מאת חן בורשן, מנכ"ל חברת האבטחה בענן סקייהוק סקיוריטי

במציאות הדיגיטלית של היום, חברות וארגונים מסתמכים יותר ויותר על מערכות ענן לאחסון מידע ולעיבוד נתונים. אך מה קורה כאשר נתונים רגישים ניזוקים, נעלמים או נפרצים? הנחיה החדשה של האיחוד האירופי מביאה עמה תקנות מחמירות שדורשות מספקי שירותי ענן ומפתחים לקחת אחריות על שלמות המידע, מהלך שעשוי לשנות את פני התעשייה.

"אחריות למוצרים פגומים"

הדירקטיבה החדשה של האיחוד האירופי בנושא אחריות למוצרים פגומים, שנכנסה לתוקף ב-8 בדצמבר 2024, מעדכנת את כללי האחריות כדי להתאים לטכנולוגיות חדשות, ומבטיחה הגנה טובה יותר לנפגעים וודאות משפטית למפעילים כלכליים. הדירקטיבה מבוססת על שני עקרונות מרכזיים:

1. אחריות היצרן: היצרן מחויב לפצות על נזק שנגרם כתוצאה ממוצר פגום.
2. חובת ההוכחה של הנפגע: הנפגע חייב להוכיח את הפגם במוצר, את הנזק שנגרם, ולקשר בין הפגם לנזק.

ההוראה הנוכחית מחליפה הוראה בת 40(!) שנה, שנזקקה לעדכון מאסיבי משום שלא התאימה לעידן הדיגיטלי. ההוראה החדה מבטיחה שהכללים יהיו מותאמים למוצרים מכל הסוגים, כולל טכנולוגיות מתקדמות כמו בינה מלאכותית ומתאימה לשרשראות אספקה גלובליות: בכך שהיא מבטיחה את קיומו של גורם אחראי מבוסס באיחוד האירופי שממנו יוכל הנפגע לדרוש פיצוי, גם אם היצרן אינו ממוקם באיחוד. בנוסף, היא מספקת הגנה משופרת לנפגעים וודאות משפטית: מתן כלים חדשים לבקשת ראיות בבית המשפט, והקלה על נטל ההוכחה במקרים מסוימים.

מה זה מוצר?

הדירקטיבה המעודכנת מרחיבה את ההגדרה של "מוצר" כך שתכלול גם עדכוני תוכנה, בינה מלאכותית ושירותים דיגיטליים, במטרה לשקף את השינויים בעולם הדיגיטלי. 

הדירקטיבה גם מאריכה את תקופת האחריות ל-20 שנה, עם אפשרות להארכה ל-30 שנה במקרים שבהם הנזק מתגלה לאחר תקופה ארוכה יותר. היא קובעת נהלים ברורים יותר לפיצויים, והתהליך להוכחת פגם במוצר שגרם לנזק הפך לפשוט יותר, עם הנחיות ומידע נגישים לתביעות פיצויים.

בכך, האיחוד האירופי מבקש להבטיח שהחקיקה תואמת את ההתפתחויות הטכנולוגיות והכלכליות, ומספקת הגנה מקיפה לצרכנים מפני נזקים הנגרמים ממוצרים פגומים.

למה ההוראה החדשה כל כך חשובה לצרכנים של שירותי ענן?

עד היום, האחריות על פגיעות בשלמות המידע בענן לא נכללה במסגרת החוק הזה. ספקי שירותים יכלו, במקרים מסויימים, להתנער מהשלכות של מחיקת נתונים בשוגג, השחתת מידע בעקבות תקלה, או אפילו מתקפות סייבר שפגעו במידע רגיש. כעת, האיחוד האירופי קובע ששלמות המידע היא חלק מהאחריות של החברות המספקות את השירותים, והן עשויות להיות חשופות לתביעות משפטיות אם יימצא שהן לא נקטו באמצעים מספקים כדי למנוע נזק.

