שבוע לאחר פריצת הסייבר למסכי המידע בתחבורה הציבורית בישראל – האירוע רחוק מלהסתיים. מסכים רבים בתחנות מרכזיות ברחבי הארץ הושבתו, לאחר ששידרו בשבוע שעבר איומים בערבית, ובהמשך גם מסרים מאיימים בעברית, ובכללם איום על “פצצות באוטובוסים”.
למרות התחייבות ראשונית מצד מפעילי המסכים כי התקלה “תטופל תוך שעות”, האירוע התרחב – ובסוף השבוע הוחשכו כלל המסכים בישראל ובחו"ל, לאחר שהתגלתה פריצה נוספת.
אורן נווה, מנכ"ל חברת איי אם שגב המחזיקה באורבן דיגיטל – מפעילת המסכים – עדכן כי מיום רביעי פועלות מספר חברות IT לאיתור וניתוק התוקפים.
לדבריו:“עד שישי בצהריים עדיין לא מצאנו את הפורץ. היו צעקות בערבית, היו ניסיונות חדירה נוספים. בשעה 17:00 ביום שישי זיהינו את מקור הפריצה והורדנו את כל השרתים. כל המסכים הוחשכו, כולל אלה בחו”ל. ייקח ימים להעביר את המידע לשרתים חדשים”.
עוד הוסיף כי בעקבות הוראה ממשרד התחבורה לכבות את המסכים, חלקם לא נענו לפקודה מרחוק – “כנראה בגלל הפריצה” – ולכן נדרשו צוותים בשטח לנתק פיזית את המסכים מהחשמל.
על פי נווה, בדיקה ראשונית מצאה כי בוצעו אלפי ניסיונות פריצה במקביל, ככל הנראה ממספר מדינות עוינות.
“אנחנו מעריכים שמדובר בקבוצת האקרים שפרצה בעבר לשדות תעופה בארה״ב. אנחנו עובדים בשיתוף מלא עם מערך הסייבר ומשרד התחבורה”.
גיל מסינג, ראש מטה בצ’ק פוינט, מסביר כי מדובר בדפוס פעולה מוכר של קבוצות אנטי־ישראליות, פרו־איראניות ופרו־חמאס: “זו אינה מתקפה שמטרתה כסף – זו מתקפה שמטרתה זריעת פחד, לוחמה פסיכולוגית והרעשת המרחב הציבורי. מדובר בגורמים שמנצלים חולשות במערכות כדי להשיג השפעה תודעתית”.
מסינג מציין כי גם כאשר פורצים מזוהים ומנותקים, ייתכן שהמערכת עדיין אינה נקייה לחלוטין: “גם כשהחברה תרגיש שהמערכת נקייה – ייתכן שיש דלת אחורית שנותרה פתוחה. אם הם הצליחו להיכנס פעם אחת, הם יכולים להיכנס שוב”.
נווה מספר כי הצוותים עובדים ללא הפסקה: “אנחנו ארבעה ימים לא ישנים. ההוצאות כבדות, ואנחנו עושים כל מה שאפשר כדי להחזיר את המערך לפעולה. נצטרך להקשיח את ההגנות ולבנות מחדש חלק מהמערכת”.
נכון להיום (ראשון), כלל המסכים במוקדי התחבורה הציבורית עדיין מושבתים, וצפוי שיחלפו מספר ימים עד להקמת תשתית שרתים חדשה והפעלתם מחדש.
גורמי סייבר בישראל מציינים כי מערכות מידע בתחבורה הציבורית הן יעד רגיש: הן מופעלות על גבי רשתות פתוחות יחסית, מציגות מידע בזמן אמת ומשלבות בין מערכות חיצוניות ופנימיות – מה שהופך אותן חשופות יותר.
במשרד התחבורה ובמערך הסייבר ממשיכים לחקור את התקיפה, לבחון את רמת החדירה המדויקת ולוודא שלא נותרו “עקבות דיגיטליות” במערכות.
