המתקפה על חברת הביטוח שירביט בשבוע שעבר, העלתה את הנושא על סדר היום, והציפה חששות שקיימים בתחומים רבים ממתקפת סייבר כזאת. "מחדל יום כיפור" - כך תיאר בכיר בעולם הסייבר את תקיפת החברה, שמעלה שאלות לגבי מידת הסכנה בהדלפת המידע, ומה ניתן לעשות במקרים כאלה.
התקיפה התרחשה בשבוע שעבר על ידי האקרים ממוצא לא ידוע, כשלדבריהם המטרה סחיטה כספית של שירביט. תחילה דרשו על המאגר מיליון דולר, כשהתשלום עלה מדי 24 שעות עד לסכום כולל של ארבעה מיליון. לטענת ההאקרים, הם מחזיקים בטרות (אלפי גיגה) רבות של מידע.
גם התוכן שהודלף על ידם מרמז כי מדובר במאגר גדול יותר ממה שתואר תחילה על ידי בכירי החברה. נראה כי בניגוד למה שנאמר, קיימת סכנה מוחשית בהדלפה או מכירת המידע.
אל תפספס
איזה מידע דלף?
התוקפים הדליפו מידע מגוון, וזה מעיד על כמות המאגרים הגדולה שהם הצליחו לשים עליה את ידם. כך לדוגמה, לעיתים קרובות מאגרי ההקלטות, האימיילים והמסמכים מופרדים זה מזה. במהלך השבוע האחרון, התוקפים הדליפו הקלטות, צילומי תעודות זהות, מספרי פקס, התכתבויות מייל, ועוד. לפי צילומי מסך שפרסמו, נראה כי ההאקרים הצליחו לשים את ידם על שרתי האימייל של החברה, כשרק הקובץ ששיתפו שוקל מעל ל-900 גיגה, מה שמרמז שיש בידם מידע בהיקף גדול.
עם זאת, עדיין לא ברור כמה גדול היקף המידע שברשותם, אך ניתן לשער כי מדובר במרבית מאגר הנתונים של החברה, אם לא כולו. ההאקרים, התפארו פעם אחר פעם בכך שהצליחו לשים ידם על "טרות (אלפי גיגה) של מידע", ולפי אופי ההדלפות, נראה כי זה המצב.
הפרטים שלי דלפו לרשת. למה זה כל כך מסוכן?
רועי שרייבר, מנהל אקסנצ'ר סקיוריטי ישראל, הסביר כי "אם אכן מדובר במאגר מידע גדול כמו שמתואר על ידי התוקפים, אז הסכנה גדולה. במקרים רבים אנו מסתכלים על כל חלק במידע, ומחשבים את הסיכון לגביי חשיפתו". לדבריו, "כשדולף מאגר המאגד הרבה פיסות מידע יחד, הסיכון עולה בצורה אקספוננציאלית".
שרייבר, שהחברה שבניהולו מפעילה מערך מודיעין גלובלי, הבהיר כי "צילום של תעודת זהות בשילוב עם שמות המוטבים ומספר חשבון הבנק (עבור הוראת קבע) וחתימה, יכולים להיות מספיקים בשביל לגנוב זהות. שימוש בזהות גנובה יכולה לשמש לביצוע פעולות פליליות, רכישות מקוונות, פעילות להשגת מודיעין ברמת מדינה, סחיטה ועוד".
הוא הוסיף כי "המחיר עבור מאגר מידע משתנה בהתאם להיקף המאגר ואיכותו, כשאפילו איכות צילום המסמך משפיעה על המחיר. דוגמא למחיר של תעודת זהות בדארקנט נע בין שניים לשישה דולרים, עבור כל מספר תעודת זהות וכרטיס אשראי בין שבעה לעשרה דולרים. גישה לחשבון ג'ימייל נע סביב 150 דולרים". לדבריו, "אנחנו עובדים עם חברות הביטוח הגדולות בעולם, ורואים עלייה מתמדת באיומים על חברות אלה ועל לקוחותיהן".
שרייבר הבהיר כי "חברות ביטוח כיום צריכות לחזק את מערך האבטחה שלהן ולתרגל באופן שוטף סימולציות לתקיפות סייבר, ולתגובה אליהן. גם עכשיו לאחר התקיפה, חשוב לפעול במישור המודיעיני לאורך זמן רב". לטענתו, "גם אם נראה שהאירוע לכאורה מתקרב לסיומו בשבועות הקרובים, אנחנו עלולים לראות את המידע צף שוב בעתיד".
