דור עמית, סמנכ"ל טכנולוגיות בחברת 10ROOT, מספר על איומי הסייבר על ישראל, ההתמודדות של ארגונים וגם מה עושים במקרה בו נקלעתם לאירוע סייבר.
על אף שפשיעת סייבר אינה חדשה, בשנים האחרונות עם עליית המטבעות הקריפטוגרפיים ופיתוח וירוסי הכופרה, אנו עדים לעלייה משמעותית בתחום פשיעת הסייבר ברחבי העולם בכלל ובישראל בפרט. הסיבה שאנו קושרים בין פשיעת סייבר לבין מטבעות הקריפטו היא כמובן היכולת של אותם ארגוני פשיעה והאקרים לבקש תשלום (בכופרות או כסחיטה) באמצעי מאובטח ומוצפן, דבר שבעבר לא היה קיים. הנזקים שעלולים להיגרם לחברות ועסקים, אם מבחינה תפעולית בזמן המשבר, מבחינה תדמיתית וגם מבחינה כלכלית, הם עצומים.
כדי להבין את עומק הבעיה ולרדת לשורש הנושא, אולי גם כדי לייצר הבנה על התמודדות ויציאה ממשברים כאלו, קיימנו ראיון עם דור עמית, שותף מייסד -CTO בחברת 10ROOT הישראלית, אשר הצליחה בזמן קצר לייצר לעצמה שם בתחום הסייבר ואבטחת המידע. החברה הוקמה בשנת 2020 על ידי דור עמית ויוסי סאסי, בין המייסדים של להקת הרוק אורפנד לנד וגם האקר ואחד מאנשי ההיי טק המוכשרים בארץ, לשעבר מנהל מחלקת פתרונות טכנולוגיים במיקרוסופט, CTO בחברת טלדור ו-CTO בחברת ג'ובוקיט טכנולוגיות. החברה התאחדה עם חברת שמירה וביטחון וכיום נמצאת תחת ניהולם של איילת ארוך ורו"ח שרון תורתי, לצד המייסדים עמית וסאסי.
השירותים והפתרונות שהחברה מציעה היום בתחום הסייבר ההתקפי הם מיני סוגים של מבדקים כגון מבדקי חדירה, blackbox, whitebox. לחברה התמחות בעולם הסייבר ההתקפי ולכן פועלים מתוך זווית הראיה של התוקף, כך במבדקי החדירה החברה מיישמת שיטות חדירה שפורצים משתמשים בהן. בין לקוחות החברה: AWS, אפלייד מטריאלס, אמדוקס, גופי ביטחון בינלאומיים, צ'ק פוינט, שטראוס, סודה סטרים, אפסילור, פספורטכארד, Telit, Varonis, ארנסט אנד יאנג ועוד.
למרות החיבור לסייבר, עמית בעברו עבד כ-CTO בחברת BI מהגדולות בארץ, ותחביביו, תתפלאו, אינם דווקא נוגעים לסייבר. "אני מאוד אוהב סוסים, ספורט אתגרי וגלישה ואפילו הייתי מדריך לרכיבה על סוסים מספר שנים" מספר עמית, תיאור קצת מנוגד לקונספציה הרווחת של מומחים לסייבר והאקרים אשר מתבודדים במקלט מול 5 מסכים. אך בכל זאת, דור עמית בעל ניסיון של למעלה מ-20 שנים בתחום הסייבר, בוגר יחידה מסווגת בצה"ל. "התחלתי ללמד בגיל 23 במכללת סלע ואחד הקורסים היה קורס מקיף של סיסטם ואבטחת מידע" מספר דור עמית. "כך היו הצעדים הראשונים שלי ברמה התיאורטית בתחום. אני בא מתחום של בינה עסקית ובסוף הכל זה דאטה ומניפולציות על דאטה, אם אתה לוקח את הסייבר ומערכות המידע ומשלב אותם כדי לקבל תובנות איך לקחת דאטה ולהשתמש בין אם זה לצרכים הגנתיים או לצרכים התקפיים, מה המשמעות שלו כשמשתמשים בו בצורה נקודתית או בכמויות גדולות כדי להשיג תובנות סטטיסטיות, זה אחד הדברים שנותנים, לי לפחות, ערך מוסף".
