בנאומו בטקס לציון מאה שנה לסוכנות הביון הרוסית (SVR), החמיא הנשיא ולדימיר פוטין לשירות, לאנשיו וכן ל"מבצעיו המקצועיים והקשים". ייתכן כי דבריו כוונו גם ל-SunBurst, ממבצעי הסייבר הגדולים נגד ארצות הברית, שהחל לפני כשנה לפחות בחדירה לחברה האמריקנית SolarWinds, המספקת פתרונות ניהול רשת.
במהלך המבצע, האקרים רוסים החדירו קוד זדוני לעדכוני תוכנת ניהול הרשתות Orion, ששיווקה SolarWinds ליותר מ-18 אלף חברות טכנולוגיה וגופי ממשל ומודיעין בארצות הברית ובעולם. בעדכוני גרסה שגרתיים הכניסו גופי אבטחת המידע וניהול מערכות הלקוחות את הקוד הרוסי לרשתותיהם, כתושבי טרויה שהביאו בשעריה את סוס העץ המיתולוגי, ובקרבו לוחמי יוון. שבועות לאחר מכן שלחו תוכנות רוסיות איתותים מרשתות המחשב במאות חברות וארגונים בארה"ב ובעולם אל מחשב במדינה שלישית - שמאחוריו התוקף הרוסי - וחיכו להנחיותיו.
חשיפת המבצע החלה כנראה בעקבות "רעש" או תקלה בחדירת התוקפים ל-FireEye, חברת הגנת סייבר ידועה, ופתחה צוהר לנוכחות רוסית רחבה ועמוקה בלב הטכנולוגיה העולמית, ולרוחב מערכות ממשלתיות וחברות עסקיות בארה"ב. קניין רוחני, מידע אישי של לקוחות, קוד ותוכנות מרכזיות במיליוני ארגונים מסביב לעולם נמצאים בסכנת הדבקה וחשיפה. מההיצע העצום שנפתח בפניהם בחרו התוקפים כמה מאות יעדי עילית למיצוי מידע או לפיתוח נגישות נוספת.
אל תפספס
בסמוך לחשיפת SunBurst בארה"ב, זוהו בישראל מאמצי תקיפה מצד קבוצת ההאקרים Pay2Key, שחדרו לחברת "עמיטל", ספקית תוכנה ללקוחות רבים בתחום הלוגיסטיקה והשינוע. התוקפים איתרו סיסמאות ופרטי התחברות ושליטה למערכות של לקוחות החברה וחדרו בעזרתם ליותר מ-40 חברות שונות, חלקן רגישות ומרכזיות למשק. מידע רב נגנב, ובתוכו קניין רוחני, פיתוחים טכנולוגיים ומידע רגיש. במרבית החברות הוצפנו נתונים, הושבתו מערכות, ושובש תפקודן. התוקפים דרשו כופר תמורת שחרור המידע המוצפן או כדי להימנע מפרסום מידע שיפגע במוניטין החברות. חלקן בחרו לשלם מיליוני שקלים, והתוקפים מצידם פרסמו מידע פנימי, כגון של "אלתא", "הבאנה לאבס" ואחרות.
בהיעדר ראיות לנזקים פיזיים משמעותיים, שני המבצעים קרובים יותר לעולמות הריגול והפעילות החשאית מאשר לעולם המלחמה. המותקפים ניצבים בפני אתגרים אופייניים לממד הסייבר: זיהוי התוקפים, הכלים והשיטות, איתור התפשטותם, הבנת מטרותיהם, צמצום נזקים, ניתוח השלכות, צמצום הסיכון לעתיד וכמובן מאמצי מניעה, סיכול והרתעה, ככל שמתאפשרת. מאחורי כל מתקפה עומד, כנראה, יריב מרכזי של מדינת היעד: קבוצת APT29 המיוחסת לרוסיה, וקבוצת Pay2key, המיוחסת לאיראן. בשתיהן נחדרה ספקית תוכנה, שממנה בוצעה התפשטות ללקוחותיה, ובהם גופים חיוניים.
