מה בין הדחת ממונה החץ ופריצת האקרים סינים ל-IT ביטחוני?

יממה אחר הדחתו המפתיעה של יאיר רמתי, ראש מנהלת חומה במשרד הביטחון, בשל עבירת ביטחון מידע – עולים, אולי, הסברים לצעד החריג בחומרתו.

בבדיקות עלה כי רמתי החזיק חומרים מסווגים במחשבו הפרטי. ממשרד הביטחון נמסר כי "(בשל) עבירת ביטחון מידע חמורה, הוא אינו יכול עוד למלא את תפקידו במשרד הביטחון. המשך הטיפול בנושא הועבר לגורמים המוסמכים". רמתי שימש מאז 2012 בתפקיד ראש מנהלת חומה במשרד הביטחון, במסגרתו מפותחים פרויקטי הענק כיפת ברזל, שרביט קסמים ומערכות חץ 2 וחץ 3.

בתכנית "מבט" בערוץ 1 אמש (ב') נרמז כי ייתכן ויש קשר בין הדחתו הדרמטית של רמתי, ובין כתבה מאתר ה-BBC. לפי הדיווח מה-31 ביולי 2014, לידי רשות השידור הבריטית הגיעו ראיות לפיהן האקרים סינים גנבו מסמכים צבאיים סודיים משתי חברות ביטחוניות ישראליות – התעשייה האווירית ורפאל, מפתחות מערכת כיפת הברזל.

לידי ה-BBC הגיע דו"ח מודיעין, המצביע על מאות קבצים שהועתקו. המסמכים, שנגנבו על פני תקופה של חודשים רבים, מתייחסים לכמה אמצעי לחימה: טילי חץ 3, III טילים, כלי טיס בלתי מאוישים (כטב"מים, מזל"טים) ורקטות בליסטיות. על פי האתר, הנתונים שנאספו מצביעים באופן מובהק כי מקור ההאקרים שמאחורי המתקפה הוא בסין.

מסמכים רגישים הנוגעים לפיתוח המערכת ופעילותה

הדיווח ב-BBC הגיע ימים אחדים לאחר שפורסם בבלוג של איש אבטחת המידע איאן קרבס, באתר KrebsOnSecurity, לפיו האקרים פרצו למערכות ה-IT של רפאל, התעשייה האווירית ואלישרא – שתכננו, פיתחו ובנו את כיפת ברזל. על פי הדיווח, ההאקרים גנבו כמות עצומה של מסמכים רגישים הנוגעים לפיתוח המערכת, לפעילותה ולטכנולוגיות הגנה מפני טילים של מערכות ביטחוניות אחרות. הפריצות, שלא פורסמו עד לדיווח זה, בוצעו בשנים 2011-2012.

חברת המודיעין ואיומי הסייבר CyberESI מסרה אז כי האקרים סיניים תקפו את רשתות התקשורת של שלוש החברות בין אוקטובר 2011 לאוגוסט 2012. הקניין הרוחני שנגנב נגע לטילי החץ, כלי טיס בלתי מאוישים, טילים בליסטיים ומסמכים טכניים אחרים באותם שדות.

יוסף דריסל, מייסד ומנכ"ל CyberESI, אמר אז כי מהות הפריצות ומועדן מעידים שההאקרים הסינים חיפשו מידע הקשור למערכת כיפת ברזל ועשו זאת באמצעות מתקפות פישינג ממוקדות. לדבריו, מדובר בקבוצות האקרים סיניות הפועלות בחסות הממשל. דריסל ציין כי רבים מהמסמכים שנגנבו היו בעלי תיוג של מסמכים מסווגים, לרבות מסמך בן מאות עמודים של החץ 3, "שחלק ניכר מהטכנולוגיה שלו לא פותח בישראל אלא על ידי בואינג (Boeing) וחברות אמריקניות אחרות".

אלישרא ורפאל לא מסרו אז את תגובתן לדיווח. מהתעשייה האווירית נמסר כי "מדובר בחדשות ישנות". אליענה פישלר, דוברת התעשייה האווירית, מסרה אז לאנשים ומחשבים בתגובה כי "הידיעות על זליגת מידע רגיש אינן נכונות. הפרסומים מתייחסים לניסיון חדירה לרשת האינטרנט האזרחית והלא מסווגת בחברה, שאירעה כביכול לפני מספר שנים. מערכות ההגנה על המידע של התעשייה האווירית פועלות בהתאם לדרישות קפדניות ביותר וגם במקרה זה הוכחה יעילותן".

הבטן הרכה של המשתמשים

ביוני השנה פורסם כי קבוצת סייבר איראנית תוקפת בשנה האחרונה מאות יעדים בישראל ובמזרח התיכון. המתקפה, שנחשפה על ידי ClearSky הישראלית, החלה ביולי 2014, והיא כוללת פעילות תקיפה רב-שלבית, של יעדים ותשתיות מחשוב, ובמגוון ערוצים.

בלא קשר לדיווח על ההאקרים הסיניים, שאולי חדרו למערכות בתעשייה הביטחונית, בועז דולב, מנכ"ל ומייסד ClearSky, התייחס בעקיפין לפיטורי רמתי. דולב אמר לאנשים ומחשבים כי "במהלך חקירת התקיפה של ההאקרים האירניים, ראינו שהם מחפשים את ה'בטן הרכה' של המשתמשים. ככלל, מערכות ה-IT בארגונים מאובטחות יותר מאלו של המשתמשים בביתם – המחשב הנייד או הטלפון החכם".

בעבודה, אמר דולב, "ובוודאי בגופים ביטחוניים, יש מערכות SIEM-SOC, יש כלי ניטור, יש מדיניות גלישה מאובטחת, יש אכיפה של אותה מדיניות, ויש הפרדת סביבות העבודה – בין האישי והארגוני". לדבריו, "כשאתה שולח מסמכים ממערך המחשוב הארגוני לכתובת המייל הפרטית שלך – על מנת לעבוד בנחת על מסמך בערב – אתה חשוף לגמרי לתקיפות".

בדרך זו, הסביר, "היכולת של התוקפים להצליח במשימתם גדלה. הם עושים זאת על ידי פריצת מערך ההגנה על המחשב הביתי, שבהכרח יהיה מאובטח פחות מזה הארגוני, או באמצעות חדירה למחשב של בן-בת הזוג. משם, הם ינסו להגיע לסביבת העבודה של הארגון".

"בהרבה מקומות עבודה", סיכם דולב, "יש עירוב בין סביבת העבודה והסביבה האישית. הניסיון לייצר סביבת עבודה נוחה בבית – מביא לכך שאתה עובר עבירת ביטחון מידע. האתגר הוא להגן על המידע הארגוני, לייצר סביבת מחשוב פרטית-אישית, שתהיה מאובטחת ותגן מפני אותן מתקפות. כך, יינתן מענה לשני פוטנציאלים של נזקים: גניבת המחשב האישי, הבלתי מאובטח, וחדירה באופן קל יותר דרך אותו מחשב, על מנת להשיג חומרים מסווגים".