WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 01.07.2021

עיקרי הדברים

  1. פורטוגל: מתקפת סייבר על בית חולים הובילה לאיחורים בשליחת תוצאות בדיקות קורונה למטופלים.

  2. מיקרוסופט הותקפה על ידי קבוצת התקיפה NOBELIUM.

  3. 5 בתי ספר תיכוניים באי אנגלסי שבוויילס נפלו קורבן למתקפת סייבר.

  4. משטרת ישראל מזהירה מפני מגמת עלייה בהפצת הודעות הונאה מקוונות הנשלחות לאזרחים.

  5. אנו ממליצים לעדכן את המוצרים הבאים: אפליקציית הניהול Carbon Black של VMware (קריטי); מוצר ה-WAF של Fortinet (גבוה); מוצר ה-Citrix Hypervisor (גבוה); שירות ה-Windows Print Spool (גבוה); עדכון אבטחה ל-Jenkins 

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכון אבטחה לאפליקציית הניהול Carbon Black של VMware נותן מענה לחולשה קריטית
עדכון אבטחה ל-Citrix Hypervisor
עדכון אבטחה למערכת ה-WAF של Fortinet סוגר חולשה ברמת חומרה גבוהה
חולשה בעלת ציון CVSS גבוה התגלתה בתוסף ההדפסה של Windows, טרם שוחרר עדכון

עדכון אבטחה ל-Jenkins פותר מספר רב של חולשות

התקפות ואיומים

מחקר של חברת Check Point חושף שימוש אפשרי בשרשרת האספקה ליצירת Backdoors
ארה״ב: מרצדס מדווחת על דלף מידע של 1.6 מיליון רשומות
פורסמה ״הוכחת יכולת״ (PoC) לחולשות XSS במוצרי Cisco
5 בתי ספר תיכוניים באי אנגלסי שבוויילס נפלו קורבן למתקפת סייבר
תקיפת סייבר נגד מוצרים של Western Digital
תוקפים מפיצים נוזקות באמצעות דרייברים
פורטוגל: מתקפת סייבר על בית חולים הובילה לאיחורים בשליחת תוצאות בדיקות קורונה למטופלים

השבוע בכופרה

מיקרוסופט הותקפה על ידי קבוצת התקיפה NOBELLIUM
Tesorion ההולנדית פיתחה כלי פענוח חינמי לכופרת Lorenz
נוזקת Linux חדשה של כנופיית REvil מצפינה שרתי ESXi וירטואליים
קבוצות תקיפה מפרסמות ברשת מודעות לגיוס האקרים לשורותיהן

סייבר בישראל

דוח חדש של ה-International Institute for Strategic Studies: ישראל במקום גבוה בדירוג עוצמות הסייבר
משטרת ישראל מזהירה מפני מגמת עלייה בהפצת הודעות הונאה מקוונות הנשלחות לאזרחים
מערך הסייבר הלאומי: דגשים למדיניות גיבוי בעסקים קטנים
כמאה אלף רשומות של סטודנטים ישראליים דלפו לדארקנט
ארבעה נערים נעצרו בחשד שביצעו פעולות פישינג לצרכי הונאות אשראי

סייבר בעולם

היורופול מפרסם דוח אודות אכיפת פשעי סייבר
חבר בכיר בכנופיית סייבר נשלח ל-7 שנות מאסר
ארה״ב: ארבע מדינות מקדמות איסור על תשלום כופרה לתוקפים
שרשרת האספקה: השפעותיה ארוכות הטווח של מתקפת הענק על SolarWinds
ה-CISA מכריזה על יצירת קטלוג חדש של Bad Practices עבור חברות

סייבר ופרטיות - רגולציה ותקינה

נציבות האיחוד האירופי מכירה בבריטניה כמדינה המקיימת רמה מספקת של הגנה על מידע אישי
מועצת הביטחון של האו"ם נדרשת לראשונה לדון בסיכוני סייבר בין-מדינתיים
בהמשך לצו הנשיאותי בעניין הגנת סייבר: ה-NIST קובע מהי "תוכנה קריטית"
הגנות סייבר על מערכות לוויין: מסמכי מדיניות חדשים של ה-NIST ושל NASA דורשים שיפורים

כנסים

 
 