הפרטים שלי ברשת, מה עליי לעשות עכשיו?
כדאי לנקוט באמצעי ביטחון ולבטל את כרטיס האשראי שאיתו השתמשתם כדי לרכוש את הפוליסה. מערך הסייבר המליץ להחליף את תעודות הזהות שהודלפו כתמונות, שכן תאריך הנפקת תעודת הזהות משמש לאימות דו-שלבי אצל גורמים פיננסים ובנקאים. עוד הומלץ להפעיל אימות דו-שלבי בחשבונות השונים כמו האימייל והפייסבוק, ולהיות ערניים לכל מייל שנשלח. עוד מסרו במערך הסייבר כי ייתכן ויהיו קורבנות לניסיונות פישינג שיתבססו על המידע שנשלח.
האם אפשר לתבוע את החברה?
עו"ד יורי נחושתן, שותף במשרד נחושתן, יוגב ושות', ומומחה לליטיגציה מסחרית, הסביר כי "באופן עקרוני, עצם החדירה לשרתיה של שירביט וגניבת המידע בהם מקימה עילה לתביעה נגדה, שכן מדובר בפגיעה בפרטיותם של מבוטחיה, בעקבות חדירה למחשבים".
הוא הוסיף כי "קיימת הנחת יסוד שגויה, כאילו רק מבוטח שפרטיו כבר נחשפו רשאי להגיש תביעה, אולם בפועל, כל מי שקיבל מחברת הביטוח הודעה כי פרטיו זלגו לידי ההאקרים נחשב כניזוק, שכן מידע אישי שלו נמצא כעת בידיים לא מוסמכות". לצד זאת, ציין נחושתן כי "לא די בכך על מנת לחייב את החברה בתשלום פיצויים".
"על מנת שבית המשפט יחייב את החברה בתשלום, על התובע להוכיח כי היא התרשלה בהגנה על המידע שאגור בשרתיה", המשיך עו"ד נחושתן. "היה והיא תוכיח כי היא פעלה בהתאם למכלול ההנחיות והוראות של אגף שוק ההון ועל פי חובותיה כפי שמוגדרות בתקנות הגנת הפרטיות, עשוי בית המשפט שלא לחייבה בתשלום. מנגד, אם ימצא כי החברה הפרה את חובת זהירותה, גובה הפיצוי שישולם לניזוק כזה או אחר מותנה ותלוי בהוכחת נזקיו", סיכם.
למי לפנות במקרה של סחיטה?
כל הגורמים הממשלתיים: משרד המשפטים שממונה על המאגר הרגיש, מערך הסייבר ואגף שוק ההון ביטוח וחיסכון, לא פירטו כיצד לפעול במקרה של סחיטה אם תהיה. לכן האפשרות הטובה ביותר היא לפנות למשטרת ישראל ולהתלונן, לצד פנייה לחברת הביטוח.
איך אפשר להתגונן בפעם הבאה?
לצער הלקוחות, אין דרך שבה ניתן להתגונן מפני מתקפה נוספת. בישראל קיימת אכיפה של משרדים המשפטים על מאגרים שמכילים תוכן רגיש, אך בשעה שהדוח האחרון בנושא מטעם המשרד שוחרר בנובמבר 2018 והתייחס לשנת 2017, נראה כי יחס משרד המשפטים לאותם גורמים הוא ציני ומזלזל - בעיקר באזרחים.
ככל ששירותי ביטוח ידרשו תעודת זהות, אין דרך שבה ניתן להגן על המידע שלכם. ההמלצה הטובה ביותר היא שלא לשלוח צילומים של כרטיסי אשראי, ולנסות להימנע מצילומי תעודות זהות ככל שאפשר.
מה קורה בין שירביט להאקרים לאחר פקיעת האולטימטום?
האקרים הודיעו כי אחרי פקיעת האולטימטום וסירוב שירביט לשלם 200 ביטקוין תמורת המידע, הם ימכרו את המידע למרבה במחיר. התוקפים הפנו בטלגרם למשתמש נוסף מטעמם, שדרכו ניתן יהיה לבצע את המשא ומתן. כך למעשה, המידע יימכר למרבה במחיר והוא יכול ליפול לידי גורמים עוינים כמו ממשלות זרות שהמידע על ישראלים בעל ערך עבורן, או לידי האקרים שמחפשים לבצע הונאות מתוחכמות.