סייבר, פורנזיקה דיגיטלית והונאות: מגמות לשנת 2025

בכל השנים האחרונות, ובמיוחד עם כניסת ה-AI לשימוש נרחב, תחומי אבטחת הסייבר, הפורנזיקה הדיגיטלית וההונאות חווים שינויים מהירים. כל מי שמנהל ארגון, גם אם אינו קשור ישירות להייטק או סייבר, צריך להכיר את האיומים הבולטים בתחומים האלה, ולהיערך בהתאם כדי להגן על המידע והאנשים בארגון.

הנה כמה מהטרנדים המעניינים בתחום הסייבר, אבטחת המידע, פורנזיקה דיגיטלית ועוד, לשנת 2025.

בינה מלאכותית: איומי סייבר והגנות

הבינה המלאכותית (AI) הפכה לכלי דו-צדדי באבטחת סייבר. מצד אחד, היא מסייעת לזיהוי והגנה מפני מתקפות, אך מהצד השני, היא מאפשרת לפושעי סייבר לבצע התקפות בקנה מידה חסר תקדים. בשנת 2025 נראה עלייה בשימוש בבינה מלאכותית לצורך יצירת מיילים של פישינג, פיתוח תוכנות זדוניות והונאות מתוחכמות במיוחד.

למשל, דו"ח של VIPRE Security מצא כי 40% מהודעות הונאה שהתגלו בשנת 2024 נכתבו על ידי AI, מה שהופך אותן לאמינות וקשות יותר לזיהוי. בנוסף, מתקפות דיפ-פייק מתפתחות במהירות: בשנת 2024 עובד בחברה פיננסית בהונג קונג העביר 25 מיליון דולר בעקבות שיחת וידאו עם דמות המתחזה למנכ"ל שלו באמצעות דיפ-פייק. זהו אינו מקרה בודד – ארגונים רבים נופלים קורבן להונאות דומות בהיקף של מיליוני דולרים.

הונאות נוספות, כמו "חטיפות וירטואליות" באמצעות דיפ-פייקים קוליים, הופכות נפוצות יותר. בארה"ב ובבריטניה דווחו מקרים שבהם פושעים יצרו קול מלאכותי של בן משפחה והשתמשו בו כדי לדרוש כופר מהקורבן. במקביל, צ'אטבוטים מבוססי AI משמשים להונאות "רומנטיות" ולסחיטת כספים מלקוחות תמימים באפליקציות היכרויות.

בשנת 2025 אנו צפויים לראות שימוש הולך וגובר בבינה מלאכותית בהתקפות סייבר. ההגנה מפני איומים אלה מחייבת אימוץ פתרונות אימות זהות מתקדמים ושימוש בטכנולוגיות לזיהוי תוכן מזויף.

כופרות וסחיטה

בשנת 2025, מתקפות הכופרה ממשיכות להוות איום משמעותי על ארגונים ברחבי העולם, כולל בישראל. התוקפים מאמצים אסטרטגיות מתקדמות, כמו סחיטה כפולה ושלישית, במסגרתן הם לא רק מצפינים נתונים, אלא גם מאיימים לחשוף אותם או להחריף את ההתקפה. לדוגמה, קבוצות תקיפה כמו N3tw0rm, המיוחסת לפעילות נתמכת על ידי איראן, פעלו נגד גופים ישראליים תוך שימוש בטכניקות מתוחכמות למחיקת נתונים והשבתת מערכות. 

למרות עלייה במספר המתקפות, חלה ירידה של 35% בתשלומי הכופר, מ-1.25 מיליארד דולר ב-2023 לכ-814 מיליון דולר ב-2024. ירידה זו מיוחסת לפעולות אכיפת חוק בינלאומיות, כמו "מבצע קרונוס", ששיבש את פעילות כנופיית הכופרה LockBit. 

