דו״ח סייבר שבועי
עדכון שבועי 06.05.2021
עיקרי הדברים
-
האיראנים חזרו, N3tw0rm: קמפיין ״כופרה״ חדש נגד ישראל.
-
ענקית הבריאות מסן דייגו Scripps Health הותקפה בנוזקת כופרה - מטופלים רבים הופנו לבתי חולים אחרים
-
חברת Kaspersky זיהתה פוגען עם Backdoor שככל הנראה שייך ל-CIA
-
הרשות להגנת הפרטיות מסכמת את מגמות האכיפה בתחומי אבטחת המידע
-
אנו ממליצים לעדכן את המוצרים הבאים: מוצרי אפל (קריטי); מוצרי Pulse Secure VPN (קריטי); מוצר VMware vRealize Business for Cloud (קריטי); תוכנת Composer המיועדת לניהול חבילות תוכנה ב-PHP (גבוה); מחשבי Dell (קריטי); פלטפורמת Samba (בינונית); מוצר QRadar של IBM; בשרת הדוא"ל Exim; מוצרי (קריטי).
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה הפותר חולשה ב-Samba
עדכון אבטחה דחוף למוצרי Pulse Secure
עדכוני אבטחה לחולשות קריטיות שגילתה מיקרוסופט ב-25 מערכות הפעלה בזמן אמת (RTOS)
עדכון אבטחה לחולשה בחומרה גבוהה בתוכנת Composer המיועדת לניהול חבילות תוכנה ב-PHP
עדכוני אבטחה למערכות הפעלה של Apple
עדכון אבטחה ל- 21 חולשות בשרת הדוא"ל Exim
עדכון אבטחה לחולשה קריטית במחשבי Dell העלולה לאפשר גישה מרחוק
עדכוני אבטחה ל-QRadar של IBM
עדכון אבטחה למוצר VMware vRealize Business for Cloud
עדכוני אבטחה למוצרי Cisco
התקפות ואיומים
N3tw0rm: קמפיין כופרה חדש נגד ישראל?
Kaspersky זיהתה פוגען עם Backdoor שככל הנראה שייך ל-CIA
בורסת המסחר בקריפטו Hotbit מושבתת עקב מתקפת סייבר
ענקית הבריאות מסן דייגו Scripps Health הותקפה בנוזקת כופרה - מטופלים רבים הופנו לבתי חולים אחרים
יצרנית צוללות גרעיניות רוסית הותקפה על ידי קבוצת האקרים הנחשדת כסינית
נפרצו חשבונות של לקוחות הבנק האמריקאי First Horizon
השבוע בכופרה
בית משפט בברזיל הותקף בנוזקת הכופר REvil
קבוצת כופרה חדשה פורצת לרשתות תוך ניצול חולשת Zero-day קריטית במוצר SonicWall
שירות הענן Swiss Cloud חווה מתקפת כופר
כופרת AgeLocker משמשת לתקיפת ציוד ה-NAS של QNAP
סייבר בישראל
מערך הסייבר הישראלי: התרעה דחופה מפני מתקפות נוספות של ארגון איראני
זוהה ניסיון פריצה לאתר עסקאות הנדל״ן של רשות המיסים
סייבר בעולם
Codecov מפרסמת אמצעי זיהוי ועדכון לכלי שפיתחה לבדיקות קוד
ה-IST מפרסם קווים מנחים לארגונים בנושא מלחמה במתקפות כופרה
סייבר ופרטיות - רגולציה ותקינה
הצעת חוק סינית חדשה בתחום הגנת המידע האישי: הרחבת ההסדרה
ועדת הפיקוח של פייסבוק החליטה: טראמפ עדיין "מוקצה"
רשות הגנת הפרטיות מסכם מגמות אכיפה בתחומי אבטחת המידע
כנסים
הציטוט השבועי
״הוועדה המפקחת מאשרת את החלטתה של פייסבוק להשעות את הגישה של מר טראמפ לפרסום תכנים בפייסבוק ובאינסטגרם מה-7 בינואר 2021. עם זאת, מכיוון שפייסבוק השעתה את חשבונותיו של מר טראמפ 'ללא הגבלת זמן', על החברה לבחון עונש זה מחדש״
ועדת הפיקוח של חברת פייסבוק, החלטה 2021-001, 5.5.2021
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה הפותר חולשה ב-Samba
החולשה (CVE-2021-20254, CVSS 6.8), שרמת חומרתה בינונית, רלוונטית לכל הגרסאות הקודמות ל-3.6.0, וניצולה עלול להוביל לגישה בלתי מורשית לקבצי מערכת.
