"הבעיה בסחטנות סייבר היא שקל להיענות לה, יקר להתנגד לה, וכמעט בלתי אפשרי להתחקות אחריה", אומר גדי גולדשטיין, בכיר לשעבר בקהיליית המודיעין הישראלית וכיום בכיר בחברה הפרטית מודיעין K2 שמרכזה בלונדון.
"חשוב על משרד עו"ד המקבל הודעה מהאקר אנונימי, שאם לא יעביר אליו כך וכך ביטקוינים — המטבע הדיגיטלי המתפקד מחוץ להישג השלטונות — הוא ישבש תחילה את ספרי החשבונות של המשרד, אחר כך יתחיל לעלות לרשת את התכתובות הפנימיות, ולבסוף יחשוף גם את התיקים הרגישים. ברור לגמרי שעורכי הדין המכובדים ייענו מיד לסחיטה".
ומה אם ההיענות לסחיטה תעודד את הסחטן הדיגיטלי לאיים שנית?
"זה בהחלט קורה. לפעמים עוד במהלך ההיענות לסחיטה אחת, הארגון כבר מותקף בשנית ובשלישית. העבריינים לא מפחדים, הם יודעים איך לטשטש את העקבות מיד לאחר העברת הכסף".
ולא מגיעים אליהם?
"לעיתים נדירות. פושעי סייבר פועלים במחשכים, בתוך מה שמכונה הרשת השחורה, הגוש השחור. זהו מרחב החיים של הפשע הטכנולוגי המאורגן, המגלגל מיליארדי דולרים רבים. ליחידים ולאתרים אין שם כתובות אינטרנט רשומות, והם מפזרים את הסיכונים בין כמה גורמים בכמה מדינות. ההשקעה הנדרשת בחשיפתם כבדה מאוד, הרבה יותר מהעלות של היענות לסחיטה. אתה יכול, אם יש לך גישה לפורום שחור כזה, לקנות בזול יחסית תוכנת הצפנה זדונית או להזמין התקפה על ארגון ותאגיד שתגרום למניעת שירות לשעות רבות. העלות לארגון שישותק פנטסטית, עלות הפשע עצמו בטלה בשישים. לרוב הרשויות לאכיפת חוק, הלאומיות והבינלאומיות, אין די אמצעים וידע לנהל נגדם מלחמת חורמה. פה נדרשת גישה אסטרטגית כלל־עולמית, קודם כל בתחום ההגנה והאבטחה".
פגשתי את גולדשטיין ביום עיון על פשעי סייבר שאירגן תאגיד הביטוח הבינלאומי הענק AIG. ביום העיון המרתק פגשתי גם את מארק קאמילו, ראש חטיבת הסייבר בחברה. "יש פיתוי כלכלי חזק בפשעי סייבר", הסביר לי את המציאות הטכנולוגית־עסקית שבה עובדת AIG כשהיא מציעה ביטוח נגד פשעים כאלה, "כי הם משתלמים מאוד. לא צריך אקדחים, תחפושות, אלימות. צריך מחשב נייד וחדר שקט במלון. עלות פריצת אינטרנט ממוצעת מוערכת על ידי מומחים באלפי דולרים ספורים, בשעה שקורבן הסחיטה משלם בממוצע 80 אלף דולר דמי סחיטה. נזקי מתקפה למניעת שירות הרבה יותר כבדים, ונאמדים במיליונים רבים לפחות".
כמה האקרים עבריינים נעצרים?
"התשואה לפשע גבוהה מאוד והסיכון להיתפס קטן מאוד. בממוצע, רק 1 מכל 700 אירועי סייבר מפוענח והעבריינים נתפסים ונעצרים. במוקדי פשיעה כמו רוסיה, סין והרפובליקות הסובייטיות לשעבר, המלחמה בעבריינות הרשת אפסית".
לפני ימים ספורים נסחטה רשות הרכבות בארה"ב באמצעות איום לשבש את מערך בקרת הכרטיסים. מקרה חריג?