בישראל, ברבעון השני של 2024, נרשמה עלייה של 81% במתקפות סייבר בהשוואה לתקופה המקבילה אשתקד, עם ממוצע שבועי של 2,278 מתקפות. ענפי החינוך, התקשורת והייעוץ היו בין הנפגעים העיקריים. בנוסף, נרשמה עלייה של 20% בדיווחים על מתקפות כופרה לאחר פרוץ מלחמת חרבות ברזל, עם יותר מ-100 גופים שנפגעו. יצוין שלא כל הארגונים המותקפים מדווחים.

הפורנזיקה הדיגיטלית ממלאת תפקיד מרכזי בניתוח אירועים לאחר מתקפה, זיהוי נקודת החדירה / וקטור התקיפה ואיסוף ראיות להליכים משפטיים. עם זאת, הונאות הקשורות לכופרות, כמו שירותי פענוח כוזבים, מנצלות קורבנות נואשים, שאין להם גיבויים ומוכרחים לשחזר את המידע, מה שמוסיף שכבה נוספת של מורכבות לאיום. לכן, ארגונים נדרשים לפתח תוכניות תגובה מתקדמות ואמצעי איתור משופרים כדי להתמודד עם האיומים המתפתחים.

מתקפות על שרשרת האספקה – החוליה החלשה

מגמה מרכזית נוספת לקראת שנת 2025 היא העלייה במתקפות על שרשראות אספקה: פרצות אבטחה החודרות לארגונים דרך שותפים, ספקים או תלות תוכנה פחות מאובטחים. 

דוגמה בולטת לכך היא פרצת האבטחה הגדולה ביותר בשנת 2023, שלא נגרמה מהתקפה ישירה על חברה גדולה, אלא מניצול פגיעות Zero Day בכלי העברת קבצים נפוץ בשם MOVEit Transfer. כנופיית הכופרה Clop, הקשורה לרוסיה, ניצלה פגם זה בשרשרת האספקה כדי לגנוב נתונים מארגונים ברחבי העולם. למעלה מ-1,000 חברות, כולל בנקים, אוניברסיטאות וסוכנויות ממשלתיות, נפגעו כתוצאה מתקרית זו.

מומחים צופים שהתוקפים יפנו יותר ויותר לניצול החולשות בשרשרת האספקה בשנת 2025. ככל שחברות מחזקות את ההגנות שלהן, היריבים פונים לשותפים שעשויים להיות בעלי פחות משאבים לאבטחת המערכות שלהם. משטח ההתקפה הוא עצום: שירותי ענן צד שלישי, ספריות קוד פתוח, ספקי שירות מנוהלים ומערכות לוגיסטיות של שרשרת האספקה.

עבור עסקים, איום שרשרת האספקה אומר שניהול סיכוני ספקים ובדיקות נאותות אינם עוד אופציה למיטיבי לכת – חשוב למפות את החיבורים וזרימת הנתונים עם צד שלישי, ולהתעקש על פרקטיקות אבטחה חזקות בחוזים כתובים ומסודרים. 

שיתוף מודיעין איומים בין תעשיות הוא מפתח חשוב: כאשר חברה אחת במגזר נפגעת דרך ספק, התרעה מוקדמת לאחרים יכולה למנוע אפקט דומינו. 

ההגנה על שרשראות אספקה תהיה במוקד בשנת 2025. הלקח מתקריות כמו MOVEit ברור: גם אם הדלת הקדמית שלך נעולה, גנב עשוי להיכנס דרך דלת צדדית שלא ידעת כלל שהיא פתוחה.

מלחמה ואיומי סייבר ממדינות זרות

הגיאופוליטיקה תמשיך לשחק תפקיד חשוב ב-2025. האקרים מטעם מדינות וגורמים פוליטיים מגבירים את פעילותם, והאינטרנט הופך לזירת קרב נוספת לריגול, חבלה והשפעה. מגמה זו התחדדה במהלך מלחמת "חרבות ברזל", כאשר ישראל התמודדה עם עלייה דרמטית במתקפות סייבר. מאז תחילת המלחמה, נרשמו בישראל 15,539 מתקפות סייבר, מתוכן 1,686 בעלות פוטנציאל נזק משמעותי. המגזרים שהותקפו ביותר כוללים תקשורת, שירותי דיגיטל, ממשלה, פיננסים ותחבורה.