אנו ממליצים לכלל משתמשי המוצר לעדכנו בהקדם לגרסתו האחרונה.
עדכון אבטחה דחוף למוצרי Pulse Secure
העדכון נותן מענה למספר חולשות קריטיות במוצרי VPN מסוג Pulse Connect Secure, שגרסאותיהם 9.0R3 או 9.1R1 ומעלה. לחולשה החמורה ביותר שנסגרה בעדכון (CVE-2021-22893) הוענק הציון CVSS 10.0.
אנו ממליצים לבעלי המוצרים לעדכנם בהקדם לגרסתם האחרונה, או לבחון דרכי התמודדות שונות במידה ולא ניתן לבצע את העדכון.
עדכוני אבטחה לחולשות קריטיות שגילתה מיקרוסופט ב-25 מערכות הפעלה בזמן אמת (RTOS)
בכתבה שפרסמה החברה ב-29 באפריל כונו החולשות שזיהתה בשם BadAlloc. חולשות אלה, אשר לכולן ניתן הציון CVSS 9.8 על ידי ה-CISA, ניתנות לניצול מרחוק ללא צורך בכישורים טכניים מורכבים ומקורן ב-Integer overflow או ב-Wraparound. לרשימה המלאה של המערכות הרלוונטיות ולדרכי התמודדות עם הסיכון ניתן לעיין בפרסום זה מאת מערך הסייבר הלאומי.
עדכון אבטחה לחולשה בחומרה גבוהה בתוכנת Composer המיועדת לניהול חבילות תוכנה ב-PHP
בהצהרה שפרסמה Composer ביקשה החברה מכלל המשתמשים במוצר לעדכנו באופן מיידי לגרסתו האחרונה. העדכון כולל תיקון לחולשה (CVE-2021-29472, CVSS 8.5) המאפשרת הזרקת פקודות על ידי גורם חיצוני ועלולה להוביל למתקפת שרשרת אספקה על אתר המשמש כאתר פומבי מרכזי לאחסון חבילות תוכנה בשפת PHP. החולשה תוקנה תוך 12 שעות מרגע קבלת הדיווח על גילויה.
אנו ממליצים למשתמשי המוצר להתקין את העדכון האחרון דרך האתר הרשמי של החברה.
עדכוני אבטחה למערכות הפעלה של Apple
גרסאות חדשות זמינות למוצרים הבאים:
iOS 14.5.1 ו-iPadOS 14.5.1
iOS iPadOS 14.5.1
macOS Big Sur 11.3.1
tvOS 14.5
watchOS 7.4.1
אנו ממליצים לבעלי המוצרים לעדכנם לגרסאות אלה.
עדכון אבטחה ל- 21 חולשות בשרת הדוא"ל Exim
10 מבין החולשות המופיעות ברשימה שפרסמה החברה ניתנות לניצול מרחוק ועלולות לאפשר לתוקף הרשאות Root מלאות בשרת. צוות המחקר של חברת Qualys, אשר גילה את החולשות כחלק מחקירה מעמיקה של המוצר, ציין כי חלקן רלוונטיות לגרסאות השרת משנת 2004 ואילך. Exim מבקשת ממשתמשי המוצר לעדכנו במהרה לגרסתו האחרונה - 4.94.2, מאחר ובעבר חולשות בשרת שבבעלותה נוצלו על ידי קבוצות תקיפה מדינתיות.
עדכון אבטחה לחולשה קריטית במחשבי Dell העלולה לאפשר גישה מרחוק
החולשה (CVE-2021-21551, CVSS 8.8) התגלתה ב-Driver המשמש לעדכון Firmware במחשבי Dell ונסגרה בעדכון שפרסמה החברה.
