מתקפת הסייבר על מערכת ה-RIBridges של רוד איילנד מדגישה אתגרי אבטחה משמעותיים העומדים בפני תוכניות סיוע לציבור. הוא חשף נקודות תורפה קריטיות בטיפול בנתונים רגישים, ניהול ספקים, תחזוקת מערכת ואמון הציבור. RIBridges מנהלת יישומים עבור תוכניות הסיוע לציבור של רוד איילנד, כגון Medicaid ו- Supplemental Nutrition Assistance Program (SNAP).
התוקפים מאחורי הפריצה טענו שיש ברשותם כטרה-בייט אחד של נתונים ודרשו כופר כדי למנוע את שחרורו.
ההפרה באה בעקבות אעל ידי מרכז Beeck for Social Impact שמצא שדרישות הוכחת זהות עבור מערכות יישומי רווחים מקוונים עלו רק במעט בשנת 2024. המחקר מצא שבעוד שמדינות מסוימות אימצו שיטות חדשניות, נותרו אתגרים בהשגת ניהול זהות דיגיטלית יעילה, כולל אבטחה.
משרדו של מושל רוד איילנד, דן מקי, אמר בהצהרה כי קיימת "סבירות גבוהה" שמידע אישי רגיש ביותר נגנב. בשנת הכספים 2023, לתוכנית Medicaid של המדינה היו יותר מ-389,000 אנשים, לתוכנית ההטבות של SNAP היו יותר מ-140,000 משתמשים, ול-HealthSource RI, פורטל הבריאות הרשמי של מדינת רוד איילנד, היו יותר מ-30,000.
רוב פיצג'רלד, CISO בשטח של Blue Mantis, אמר ל-GoLocal שהמתקפה "עלולה להיות הרסנית".
פקידי מדינה קוראים לכל מי שהגיש בקשה להטבות דרך RIBridges מאז 2016 לשנות את הסיסמאות שלו ולפקח על חשבונות הבנק שלהם לאיתור חיובים חשודים. ממשרד המושל נמסר, "משקי בית שאולי נפגעו מידע אישי יקבלו מכתב בדואר מהמדינה המסביר כיצד לגשת לניטור אשראי בחינם".
משרד המינהל של מדינת רוד איילנד אמר ב-עֵרָנִי, "כשיטת העבודה המומלצת, לקוחות צריכים לשנות כל סיסמאות נפוצות או בשימוש חוזר לסיסמה חדשה חזקה וייחודית. שימוש במנהל סיסמאות בטוח ומאובטח הוא הדרך היעילה ביותר לצמצם את הסיכונים של שימוש לרעה בסיסמאות. לקוחות יכולים גם להתקשר לבנק שלהם לשאול אילו צעדים אפשר לנקוט הקשורים לאבטחת חשבון הבנק שלהם".
ב-13 בדצמבר, RIBridges הוצא למצב לא מקוון בעקבות מתקפת הסייבר. המושל מקי דיווח שייתכן שהגישה לנתונים כולל שמות, כתובות, תאריכי לידה, מספרי תעודת זהות ומידע בנקאי מסוים.
ב-5 בדצמבר, הספק של רוד איילנד, Deloitte, הודיע לפקידי המדינה על מתקפת סייבר אפשרית על מערכת RIBridges. באותה עת, לא היה ברור אם מידע רגיש כלשהו נפגע.
ב-10 בדצמבר, Deloitte קיבלה מהתוקפים צילום מסך המציג תיקיות קבצים, המעיד על הפרה חמורה. למחרת, Deloitte העריכה סבירות גבוהה שהתיקיות שנפרצו מכילות מידע אישי מזהה מ-RIBridges. ב-13 בדצמבר, לאחר שגילתה קוד זדוני במערכת, המדינה הורתה ל-Deloitte לסגור את RIBridges כדי להפחית את האיום.
ביום שבת, 14 בדצמבר, משרד המושלאמר, "לאחר התייעצות עם מחלקת ה-IT שלנו במדינה, Deloitte יישמה מיד אמצעי אבטחה נוספים והחלה להעריך את האיום. היה חשוב, מטעמי אבטחה, לשמור על הידע הזה פנימי עד שנוכל לאבטח את מערכת ה-RIBridges. במקביל, הצוות שלנו החל בחקירה על אילו נתונים עשויים להיפגע, וכיצד התקפה אפשרית הייתה מסוגלת להתרחש".
משרדו של המושל מקי הוסיף כי "למיטב ידיעתנו, כל אדם שקיבל או הגיש בקשה לכיסוי בריאות ו/או תוכניות או הטבות לשירותי בריאות ואנוש עלול להיות מושפע מהדליפה זו". התוכניות וההטבות המנוהלות באמצעות מערכת RIBridges כוללות, בין היתר, Medicaid, SNAP, סיוע זמני למשפחות נזקקות, תוכנית סיוע לטיפול בילדים, כיסוי בריאותי שנרכש דרך HealthSource RI, Rhode Island Works, שירותים ותמיכות ארוכות טווח, וכן תוכנית סיוע כללי לציבור.
