה מגיעים האקרים ששולחים קובץ שמנצל את הפגיעות לשם הצפנת המחשבים ובקשת כופר, מה שנקרא ransomware ובמקרה זה שמו הוא WannaCry"

סיוון מסביר "שכדי להימנע ממתקפה מסוג זה על כל ארגון לבצע עדכון מיידי של ה-Patch, ייש לוודא שהגישה ב-SMB מחוץ לארגון פנימה חסומה ובמקרה ואין מנוס לבקר ולנטר את התעבורה. כמו כן, יש לעדכן את מערכות אבטחת המידע, דוגמת אנטי וירוס ומערכות IDS, אשר מזהות פעילות חריגה ברשת. הסיבה לכך היא שהחתימה של הקובץ, כלומר קטע קוד שמאפשר זיהוי של הקובץ כבר אותר ופורסם ולכן מערכות אלו יזהו את הקובץ הזדוני ויחסמו אותו".

"ברמה המדינית, ניהול סייבר הופך לא רק לבעיה של ארגון אלא לבעיה מדינית, אין מנוס מהתייחסות ברמת מדינה, מאחר ולה יש כלים רבים המאפשרים ניטור תעבורה לתוך המדינה. המסקנה השניה היא שאין מנוס מניטור 24/7 של כל מערכות המידע בארגון, ניטור כזה ועדכונים בהתאם היו מונעים את המתקפה הזו. בתי חולים הם חוליה חלשה יחסית עקב המורכבות הרבה של ניהול סניפים, בתי חולים ומרפאות ברמה מאובטחת גבוהה ובפרט עקב ריבוי הממשקים שקיימים בארגונים גדולים ומבוזרים כאלו. זו הסיבה שהם היוו יעד הפעם, בפרט כאשר מדובר במידע רגיש ואישי והרגולציה עדין לא מספיק קשיחה שם", הוסיף סיון.