ממקרים שאתה נתקל בהם, האם חברות וארגונים בישראל מוכנים למתקפות סייבר?
"אין תשובה של כן ולא, בראייה שלי השאלה היא האם אתה מוכן ואיך אתה מתרגם את המוכנות הזאת לאפקטיביות. בנושא של סייבר חשוב בראש ובראשונה לזהות בזמן אמת ולמנוע איום, ובמידה ואיום או סיכון מתממש, איך אתה יכול לטפל בו בצורה הכי אפקטיבית ולצמצם את הביזנס אימפקט שלו למינימום. האם רמת המוכנות בישראל טובה? יש הרבה ארגונים שכן מוכנים ויש הרבה שלא. באופן כללי המצב, לא רק בארץ אלא בעולם, אין ארגונים שרמת האפקטיביות שלהם היא כזאת שהסיכון שלהם להיפגע מאירוע סייבר ולחטוף נזק משמעותי היא זניחה, לא מכיר ארגון כזה, כל ארגון ייחדר עם מספיק מוטיבציה וזמן. יש ארגונים שנוקטים את הצעדים המתאימים בכל שרשרת החיוב של הסייבר, עושים את המבדקים שצריך ונוקטים את הצעדים. זה תחום שאפשר לקרוא לו ניהול סיכונים, לא משנה אם זה סייבר, רעידות אדמה או טילים. מה שחשוב בסופו של דבר האם היעדים העסקיים שלך מוגדרים בצורה נכונה והאם אתה נוקט את האמצעים המתאימים בין היעד העסקי לסיכון. ארגונים שנוקטים את האמצעים המתאימים במצב טוב".
מה הם האמצעים המתאימים?
"יש ארגונים, כמו למשל מפעלים, שבהגדרה מבחינתם הסיכון להיפגע מאירוע סייבר הוא לא רלוונטי. הדבר היחיד שחשוב במידה ואיום כזה מתממש זה שתהיה להם יכולת להתאושש – כמה זמן ייקח לי לחזור ולהתאושש מתקלה או לשחזר מגיבוי וכמה מידע אני מוכן לאבד בדרך. יכול להיות שלמפעל למשל לא רלוונטי אם הוא יפגע מאירוע סייבר, מה שיהיה חשוב לו זה להתאושש בתוך שעה ולאבד רק חצי שעה של מידע בדרך. כל עוד הוא יכול לעמוד ביעד העסקי זה בסדר מבחינתו. במקרה כזה למשל האמצעי המתאים הוא תפעולי ולא אבטחתי, זה פתרון מתחום ההמשכיות העסקית שיכול להביא אותו לעמוד באותו יעד ולנהל את הסיכון כמו שהוא מגדיר אותו, אז המצב שלו מצוין אפילו אם אין לו שום בקרת או מדיניות סייבר".
זאת אומרת שלמעשה גיבויים ושחזורים לא פחות חשובים מהגנת סייבר.
"חשוב לאפיין ולהגדיר מה היעד העסקי שלך, מה הסיכונים שיכולים להפריע לך לעמוד ביעדים האלה, ואז שתהיה הלימה בין האמצעים שאתה נוקט לבין הסיכון שתאפשר לך במידה שהסיכון יתממש לעמוד ביעד העסקי שלך, מזה הכל נגזר. ברוב הארגונים הנושא של זיהוי ומניעה מאוד חשוב, אפשר להסתכל על זה בצורה מאוד ג'נרית ונגיד שיש דברים מסוימים שכל ארגון חייב לבצע כדי לצמצם את הסיכון לרמה סבירה. אני חושב שהרבה מהארגונים עושים את זה, יש כאלה שעושים זאת בצורה לא מספקת ויש כאלו שלא עושים זאת בכלל. בגדול, המצב בארץ, יחסית לעולם, הוא טוב".