קצין הדיגיטל הראשי של המדינה וקצין המידע הראשי בריאן טארדיף הבהיר כי התקרית לא הייתה מתקפת כופר אלא מה שהוא תיאר כ"פעילות יותר מסוג סחיטה" על ידי קבוצת פושעי הסייבר שעמדה מאחורי המתקפה.
עם RIBridges במצב לא מקוון, התושבים אינם יכולים לגשת לפורטל המקוון או לאפליקציה לנייד להגשת בקשה לתוכניות הטבות ציבוריות, כולל HealthSource RI, שוק הבריאות של המדינה, שהיה בעיצומה של תקופת ההרשמה הפתוחה ומסתיים ב-31 בינואר 2025. בתגובה , המדינה הזמינה יישומים בנייר ומתכננת להקים מוקד טלפוני שיסייע לאנשים שנפגעו.
תקרית זו אינה האתגר הראשון הקשור למערכת RIBridges, הידועה רשמית כפרויקט תשתיות הבריאות המאוחדות (UHIP). היא הושקה ב-2016 כפלטפורמה מרכזית לייעול הגישה לתוכניות סיוע לציבור. המערכת, שנועדה לשלב מספר שירותים, נועדה לחדש את גישת המדינה לניהול שירותים חברתיים. עם זאת, ההיסטוריה שלה מסומנת בכשלים טכניים, ניהול לא נכון ופגיעות אבטחה שערערו את האפקטיביות ואת אמון הציבור.
RIBridges פותחה על ידי Deloitte במסגרת חוזה שערכו תחילה ב-105 מיליון דולר, אך עם הזמן התגבר על 600 מיליון דולר. מלכתחילה התמודד הפרויקט עם אתגרים משמעותיים. סוכנויות פדרליות, כולל המרכזים הפדרליים לשירותי רפואה ו-Medicaid, הזהירו את רוד איילנד לפני השקת המערכת שהיא לא מוכנה לפריסה.
למרות האזהרות הללו, ה-Providence Journal תיעד כיצד RIBridges התנהל למרות סיכונים תפעוליים ברורים, שהובילו לבעיות מיידיות ונרחבות. ההשקה הביאה לשיבושים משמעותיים בחלוקת ההטבות, כאשר אלפי תושבים חוו עיכובים בקבלת סיוע קריטי. צבר ההזמנות נסק, עם יותר מ-20,000 מקרים שנערמו עקב תקלות במערכת. כל זה דווח בהרחבה, כולל על ידי פקידי מדינה במהלך דיונים פומביים.
הבעיות הטכניות של המערכת הצטרפו לכשלים ניהוליים והיעדר בדיקות קפדניות. RIBridges נאבקו בפונקציונליות בסיסית, כמו עיבוד מדויק של יישומים, חישוב יתרונות ושילוב נתונים ממקורות מרובים. כשלים מבצעיים אלה הובילו לחקירה פדרלית שהביאה לעונשים של מיליוני דולרים למדינה, כמו גם לביקורת ציבורית על הממשל של המושל דאז ג'ינה ריימונדו. המדינה נאלצה לשכור צוות ויועצים נוספים כדי לטפל בצבר ולתקן את המערכת, ולהגדיל עוד יותר את העלויות.
עם הזמן טופלו רבות מהבעיות התפעוליות הראשוניות, אך התעוררו חששות לגבי אבטחת המערכת. כמאגר מרכזי לנתונים אישיים רגישים, לרבות מידע פיננסי ורשומות בריאות, הפך RIBridges למטרה פוטנציאלית להתקפות סייבר. ביקורות אבטחה חשפו נקודות תורפה בהגנות של המערכת, אם כי פרטים על ממצאים אלה לא פורסמו לרוב בשל אופיים הרגיש.
מתקפת הסייבר האחרונה הביאה את החששות ארוכי השנים הללו לקדמת הבמה. פושעי סייבר ניצלו חולשות ב-RIBridges כדי לגשת לנתונים רגישים. התוקפים עקפו את אמצעי האבטחה הקיימים, הכניסו קוד זדוני והשיגו גישה לא מורשית. הפרצה חשפה פגמים בהגנות הטכניות של המערכת והדגישה בעיות בפיקוח ובניהול הספקים שלה.
