מתקפת הסייבר ששיבשה אתמול (חמישי) למשך חצי שעה את היכולת של ישראלים רבים לבצע רכישות בכרטיסי אשראי השאירה לא מעט שאלות מטרידות. העובדה שמדובר במתקפת סייבר שלישית בתקופה של ארבעה חודשים שמצליחה לשבש את היכולת לבצע רכישות בישראל מעלה את החשש מפני תקיפות נוספות. N12 עושה סדר ומסביר: מה שיבש את היכולת לבצע רכישות בכרטיסי אשראי היום, למה זה קרה - ומה עושים כדי להתמודד עם התופעה.

למה אי אפשר היה לבצע רכישות?

מעט אחרי השעה 11:00 בבוקר אתמול הודיעה שבא, מנהלת ומפתחת מערכת התשלומים הלאומית, על "אירוע תקשורת במערכת כרטיסי חיוב" שיצר שיבושים בביצוע עסקאות בכרטיסי אשראי. כשעה לאחר מכן הודיעה החברה כי המערכת "פועלת כסדרה בשעה האחרונה וניתן לבצע עסקאות אשראי". מספר שעות לאחר מכן החברה כבר עדכנה כי במהלך הבוקר חוות מערכות החברה "אירוע מניעת שירות" - כלומר מתקפת סייבר שהשביתה את פעילותה.

איזו סוג של מתקפה היתה פה?

המתקפה שהופעלה כנגד מערכות שבא היא מסוג "מניעת שירות", שבענף הסייבר מכנים DDoS - קיצור של distributed denial of service. נעם משה, ראש צוות מחקר חולשות בחברת הסייבר Claroty Team82, מסביר כי מדובר במתקפה שמיועדת להציף את השרתים של החברה שמעניקה שירות בכמות עצומה של בקשות מזויפות - מה שגורם לעומס יתר על המערכת ומונע ממנה לתפקד כראוי. במקרה הזה, המתקפה שיבשה את יכולת הסליקה התקינה, מה שהוביל לעיכובים ולקשיים בביצוע עסקאות בכרטיסי אשראי.

מי עומד מאחורי התקיפה?

בשלב זה זהות התוקפים לא ידועה, אך גיל מסינג, ראש המטה בחברת הסייבר צ'ק פוינט, מעריך כי מדובר "ביכולות של שחקן מדינתי". לדבריו, "זה לא בהכרח אומר איראן, אבל בעבר גופים איראניים עמדו מאחורי תקיפות כאלה". כהוכחה להערכה מוסיף מסינג כי מתקפות מסוג זה שנועדו לייצר הד ורעש תקשורתי אך לא מייצרות נזק ממשי. הן מצביעות על שחקן שמבקש ליצור נזק תודעתי ולא פועל ממניעים כלכליים. עוד הוא מציין כי "אלו סדרי גודל אדירים [של פניות] שמקריסים כזו מערכת. אלו היקפים של כלים שמשמשים לרוב מדינות ולא סתם גופי תקיפה קטנים".

תקיפות סייבר איראניות (אילוסטרציה) (צילום: 123RF‏)
"בעבר גופים איראניים עמדו מאחורי תקיפות כאלה" (אילוסטרציה)|צילום: 123RF‏

האם קיים חשש לדליפת מידע?

לפי שבא המתקפה היתה מתקפת מניעת שירות בלבד, כלומר התוקפים לא ניסו או לכל הפחות לא הצליחו לחדור למערכות החברה. נכון לרגע זה, אין סימנים לכך שפרטי האשראי של ישראלים דלפו. משה מסביר כי מתקפות DDoS לא נועדו לגנוב מידע אלא לשבש את השירות ולמנוע גישה תקינה אליו. לכן, לפי המידע הזמין, המתקפה לא חשפה פרטי לקוחות או מידע פיננסי רגיש. עם זאת, הוא מציין כי כמו בכל אירוע סייבר, חשוב להמשיך לעקוב אחר תוצאות החקירה. אם יתברר בהמשך כי הייתה פגיעה בפרטי מידע אישיים, הציבור יעודכן בהתאם.

מתי היו אירועים כאלו לאחרונה?

המתקפה האחרונה מגיעה לאחר אירוע באוקטובר האחרון נגד מערכות שבא, שמנע ביצוע עסקאות בכרטיס אשראי בעסקים רבים. בחודש נובמבר ארעה תקיפת דומה נגד חברת סליקת האשראי הפרטית Credit Guard מבית HYP, שיצרה קשיים בביצוע עסקאות בחברות הנמנות על לקוחות החברה, עימן יוחננוף, קופת חולים מכבי, טרמינל X, מחסני חשמל, אל-על, מפעל הפיס וגם חברות התשלומים לנסיעה ציבורית רב קן אונליין ו-Hop On.

מה אומרים בשבא על החזרתיות?

מחברת שבא נמסר כי "מאז 7 באוקטובר חלה עלייה משמעותית בניסיונות לפגוע בתשתיות קריטיות של מדינת ישראל, ובכללן מערכות פיננסיות". עוד נמסר כי "החברה נוקטת באופן שוטף במגוון אמצעי אבטחה מתקדמים למניעת תקיפות סייבר. מתקפות מניעת שירות הן תופעה דינמית המתפתחת באופן תדיר, והן מגיעות במגוון צורות והיקפים. שבא פועלת בשיתוף פעולה מלא עם כלל הגורמים הרלוונטיים ומוסיפה לעדכן ולשדרג את מערכי ההגנה שלה בהתאם להתפתחות האיומים".

עם זאת, גורמים בענף הסייבר אומרים כי העלייה התקיפות החלה עוד קודם לכן. נראה כי בשבא מנסים לשדר כי בשל המספר הגדול של מתקפות סייבר שנבלמות מדי יום כנגד מטרות פיננסיות בישראל "לא צריך לעשות עניין" משתי מתקפות מניעת שירות שחדרו את ההגנות. מדובר בגישה שאפשר להגדיר בעדינות כשנויה במחלוקת. לדברי משה מקלארוטי, "גם מתקפה שאינה פוגעת ישירות במידע רגיש יכולה לשבש שירותים מהותיים ולהשפיע על חיי היומיום. הגנה על תשתיות קריטיות אינה מותרות, אלא הכרח במציאות הדיגיטלית של היום".

כרטיסי אשראי - אילוסטרציה (צילום: 123RF‏)
כרטיסי אשראי (אילוסטרציה)|צילום: 123RF‏

מה עושה המדינה בנושא?

הגוף האחראי להתמודדות עם איומי הסייבר בישראל הוא מערך הסייבר הלאומי. מהמערך נמסר כי מתחילת השנה הנוכחית הועברו למערך 17 אלף דיווחים על אירועי סייבר בכל הרמות ו"בחלקם ניתן לזהות עלייה ברמת התחכום והמהירות". עוד נמסר כי "המערך עובד מול ארגונים להעלאת חוסן, לבלימה ולצמצום נזקים בעת אירוע". בנוסף מקדם המערך תזכיר חוק שנועד את רמת הגנת הסייבר בארגונים החיוניים.

האם אנחנו צפויים לתקיפות נוספות?

לדברי מסינג מצ'ק פוינט, העובדה כי מדובר במתקפה שלישית בתקופה של מספר חודשים מראה כי יריבי ישראל "זיהו הזדמנות", לדבריו. "אם זה קרה והצליח בעבר, מאד יכול להיות שזה יקרה גם בהמשך".