הציטוט השבועי

״אכיפת החוק היא היעילה ביותר כאשר מתקיימת עבודה משותפת, וההודעה של היום מעבירה מסר חזק לפושעים שמשתמשים בשירותים כאלה: הסתיים עידן הזהב של רשתות VPN פליליות. יחד עם השותפים הבינלאומיים שלנו, אנו מחויבים להעביר את המסר הזה בקול רם וברור.״ 

אדוורדס סילריס, ראש יחידה EC3 בארגון היורופול בהודעה לעיתונות, 30.6.2021

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכון אבטחה לאפליקציית הניהול Carbon Black של VMware נותן מענה לחולשה קריטית

החולשה (CVE-2021-21998, CVSS 9.4) שהתגלתה במוצר מאפשרת לתוקף הנמצא ברשת הארגון לעקוף את מנגנון הזיהוי במהלך ההתחברות לאפליקציה, ובכך להתחבר כאדמיניסטרטור ולבצע במערכת פעולות פוגעניות.
אנו ממליצים למשתמשי המוצר לעדכנו בהקדם לגרסתו האחרונה. 

עדכון אבטחה ל-Citrix Hypervisor

העדכון נותן מענה לשתי חולשות (CVE-2021-3416, CVE-2021-20257, CVSS 6.0) ברמה חומרה בינונית  שהתגלו ב-Citrix Hypervisor 8.2 LTSR ומאפשרות לתוקף להריץ קוד על מכונה וירטואלית ולגרום לעמדת הקצה המריצה את המכונה לקרוס או להפוך ללא זמינה.
אנו ממליצים למשתמשי המוצר להתקין את העדכון דרך אתר החברה.     

עדכון אבטחה למערכת ה-WAF של Fortinet סוגר חולשה ברמת חומרה גבוהה

החולשה (CVE-2021-22123, CVSS 7.4) התגלתה במהלך השבוע על ידי חוקר סייבר מחברת Positive Technologies במוצר להגנת Web Application של Fortinet. תוקף שעבר אימות (ביצע Log In בהצלחה) יוכל לנצל את החולשה להרצת פקודות בהרשאות Admin מלא ולהשתלטות על השרת המארח. החולשה רלוונטית לגרסאות המוקדמות ל-6.2.4 FortiWeb ול-6.3.8 FortiWeb.
אנו ממליצים למשתמשי המוצר לעדכנו בהקדם לגרסתו האחרונה.

 

חולשה בעלת ציון CVSS גבוה התגלתה בתוסף ההדפסה של Windows, טרם שוחרר עדכון

בהודעה שפרסמה מיקרוסופט נמסר כי החולשה (CVE-2021-1675, CVSS 7.8) שהתגלתה בשירות ה-Windows Print Spooler מאפשרת לתוקף להריץ קוד זדוני מרחוק במערכת עם הרשאות SYSTEM. נכון למועד פרסום ידיעה זו אין בנמצא עדכון אבטחה הנותן מענה לחולשה.
אנו ממליצים למנהלי רשתות לנטרל את השירות במחשבים המבוססים על מערכת ההפעלה Windows ולהפסיק את השימוש בו, בעיקר במחשבים שאינם משמשים להדפסה, עד לפרסום עדכון אבטחה רלוונטי.

עדכון אבטחה ל-Jenkins פותר מספר רב של חולשות

העדכון אבטחה רלוונטי לגרסאות LTS 2.289.1 ומטה ו-2.299 ומטה. בין החולשות שנפתרות מצויות גם פגיעויות XXE ו-CSRF, העלולות לאפשר למשתמש עם הרשאות נמוכות לבצע פעולות משמעותיות במערכת, כגון ביטול Build.
אנו ממליצים לארגונים העושים שימוש בתוכנה לעדכנה בהקדם לגרסתה האחרונה.

התקפות ואיומים

מחקר של חברת Check Point חושף שימוש אפשרי בשרשרת האספקה ליצירת Backdoors

בנובמבר 2020 ביצעה החברה מחקר על חברת Atlassian, המפתחת מוצרים עבור מפתחים ומנהלי פרויקטים, המשתמשים בפלטפורמה שלה לשם העברת ושיתוף ידע, כאשר על מנת לנווט בין מוצרי Atlassian השונים הם עושים שימוש בטכנולוגיית (SSO (Single sign-on. במחקר של Check Point נמצא כי חולשות שאינן ידועות עשויות להוות קרקע פוריה לתקיפת חלק מהאפליקציות של Atlassian, זאת על ידי שימוש בשרשרת האספקה, כלומר התוקף עלול לנצל חולשות באפליקציות של Atlassian להשתלטות על חשבונות של משתמשים בפלטפורמות החברה - דבר המתגלה לרוב זמן רב לאחר ביצוע ההשתלטות בפועל.

