דיגיטל וטק

שלב אחר שלב: כך התרחשה מתקפת הסייבר על הספרייה הלאומית

בסוף חודש אוקטובר האחרון, הספרייה הלאומית בבריטניה נפגעה קשות בעקבות מתקפת סייבר שבה נגנבו קבצי מידע רבים. הספרייה, טרם התאוששה מן האירוע ושבה לפעילות מלאה. חן בורשן, מנכ"ל סקייהוק סקיוריטי, מסביר בטור כיצד נוכל למנוע אירוע דומה בעתיד
חן בורשן | 
ספרייה-אילוסטרציה (צילום unsplash)
בסוף חודש אוקטובר האחרון, נפגעה הספרייה הלאומית הבריטית ממתקפת כופרה של כנופיית Rhysida. במתקפת נגנבו קבצי מידע בנפח 600GB שפורסמו לאחר מכן בדארקנט, שרתים רבים הוצפנו ונהרסו. הספרייה עדיין לא התאוששה ולא חזרה לפעילות מלאה, אולם היא מפרסמת באופן נדיר דו"ח מעמיק על התקיפה, השלכותיה והתכנון העתידי למניעת הישנות מתקפה דומה כזו בעתיד.
רקע
בשעות הבוקר של ה-28 לאוקטובר, הבחין איש IT מצוות הספרייה שהוא אינו מסוגל להיכנס למערכות המחשוב שלה. לאחר מכן, הוא ביצע מספר פעולות שווידאו שמדובר במתקפת סייבר ויידע את בעלי התפקידים הרלוונטיים שהחלו לפעול על פי תכנית חירום שהוכנה מראש.
באותו יום בשעה 10 בבוקר, כבר התכנס צוות החירום לשיחת הערכה ראשונית שבוצעה בשיחת וידאו על גבי ווטסאפ, וזאת משום שמערכות המייל וה-Teams  של הארגון נוטרלו. גופי אכיפת חוק יודעו מיד לאחר מכן, כולל נציב הפרטיות הבריטי וסוכנות הסייבר הממשלתית ה-NCSC. נשכר צוות תגובה של חברה חיצונית שלקח פיקוד והחל לחקור ולתפעל את האירוע. באותו יום כבר הודיעה הספרייה ללקוחותיה, לציבור ולתקשורת על עצם המתקפה.
התקרית
החקירה הפורנזית העלתה שהחדירה הראשונית לארגון קרתה כנראה ב-25 לאוקטובר, אולם נתגלתה והוכלה על ידי מערכות ההגנה של הארגון. בדיעבד, זו כנראה הייתה בדיקה מודיעינית של התוקפים לפני המתקפה העיקרית. בליל ה-28 לחודש החברה, שמנתרת את תעבורת הרשת של הספרייה, גילתה הוצאה של כ- ש440G  של מידע אל מחוץ לארגון. נקודת ומועד הפריצה הראשוני לא נתגלו עד כה, וייתכן שלא יתגלו לעולם (משום שרבים מהשרתים והלוגים נמחקו לגמרי). סביר להניח שהחדירה בוצעה דרך Terminal Server שהיה פתוח לגישה מרחוק של שותפים וספקים. אותו שרת היה מוגן באנטי וירוס ובפיירוול אולם לא הופעל בו שירות הזדהות MFA.
לאחר החדירה התוקפים העתיקו אל מחוץ לארגון כחצי מיליון קבצים, בהתחלה ללא סדר או לוגיקה מסוימת (בעיקר קבצים ממערכות כספים, טכנולוגיה וכוח אדם), ולאחר מכן קבצי שהכילו את מילות החיפוש "דרכון", "חסוי" ועוד. לאחר מכן התוקפים השתלטו על כלי ניהול תשתיתיים ויצרו כ-22 עותקים של בסיסי נתונים שונים, חלקם מכילים פרטי קשר של לקוחות ועובדים.
השימוש האינטנסיבי של הספרייה במערכות ישנות יחסית הפך אותה פגיעה מאוד להצפנה והשמדת נתונים. חלק מהמערכות הישנות ניזוק באופן שאינו מאפשר תיקון או שחזור (בחלקו משום שהיצרנים הפסיקו לתמוך במוצרים אלו), וכך נוצר מצב שאמנם קיימים עותקים דיגיטליים של כל הכתבים המצויים בספריה אבל המטאדאטה שלהם אבד ולכן לא ניתן כרגע לחפש ולאתר אותם עד שלא תתבצע עבודת שחזור מפרכת וידנית, בחלקה. הספרייה לא יצרה קשר עם התוקפים ולא שילמה כופר, על פי הנחיית הרשויות.