הפרצה סימנה את תקרית האבטחה המשמעותית ביותר בהיסטוריה של המערכת והדגישה את הסיכונים הכרוכים בהסתמכות על פלטפורמות מרכזיות ומשולבות מאוד לסיוע ציבורי. מערכות סיוע לציבור כמו RIBridges מנהלות כמויות נרחבות של מידע אישי מזהה. ריכוז מידע רגיש שכזה הופך את המערכות הללו למטרה אטרקטיבית עבור פושעי סייבר. הפרצה הדגימה את הסיכונים הטמונים באחסון נתונים בבסיסי נתונים מרכזיים, תוך שימת דגש על הצורך בהצפנה מתקדמת, בדיקות חדירה שגרתיות ואחסון נתונים ממודר כדי להגביל את החשיפה הפוטנציאלית.
המבקרים טענו כי ההיסטוריה של המערכת של כשלים טכניים וממשלתיים הפכה אותה לבלתי מוכשרת להתמודד עם איומי אבטחת סייבר מודרניים, למרות תפקידה הקריטי בשירות אוכלוסיות פגיעות.
RIBridges הגיע אפוא לסמל הן את ההבטחה והן את המלכודות של פרויקטים טכנולוגיים ממשלתיים בקנה מידה גדול. בעוד שמטרותיה של מודרניזציה ויעילות היו שאפתניות, ההיסטוריה הבעייתית שלה חושפת את האתגרים של יישום מערכות כאלה ללא תכנון, בדיקות והשקעה מספקים באמצעי אבטחה חזקים.
המתקפה גם הדגישה את החשיבות של פיקוח על ספקים. RIBridges פותחה ונוהלה על ידי קבלן צד שלישי, שזיהה את ההפרה אך התמודד עם עיכובים בהבנה מלאה של השלכותיה. הסתמכות זו על קבלנים חיצוניים לתשתית קריטית ממחישה את הסיכונים של אמצעי אבטחה לא מספיקים בקרב ספקי צד שלישי ואת הצורך של ממשלות להבטיח שכל הספקים עומדים בתקני אבטחת סייבר מחמירים באמצעות ביקורת מתמשכת והערכות מחמירות.
בנוסף, האירוע חשף את ההשלכות של דחיית גילוי ותגובה. למרות שהפריצה החלה ב-5 בדצמבר או לפני כן, ההיקף המלא של פשרת הנתונים התברר רק מספר ימים לאחר מכן. עיכוב זה ממחיש את הצורך במערכות ניטור בזמן אמת, התראות אוטומטיות ותוכניות תגובה מוכנות היטב לאירועים שיכולים להכיל במהירות ולהפחית איומים.
השיבוש שנגרם מהתקיפה התרחב מעבר לאבטחת מידע. עם RIBridges במצב לא מקוון, התושבים לא יכלו לגשת לשירותים קריטיים כמו SNAP ו-Medicaid במהלך תקופה מכרעת, מה שהותיר אוכלוסיות פגיעות ללא תמיכה חיונית. ההשפעה הנרחבת של שיבושים כאלה מדגישה את הצורך של ממשלות לפתח תוכניות המשכיות והתאוששות מאסון חזקות כדי להבטיח זמינות של שירותים חיוניים גם במהלך משברי אבטחת סייבר.
בניגוד למתקפות כופר מסורתיות, הפרת RIBridges הייתה כרוכה בסחיטה, כאשר תוקפים מאיימים לשחרר נתונים גנובים, מה שמשקף מגמה רחבה יותר בפשעי סייבר שבה הפוקוס עובר ממערכות נעילה למינוף נתונים רגישים לרווח כספי. התנגדות לטקטיקות אלה כרוכה באסטרטגיות כגון מניעת אובדן נתונים וארכיטקטורות אפס אמון כדי למנוע חילוץ נתונים ולהפחית את ההשפעה של אירועים כאלה.
לבסוף, המתקפה מעלה חששות לגבי אמון הציבור. בעיות חוזרות ונשנות עם RIBridges ערערו את האמון במערכת. ההפרה הלחיצה עוד יותר את האמון הזה, במיוחד בקרב תושבים המסתמכים על הפלטפורמה לשירותים חיוניים. תקשורת שקופה, תיקון מהיר וצעדים להגנה על אנשים שנפגעו, כגון ניטור אשראי, הם חיוניים בבנייה מחדש של האמון.
מתקפת הסייבר ברוד איילנד היא תזכורת מוחלטת לסיכונים העומדים בפני מערכות הסיוע הציבורי. ככל שהדיגיטציה מתגברת, מערכות אלו חייבות לאמץ אמצעי אבטחת סייבר חזקים, ניהול סיכונים פרואקטיבי וניטור מתמשך כדי להגן על הנתונים והשירותים שעליהם מסתמכים אוכלוסיות פגיעות. התקרית מדגישה את הדחיפות של ממשלות לתעדף אבטחה במערכות המיועדות לתמוך ברווחת הציבור.
נושאי מאמר
||||||||