מהם הנזקים שעליהם תוטל אחריות?

• אובדן נתונים קריטיים של משתמשים פרטיים או חברות.
• פגיעה בשלמות הנתונים בעקבות תקלה טכנית או מתקפה חיצונית.
• נזקים עסקיים כתוצאה משיבוש במערכות מבוססות ענן.

ומה בנוגע לאחריות הלקוחות?

דירקטיבה חדשה זו חופפת במעט את מודל האחריות המקובל בעולמות הענן. כיום – ספקי שירותי ענן פועלים תחת הגדרה שנקראת Shared responsibility model, מודל מציין שלספק הענן וללקוח יש אחריות ספציפית כל אחד. הספק אחראי לרוב על תשתיות, אבטחת מרכזי נתונים פיזיים וחלק מהתוכנה, בעוד שהלקוח אחראי על אבטחת הנתונים, הצפנה ובקרת גישה. אם נגרם נזק לנתונים בשל כשל מצד הספק בתחומים שהוא אחראי להם, הוא עשוי להיות אחראי. עם זאת, אם הבעיה נגרמה בגלל שגיאות או רשלנות מצד הלקוח, ייתכן שהספק לא יהיה אחראי לפי ההנחיות החדשות של האיחוד האירופי. בכל מקרה, לקוח המעוניין להוכיח נזק שנגרם בענן צריך לאסוף ראיות ברורות המצביעות על כשל בשירות, שכוללת לוגים שמכילים תיעוד של זמן אירוע, שגיאות או התרעות שיכולות להצביע על הבעיה. באופן כללי, יש להראות שהנזק נגרם כתוצאה מבעיה אצל ספק השירות ולא ממקור אחר. עוד לא ברור האם לקוחות שיפגעו ממתקפות סייבר בענן יוכלו לתבוע את ספק הענן על בסיס הדירקטיבה. גם אם כן, יהיה עליהם להציג הוכחה לנזק (לוגים), וכנראה גם להוכיח שהם עשו ככל שביכולתם למנוע את המתקפה. דרך אחת לעשות כן הינה להריץ סימולציות תקיפה ולתעד אותן. כך ניתן יהיה להוכיח שהלקוח הבין את החולשות ודרכי החדירה האפשריות ופעל כדי לנטרל אותן, כך שאם בכל זאת הותקף, הרי שזו כנראה אשמת ספק הענן ועליו לקבל פיצוי נאות. 

מאמר אורח. מאת: חן בורשן (בתמונה למעלה), מנכ"ל סקייהוק סקיוריטי

עוד ועוד ארגונים ממשיכים לאמץ את טכנולוגיית הענן, ולעתים קרובות הם מתעלמים מאחד מסיכוני האבטחה הבסיסיים ביותר: גניבת פרטי גישה לענן. אמנם אבטחת הענן עצמו משפיעה על יכולתם של ארגונים לפעול, אבל גם גניבה ושימוש לרעה בפרטי גישה לענן הפכו כה נפוצים עד שהם מאיימים לתדלק את הגל הבא של מתקפות סייבר מבוססות ענן, וזה איום שארגונים בכל הגדלים חייבים לקחת ברצינות.

הבעיה הגוברת של פרטי גישה גנובים

פרטי גישה לענן (Credentials), כגון מפתחות API, טוקנים סודיים ואישורי גישה, הם מרכיבים קריטיים בתהליך האימות המעניקים גישה למשאבים ולשירותים מבוססי ענן. אישורים אלה, אם נחשפים, מספקים לפושעי סייבר נתיב ישיר לתשתית הענן של הארגון, מה שמוביל לרוב לפרצות נתונים משמעותיות, הפסדים כספיים והפרעות נרחבות.

