בסוף חודש אוקטובר 23 נפגעה הספרייה הלאומית הבריטית ממתקפת כופרה של כנופיית Rhysida. במתקפת נגנבו קבצי מידע בנפח 600GB שפורסמו לאחר מכן בדארקנט, שרתים רבים הוצפנו ונהרסו. הספרייה עדיין לא התאוששה ולא חזרה לפעילות מלאה, אולם היא מפרסמת באופן נדיר דוח מעמיק על התקיפה, השלכותיה והתכנון העתידי למניעת הישנות מתקפה דומה כזו בעתיד.

רקע

בשעות הבוקר של ה-28 לאוקטובר הבחין איש IT מצוות הספרייה שהוא אינו מסוגל להיכנס למערכות המחשוב שלה. הוא ביצע מספר פעולות שווידאו שמדובר במתקפת סייבר ויידע את בעלי התפקידים הרלוונטיים שהחלו לפעול על-פי תוכנית חירום שהוכנה מראש. בשעה 10 בבוקר כבר התכנס צוות החירום לשיחת הערכה ראשונית שבוצעה בשיחת וידאו על גבי ווטסאפ, וזאת משום שמערכות המייל וה-Teams של הארגון נוטרלו. גופי אכיפת חוק יודעו מיד לאחר מכן, כולל נציב הפרטיות הבריטי וסוכנות הסייבר הממשלתית ה-NCSC. נשכר צוות תגובה של חברה חיצונית שלקח פיקוד והחל לחקור ולתפעל את האירוע. באותו יום כבר הודיעה הספרייה ללקוחותיה, לציבור ולתקשורת על עצם המתקפה.

התקרית

החקירה הפורנזית העלתה שהחדירה הראשונית לארגון קרתה כנראה ב-25 לאוקטובר, אולם נתגלתה והוכלה על-ידי מערכות ההגנה של הארגון. בדיעבד, זו כנראה הייתה בדיקה מודיעינית של התוקפים לפני המתקפה העיקרית. בליל ה-28 לחודש החברה שמנתרת את תעבורת הרשת של הספרייה, גילתה הוצאה של כ-440G מידע אל מחוץ לארגון. נקודת ומועד הפריצה הראשוני לא נתגלו עד כה, וייתכן שלא יתגלו לעולם (משום שרבים מהשרתים והלוגים נמחקו לגמרי). סביר להניח שהחדירה בוצעה דרך Terminal Server שהיה פתוח לגישה מרחוק של שותפים וספקים. אותו שרת היה מוגן באנטי וירוס ובפיירוול אולם לא הופעל בו שירות הזדהות MFA. לאחר החדירה התוקפים העתיקו אל מחוץ לארגון כחצי מיליון קבצים, בהתחלה ללא סדר או לוגיקה מסוימת (בעיקר קבצים ממערכות כספים, טכנולוגיה וכוח אדם), ולאחר מכן קבצי שהכילו את מילות החיפוש "דרכון", "חסוי" ועוד. לאחר מכן התוקפים השתלטו על כלי ניהול תשתיתיים ויצרו כ-22 עותקים של בסיסי נתונים שונים, חלקם מכילים פרטי קשר של לקוחות ועובדים. השימוש האינטנסיבי של הספרייה במערכות ישנות יחסית הפך אותה פגיעה מאוד להצפנה והשמדת נתונים. חלק מהמערכות הישנות ניזוק באופן שאינו מאפשר תיקון או שחזור (בחלקו משום שהיצרנים הפסיקו לתמוך במוצרים אלו), וכך נוצר מצב שאמנם קיימים עותקים דיגיטליים של כל הכתבים המצויים בספריה אבל המטאדאטה שלהם אבד ולכן לא ניתן כרגע לחפש ולאתר אותם עד שלא תתבצע עבודת שחזור מפרכת וידנית, בחלקה. הספרייה לא יצרה קשר עם התוקפים ולא שילמה כופר, על-פי הנחיית הרשויות. ההשפעה של המתקפה הייתה נרחבת. אומנם המתקנים הפיזיים של הספרייה נותרו פתוחים לציבור אולם כל התשתית ניזוקה - לא ניתן היה לחפש במאגרי נתונים, לצפות בעותקים דיגיטליים או סרוקים של ספרים ורבים מאנשי הסגל לא יכלו לבצע את עבודתם מחוסר גישה למערכות מחשוב ואפילו אימייל. מערכת הניהול המרכזית של הספרייה "הלכה לעולמה" ולא תוכל לחזור לתפקד יותר, אבל בתהליך החקירה נתגלו גיבויים שיאפשרו בניית מערכת ניהול חדשה. העלות הכוללת של המתקפה לא ניתנת להערכה בשלב זה, משום שפעולות השחזור והבניה מחדש לא נסתיימו. אולם כבר עתה ניתן לומר שהספרייה לא מסוגלת למלא את תפקידה במלואו - לא ניתן לתמוך במחקר וחלק גדול מהגנזך לא זמין (אם כי נראה שלא נפגע באופן ממשי). על-אף כל זאת- הספרייה כן נותרה פתוחה ואפילו המשיכה להשאיל ספרים למעוניינים (על-ידי השיטה הוותיקה והבטוחה של כרטיסיות השאלה).