אנו ממליצים לבעלי מחשבים מתוצרת Dell לעדכן את המוצר בהקדם.
העדכונים נותנים מענה ל-9 חולשות בגרסאות המערכת הבאות:
IBM QRadar 7.3.0 - 7.3.3 Patch 7
IBM QRadar 7.4.0 - 7.4.2 Patch 2
ניצול מוצלח של החולשות עלול להוביל להרצת קוד זדוני, לחשיפת מידע של שרת ה-Tomcat, למתקפות XSS ועוד.
אנו ממליצים לבעלי המערכת לעדכנה בהקדם לגרסתה האחרונה
עדכון אבטחה למוצר VMware vRealize Business for Cloud
העדכון פותר חולשה קריטית (CVE-2021-21984, CVSS 9.8) בתוכנה בענן המשמשת צוותי IT ככלי לניתוח תהליכים, לביצוע אנליזות ולניהול תקציבים. במוצרים שאינם מעודכנים מאפשרת החולשה הרצת קוד זדוני מרחוק בקלות יחסית על ידי תוקף הנמצא באותה רשת עם הנתקף. VMware מבקשת מכלל משתמשי המוצר לבצע את העדכון בהקדם האפשרי, על מנת להגן על מערכותיהם מפני החולשה.
מבין 29 העדכונים שפרסמה החברה, 2 בדרגת חומרה קריטית ו-7 בדרגת חומרה גבוהה, והם נותנים מענה לחולשות במגוון מוצרים. החולשות הקריטיות, אשר נמצאו במוצרים SD-WAN vManage ו-HyperFlex HX, עלולות לאפשר לתוקף מרוחק להריץ קוד זדוני על המערכות ללא צורך באימות. עוד עודכנו מוצרי נקודות גישה אלחוטית לעסקים קטנים ותוכנות רבות אחרות, בהן Cisco Webex.
אנו ממליצים לבעלי המוצרים לעיין בפרסום הרשמי של החברה, הכולל את רשימת העדכונים המלאה ואת אופן הפעולה הנדרש.
התקפות ואיומים
N3tw0rm: קמפיין כופרה חדש נגד ישראל?
קמפיין התקיפה, אשר זוהה לראשונה ב-29 באפריל על ידי עמוד חדש בדארקנט, הוא תשתית כופרה שמפעיליה טוענים להדלפת מידע של קורבנות שאינם משלמים, בדומה לקמפיין ה-Pay2Key. ב-1 במאי פורסם הקורבן הראשון של קמפיין ה-N3tw0rm - חברת מוצרי הלוגיסטיקה Veritas, ולאחר מכן נחשפה זהותם של מספר קורבנות נוספים, בהם חברת האופנה H&M ישראל וחברת ההנדסה Ecolog. עד כה פורסם מידע בנפח של 71GB ממערכות H&M ומידע בנפח 6GB ממערכות Veritas. על פי ניתוח מעמיק של צוות מחקר מחברת ClearSky, קיים דמיון רב בין דפוסי הפעולה של קמפיין זה לבין אלה של ה-Pay2Key, מה שמוביל להנחה כי מדובר בקמפיין תקיפה איראני (Fox Kitten). דרך הפעולה של מתקפות ה-N3tw0rm היא הפצת הקובץ slave[.]exe באמצעות הכלי PAExec וניהול כל תשתית התקיפה בתוך הרשת הארגונית עצמה (כלומר, שרת ה-C&C נמצא בתוך הארגון הנתקף). זאת ועוד, לנוזקה מספר מאפיינים אשר מקשים על חקירתה, בהם הסתרת קריאות API, הצפנה בשלוש שיטות שונות, מנגנון זיהוי הרצה במכונה וירטואלית (כלומר יכולת המכונה לזהות את הרצתה במכונה מבוקרת ולשבש את דרך פעולתה של האחרונה) ותת-נוזקה (FreeSpaceWorker[.]exe) שמטרתה ליצור כמות עצומה של קבצים ובכך ״לפוצץ״ את זיכרון המחשב. בתגובה לקמפיין זה ולקראת "יום ירושלים האיראני", במהלכו התנהל בשנה שעברה קמפיין השחתה של אתרי אינטרנט ישראלים רבים, פרסם מערך הסייבר הלאומי אזהרה המכילה קובץ מזהים. מהזווית הרגולטורית של תקיפה זו עולות שתי שאלות מרכזיות. השאלה הראשונה נוגעת לחוקיות של תשלום הכופר - או כל סוג של תשלום - לקבוצת התוקפים, כל עוד אינה מוגדרת כקבוצת טרור או גורם אחר שאליה אסורה העברת תשלום ואין ייחוס פורמלי של התקיפה למדינה עויינת. שאלה נוספת נוגעת לרמת הפירוט של הדיווח הנדרש של חברה שמשלמת לקבוצת התוקפים לרשויות המדינה: הרשות לאיסור הלבנת הון ומימון טרור, משטרת ישראל, ועוד גורמים.