איראן זוהתה כגורם מרכזי בהסלמת המתקפות, עם עלייה משמעותית בפעילות הסייבר האיראנית הממוקדת בישראל מאז פרוץ המלחמה. פעולות אלו כוללות ניסיונות לחדור למערכות ממשלתיות ופרטיות, גניבת מידע ופעולות שיבוש נגד שירותים אזרחיים. מומחי אבטחת סייבר מזהירים כי פעולות אלו יימשכו, ללא קשר להפסקת אש אפשרית בשטח.

המלחמה בין רוסיה לאוקראינה כוללת מתקפות סייבר רוסיות על תשתיות אוקראיניות, בעוד שאוקראינה ובעלות בריתה מבצעות פעולות נגד תשתיות רוסיות. במקביל, סין ממשיכה בקמפיינים של ריגול סייבר נגד מטרות ברחבי העולם, עם תחזיות לפעולות התקפיות אפשריות בהקשרים כמו טייוואן בשנים הקרובות.

השלכות מגמה זו על עסקים וממשלות גלובליים הן רחבות. מפעילי תשתיות קריטיות, כמו אנרגיה, פיננסים, תחבורה ובריאות, נמצאים בכוננות גבוהה, שכן שחקנים מדינתיים בוחנים ואף חודרים לרשתות במדינות יריבות. לדוגמה, רשויות במערב הזהירו כי רוסיה או יריבות אחרות עשויות לנסות לשבש רשתות חשמל או צינורות באמצעות מתקפות סייבר כתגובה לפעולות גיאופוליטיות.

עסקים שאינם מעורבים ישירות בסכסוכים עלולים להפוך למטרות עקיפות או לכלי משחק. קבוצות האקרים עלולות להשחית אתרי אינטרנט או לדלוף מידע כדי להעביר מסרים פוליטיים, מה שמשפיע על חברות שלא היו מעורבות בסכסוך. בנוסף, קבוצות הנתמכות על ידי מדינות מכוונות לעיתים לחברות פרטיות כדי לגנוב קניין רוחני או לאסוף מודיעין.

ארגונים צריכים להכיר בכך שאיומי סייבר מטעם מדינות אינם תיאורטיים. מומלץ לאמץ מודל איומים שלוקח בחשבון שהתוקפים מתוחכמים יותר. בין השאר, מומלץ לשקול הפרדת נכסים אסטרטגיים וניטורם בקפדנות, השקעה ב-threat intelligence (מודיעין איומים) לקבלת התרעות מוקדמות על טקטיקות של שחקנים מדינתיים, ושיתוף פעולה עם רשויות אכיפת החוק וסוכנויות סייבר לאומיות לקבלת הנחיות וסיוע.

תגובה לאירועי סייבר – צוות IR

עם הגידול בנפח ובמורכבות של איומי הסייבר, היכולת לזהות, לחקור ולהתאושש מאירועים במהירות הפכה לקריטית לא פחות מאשר מניעתם. בשנת 2025, צפויה התמקדות משמעותית במוכנות לתגובה לאירועים – Incident Response – IR – וביכולות פורנזיקה דיגיטלית.

נתונים עדכניים מדגישים את הצורך במוכנות זו: מחקר של IBM מצא כי הזמן הממוצע לזיהוי ולבלימת פרצת מידע עומד על כ-277 ימים. במהלך תקופה זו, תוקפים יכולים לגרום לנזקים משמעותיים. עם זאת, חברות המחזיקות בצוות IR מיומן ותוכנית תגובה מעודכנת יכולות לבלום מתקפות כ-54 ימים מהר יותר, לעומת חברות שאין בהן צוותים כאלה. העלות הממוצעת של פרצת מידע בשנת 2023 הייתה 4.45 מיליון דולר, אך עסקים עם צוותי IR יכולים לצמצם משמעותית את הנזקים ולחסוך כסף. 