"מתקפות סייבר על מוסדות ציבור ורשויות ממשלתיות נמצאות בקו עלייה חד. מצמרר לחשוב מה היה קורה לו התייחסה הסחיטה לבטיחות הנסיעה, או לו הושבת זדונית תפקוד חדר מיון בבית חולים".
וזו רק ההתחלה?
"קצה ההתחלה. אנחנו מעריכים שלפחות 20 מיליארד דברים יחוברו בעתיד לרשת עולמית. כשהחפצים שלנו, הבגדים שלנו, הבתים שלנו והמכוניות שלנו יהיו מקושרי אינטרנט, הנזקים ממתקפת סייבר יזנקו אל על. אבל כבר כיום סיכוני סייבר מסתמנים כדאגתם הראשית של מנהלי סיכונים בתאגידים".
62% ממנהלי החברות האירופיות הגדולות, דווח ביום העיון, משוכנעים שבעתיד הקרוב יחוו מתקפת סייבר; לפי נתוני "המרכז האירופי למדיה, נתונים וחברה", עובדי התאגידים אחראים לקרוב למחצית מהפרצות באבטחת מידע בתאגידיהם. ליתר אחראים ממשלים זרים ושולחיהם והאקרים בשירות הפשע המאורגן.
איך מתגוננים מפני הפושעים?
"באמצעות הרתעה שבחשיפת הפשע, הפנמת הסיכונים בכל רמות הארגון, זהירות מופלגת בכל מגע מקוון עם גורמים מבחוץ, גם הנראים תמימים לכאורה, השקעה מתמדת בחידוש, עדכון ורענון של מערכות לאבטחת מידע. צריך לשנות את כל הגישה של ההנהלה לסייבר".
זכרי וזכור: התחברת – הסתכנת.
דרוש: ביטוח מסוג חדש
פשע הסייבר שקשה במיוחד להתגונן מפניו ולעלות עליו הוא "סחיטת הצפנה". הודעה אנונימית מופיעה על צגי המחשב של עסק או בית פרטי, וזו לשונה: "כרגע הצפנו את המידע במחשבים שלכם ואינכם יכולים לגשת אליו. כדי שנסיר עת ההצפנה עליכם להעביר אלינו, לכתובת זו וזו, סכום כסף כזה וכזה, נקוב במטבע ביטקוין". הגורם המשתלט באורח זדוני על מאגרי מידע של ארגון יכול להשתמש בו למטרות לא זדוניות, אך הנזק נותר בעינו. "חשיפת הסיוע שנתן משרד עוה"ד בפנמה לפוליטיקאים להתחמק ממס נעשתה למטרות ערכיות", אומר אבירם גביש, סמנכ"ל ביטוח מסחרי ב־AIG ישראל, "אבל היא סיימה את חייו של המשרד". אירוע סייבר כזה, ששכיחותו גוברת מחודש לחודש ומגיעה כבר לחמישית מכלל פשעי הרשת, חורט פצע עמוק לא רק בתזרים המזומנים של הארגון המותקף, אלא גם במוניטין שלו, באמון בינו ובין עובדיו, ספקיו ולקוחותיו, בזיכרון התאגידי שלו, בתודעת מנהליו ובריבונותו כגוף עצמאי מוגן. ולא רק בארגון: "כשאמא שלי קיבלה הודעת סחיטה על צג המחשב שלה", אומר גביש, "תפסנו שהמחשב שלה נחטף. כל המשפחה, וגם אני, נכנסה להלם אדיר. חשבנו שלנו זה לא יכול לקרות. העברנו מיד, בפעם המי־יודע־כמה, את כל התמונות המשפחתיות לזיכרונות ניידים". אבל הרגשת חוסר הביטחון והחשיפה לזדון לא פגה.