 

ארה״ב: מרצדס מדווחת על דלף מידע של 1.6 מיליון רשומות

בתחילת חודש יוני דווח לענקית הרכב בארה״ב על דלף מידע של לקוחותיה, אשר מוצע למכירה בשרתי ענן שונים. בחקירה שביצעה החברה בשיתוף חוקרי סייבר, זוהה כי המאגר, המונה 1.6 מיליון רשומות, כולל את פרטיהם של לקוחות שהתעניינו ברכישת רכבי מרצדס בתקופה שמינואר 2014 עד יוני 2018, לרבות פרטים מזהים ופרטי כרטיסי אשראי. נכון לשעה זו, החשד הוא כי המאגר שדלף הוא חיצוני וכי לא נפגעו בתקרית מערכות של חברת מרצדס. 

פורסמה ״הוכחת יכולת״ (PoC) לחולשות XSS במוצרי Cisco

באוקטובר 2020 חשפה Cisco Talos, מחלקת המחקר של הארגון, את קיומן של ארבע חולשות XSS במוצרי החברה (CVE-2020-3580, CVE-2020-3581, CVE-2020-3582, CVE-2020-3583), אך הוכחת היכולת לניצולן לא פורסמה באופן פומבי. כעת, ציוץ בטוויטר שפורסם השבוע על ידי חברת Positive Technologies חושף את ה-PoC של ארבע החולשות ומחזיר אותן לשיח. במאמר שפרסמה Cisco בתגובה היא מזכירה כי ישנם פתרונות לחולשות, אותם יש ליישם במערכות הרלוונטיות.

5 בתי ספר תיכוניים באי אנגלסי שבוויילס נפלו קורבן למתקפת סייבר

המתקפה שחוו חמשת המוסדות שבאי הבריטי החלה ב-23 ביוני והביאה, ככל הנראה, לדלף של מידע אישי, הכולל כתובות מייל. מהרשויות המקומיות נמסר כי הן הכילו את האירוע, אך צפויים שיבושים נוספים ברשתות בתי הספר בשבועות הקרובים, משום שחלק מהמערכות יאלצו לעבור תהליך שחזור, בעוד שאחרות ישארו כבויות. הגברת אנוון מורגן, הממונה על הרשויות, מסרה כי עם גילוי התקיפה נקראו לעזרה צוותים של מומחי אבטחת מידע על מנת לייעץ ולסייע בחקירת האירוע, בהם גם אנשיו של מערך הסייבר המקומי. למרות שטרם אושר בוודאות כי התרחשה דליפת מידע אישי, הודעה על אירוע הסייבר הועברה גם למשרד הממונה על המידע.

תקיפת סייבר נגד מוצרים של Western Digital

בהודעה שפרסמה החברה האמריקאית נמסר כי תוקפים מוחקים לחלוטין את מכשירי ה-My Book Live וה-My Book Live Duo, וכי בבלוגים של מכשירים שהותקפו נרשמו גישות מכתובות IP שונות מרחבי העולם. עוד נצפתה הכנסה של קובץ טרויאני למערכת ההפעלה של המוצרים, כחלק מהתקיפה. טרם פורסמו עדכוני קושחה למוצרים.
בשלב זה, אנו ממליצים על ניתוק המכשירים מרשת האינטרנט, עד לפרסום עדכון רלוונטי.

 

תוקפים מפיצים נוזקות באמצעות דרייברים

צוות מה-Microsoft Security Response Center זיהה תוקף שניסה להפיץ דרייברים זדוניים בקרב סביבות גיימינג. לאחר שהתוקף הגיש דרייברים ל-Windows Hardware Compatibility Program בכדי לקבל עבורם תעודות (Certifications), חברי הצוות הבחינו כי הדרייברים מכילים נוזקות וחסמו את חשבונו. לאחר מכן ביצע הצוות ניתוח וחקירה מעמיקים של הנוזקות, לשם איסוף מזהים נוספים שיוכלו לסייע בעצירת הפעילות הזדונית.
אנו ממליצים לעיין בדוח צוות החקירה ולהזין במערכות ההגנה של ארגון את המזהים המופיעים בו.