בוא נדגיש את זה שוב. על מנת לגשת לנתונים שהארגון שומר בענן לא צריך "לפרוץ" את תשתית הענן אלא "רק" להשיג את פרטי הגישה, וזה קל בהרבה. עד כמה זה יותר קל? אירועי אבטחה אחרונים מדגישים את הקלות שבה יכולים תוקפים לגנוב אישורי ענן כדי למנף אותם למטרות זדוניות. האקרים גנבו לאחרונה יותר מ-15,000 פרטי גישה ענן על ידי ניצול קבצי תצורה חשופים של  Git . לעתים קרובות קבצים אלה נדחפים ללא כוונה למאגרים ציבוריים, המכילים מידע רגיש כמו מפתחות API, טוקני גישה ואישורים אחרים. טעות פשוטה זו יכולה לספק לתוקפים גישה נוחה לסביבות ענן ללא צורך בשיטות פריצה מתוחכמות.

בנוסף לקבצי Git חשופים, האקרים הפנו יותר ויותר את תשומת לבם לחבילות תוכנה זדוניות בתור וקטור התקפה. תוקפים הפיצו חבילות Python זדוניות שנועדו לגנוב פרטי גישה  ל- AWS  ממערכות פגיעות. חבילות אלו מתחזות לרוב כספריות שימושיות, אך לאחר התקנתן, הן מחלצות בשקט אישורים רגישים ממכונות המפתחים. שיטת התקפה זו מנצלת את האמון שמפתחים נותנים במאגרי קוד פתוח ואת הנוחות של מנהלי חבילות כמו PyPI.

הקלות בהשגת פרטי גישה לענן באמצעות שיטות אלו ואחרות הובילה לעלייה בכנופיות פשעי סייבר המכוונות לסביבות ענן. כנופיות פושעי סייבר  כגון Nemesis או  ShinyHunters סרקו את האינטרנט בחיפוש אחר פרטי גישה למערכות הענן של AWS, מוכרות אותם בפורומים מחתרתיים, או משתמשות בהם עבור התקפות כופר, גניבת נתונים ופעילויות זדוניות אחרות- כך חשפוה לאחרונה חוקרי האבטחה נועם רותם ורן לוקר.

 במקרים רבים, התוקפים הללו מסוגלים לעקוף את אמצעי האבטחה המסורתיים, שכן האישורים הגנובים מעניקים להם גישה לגיטימית לשירותי ענן, מה שמקשה בהרבה על זיהוי הפעילות שלהם.

כיצד מנוצלים אישורי ענן גנובים

ברגע שפושעי סייבר מקבלים פרטי גישה גנובים לענן, פוטנציאל הנזק הוא עצום. תוקפים יכולים להשתמש באישורים האלה כדי:

1. לגנוב נתונים רגישים: פלטפורמות ענן מאחסנות כמויות אדירות של נתונים רגישים, כולל מידע לקוחות, נתונים עסקיים קנייניים וקניין רוחני. על ידי השגת גישה לסביבות ענן, התוקפים יכולים לסנן נתונים אלה למכירה בשוק השחור או להשתמש בהם לסחיטה.
2. לשגר מתקפות כופרה: עם גישה לתשתית ענן, התוקפים יכולים לפרוס תוכנות כופר, להצפין קבצים ולדרוש כופר מארגונים בתמורה למפתחות פענוח. הדבר עלול לגרום להשבתה משמעותית, להפרעות תפעוליות ולהפסד כספי.
3. ליצור חשבונות משתמש חדשים או הרחבת הרשאות: לאחר שחדרו למערכת, תוקפים יכולים ליצור חשבונות משתמש חדשים עם הרשאות גבוהות, לתת להם גישה לטווח ארוך גם אם פרטי גישה הגנובים יתגלו בסופו של דבר ויבוטלו.
4. כריית מטבעות קריפטוגרפיים: פושעי סייבר יכולים גם להשתמש באישורי ענן כדי להפעיל פעולות כריית מטבעות קריפטוגרפיים לא מורשים. זה מאפשר להם להשתמש במשאבי הענן של הארגון לצורך כרייה, מה שעלול לגרום לעלויות גבוהות עבור הארגון שנפגע.
5. השקת מתקפות על ארגונים אחרים: עם גישה לשירותי ענן, תוקפים יכולים גם לעבור לתקיפה של ארגונים אחרים. זה עשוי להיות כרוך בגניבה או ניצול לרעה של נתונים המאוחסנים בסביבות ענן לצורך קמפיינים דיוגים, מילוי אישורים או סוגים אחרים של התקפות הנדסה חברתית.