נגד ההשלכות הללו ודומיהן מתחילות חברות ביטוח למכור פוליסות ביטוח. AIG מוכרת אותן בארץ כשנתיים, והיא עדיין היחידה בענף. "שוק ביטוחי סייבר", אומר שי פלדמן, מנכ"ל AIG ישראל, "הכי צומח מבין שוקי הביטוח בעולם". הביטוח כולל, מלבד כיסוי נזקים סטנדרטי, גם מתן שירותי טכנולוגיה לסתימה מהירה של הפרצה ושחזור המידע החטוף, סיוע מול הרגולטורים ומול דעת הקהל, ליווי משפטי, טיפול בדימוי ובתדמית, גיוס מומחים למניעת חדירה עבריינית חוזרת, העמדה של מערכות מידע חלופיות, שימור לקוחות, הפעלת מודיעין לגילוי העבריין ועזרה במיגון.
איך אתם מתמחרים פוליסת ביטוח כזאת? הרי יסוד היסודות של ביטוח הוא מאגר סטטיסטי גדול מאוד של אירועים שממנו אפשר לחשב הסתברויות לתאונה, פריצה, מחלה ועוד. פשעי הסייבר חדשים בנוף חיינו.
פלדמן: "הערכת נזקי מתקפת סייבר מתבססת על אבחון של מומחים. ככל שמיגון המידע בארגון משוכלל יותר, תעריף הביטוח נמוך יותר. AIG מבטחת מערכי מחשוב ומידע בחברות משנות ה־90'. צברנו ידע וניסיון רב".
גביש: "יש דירוג סיכוני סייבר בחברות כפי שיש דירוג סיכוני אשראי. תמחור הביטוח מתבסס על כך. חברה יכולה כמובן להשקיע בשיפור הדירוג, ואנחנו ממליצים ומלמדים איך לעשות זאת. העיקר — משמעת במיגון על המידע. אין עסק שלא חשוף למתקפה. מספיק שהוא מעביר במחשב תשלומים לרשויות מע"מ, וכבר יש לו נקודת כניסה אפשרית לעבריין".
פלדמן: "יש סיכונים שאת הנזק הכספי שלהם אפשר לחשב מראש, למשל הסיכון שהאקרים יפרצו למחשבים של אולפני סרטים, כפי שפרצו לפני כמה שנים לאולפני סוני, ויגנבו את הגרסה האחרונה של סרט העומד להעלות על המסכים. הנזק הכספי הישיר הוא הפסד הכנסות מההקרנות הראשונות. לעומת זאת, הנזקים העקיפים, כמו פגיעה במוניטין ובתפקוד האולפנים, קשים להערכה. גם אנחנו מופתעים בכל פעם מההתקדמות הטכנולוגית של הפושעים. ככל שהמידע הנגנב רגיש יותר, הנזק גדול יותר".
בסיום יום העיון שאלתי אם AIG מציעה גם ביטוח מפני פריצת מחשבים לאנשים פרטיים כחלק מביטוח רכוש. לא, עדיין לא התחלנו, השיבו בכירי החברה.
אז התחילו, אמרתי להם. בעידן טראמפ ודומיו ביטוח כזה יהיה הכרחי.
לונדון, נובמבר 2016
רעייתי ואני נסענו לכמה ימים ללונדון. הנה סיכום רשמים קצר, לא אובייקטיבי.
• הנחיתה בנמל התעופה של לוטון, המשרת את חברות התעופה הזולות, כמותה כנחיתה בשדה תעופה של מזרח אירופה הסוציאליסטית בשנות ה־70 של המאה הקודמת. הלכנו ברגל מדלת המטוס ועד דלת הכניסה לאולם הנוסעים ובחזרה. לא מומלץ למי שעבר את גיל הפרישה.
• קו הרכבת התחתית המשרת את נמל התעופה המרכזי של לונדון, היתרו, משובש לגמרי בגלל עלים על המסילות. עשרה ימים לא הצליחו לפנות את העלים. העומס בקווים האחרים גבר מאוד והנסיעות התארכו.
• קנינו שני כרטיסים לנסיעות מרובות ברכבת התחתית, כל כרטיס עלה עשרות שטרלינג. הראשון יצא שלם מהמכונה המנפיקה את הכרטיסים, השני לא. עובד רכבת תחתית פתר בשבילנו את הבעיה הטכנולוגית. הוא הנחית מכת אגרוף חזקה על המכונה והכרטיס קפץ ממנה.