חן בורשן, מנכ"ל סקייהוק סקיוריטי, צילום באדיבות: סקייהוק סקיוריטי.
ההשפעה של המתקפה הייתה נרחבת. אמנם המתקנים הפיזיים של הספרייה נותרו פתוחים לציבור אולם כל התשתית ניזוקה- לא ניתן היה לחפש במאגרי נתונים, לצפות בעותקים דיגיטליים או סרוקים של ספרים ורבים מאנשי הסגל לא יכלו לבצע את עבודתם מחוסר גישה למערכות מחשוב ואפילו אימייל. מערכת הניהול המרכזית של הספרייה "הלכה לעולמה" ולא תוכל לחזור לתפקד יותר, אבל בתהליך החקירה נתגלו גיבויים שיאפשרו בניית מערכת ניהול חדשה.
העלות הכוללת של המתקפה לא ניתנת להערכה בשלב זה, משום שפעולות השחזור והבניה מחדש לא נסתיימו. אולם כבר עתה ניתן לומר שהספרייה לא מסוגלת למלא את תפקידה במלואו- לא ניתן לתמוך במחקר וחלק גדול מהגנזך לא זמין (אם כי נראה שלא נפגע באופן ממשי). על אף כל זאת- הספרייה כן נותרה פתוחה ואפילו המשיכה להשאיל ספרים למעוניינים (על ידי השיטה הוותיקה והבטוחה של כרטיסיות השאלה).
העתיד
בחודש דצמבר הספרייה פרסמה תכנית שיקום ארוכת טווח. בשלב הראשון שיימשך כחצי שנה, יבוצעו פעולות ביניים שיאפשרו לספריה לספק את מירב השירותים. בשלב שלאחריו שיארך כשנה וחצי ייבנו מחדש תשתיות שיאפשרו לספריה להתמודד עם האתגרים הטכנולוגיים של העתיד, על חשבון הטכנולוגיות המיושנות בהן נעשה שימוש עד כה.
יבוצע ניתוח סיכונים שייקח בחשבון סיכונים עכשוויים ועתידיים, יינתן דגש על בנייה של ארכיטרטורה מודרנית ופשוטה יותר, תוך הקפדה על סטנדרטים מוכרים של סגמנטציה, הזדהות וזיהוי איומים וגיבוי. בייחוד צופים אנשי הטכנולוגיה של הספרייה מעבר אינטנסיבי לשימוש בשירותי ענן שיגבירו את רמת האבטחה הקיימת.
הנקודה האחרונה קריטית. מניתוח הסיכונים עולה שאנשי הספרייה מבינים שהמעבר לענן לא יפתור את כל בעיות האבטחה. נהפוך הוא- לענן סיכונים ואתגרים משלו, ביניהם המחסור בכוח אדם איכותי ובקיא לתפעול התשתית וביצוע פעולות אבטחה בשגרה. עם זאת- מעבר מושכל לענן תוך הטמעה של אמצעי גילוי וזיהוי מהיום הראשון צפויה להוריד באופן ניכר את הסיכונים שהספרייה חשופה אליהם כיום.
כל זה נשמע קצת תלוש מהמציאות שלנו פה בישראל, עד שנזכרים שגם הארכיון הלאומי (שכמו הספרייה בבריטניה, מחויב להחזיק עותק פיזי ודיגיטלי של כל ספר שיוצא לאור בארץ) שלנו פה בארץ הותקף כמעט באותו זמן, גם לו נגרמו נזקים גדולים, כשתוקפים פרו-פלשתיניים הצליחו לחדור למסד הנתונים של האתר, מחקו אותו ופרסמו חלקים ממנו הכוללים את פניות הגולשים ברשת האפילה. גרוע מכך- אין כרגע צפי לחזרה לפעולה של הארכיון, שכרגע לא מוערכת לפני סוף שנת 2024.
בניגוד לנתיני הממלכה הבריטית, ספק רב אם נזכה לראות דו"ח מפורט שמעיד על הכשלים שאפשרו את המתקפה, או איזו תוכנית עתידית לבניה מחדש של תשתית בטוחה ורובוסטית יותר. נותר רק לקוות שהאחראים יפיקו את הלקחים המפורטים בדו"ח הבריטי ויפנימו אותם בבואם לשקם את הארכיון שבמידה רבה מהווה את הזיכרון הלאומי שלנו.
תגובות לכתבה(0):

נותרו 55 תווים

נותרו 1000 תווים

הוסף תגובה

תגובתך התקבלה ותפורסם בכפוף למדיניות המערכת.
תודה.
לתגובה חדשה
תגובתך לא נשלחה בשל בעיית תקשורת, אנא נסה שנית.
חזור לתגובה