Kaspersky זיהתה פוגען עם Backdoor שככל הנראה שייך ל-CIA
ב-27 באפריל פרסם הצוות הגלובלי למחקר וניתוח (GReAT) של החברה דוח רבעוני המסכם פעילויות של גופי APT. אחד הנושאים המעניינים המופיעים בדוח הנוכחי הוא פירוט אודות נוזקה שזוהתה בפברואר 2019 במקבץ דגימות. מחקר הנוזקה, אשר כונתה על ידי צוות החוקרים Purple Lambert, עולה כי היא מאזינה לרשת בחיפוש אחר "חבילת קסמים" וביכולתה לייצא מידע בסיסי מהקורבן ולהריץ על מחשבו מטען שהיא מקבלת ממפעיליה. אחת ההשערות היא שמדובר בנוזקה השייכת ל-CIA, זאת משום שכאשר ב-2017 נחשפו ב-WikiLeaks יכולות ההאקינג של ה-CIA, חברת Kaspersky כינתה את משפחת הנוזקות בהם השתמש הארגון כ״משפחת Lambert״.
בורסת המסחר בקריפטו Hotbit מושבתת עקב מתקפת סייבר
במתקפה, שאירעה ב-29 באפריל, ניסו התוקפים לגשת לארנקי החברה, אך נבלמו על ידי צוות האבטחה שלה, אשר זיהה את ניסיון התקיפה בזמן. למרות זאת, עלה בידי התוקפים למחוק את מאגר המידע של החברה. מ-Hotbit נמסר ל-2 מיליון משתמשיה מכ-210 מדינות כי נכסיהם בטוחים, בעודה מודה כי ״מדובר בפגיעה הגדולה ביותר ב-Hotbit מאז הקמתה בינואר 2018״. עוד מסרה החברה בהודעה ללקוחותיה כי ״נושא אבטחת המידע תמיד היה כאבה של תעשיית הבלוקצ'יין, ואחד החששות העיקריים של Hotbit. בעתיד, צוות Hotbit ימשיך לחזק את האבטחה. בינתיים, על ידי שיתוף פעולה עם צוותי אבטחת מידע מפורסמים בעולם, Hotbit תערוך בדיקה וחקירה מקיפות בנושא התקיפה ותשדרג באופן יסודי את רמת האבטחה של המערכת כולה.״
ענקית הבריאות מסן דייגו Scripps Health הותקפה בנוזקת כופרה - מטופלים רבים הופנו לבתי חולים אחרים
המלכ״ר, המפעיל 5 בתי חולים ו-19 מרכזי בריאות, פרסם כי חווה תקרית טכנולוגית שבעקבותיה נאלץ לחסום את גישת המטופלים לפורטל האינטרנטי ולאפליקציה. עם זאת, הודגש כי החולים ממשיכים לקבל ״טיפול יעיל ומציל חיים״. על פי דיווח במגזין BleepingComputer, מתקפת הכופרה הביאה לכך שמערכות הטיפול יצאו מכלל שימוש ומטופלים רבים הופנו לבתי חולים אחרים לקבלת טיפול. עוד נכתב כי תורים שנקבעו לסוף השבוע שהחל ב-1 במאי נדחו לתאריכים מאוחרים יותר. מ-Scripps Health נמסר כי מתבצעות כעת עבודות להעלאת גיבויי המערכות הקיימים. מהודעת הארגון ניתן ללמוד כי המתקפה פגעה בשני בתי חולים, לרבות בגישה לבדיקות הדמייה, וכי המוסד יידע את רשויות החוק ואת הארגונים הממשלתיים הרלוונטיים על האירוע. באתר BleepingComputer צויין כי נוכח העובדה שהרווח השנתי של המרכז הרפואי עומד על יותר מ-790 מיליון דולר, קל להבין מדוע היווה יעד מושך לתקיפה.