דור עמית: “יש הרבה תקיפות שמתרחשות עם תמריץ כלכלי שהחברה בסוף משלמת ולכל הצדדים יש אינטרס שלא תשוקף בכלל. אי אפשר לדעת כמה תקיפות כאלה יש”
רבות נוהגים להזכיר שישראל היא מעצמת היי טק. על רקע אירועי סייבר רבים בשנים האחרונות לעיתים עולה השאלה האם ישראל היא גם מעצמת סייבר ואבטחת מידע. "אני חושב שכן" אומר דור עמית ומוסיף: "מבחינת המודעות והיכולות שיש לנושא הזה כאן בארץ אנחנו נמצאים במקום טוב מאוד. יש פער לפעמים בין היכולת התיאורטית לבין היישום. אנחנו מדינה שמותקפת הרבה יותר, סוגי ההתקפות שיש עלינו בישראל שונה בתמהיל שלו מהתקפות על מקומות אחרים בעולם. גם התמריצים של התוקפים שונים, למשל במדינות אחרות התמריץ יהיה בעיקר כלכלי, אצלנו יש תמריץ גאו פוליטי מאוד חזק. בסוף התמריץ הוא לגרום לנזק והשפלה ולא דווקא כלכלי. גם הנראות של הדברים הרבה יותר חזקה, למשל תוקף ממדינה זרה שהמטרה שלו בסופו של דבר זה לייצר נזק תודעתי, שהתקיפה תיחשף ותקבל ביטוי. יש הרבה תקיפות שמתרחשות עם תמריץ כלכלי שהחברה בסוף משלמת ולכל הצדדים יש אינטרס שלא תשוקף בכלל. אי אפשר לדעת כמה תקיפות כאלה יש. בסוף אנחנו מסתמכים רק על מה שמגיע מהמדיה הציבורית והדיווחים של החברות עצמן, זה המדד היחיד להשוואה והוא בוודאות לא מדויק".
ב-10ROOT פיתחתם פתרון טכנולוגי להתמודדות נגד מתקפות כופר שנמצא בשלבי רישום פטנט. מה תוכל לספר על כך?
"יש לנו פטנט ייחודי בתחום שכבר קיבל אישור, קיבלנו הודעה פורמלית מרשות הפטנטים האמריקאית שהוא אושר באופן מלא. מספר הבקשה יצא בזמן הקרוב ואז יהיה משהו שאפשר לראות בגוגל פטנטס. בשלב הזה זה רעיון תיאורטי בלבד שאפשר להפוך אותו ליתרון טכנולוגי. בעניין הכופרות אנחנו מבצעים כל מיני סוגים של מבדקים כחלק מהשירותים שהחברה נותנת. אחד המבדקים האלה נקרא סימולציית כופרה, מבדק כופר רטוב. המטרה שלו היא לבדוק את האפקטיביות של הארגון כיצד להתמודד עם אירוע כזה במישור הטכנולוגי וגם במישור התהליכי".
מה היית ממליץ לחברה או ארגון שקמים בוקר אחד ומוצאים שנפלו קורבן לכופרה, כל הקבצים שלהם הוצפנו ונדרש מהם כופר? מה הצעדים הראשונים שהם צריכים לבצע?
"להתקשר למומחה. אם אני צריך להמליץ על צעד אחד זה הצעד. העולם הזה של איך לטפל בצורה נכונה באירועים האלה ולמזער את הנזק וההתפשטות של הכופרה בתוך הארגון זאת תורה שלמה ואין עצת זהב אחד שאפשר לתת אותה והיא תהיה נכונה בכל המקרים. יש כל מיני צירים שמנהלים אירוע סייבר, במיוחד כשמדובר באירוע של כופרה. יש ציר טכנולוגי, משפטי, תדמיתי, אסטרטגי. הרבה פעמים חלק מהתהליכים שאנחנו מבצעים באירועים כאלה, למרות שיש להם לכאורה ביטוי טכנולוגי, הם למעשה החלטה אסטרטגית. למשל – ניתוק האינטרנט. מן הסתם שתוקף מחובר אלי לארגון או שיש לו גישה זה דרך האינטרנט, הרי הוא לא יושב פיזית בתוך הארגון שלי. אז למעשה החיבור הזה מאפשרת לו כמה דברים. אחד הוא לבצע או להמשיך בביצוע של פעולות