מסקנה: איום הולך וגובר

גניבת פרטי גישה לענן היא איום מתגבר שארגונים חייבים לקחת ברצינות. ככל ששירותים מבוססי ענן ממשיכים לצמוח בפופולריות ובתחכום, פושעי סייבר מתמקדים יותר ויותר בסביבות ענן כדי לנצל אישורים גנובים למגוון רחב של מטרות זדוניות. בין אם באמצעות קבצי Git חשופים, חבילות תוכנה זדוניות או אמצעים אחרים, הסיכונים הנשקפים מגניבת אישורים גדולים מכדי להתעלם מהם.

ארגונים חייבים לפעול כעת כדי להקטין ככל הניתן את זליגת אישורי הענן מחד, ולשפר את הגנות האבטחה בענן שלהם מאידך. שימוש במערכות הגנה מבוססות AI יוכל לאתר שימוש לרעה באישורים גנובים ולהתריע על כך לפני שייגרם נזק נוסף לארגון. 

מאמר אורח. מאת: חן בורשן (בתמונה למעלה), מנכ"ל סקייהוק סקיוריטי

זה עבר קצת מתחת לרדאר של כולנו, אבל ייתכן מאוד שנחשפנו לאחרונה לקמפיין הסייבר הגדול של כל הזמנים, שבו סין הצליחה לחדור באופן מוחלט את כל ההגנות על תשתית התקשורת של יריבתה הגדולה ארצות הברית, ולהשיג נגישות לכמויות עצומות של מידע שערכו לא יסולא בפז. המתקפה כל-כך חמורה, שהממשל האמריקני מראה סימני פאניקה: ה-FBI וה-NSA תידרכו את כל הסנאטורים, הוקם צוות משימה בינמשרדי הנפגש שלוש פעמים בשבוע, ועדת משנה למסחר בסנאט החלה לקיים שימוע מיוחד בנושא איומי אבטחה על רשתות תקשורת ושיטות עבודה מומלצות לספקים שיפחיתו את סיכונים לצרכנים. ה-FBI ו-CISA נקטו בצעד חריג מאוד, והמליצו לציבור להימנע משיחות טלפון ושליחת הודעות SMS לא מוצפנות. הם המליצו לעבור לשימוש באפליקציות תקשורת הכוללות מנגנוני הצפנה מקצה לקצה (E2EE), כגון למשל Signal ו-WhatsApp.

מה קרה שם?

קמפיין הסייבר של קבוצת ההאקרים Salt Typhoon אשר מזוהה כקבוצה הנתמכת על-ידי משרד הביטחון הסיני, התגלה לראשונה במרץ 2024 על ידי חברת מיקרוסופט. החברה זיהתה פעילות חשודה ברשתות של ספקיות תקשורת מובילות בארצות הברית, דוגמת Verizon, AT&T ו-Lumen Technologies. בהמשך דווח שההאקרים חדרו למערכות ההאזנה ואיסוף המידע (Lawful interception – איסוף מידע חוקי על אזרחי המדינה) של משרד המשפטים האמריקאי. שם הם קיבלו גישה לרשימות טלפונים ולתכנים רגישים. החדירה בוצעה כנראה בתחילת 2024. כלומר היא נמשכה זמן רב לפני שהתגלתה. הדבר מדגיש את התחכום של המתקפה ואת הקושי בזיהוי מוקדם.