יצרנית צוללות גרעיניות רוסית הותקפה על ידי קבוצת האקרים הנחשדת כסינית
על פי פרסום במגזין BleepingComputer, התקיפה על Rubin Design Bureau, שבסיסה בסנט פטרסבורג, בוצעה באמצעות Spear phishing, במהלכו נשלח למנכ״ל החברה מייל שהכיל קובץ עם תיאור של כלי תחבורה תת-ימי, בו הוסווה קובץ זדוני בשם PortDoor. עם פתיחת המסמך על ידי המנכ״ל, הקובץ הריץ עצמו על המערכת ופתח לתוקפים דלת גישה אחורית לרשת הארגון. לדבריהם של חוקרי חברת Cybereason, לקובץ הזדוני יכולות של איסוף מידע על המערכת, העלאת הרשאות, גניבת מסמכים, הצפנת קבצים והתחמקות ממנגנוני זיהוי שונים. עוד זיהו החוקרים סימנים מזהים של הקובץ ופרסמו אותם ברשת, על מנת שחברות יוכלו להתגונן מפניו. מכיוון שהממצאים מעלים דמיון רב בין אופן הפעולה של קבוצת התקיפה לזה של קבוצות תקיפה המזוהות עם סין, נראה שהפעולה בוצעה על ידי גורמים סיניים.
נפרצו חשבונות של לקוחות הבנק האמריקאי First Horizon
מהבנק נמסר כי גורם לא מזוהה פרץ לחשבונותיהם של עד 200 לקוחות וגנב מהם כמעט מיליון דולר, תוך שימוש בפרטי הזדהות גנובים וניצול חולשה בתוכנת צד ג' שבשימוש הבנק. עוד נמסר כי מיד עם זיהוי המתקפה באמצע חודש אפריל פנה הבנק לרשויות הרלוונטיות, מילא טופס דיווח לרשות לניירות ערך (Form 8-K), דאג שהחולשה המנוצלת תטופל, פתח חשבונות חדשים לקורבנות הפריצה ופיצה אותם בגין כספם שנגנב. לדברי הארגון, לא צפוי לו נזק כלכלי עתידי בעקבות האירוע. בתוך כך, הודעה המופיעה כעת באתר הבית של הבנק מזהירה את לקוחותיה מפני הודעות פישינג המתחזות לארגון.
השבוע בכופרה
בית משפט בברזיל הותקף בנוזקת הכופר REvil
על פי פרסום במגזין BleepingComputer, המתקפה אילצה את בית המשפט שבריו גרנדה להשבית את כל רשתותיו, זאת לאחר שהעובדים גילו שאינם מצליחים לגשת לתיקיות ולקבצים במחשביהם ועל המסכים הופיעה דרישת כופר. עם גילוי התקיפה הורה בית המשפט לעובדים שלא להתחבר למחשבי הארגון, לא מתוך הרשת ולא מרחוק. ל-BleepingComputer נמסר כי התוקפים דרשו כופר בסך 5 מיליון דולר, אך לא ידוע אם בית המשפט נענה להם. בהקלטות שהגיעו לידי האתר מתוארת התקיפה כ״מזעזעת״ וכ״דבר הנורא ביותר שקרה במקום״. בתוך כך, צוות ה-IT של הארגון מתמודד עם משימה קשה של שחזור מידע מאלפי מחשבים.