פורטוגל: מתקפת סייבר על בית חולים הובילה לאיחורים בשליחת תוצאות בדיקות קורונה למטופלים

נכון לשעה זו, בית החולים Divino Espírito Santo de Ponta Delgada מנסה להתאושש מהמתקפה, שזוהתה ב-24 ביוני, כאשר עקב העומס שנוצר החליט המוסד לתעדף את שליחת תוצאות הבדיקות החיוביות לחולי קורונה, על פני הודעות למטופלים שבדיקותיהם יצאו שליליות. בתוך כך, אתר בית החולים טרם שב לפעילות, ומיילים הנשלחים לבית החולים, כמו גם מענה להם, מתעכבים בהגעה ליעדם. טרם ידוע סוג הנוזקה שבאמצעותה נתקף בית החולים.

השבוע בכופרה

מיקרוסופט הותקפה על ידי קבוצת התקיפה NOBELLIUM

על פי פרסום של סוכנות הידיעות רויטרס, החברה דיווחה שאחד מעובדי מחלקת שירות הלקוחות שלה נפל קורבן למתקפת פישינג. את עמדתו של העובד ואת המידע שהשיגו ניצלו התוקפים לביצוע ניסיונות פריצה נגד לקוחות מיקרוסופט, לגישה לכלי מתן שירות פנימיים ולקבלת מידע על הרשמות לשירותי החברה, לרבות כתובות המייל שבאמצעותן בוצעו ההרשמות. לדברי חוקרי אבטחת המידע של מיקרוסופט, מדובר באותה כנופייה שביצעה חודשים קודם לכן את מתקפות ה-SolarWinds. החברה מבקשת ממשתמשיה להגביר עירנות בנוגע למיילים המתקבלים בתיבות המייל עמן נרשמו לשירותים, ואף לשנות את שמות המשתמשים וכתובות המייל הרלוונטיות.

Tesorion ההולנדית פיתחה כלי פענוח חינמי לכופרת Lorenz

בעוד שפעילות כנופיית הכופרה מצומצמת ועד כה נרשמו רק 12 חברות אשר נפגעו מ-Lorenz, הכלי יוכל לסייע בעתיד במקרה של הרחבת המתקפות. למרות שהתוכנה החדשה אינה תומכת בכל סוגי הקבצים, היא מאפשרת פיענוח של מרבית סוגי הקבצים הפופולריים, והיא זמינה להורדה באתר No More Ransom , פרויקט ללא מטרות רווח שהקימו מספר גופים ציבוריים אירופיים על מנת לסייע לנתקפים בתוכנות כופרה לזהות את סוג הכופרה, ולעיתים אף לספק להם מפתח לפענוח. בבלוג אשר בבעלותו, מפתח הכלי החדש מסביר כי בתוכנה ישנו באג אשר גורם לחלק מסוים מהמידע הקיים בקבצים להיעלם, כאשר כל קובץ אשר מספר הבייטים שלו מתחלק ב-48 - יאבד את 48 הבייטים האחרונים.  בעייה זו לא תיפתר גם אם יושג מפתח הפיענוח של התוקפים.

נוזקת Linux חדשה של כנופיית REvil מצפינה שרתי ESXi וירטואליים

עם מעבר החברות הגדולות לעבודה באמצעות מכונות וירטואליות ושימוש בהן לאחסון כמויות גדולות של מידע, לייעול תהליכים ולאחסון גיבויים, קבוצות תקיפה החלו לייצר נוזקות חדשות להצפנת קבצים על מכונות אלה. בחודש מאי דווח כי קבוצת התקיפה REvil פרסמה גרסת Linux לתוכנת ההצפנה שלה, שלפני כן פעלה על מערכת ההפעלה Windows, וכעת מצפינה שרתי NAS. לאחרונה דווח כי הנוזקה החדשה של הכנופייה, המכונה Sodinokibi, מכוונת בעיקר לשרתי ה-ESXi.
אנו ממליצים להזין את ה-IOCs של הנוזקה המופיעים כאן במערכות ההגנה של ארגונכם, על מנת להתגונן מפניה.