העתיד

בחודש דצמבר הספרייה פרסמה תוכנית שיקום ארוכת טווח. בשלב הראשון, שיימשך כחצי שנה, יבוצעו פעולות ביניים שיאפשרו לספריה לספק את מירב השירותים. בשלב שלאחריו שיארך כשנה וחצי ייבנו מחדש תשתיות שיאפשרו לספריה להתמודד עם האתגרים הטכנולוגיים של העתיד על חשבון הטכנולוגיות המיושנות בהן נעשה שימוש עד כה. יבוצע ניתוח סיכונים שייקח בחשבון סיכונים עכשוויים ועתידיים, ויינתן דגש על בנייה של ארכיטרטורה מודרנית ופשוטה יותר, תוך הקפדה על סטנדרטים מוכרים של סגמנטציה, הזדהות, זיהוי איומים וגיבוי. בייחוד צופים אנשי הטכנולוגיה של הספרייה מעבר אינטנסיבי לשימוש בשירותי ענן שיגבירו את רמת האבטחה הקיימת. הנקודה האחרונה קריטית. מניתוח הסיכונים עולה שאנשי הספרייה מבינים שהמעבר לענן לא יפתור את כל בעיות האבטחה. נהפוך הוא - לענן סיכונים ואתגרים משלו, ביניהם המחסור בכוח אדם איכותי ובקיא לתפעול התשתית וביצוע פעולות אבטחה בשגרה. עם זאת - מעבר מושכל לענן תוך הטמעה של אמצעי גילוי וזיהוי מהיום הראשון צפויה להוריד באופן ניכר את הסיכונים שהספרייה חשופה אליהם כיום.

סיכום

כל זה נשמע קצת תלוש מהמציאות שלנו פה בישראל, עד שנזכרים שגם הארכיון הלאומי (שכמו הספרייה בבריטניה, מחויב להחזיק עותק פיזי ודיגיטלי של כל ספר שיוצא לאור בארץ) שלנו פה בארץ הותקף כמעט באותו זמן וגם לו נגרמו נזקים גדולים, כשתוקפים פרו-פלשתינים הצליחו לחדור למסד הנתונים של האתר, מחקו אותו ופרסמו חלקים ממנו הכוללים את פניות הגולשים ברשת האפילה. גרוע מכך - אין כרגע צפי לחזרה לפעולה של הארכיון, שכרגע לא מוערכת לפני סוף שנת 2024. בניגוד לנתיני הממלכה הבריטית, ספק רב אם נזכה לראות דוח מפורט שמעיד על הכשלים שאפשרו את המתקפה, או איזו תוכנית עתידית לבניה מחדש של תשתית בטוחה ורובוסטית יותר. נותר רק לקוות שהאחראים יפיקו את הלקחים המפורטים בדוח הבריטי ויפנימו אותם בבואם לשקם את הארכיון שבמידה רבה מהווה את הזיכרון הלאומי שלנו.