שיטת החדירה הראשונית

ההאקרים הסינים השתמשו בטקטיקות מתקדמות כמו ניצול פרצות בתוכנה ובחומרה של נתבים ושרתי רשת. לפי הדיווחים, נעשה שימוש בניצול חולשות של מערכות Cisco לשם השגת גישה ראשונית, ולאחר מכן בוצעו פעולות של גניבת זהויות ושימוש בכלי תוכנה לגיטימיים לשליטה ועדכון מרחוק (Living off the land) להעמקת החדירה. סגנית היועצת לביטחון לאומי לסייבר וטכנולוגיה מתפתחת, אן נויברגר, הדגישה את חומרת הפריצה במהלך תדריכים לעיתונות שנתנה בימים אחרונים. היא אישרה כי המתקפה פגעה בשמונה חברות טלקום אמריקאיות, תוך ניצול ארבע פגיעויות Zero-Day שלא היו ידועות בעבר.

נויברגר הצהירה כי ככל הנראה התוקפים ניצלו נקודות תורפה במערכות של חברות פרטיות במשך שנה עד שנתיים. היא הדגישה כי היקף המתקפה המלא עדיין בחקירה וכי עדיין קיים סיכון לניצול פרצות שלא נתגלו. ייתכן מאוד, שהתוקפים ניצלו פגיעויות מובנות שקיימות ברשתות התקשורת של ארה"ב – כאלו שנועדו לאפשר גישה לצורכי מעקב ממשלתי. חולשות אלו היוו לכאורה נקודת תורפה מרכזית שאותה ניצלו התוקפים. אם זה אכן המצב ייתכן שלא כל המתקפות נחשפו ושיעבור עוד זמן רב עד שיוודעו המימדים האמיתיים של המתקפה. 

קורבנות ונזקים

1. תעשיית הטלקום: הנזק היה רחב היקף, בעיקר אצל ספקיות תקשורת גדולות כמו Verizon ו-AT&T, המספקות את רוב תשתית התקשורת בארצות הברית. הקבוצה הצליחה לגשת למידע רגיש על מאות מיליוני משתמשים פרטיים ומוסדיים.
2. מערכות ממשלתיות: הקמפיין פגע ברשומות מעקב של סוכנויות אמריקאיות, והדבר עשוי לפגוע ביכולתן לעקוב אחר חשודים בפעילות פלילית או ריגול.
3. מטרות פוליטיות: ההתקפה כוונה גם למכשירים של אישים פוליטיים, כולל אנשי צוות ובכירים בקמפיין הבחירות של המועמדים לנשיאות האריס וטראמפ.
4. מערכות קריטיות נוספות: ההאקרים הצליחו לחדור לארגונים שונים באסיה ובארצות הברית, דבר שהעלה חשש שהחדירה רחבה יותר ויכולה להשפיע על תשתיות קריטיות כמו חשמל ומים.

תגובת הממשל האמריקאי

עם היוודע דבר הפריצה החלה חקירה נרחבת של ה-FBI, סוכנות הסייבר CISA וה-NSA. ממשלת ארה"ב הקימה קבוצת תיאום מאוחדת כדי לטפל בחדירות המסוכנת של תשתית התקשורת במדינה. הקבוצה נפגשת מספר פעמים בשבוע, עובדת עם מנכ"לי חברות הטלקום ומומחי אבטחת סייבר, כדי ליישם אמצעי אבטחה חזקים יותר בכל המגזר. בנוסף, הסוכנויות הפדרליות פרסמו הנחיות אבטחה מעודכנות כדי לעזור לספקי טלקום להקשיח את ההגנה שלהם מפני התקפות דומות בעתיד.