קבוצות תקיפה מפרסמות ברשת מודעות לגיוס האקרים לשורותיהן

על פי דיווח בבלוג אבטחת המידע BleepingComputer, לפחות שתי קבוצות תקיפה השתמשו באתריהן לפרסום כלי תקיפה חדשים שפיתחו, בתקווה שבכך יימשכו מגויסים חדשים לחבור אליהן. אחת מן הקבוצות הללו היא LockBit, שהעלתה לאתרה כלי חדש ומפותח יותר, המציג יכולות הצפנה מהירות במיוחד. לטענת הכנופייה, ״כלי ההצפנה המהיר בעולם״ מקל על התוקף, שכן הנוזקה עושה עבורו את מירב העבודה. קבוצת HimalayA, שהחלה בפעילותה רק השנה, העלתה אף היא לאתרה קריאה לתוקפים להצטרף אליה, כשהיא מציעה להם 70% מהרווחים שיושגו מהתקיפה. בפרסומה הדגישה הקבוצה כי אינה תוקפת מוסדות ציבוריים, מרכזי בריאות או מלכ״רים. 
דוגמה לפרסום מטעם קבוצת HimalayA:

RaaS.png

סייבר בישראל

 
 

דוח חדש של ה-International Institute for Strategic Studies: ישראל במקום גבוה בדירוג עוצמות הסייבר

בדוח שפרסם השבוע מכון המחקר הבינלאומי IISS, המדרג 15 מדינות במדד יכולותיהן במרחב הסייבר, אופיינה המנהיגות הישראלית במישור הגלובלי באמצעות הקביעה לפיה ״מאמצי ישראל להקים עצמה כמובילה בטכנולוגיית סייבר ובהגנת סייבר שמים דגש רב על התקדמות מוחשית ומעשית בנושאי סייבר קריטיים הדדיים, כשהיא יוצרת שותפויות בינלאומיות חדשות ושומרת על שותפויות קיימות". הדוח, שהושק באמצעות Webinar שהתקיים ב-28 ביוני, מחלק את עוצמת הסייבר של המדינות שנותחו בו לשלוש רמות, כאשר ישראל ניצבת ברמה גבוהה יחסית (ראו תרשים להלן). קריטריוני הדירוג עליהם מבוסס הדוח הם אסטרטגיה ודוקטרינה, שלטון, פיקוד ושליטה, יכולות ליבה של מודיעין סייבר, העצמת סייבר ותלות המדינה בתחום הסייבר, הגנת סייבר ועמידות, מנהיגות עולמית בענייני מרחב הסייבר ויכולות סייבר הגנתיות.

תרשים מתוך ה-Executive Summary של הדוח, יוני 2021

 

משטרת ישראל מזהירה מפני מגמת עלייה בהפצת הודעות הונאה מקוונות הנשלחות לאזרחים

באזהרות, שפורסמו במספר ציוצים של משטרת ישראל, נאמר כי עיקר פעילות הפישינג מבוצעת באמצעות הודעות מייל, הודעות SMS והודעות הנשלחות באמצעות האפליקציות וואטסאפ וטלגרם. מטרת ההודעות הזדוניות היא איסוף פרטי לקוחות ופרטי כרטיסי אשראי מאזרחים בישראל, זאת לשם ביצוע עבירות הונאה ושימוש בפרטים לרכישות ועסקאות מקוונות. במסגרת המאבק בתופעה, במהלך החודש הקרוב מעמידה משטרת ישראל לרשות האזרחים ערוצי התקשרות במייל (mador-c@police.gov.il) ובהודעות וואטסאפ (0503954838) וקוראת לדווח על כל הודעה הנחשדת כהונאת פישינג.

מערך הסייבר הלאומי: דגשים למדיניות גיבוי בעסקים קטנים

בשנים האחרונות חלה עלייה בתדירותן ובאיכותן של תקיפות סייבר שנועדו לפגוע בזמינות ו/או במהימנות המידע המאוחסן בארגון, זאת לצד עלייה מואצת בשכיחותן של תקיפות כופרה, המונעות גישה למידע על ידי הצפנת תוכנו. בתקיפות אלה אף נעשה שימוש בשיטות שונות שמטרתן לפגוע ביכולת הארגון לשחזר את המידע באמצעות גיבויים. אי לכך, המלצות המערך לעסקים קטנים כוללות שורת דגשים הנוגעים למדיניות הגיבוי, בהם:

  • מומלץ למפות באופן תקופתי את מיקום נכסי הסייבר והמידע הקיימים בארגון, תוך התייחסות למידע המאוחסן בספק ענן ואצל גורמי צד-שלישי אחרים, ולרמת הרגישות/קריטיות של המידע והיקפו.