דלף מידע, כולל מידע חדש שנוצר תוך כדי האירוע, שזה אחד הסיכונים הכי משמעותיים שיש היום בארגון. דבר שני – אם הוא כבר החדיר לי נוזקה לתוך הארגון, ברגע שהוא מחובר אלי בצורה כלשהי הוא יכול לשנות ולערוך אותה, כך שגם אם זיהיתי אותה ואני חושב להיפטר ממנה, כל עוד הוא מחובר הוא יכול לשנות את הנוזקה או להכניס אחת חדשה, כך שהניתוק של האינטרנט לכאורה כצעד טכנולוגי הוא מה שיתן לי את רמת הביטחון הגבוה ביותר נגד זה כל עוד הוא מחובר. מהצד השני ניתוק של האינטרנט גם משבית לי את האופציה להמשיך את כל התהליכים התפעוליים שלי בארגון, את כל הייצור. לא יכול לקבל מיילים, לתקשר, להכניס ולהוציא מידע, זה מאוד מגביל אותי. לפעמים הנזק או הסיכון התפעולי הוא הרבה יותר גדול ומשמעותי מהסיכון הסייברי. לכן נוקטים פעולה כזאת או אחרת של מניעה או תיקון כשלוקחים בחשבון שאיך אני מצמצם את הסיכון הסייברי אל מול הסיכון התפעולי. איך עושים זאת נכון – יש המון צירים כפי שאמרתי, גם כזה של משא ומתן אם התוקף מבקש תשלום".
עניין המשא ומתן בהחלט מרתק.
"באירוע שבו תוקף מבקש כסף, לנהל משא ומתן זה מומחיות. עושים פרופיילינג פסיכלוגי לתוקף, מה התמריץ שלו? לאן הוא משתייך? לדוגמה גוף תקיפה שכבר ביצע עשרות או מאות תקיפות שונות וקיבל עליהן תשלום, מה התמריץ שלו מבחינת השיוך שלו לגוף תקיפה שהוא נמצא בו. המטרה שלו שיזהו אותו בגוף הזה ושידעו שהוא אמין ועומד במילה שלו, כדי שישלמו לו את הכופר. אם פעם אחת הוא יתקוף חברה גדולה ויבטיח להסיר את האיום בתמורה לתשלום, החברה תשלם והוא לא יעמוד במילה שלו – זו הפעם האחרונה שהוא יראה כסף מגוף כזה. אז התמריץ שלו שיזהו אותו וידעו שהוא עומד במילה שלו. מהצד השני יכולים להיות גופי תקיפה אחרים שירצו להתחזות אליו ולעשות מה שנקרא דאבל אקסטורשן – אחרי שקיבלנו ממך את הכופר נשתמש במידע שלך בכל מקרה. צריך לעשות כאמור פרופיילינג פסיכולוגי ולהבין מי התוקף שעומד מולי, גם אם אני לא יכול לזהות אותו בצורה פרטנית אלא בצורה סטטיסטית זה מאוד חשוב. יש הרבה דברים שאנחנו מפעילים במהלך משא ומתן ופרופיילינג כמו ניתוח שפה, השעות שבהן התוקף חוזר אלי. אלה לא דברים שמדויקים ב-100% אבל הם חלק מתהליך פורנזי שבו אנחנו מחפשים ראיות".
במקרים רבים מזכירים שסייבר הוא שדה הקרב העתידי. האם אתם רואים עלייה בשימוש בסייבר התקפי והגנתי במלחמה בין רוסיה לאוקראינה התקפי כהכנה לכך? מה אפשר ללמוד ממה שמתרחש?
"למרות שבאמת המון קורה, אני חושב שבשורה התחתונה הנושא של הסייבר במלחמה הזו הוא לא הגיים צ'יינג'ר. היה לו אימפקט ואולי אנחנו לא יודעים על הכל וניחשף בשלב מאוחר יותר, אך בסופו של דבר מה שבא לידי ביטוי בתקשורת, התמונות הקשות של פגזים שנופלים במרכזי ערים על אוכלוסיה אזרחית, רבבות הרוגים, נזקים עצומים לתשתיות אזרחיות. בסופו של דבר הסייבר מרכיב משמעותי שמשבש את החיים, אבל זה לא הגיים צ'יינג'ר של המלחמה הזאת".