ההבדלים בין ההתקפות גוברים על נקודות הדמיון; הנזק בישראל שקול למכת ברד מקומית לעומת "רעידת אדמה" עזה ומתמשכת בארצות הברית.
להתקפה על הממשל ועל חברות כמו מיקרוסופט ו-VMware, שמוצריהן מותקנים בהמוני חברות וארגונים בעולם, פוטנציאל השפעה גלובלי. תוקפי "עמיטל" ניצלו את מאגר נתוניה כדי לחדור למחשבי לקוחותיה ופרסמו זאת, בעוד שהרוסים החדירו בחשאי קוד זדוני לתוכנה שבשימוש יעדיהם, עד שנחשפו על ידי FireEye. המבצע המוגבל נגד ישראל נועד אולי להרתיעה בהקשר חילופי המהלומות שלה עם איראן, בסייבר ומחוץ לו. המבצע נגד ארה"ב פתח בפני מוסקבה פוטנציאל רחב להמשך: איסוף מודיעין טכנולוגי, מדיני, צבאי ועסקי; ביסוס תשתית למבצעי שיבוש ותקיפה נוספים; וחשיפת אישים וגופים לסחיטה, גיוס, כפייה והשפעה, וכמובן למבצעי תודעה, הונאה, מידע ולוחמה פסיכולוגית.
שובל אי הוודאות ימשיך לטלטל את ארה"ב לאורך זמן: פגיעה באמון בנתונים, בחברות ובטכנולוגיות המרכזיות, בחוסן ובסודות הלאומיים והמסחריים; ומתחים ביחסים בין ספקים ללקוחות, בין גופי ההגנה והממשל למגזר הפרטי ולציבור הרחב. לצד המשבר הפוליטי ואתגרי הקורונה, הכלכלה והפנים, ארה"ב תעסוק עוד זמן רב בחקירות, בחילופי האשמות ובהדחות על חשבון נושאים אחרים, כשברקע תחושות אובדן הרתעה, חוסר אמון, פגיעות וחדירות.
ברית הגנה עם ארה"ב
ההתקפות ניצלו "בטן רכה" בהגנת הסייבר על תשתיות קריטיות וארגונים חיוניים: ספקים במעלה שרשרת האספקה שלהם, הנתפסים כחיוניים פחות, ולכן הם מוגנים פחות. הלקח לישראל הוא הצורך בהגנה משופרת על ספקי תוכנה ושירותים לגופים ולתשתיות קריטיים, בתמיכת המדינה בהתרעה, בכלים ובהכשרה, לצד החמרה בחקיקה וברגולציה. הגנה מערכתית על שרשרת האספקה הלאומית מחייבת מענה משולב בין סוכנויות הביטחון, הרשויות האזרחיות והחברות העסקיות, תוך חיזוק קווי התפר ביניהן. על ישראל להמשיך ולפתח אפשרויות לתקוף נכסים איראניים בסייבר - כתגמול על תקיפות עתידיות של איראן על ישראל ולהרתעה מפניהן.
דווקא משום שארה"ב וישראל חולקות אסטרטגיה פרואקטיבית והתקפית בתחום הסייבר, עליהן לחזק גם את ההגנה, ורצוי במשותף. הגנה בסייבר מסתמנת כתחום מובהק להעמקת שיתופי הפעולה המודיעיניים והטכנולוגיים של ישראל עם ארה"ב. פיתוח טכנולוגיות הגנה משותפות, הגנה על שרשראות אספקה וחיבור לשותפים אמינים הם מרכיבים חיוניים בהתאמת שיתוף הפעולה של ישראל עם ארצות הברית לעידן תחרות המעצמות. כשתחרות על דומיננטיות במידע, בסייבר ובטכנולוגיה מסתמנת כחזית המאבק בין המעצמות, מקומה של ישראל הוא לימינה של בעלת בריתה הגדולה.
רועי אקרמן הוא סגן נשיא בחברת Cybereason ולשעבר בכיר בתחום הגנת הסייבר במשרד ראש הממשלה. תא"ל (מיל') אסף אוריון הוא חוקר בכיר במכון למחקרי ביטחון לאומי, באוניברסיטת ת"א, ולשעבר ראש החטיבה האסטרטגית בצה"ל.