  • מומלץ להגדיר מדיניות גיבוי לכל פריט מידע על פי מידת הרגישות/הקריטיות שלו, תוך התייחסות לרמת הזמינות, המהימנות והשלמות של המידע.

  • מומלץ לוודא כי שטחי האחסון בהם שמורים הגיבויים מופרדים משטחי האחסון של מערכות הייצור של הארגון.

  • מומלץ לבצע בדיקות שחזור תקופתיות, בהתאם לרגישות/קריטיות המידע (המחמיר מבין השניים), על מנת להבטיח את תקינותו של הגיבוי המצוי ברשות הארגון. בבדיקות אלה יש להתייחס לרמת שלמות וזמינות המידע.

את רשימת ההמלצות המלאה ניתן למצוא באתר מערך הסייבר.

כמאה אלף רשומות של סטודנטים ישראליים דלפו לדארקנט

על פי פרסום ראשון בחדשות N12, הפרטים האישיים שדלפו והופצו ברשת שייכים לסטודנטים שלמדו במוסדות להשכלה גבוהה בארץ משנת 2014 ואילך, והם כוללים שמות מלאים, מספרי טלפון, כתובות מגורים, כתובות מייל ואף סיסמאות. הדליפה נחשפה על ידי אנשי אבטחת המידע דביר אלמליח ומיי ברוקס-קמפלר, וככל הנראה התרחשה עקב פריצה מוצלחת למסדי הנתונים של AcadeMe, רשת גיוס המחברת בין סטודנטים ובוגרים לאופציות תעסוקה בחברות גדולות במשק.
במידה ונרשמתם בעבר לחברה, אנו ממליצים לבצע איפוס לסיסמת המייל, להפעיל אימות דו-שלבי ולהגביר עירנות למתקפות פישינג.

ארבעה נערים נעצרו בחשד שביצעו פעולות פישינג לצרכי הונאות אשראי

הצעירים, שנעצרו ב-28 ביוני לאחר שאותרו על ידי יחידת הסייבר של המשטרה, להב 433, אף זייפו כרטיסי אשראי והשתמשו גם בהם לרכישת מוצרים.
אנו ממליצים לגלות זהירות בעת הורדת תוכנות או לחיצה על קישורים הנשלחים מטעם שירותים בהם אתם עושים שימוש. יש לוודא כי הקישור להורדת התוכנה או לשירות הרלוונטי הוא אכן קישור מקורי.

Tiers.png

סייבר בעולם

 

היורופול מפרסם דוח אודות אכיפת פשעי סייבר

ככל שהטכנולוגיה מתפתחת - מתפתחת גם החברה, ולאור זאת חלות תמורות באכיפת החוק. היבט משמעותי במלאכת האכיפה אשר תופס כעת תאוצה מוקדש לבטיחות ואבטחה ברשת. ב״בטיחות ואבטחה ברשת״ אין הכוונה רק להגנה על שלטון החוק ועל קורבנות ברשת, אלא גם לשירות הקהילה המקוונת. משום כך, רשויות החוק מתמודדות כיום עם מספר אתגרים אשר נקשרים בבסיסם לשאלה היכן למתוח את קו הגבול בפעולות האכיפה הרשת. על רקע זה פרסם היורופול את The Cyber Blue Line - דוח מעמיק הדן בשאלה היכן עובר הגבול שמצדו האחד מצויה פעילות ברשת שבה רשויות החוק צריכות להתערב, ומצדו האחר פעילות שבנוגע אליה אין מקום להתערבות.