קבוצת כופרה חדשה פורצת לרשתות תוך ניצול חולשת Zero-day קריטית במוצר SonicWall
על פי מחקר שפרסמה חברת אבטחת המידע FireEye, חוקרים של חברת Mandiant, המצויה בבעלותה, זיהו קבוצת כופרה תוקפנית הפועלת למטרות עשיית רווח. הקבוצה, המכונה על ידי החוקרים UNC2447, מנצלת חולשה (CVE-2021-20016, CVSS 9.8) במוצרי SonicWall SMA 100 Series VPN ומשתמשת בכלים AdFind, BoodHound, Mimikatz, PCHunter, Rclone, Router Scan, S3 Browser, ZAP ו-7Zip, כל זאת על מנת לחדור לרשתות ולפרוס בהן נוזקת כופרה חדשה בשם FiveHands. הנוזקה החדשה דומה לנוזקות HelloKitty ו-DeathRansom, אך היא מתהדרת בפונקציונליות נוספת, שמאפשרת לה לסגור קבצים המצויים בשימוש על מנת להצפינם. החולשה המנוצלת קיבלה מענה בעדכון למוצר שפורסם בסוף חודש פברואר. בקישור זה מצוי פירוט אודות החולשה ודרכי הפעולה למיגור הסיכון להיפגע ממנה.
שירות הענן Swiss Cloud חווה מתקפת כופר
המתקפה, שהתרחשה ב-27 באפריל, השפיעה על כ-6,500 לקוחות החברה. בהודעה שפרסמה באתר האינטרנט שלה טענה Swiss Cloud כי היא עובדת מסביב לשעון ביחד עם מומחים מ-HPE וממיקרוסופט על מנת שתוכל לחזור לפעילות תוך ימים, זאת למרות שלחברות ענן אחרות שסבלו בשנים האחרונות ממתקפות כופרה נדרשו שבועות לפני ששבו לפעילות. נכון לשעה זו, לא ידוע מהו סכום הכופר המבוקש ומי אחראי לתקיפה.
כופרת AgeLocker משמשת לתקיפת ציוד ה-NAS של QNAP
החברה, אשר גילתה את הנוזקה בחקירה שערכה על תקיפות הציוד, ממליצה למשתמשים ב-NAS לוודא כי המוצר, כמו גם כל המוצרים הנלווים לו מתוצרת QNAP, מעודכנים לגרסתם האחרונה. עוד ממליצה החברה לוודא שהציוד אינו חשוף ישירות לרשת ושכל חיבור אליו מתבצע באופן מוגן, למשל באמצעות VPN עם הצפנה והזדהות מתאימה, זאת על מנת למנוע מגורמים לא מורשים גישה אליו.
סייבר בישראל
מערך הסייבר הישראלי: התרעה דחופה מפני מתקפות נוספות של ארגון איראני
ההתרעה, שפורסמה ב-30 באפריל, מזהירה מפני תקיפות כופרה של ארגונים ישראלים, אשר האחראי להם הוא, ככל הנראה, גורם המזוהה עם קמפיין ה-Pay2Key האיראני. פרסום המערך כולל חוקי YARA וקובץ מזהים, אותם הוא ממליץ לנטר בהקדם האפשרי בכלל מערכות ההגנה של הארגון.
אנו ממליצים לבעלי עסקים להכניס למערכותיהם את מזהי תקיפה באופן מיידי.
זוהה ניסיון פריצה לאתר עסקאות הנדל״ן של רשות המיסים
החוקרים מעריכים שמטרת הניסיון, שאותר ב-4 במאי, הייתה ביצוע מניפולציה בנתונים של חברה העוסקת בביג דאטה. בעקבות האירוע סגרו מנהלי האתר את הגישה לנתוני רשות המיסים למשתמשים שלא עברו אותנטיקציה. מן הרשות נמסר כי אנשיה פועלים לפתרון הבעיה ולפתיחה מחודשת של האתר לכלל המשתמשים בהקדם האפשרי.