• הרשתות הסלולריות בלונדון מקוטעות, ובמקומות רבים במרכז העיר (וכמובן בתחתית) אין בכלל קליטה סבירה. המחירים לא נמוכים כפי שהיו בעבר. זו תוצאה, כך מסבירים המומחים, מתחרות פרועה על לקוחות חדשים ומהעדר השקעה מספקת בתשתיות. מוכר, לא?
• כמעט חויבנו פעמיים בכרטיסי האשראי שלנו בעבור כרטיסים לתיאטרון. אנשי התיאטרון הבטיחו (בטלפון) "להחזיר את הכסף בתוך כמה ימים". למזלנו, חברת כרטיסי האשראי בארץ עצרה את החיוב הכפול שנראה לה חשוד. מההצגה עצמה נהנינו.
• ברוב המסעדות חסרו מנות פופולריות וההגשה התעכבה. על שירות מוטב לא לדבר.
• בערוצי הטלוויזיה של תאגיד השידור הציבורי BBC הוצע לנו לצפות ללא הפסקה בתוכניות למכירת נדל"ן, בתוכניות לשיפוץ נדל"ן, בתוכניות לבישול, בתוכניות לאוכל ובשעשועונים ובעוד שעשועונים. הוקרן גם אחד מופרך. צפייה לא נעימה.
• אם אתם מבוגרים, ותרו מראש על תקווה שמישהו יפנה לכם מקום ישיבה באוטובוס או בתחתית. האנגליות הצעירות תקועות בנוחות במושבים השמורים לנוסעים ותיקים ולא חולמות לקום. ואם כבר מישהו קם (זוכרים את הסיסמה הישראלית "לפני שיבה תקום"?), זהו קרוב לוודאי גבר תייר אירופי צעיר, איטלקי או צרפתי. לא הנסיכה הבריטית.
• והמחירים בחנויות? שמעטס וצעצועים made in china עולים כמו שמעטס וצעצועים made in china בארץ. מוצרי טכנולוגיה יותר יקרים והתורים לקופות יותר ארוכים. עלות הכניסה לתערוכות במוזיאונים שערורייתית. חברת התעופה הזולה איזיג'ט פתחה בריכוזי תיירות בלונדון קיוסקים לקפה — כל סוג קפה — בחמישה שקלים לכוס. כמו אצלנו, מדובר במים מושחרים.
• הפרישה הצפויה מהאיחוד האירופי מורטת את עצביהם של הבריטים והופכת אותם לעוד פחות מסבירי פנים מהרגיל.
• אם אכן תחליטו כמונו לטוס בחברה תעופה זולה, קנו מראש מקום עם מרווח רגליים משופר (ליד דלתות החירום) וזכאות למזוודה נורמלית ומטען יד נורמלי. לא חובה להביא כריך מהבית, אפשר לקנות על הסיפון. כן חובה להרזות: המושב במטוס צר מלהכיל גוף שופע.
עד כאן הקיטורים. והנה כמה שבחים.
• לונדון התנקתה. ראש העיר הקודם בוריס ג'ונסון השקיע בניקיונה, והתוצאות נראות בשטח, בעיקר ברחובות הראשיים.
• חנויות הספרים חוזרות. מה שנראה תחילה כגחמה מוגבלת לניו־יורק הופך לגל התחדשות עולמי. לא רק מוציאים לאור המון ספרים, גם קונים המון. החנויות מלאות, בייחוד בספרי ילדים (!) וספרי היסטוריה ואמנות.
• התחבורה הציבורית, להוציא התקלות בתחתית, עובדת יופי.
• בקשו מחברת כרטיסי אשראי הישראלית שלכם כרטיס המאפשר תשלום אל־נגע, ללא נגיעה. תוכלו לנפנף בו ליד כל מסופון בחנות בלונדון, וחשבונכם בארץ יחויב אוטומטית. בלי חתימה, בלי קוד סודי. נפנפת־שילמת. עובד עד 30 ליש"ט.
בשעתה שרה חוה אלברשטיין על לונדון כמקום שבו היאוש יותר נוח. עכשיו, אנחנו התרשמנו, הוא לא נוח במיוחד.