חבר בכיר בכנופיית סייבר נשלח ל-7 שנות מאסר

אנדריי קולפקוב, אזרח אוקראינה בן 33, נעצר בספרד ב-28 ביוני 2018 בגין היותו חבר בכיר בקבוצת תקיפה אשר הייתה אחראית לתרמית בה היו מעורבים מיליוני כרטיסי אשראי, ואשר הסבה נזקים לבנקים, לחברות אשראי, לחברות צרכנות ולצרכנים, בסכום המוערך ביותר ממיליארד דולר. ביוני 2019 הוסגר קולפקוב לארה״ב, שם התרכזה פעילותה הלא-חוקית של הקבוצה. הוא הודה באשמה, ובסיומו של משפט שארך כשנה נגזרו עליו 7 שנות מאסר וקנס בסך 2.5 מיליון דולר

ארה״ב: ארבע מדינות מקדמות איסור על תשלום כופרה לתוקפים

קידום הליכי החקיקה בניו יורק, בצפון קרוליינה, בפנסילבניה ובטקסס קיבלו דחיפות לאור התקיפות המשמעותיות על Colonial Pipeline ו-JBS, בתקווה שהחוק יתמרץ חברות שייתקפו לדווח לרשויות על האירוע ולשתף עימן פעולה, במקום לשלם את דמי הכופר. ברמה הפדרלית, ה-FBI עדיין ממליץ שלא לשלם דמי כופר לתוקפים, מתוך הבנה שהדבר מעודד אותם להמשיך בפעולותיהם הזדוניות.

שרשרת האספקה: השפעותיה ארוכות הטווח של מתקפת הענק על SolarWinds

בהמשך למתקפת הסייבר על ענקית שירותי ה-IT בשנה שעברה, אשר במהלכה קיבלו התוקפים גישה לכ-18,000 מוסדות ממשלתיים בארה״ב, נחשף השבוע כי הבנק המרכזי של דנמרק הותקף על ידי נוזקה המקושרת למתקפות ה-SolarWinds ואשר חדרה למערכותיו דרך שרשרת האספקה, למרות שלא נמנה על מטרות התקיפה המקוריות. הנוזקה איפשרה לתוקפים לגשת למוסדות פיננסיים שונים המקושרים לבנק הדני, והתגלתה רק כעבור 7 חודשים מרגע הפריצה, על ידי חברת FireEye. מהבנק הדני נמסר כי בבדיקה שביצע לא נמצא שהתרחשה זליגת מידע ממערכותיו או פגיעה בהן.

ה-CISA מכריזה על יצירת קטלוג חדש של Bad Practices עבור חברות

הקטלוג, אשר על ייסודו הוכרז בבלוג חדש של הסוכנות האמריקאית לאבטחת סייבר ותשתיות, נועד להעלות את מודעותן של חברות להתנהלות לא נכונה של ארגונים בתחום אבטחת המידע. לטענת ה-CISA, רוב ההדרכה בתחום הסייבר מתרכזת בפרסום Best Practices, והגיעה העת לגשת לעניין מזווית שונה ולפרסם גם Bad Practices שארגונים ממשלתיים וכאלה המגנים על תשתיות רגישות יוכלו לקרוא אודותם, להיות מודעים לכך שהם מוגדרים כהתנהלות לא נכונה ולתקן את התנהלות הארגון בהתאם. רשימת ה-Bad Practices המופיעה בקישור זה תעודכן על ידי ה-CISA באופן קבוע.

סייבר ופרטיות - רגולציה ותקינה

 

נציבות האיחוד האירופי מכירה בבריטניה כמדינה המקיימת רמה מספקת של הגנה על מידע אישי

השבוע פרסמה נציבות האיחוד החלטה תחת סעיף 45 של ה-(General Data Protection Resolution (GDPRֿ, לפיה זוכה בריטניה ל"החלטת נאותות" (Adequacy Decision) המאפשרת להעביר אליה מידע אישי ממדינות האיחוד האירופי. בהחלטה מפורט כי הנציבות ניתחה בקפידה את החוק ואת הפרקטיקה של בריטניה בנוגע להגנות על מידע אישי, ובהתבסס על הממצאים הגיעה למסקנה ש"בריטניה מבטיחה רמת הגנה מספקת על מידע אישי". משמעות ההחלטה היא שארגונים במדינות האיחוד יכולים להמשיך ולהעביר מידע אישי לארגונים בבריטניה ללא הגבלה, מבלי להסתמך על מנגנונים נוספים, כגון סעיפי חוזה סטנדרטיים שנקבעו במסגרת ה-GDPR. יצוין כי בינואר 2011 זכתה גם מדינת ישראל להכרה מצד האיחוד האירופי ככזו המקיימת רמה נאותה של הגנה של מידע אישי.