סייבר בעולם
Codecov מפרסמת אמצעי זיהוי ועדכון לכלי שפיתחה לבדיקות קוד
בהמשך לידיעה אודות הפריצה שהתרחשה בסוף חודש ינואר לחברת Codecov, המייצרת כלי המסייע למפתחים לזהות איזה חלק מהקוד נבדק בפועל במהלך הרצת בדיקות לקוד (Code Coverage), נודע כעת כי במהלך אפריל החברה עדכנה את לקוחותיה אודות הפריצה, ובסוף החודש אף פרסמה עדכון שמטרתו לסייע לארגונים להבין האם נפגעו מהפריצה. כזכור, במהלך הפריצה עלה בידי התוקפים לגשת לסקריפט של הכלי ולשנותו, מה שאפשר לתוקפים לדלות מידע המאוחסן בסביבות CI (סביבות המאפשרות אינטגרציה רציפה, שבמהלכה כל סביבת הפיתוח עוברת מיזוג עם מוקד מרכזי משותף), ובכך לגשת לשירותים, למאגרי נתונים ולקוד יישומים באמצעות אישורים, טוקנים ומפתחות, ואף להגיע לחברות שונות תוך שימוש בשירות שהחברה מספקת באמצעות שרשרת האספקה. בתוך כך, הסוכנות לאבטחת סייבר ותשתיות (CISA) של ארה״ב, אשר מודעת לשימוש בכלי של Codecov לצורך גישה לשרשרת האספקה, ממליצה לבחון את האינדיקטורים שסופקו על ידי Codecov. עוד ממליצה הסוכנות לבחון האם במהלך התחברות לכלי מופיע מידע נוסף אודות הארגון. ה-CISA קוראת למשתמשים אשר נפגעו בפריצה להטמיע באופן מיידי את ההמלצות והפעולות שפורסמו בעדכון של Codecov, בדגש על טוקנים, מפתחות ונתוני התחברות.
ה-IST מפרסם קווים מנחים לארגונים בנושא מלחמה במתקפות כופרה
לדברי המכון לאבטחה וטכנולוגיה של ארה״ב, מתקפות אלה חדלו מזמן להוות מטרד כלכלי בלבד והפכו זה מכבר לבעיה לאומית רצינית, המאיימת על פעילותם השוטפת של בתי ספר, בתי חולים, עסקים וממשלות ברחבי העולם. ההמלצות שפורסמו כוללות 4 שלבים ומיועדות הן לממשלות והן לעסקים:
-
להילחם במתקפת הכופר ברמה הלאומית והבינלאומית - שלב זה כולל המלצות כגון תיאום בינלאומי בין ממשלות בנוגע לזהויות התוקפים, שיתוף פעולה ללכידתם, העלאת המודעות לאיום נוזקות הכופר, הגדרתן כ״איום לאומי״ והקמת כוח פעולה ממשלתי שילחם בתוקפים ויאתרם.
-
פעולות להקטנת היעילות והרווח של מתקפות כופר - שלב זה נועד לפגוע בתוקפים וביעילות המתקפות, בעיקר מבחינה כלכלית. לטענת ה-IST, אם ממשלות יפעלו לשיבוש הפלטפורמות המשמשות כיום להעברת כספים לתוקפים ויעקבו אחר תנועות כספיות המתבצעת באמצעות אפליקציות שונות, הדבר ירתיע את התוקפים ויוביל לירידה במתקפות. המלצות נוספות הן לשתף את סממני התקיפה של התוקפים ולמצות עמם את הדין, גם זאת לשם הרתעתם.
-
על ארגונים לפתח מתודולוגיה להתגוננות מפני מתקפות נוזקה - בשלב זה כל ארגון אחראי לפתח רשימת פעולות שעל פיה ינהג במקרה תקיפה לשם התגוננות והתאוששות מהירה. עוד מומלץ להעלות את מודעות העובדים בארגון למתקפות ולדרכי ההתגוננות מפניהן ולפקח על התשתיות המנוהלות בארגון, תוך וידוא תחזוקה הולמת.
-
תגובה אפקטיבית יותר לתקיפות נוזקה - זהו השלב האחרון, בו מודרכים ארגונים כיצד להגיב בצורה הטובה ביותר לתקיפה, על ידי גיבוש צוות תגובה מיידית שינהל את האירוע, יצירת סטנדרט דיווח אחיד על אירועי תקיפה, שיתוף רשויות החוק במידע כגון גובה הכופר הנדרש וסממני זיהוי של התוקפים והגדרת פעולות שיש לנקוט לפני תשלום כופר.