ה-FCC (ועדת התקשורת הפדרלית, שהיא הרגולטור של שוק התקשורת בארה"ב) החל לעבוד על הנחיות להפחתת הנזק ושיפור ההגנה. יו"ר ה-FCC, ג'סיקה רוזנוורצל, הציעה כללים חדשים שיחייבו חברות טלקום לקבל אישור מחודש, מדי שנה, של תוכניות ההתגוננות בפני תקיפות סייבר. הסוכנות שואפת להבטיח שפגיעויות-רשת המנוצלות על ידי האקרים זרים יטופלו, מה שמחייב ספקים לעמוד בתקני אבטחה ספציפיים כדי להגן מפני גישה לא מורשית.

במקביל, ומתוך הבנה כי המערכות עדיין נמצאות בסיכון גבוה לחדירה נוספת (או נמשכת), ה-FBI ו-CISA המליצו לציבור להימנע משיחות טלפון ושליחת הודעות SMS לא מוצפנות. הן ממליצות לעבור לשימוש באפליקציות תקשורת הכוללת הצפנה מקצה לקצה (E2EE) כגון Signal ו-WhatsApp, מכיוון שהן לא חשופות לחולשות האבטחה של ספקי התקשורת הגדולים. 

 בנוסף, CISA וה-FBI קראו למשתמשים ליישם אימות רב-גורמי ולהבטיח שהמכשירים שלהם יקבלו עדכוני מערכת הפעלה בזמן, כדי להתגונן מפני סיכוני אבטחת סייבר נוספים וכאלו שאינם מוכרים עדיין. 

השלכות על הביטחון הלאומי של ארצות הברית 

סנאטורים אמריקאים שתודרכו בנושא הביעו דאגה רבה וקראו לפעולה בעקבות גילוי קמפיין הריגול הסיני. הסנאטור מארק וורנר תיאר זאת כ"פריצת הטלקום הגרועה ביותר בהיסטוריה של האומה שלנו". הסנאטור הדמוקרטי רון ווידן החל לנסח חקיקה לשיפור אבטחת הטלקום, והסנאטור אריק שמיט דחק בפנטגון לאכוף אמצעי אבטחת סייבר חזקים יותר עבור הספקים שלו עצמו. ישנם גם קולות הקוראים לתגובה משמעותית יותר כנגד סין עצמה.

הסוף למעקב?

המלצה של הרשויות לעבור להשתמש באמצעי תקשורת מוצפנים מקצה לקצה (שאינם מתבצעים על גבי תשתית הטלקום המסורתית) שומטת את השטיח מתחת לכוונת המחוקק של CALEA, שנתן לרשויות בארצות הברית יכולת בלתי מוגבלת לצוטט (או ליירט תשדורות מכל סוג, באישור צו בית משפט כמובן) לאזרחיה. חוק CALEA (ראשי תיבות של Communications Assistance for Law Enforcement Act) הוא חוק אמריקאי שנחקק בשנת 1994. מטרתו העיקרית הייתה להבטיח שספקי תקשורת יוכלו לספק גישה למידע לרשויות אכיפת החוק לצורך האזנות חוקיות. החוק נוצר בתקופה שבה טכנולוגיות דיגיטליות הפכו לדומיננטיות, והיה צורך לעדכן את היכולת של רשויות החוק לבצע ציתותים גם במערכות החדשות הללו.

החוק מחייב ספקי תקשורת (כמו טלפון, אינטרנט, ושירותי מסרים) להטמיע במערכות שלהם מנגנונים שיאפשרו לרשויות לבצע ציתותים, בתנאי שיש צו בית משפט המורה על כך. אם אכן האזרחים ינהגו על-פי ההמלצה החדשה, המעקב אחריהם יהפוך קשה יותר. ייתכן שבאופן פרדוקסלי, דווקא אחת מפרצות האבטחה החמורות בהיסטוריה, כזו שהביאה לגניבת מידע במימדים היסטורים ולפגיעה בפרטיות של מיליונים – תביא לשיפור בפרטיות של אזרחי ארה"ב (או לפחות תקשה על השלטונות לאסוף מידע עליהם).