מועצת הביטחון של האו"ם נדרשת לראשונה לדון בסיכוני סייבר בין-מדינתיים

ב-29 ביוני התקיים הדיון הראשון בפורום מועצת הביטחון על הסיכונים של פעילות מדינתית במרחב הסייבר. ישיבת המועצה בנושא, שהתקיימה באופן וירטואלי, נקבעה על ידי אסטוניה, יו"ר המועצה לחודש זה, על רקע העלייה החדה באירועי סייבר המיוחסים למדינות בחודשים האחרונים, כדוגמת המתקפה על תשתית הגז Colonial Pipeline בחוף המזרחי של ארה"ב בחודש מאי השנה. אחת מסוגיות הליבה שעלתה בדיון התקדימי הייתה חשיבות קיומם של כללי המשפט הבינלאומי במרחב הסייבר. בדיון המלא ניתן לצפות כאן.

בהמשך לצו הנשיאותי בעניין הגנת סייבר: ה-NIST קובע מהי "תוכנה קריטית"

אחת המשימות שהטיל על המכון הלאומי לתקנים וטכנולוגיה בארה"ב (NIST) הצו הנשיאותי של הבית הלבן שפורסם ב-12 במאי, אשר עסק בהגברת הגנת הסייבר של ארה"ב, הייתה לקבוע הגדרה לתוכנה הנחשבת לנכס קריטי ברמה הלאומית ומחייבת הגנות מוגברות. כעת, בנייר לבן שפורסם ב-25 ביוני, הסוכנות מגדירה "תוכנה קריטית" ככל תוכנה שיש לה לפחות אחד מהרכיבים הבאים, או תלות ישירה בתוכנה הכוללת אחד מהם: התוכנה נועדה לפעול עם הרשאות גבוהות או לנהל הרשאות; יש לה גישה ישירה או מיוחסת למשאבי רשת או מחשוב; היא נועדה לשלוט בגישה למידע או לטכנולוגיה תפעוליים; היא מבצעת פונקציה שהן קריטית לאמון; היא פועלת מחוץ לגבולות האמון הרגילים, עם גישה מיוחסת. הנייר הלבן כולל פרק שאלות ותשובות על ההגדרה שגובשה ועל יישומה. בתהליך שהוביל לגיבוש ההגדרה, ה-NIST התייעץ עם גופים פדרליים נוספים, עם גורמים בקהילה המקצועית ועם הציבור. יישום תוכנית סיווג התוכנות ברמה הפדרלית והפיקוח עליו יתבצעו על ידי הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) והמשרד לניהול ותקציב (OMB) של הבית הלבן.   

הגנות סייבר על מערכות לוויין: מסמכי מדיניות חדשים של ה-NIST ושל NASA דורשים שיפורים

נושא הגנת הסייבר במערכות לוויינים ובפעילותה של NASA, סוכנות החלל של ארה"ב, זוכה לטיפול בשני מסמכים שפורסמו השבוע. ב-28 ביוני פורסם דוח מטעם המבקר הראשי של ארה"ב במשרד לאחריות ממשלתית (GAO), אשר מיועד להנהלת NASA וכולל, בין היתר, המלצות לשיפור הגנת הסייבר של הסוכנות, בהן המלצות להגברת רמת ההגנה, לרבות הערכה כלל-ארגונית של רמת הגנת הסייבר של NASA, ובחינת שרשרת האספקה של הארגון (ראו מסמך הכולל הערכת ביניים של NASA בנושא, שפורסם במאי השנה). במקביל, המכון הלאומי לתקנים וטכנולוגיה בארה"ב (NIST) פרסם השבוע טיוטת דוח העוסקת בהגנת סייבר בכל הנוגע לאיומי וסיכוני סייבר הרלוונטיים לפעילות מסחרית בחלל ללא צוות אנושי. הדוח של NIST מספק מבוא כללי לניהול סיכוני סייבר בתעשיית הלוויינים המסחרית. הציבור מוזמן להגיש הערות לדוח עד ל-13.8.2021.

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רונה פרומצ'נקו, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, קונסטנטין חולביצקי, רחל נועה ביניאשוילי, אלמה תורג'מן וגיא פינקלשטיין.