על פי מחקרים, הארגונים שחשופים ביותר למתקפות כופר הם ארגונים מתחום החינוך, תקשורת ובריאות. ארגוני בריאות בעולם כבר חוו לא מעט מתקפות כופר בעבר, והחשש הגדול הוא השבתה של מערכות מצילות חיים וכתוצאה מזה פגיעה בגוף ונפש של מטופלים.
בשנה שעברה זה כבר קרה, בגרמניה מטופלת שהגיעה לטיפול רפואי דחוף בבית חולים שהיה תחת מתקפה, נאלצה לעבור לבית חולים אחר משום שהמערכות היו מושבתות ובדרך היא נפטרה. גם באמריקה, רשת בתי חולים נאלצה לדחות ניתוחים ולהפנות מטופלים למוסדות אחרים.
אבל אנחנו לא חייבים ללכת כל כך רחוק עד למוות של מטופלים, פריצה למאגר מידע רפואי יכולה להוביל להוביל לחשיפה של מסמכים רפואיים פרטיים. אף אחד לא מעוניין שההיסטוריה הרפואית שלו תיחשף. היא גם יכולה להוביל לאפליה קשה ואולי לפגוע באותם אנשים אולי בקבלה למקומות עבודה כי הגיליון הרפואי שלהם פתאום חשוף.
איך ההאקרים תוקפים את הארגון?
ארגונים שמחזיקים מידע רגיש לרוב בונים את מערך המידע שלהם בצורה מבוזרת כאשר יש רשת פתוחה לעולם ורשת פנימית שלא פתוחה לעולם וכך מעלים את רמת האבטחה בארגון. העניין שלפעמים למשתמשים מסוימים יש גישה לשני סוגי הרשתות, ופריצה למחשב אחד בעצם מייצרת גשר בין רשת פנימית לחיצונית.
התוקף צריך מידע מקדים כדי לדעת לאיזו נקודה בארגון לפרוץ כדי לקבל גישה לכל הרשתות והשאלה היא האם המתקפה היא משהו רנדומלי, כשבמקרה בית חולים הלל יפה נפגע, או שמא מדובר במתקפה ממוקדת ומתוכננת הרבה זמן מראש על בית החולים. האופציה השנייה סבירה יותר וכנראה שהמתקפה תוכננה הרבה זמן מראש. רק כאשר לתוקפים יש מספיק מידע ארגוני שיוכלו לדרוש בעבורו תשלום כופר, רק אז הם מבצעים את המתקפה ומפרסמים אותה.
חשוב להבין שמתקפה בסדר גודל כזה לא מתרחשת בין לילה ולפעמים מדובר על מתקפה שמתוכננת חודשים מראש. אפילו כשהתוקפים כבר הצליחו ופרצו לארגון, הם לא ממהרים לבצע את מתקפת הכופר ולהצפין את המידע או לפרסם את המתקפה עד שהם בטוחים שיש להם מספיק מידע בידיים ושחזור מידע מגיבוי כבר לא יעזור.
למה דווקא מתקפת כופר?
למתקפות יש שתי סיבות עיקריות, הראשונה היא כמובן כסף, ארגונים גדולים נדרשים לשלם מיליוני דולרים כתשלום כופר וזה אחלה כסף לקבוצת התוקפים.
הסיבה השנייה והיא בעיקר רלוונטית לישראל, היא מלחמת סייבר שמתנהלת בין ישראל לאיראן. על פי מחקרים רוב קבוצות התקיפה שביצעו מתקפות כופר על ארגונים ישראלים היו אירניות ואנחנו מדברים על הפריצה לחברת הביטוח שירביט, הפריצה לאוניברסיטת בר אילן ואפילו לחברת התקשורת וויסנטר שנפרצה בחודש שעבר. גם הפעם ייתכן שמדובר במתקפה איראנית שנועדה בין השאר להביך ולפגוע במדינת ישראל, זה לא שהם יוותרו על תשלום הכופר אבל נוסף נדבך נוסף במתקפה והוא לאומי.
מה מפתה בלתקוף בתי חולים?
קבוצות ההאקרים מבינות את הרגישות של ארגוני בריאות, בעיקר בתי חולים ונוטות לחשוב שהם ימהרו לשלם את הכופר כדי למנוע מוות של חולים כתוצאה מהמתקפה.
מידע פרטי של מטופלים שווה הרבה לתוקפים – מדובר בנתונים סודיים ואישיים במיוחד שאפשר למכור בקלות.
עומס העבודה וההגבלה במשאבים מייצרים מצב שנעשות פשרות על חשבון אבטחת המידע של הדאטה הרפואי כך שלתוקפים העבודה קלה יותר.
הצורך בגישה לנתונים והעבודה מרחוק שהפכו להיות כבר חלק אינטגרלי מהחיים מהווים שער גישה לתוקפים אשר מצליחים בקלות יותר להתחבר לארגון. המידע הרפואי צריך להיות פתוח וניתן לשיתוף של הצוותים הרפואיים, כך גם ההאקרים יכולים להשיג גישה.
מכשור רפואי נוצר למטרה רפואית כמו ניטור קצב לב או מתן תרופות למשל. המכשור הזה לא נוצר עם חשיבה מקדימה על אבטחת מידע, אלא עם דגש לתפקוד יציב ומציל חיים.
כדאי לדעת שחברות הסייבר מפתחות הגנות למוצרים אלו. ב-ESET למשל קיים שיתוף פעולה עם מספר חברות של מכשור רפואי, כך שהמכשירים מסופקים עם הגנה מותאמת, כמו למשל מערכות לסריקת אולטרסאונד.
מה אפשר לעשות?
מחקרים מצביעים על פרק זמן מאוד ארוך מאוד בין הרגע בו הצליחו לחדור לארגון לבין ביצוע המתקפה עצמה, לפעמים מדובר על מספר חודשים.
פרק הזמן הזה נועד להתבססות של התוקף בתוך המערכות הארגוניות והוצאת המידע מחוץ לארגון כך שיוכל לדרוש את הכופר כנגד אי פרסום.
במקרה של מתקפת הכופר על בית החולים הלל יפה, פורסם שהמתקפה בוצעה ללא התראה מוקדמת. האקרים לא שולחים זימונים למועד בו הם תוקפים. זו בדיוק הסיבה בגללה ארגונים צריכים להחזיק מערכות הגנה שיודעות לזהות פעילות חשודה שמתבצעת בארגון כבר ברגע החדירה כך שאלו יסייעו למנוע מתקפה וצמצום האפשרות לחשיפת המידע.