סייבר ופרטיות - רגולציה ותקינה
הצעת חוק סינית חדשה בתחום הגנת המידע האישי: הרחבת ההסדרה
ב-29 באפריל פרסמה סין גירסה מעודכנת של הצעת החוק בדבר ההגנה על מידע אישי, שתהיה פתוחה להערות הציבור עד ל-28.5.2021. הגירסה המעודכנת מתבססת על הצעת החוק שפורסמה לראשונה בסוף 2020, ולאחר אימוצה היא תצטרף למספר דברי חקיקה הקיימים בסין בתחום הגנת הפרטיות של מידע אישי. בין העדכונים שנערכו בהצעה הנוכחית מצויים בסיס משפטי נוסף לעיבוד מידע אישי, הגברת ההגנה על מידע אישי של קטינים, הקלות על תהליך ביטול ההסכמה של נושאי מידע לעיבוד המידע שלהם ותוספת של סעיפים חוזיים סטנדרטיים לשימוש בהעברת מידע אישי אל מחוץ לגבולות סין.
ועדת הפיקוח של פייסבוק החליטה: טראמפ עדיין "מוקצה"
ב-5 במאי התקבלה בוועדה ההחלטה להמשיך ולפסול את השתתפותו של דונלד טראמפ ברשת החברתית למשך 6 חודשים נוספים, וקבעה שבמהלך פרק זמן זה תחדד החברה את כללי פסילת השימוש בפלטפורמה על ידי יחידים. כזכור, נשיא ארה״ב לשעבר הורחק מהשימוש בפייסבוק, באינסטגרם, בטוויטר וביוטיוב בעקבות ההצהרות שפרסם בפלטפורמות הללו במהלך סערת הקפיטול בוושינגטון די. סי. ב-6 בינואר השנה. תפקיד הוועדה, שמורכבת ממומחים ממספר מדינות, בהם גם עו"ד הישראלית אמי פלמור, לשעבר מנכ"לית משרד המשפטים, הוא לבחור מקרי בוחן הנוגעים למדיניות התוכן של פייסבוק לאור כללי חופש הביטוי, ולקבל החלטות בנוגע להמשך הצגתם של התכנים הללו בפלטפורמה. החלטת הוועדה במקרה של טראמפ היא תקדימית ומשמעותית במספר מישורים, בהם קביעת גבולות חופש הביטוי על ידי חברה פרטית, הטלת דרישות שונות על אנשי ציבור בשל השפעתם על קהלים רבים ו"אפקט הקירור" על חופש הביטוי בקרב הציבור כולו. החלטת הוועדה ספגה ביקורת מצד גורמים מגוונים מהסקטור הציבורי והפרטי, והיא מעוררת שאלות משמעותיות בנוגע להלימותן של רגולציות שיחילו מדינות על פלטפורמות המדיה החברתית בהמשך.
הרשות להגנת הפרטיות מסכמת את מגמות האכיפה בתחומי אבטחת המידע
ב-4 במאי פרסמה הרשות דוח מיוחד בנושא פעולות האכיפה שערכה לאחרונה, ובמיוחד בתקופת הקורונה. במסמך מפורטים תהליכי פיקוח ואכיפה על ארגונים ישראליים, שהסתיימו בקביעה כי התקיימו הפרות של חוק הגנת הפרטיות, התשמ"א-1981 ותקנותיו על ידי חברות הפועלות במגוון מגזרים, בהם הבריאות, החינוך, התחבורה והפיננסים. הדוח אף מציג תובנות ספציפיות שנובעות מאירועי פיקוח, כמו הצורך "להגדיר הרשאות גישה למערכות המידע שברשותם [של הארגונים] ולנהל באופן תדיר רשימה מעודכנת של מורשי הגישה אליהן", וכן החובה "על כל ארגון לעשות שימוש במנגנוני אימות ובקרת גישה חזקים לשם אבטחת הגישה למידע.״
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, רוני עזורי, עמית מוזס, רז ראש, רונה פרומצ'נקו, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, קונסטנטין חולביצקי, רחל נועה ביניאשוילי וגיא פינקלשטיין.