תגובה אפקטיבית לאירועים נשענת על פורנזיקה דיגיטלית חזקה – כלים ומומחיות לפירוק התקפות, הבנת האירוע ונטרול האיום. מדובר בעניין מאתגר במיוחד כיום, מכיוון שהתוקפים משתמשים בטכניקות מתוחכמות כמו נוזקות ללא קבצים וטכניקות אנטי-פורנזיות כדי להסתיר את עקבותיהם. בנוסף, הסביבות שיש לחקור (שירותי ענן, אפליקציות מבוססות קונטיינרים, תקשורת מוצפנת) מורכבות יותר.

למרות אתגרים אלו, יש שיפורים רבים בתחום: כלים ושירותי פורנזיקה ייעודיים לענן, למשל. בנוסף, יש דגש גובר על "מוכנות פורנזית" – הגדרת מערכות כך שיתעדו וישמרו את הנתונים הנכונים לפני התרחשות אירוע. ארגונים לומדים לשמור ראיות בקפידה (לדוגמה, שמירת דאמפים של זיכרון, הימנעות ממחיקת דיסקים ועוד) כך שכאשר מתרחש אירוע, צוותי תגובה כמו אלו של פורס מאז'ור יכולים להתערב במהירות כדי לנתח את הסיבה והשפעת האירוע. ככל שהחקירה מהירה ומדויקת יותר, כך ההתאוששות מהירה יותר והנזק – בין אם הוא משפטי, פיננסי או תדמיתי – מצטמצם.

היבט נוסף המדגיש את חשיבות ה-IR הוא המחסור בכוח אדם מיומן בתחום הסייבר. ההערכה היא כי כ-3.4 מיליון משרות בתחום זה נותרו בלתי מאוישות נכון לשנת 2023. פער זה מורגש במיוחד בתחומים נישתיים כמו פורנזיקה דיגיטלית וניתוח נוזקות. חברות רבות פשוט לא מסוגלות להחזיק צוותים פנימיים מלאים לכל התמחות. כתוצאה מכך, הן פונות לחברות סייבר חיצוניות. חברה מנוסה בתחום ה-IR מביאה עמה נהלים מוכחים וידע מעמיק על התנהגות תוקפים, מה שיכול להפחית משמעותית את הזמן הנדרש לבלימת התקפה. הסכמי ריטיינר עם ספקי IR הופכים נפוצים יותר. בשנת 2025, אנו צופים כי תרגולי תגובה למתקפות סייבר יהפכו לנפוצים יותר, לרוב בהנחיית מומחים חיצוניים.

פורנזיקה דיגיטלית אינה עוסקת רק בתגובה, היא מסייעת לטייב גם את מנגנוני המניעה. לקחים הנלמדים מחקירות (כיצד התוקפים חדרו? אילו חולשות נוצלו?) משמשים לחיזוק ההגנות לאחר האירוע. תגובה לאירועים ופורנזיקה חזקים מהווים את עמוד השדרה של חוסן סייבר. 

שנת 2025 תתאפיין באיומים מהירים ומשתנים ובסיכונים גבוהים. בין אם מדובר בהונאת זהות מבוססת Deepfake המכוונת למחלקת הכספים, או בקבוצת תקיפה ממדינת אויב, שמנסה לגנוב קניין רוחני, ארגונים חייבים לאמץ גישה של מוכנות ועירנות. 

משמעות הדבר היא לא רק חיזוק ההגנות הטכנולוגיות, אלא גם טיפוח תרבות של מודעות סייבר בקרב העובדים, כך שיוכלו לזהות ולהימנע מהונאות. בנוסף, יש להשקיע ביכולות תגובה יעילות למקרים שבהם הדברים משתבשים. כפי שאנחנו יודעים, השאלה אינה אם תתרחש פריצה, אלא מתי. האיומים אולי מתעצמים, אך כך גם הכלים והידע הזמינים לצוותי תגובה מקצועיים – על ידי מינוף משאבים אלו, ניתן לחזק את התשתיות הדיגיטליות ולהגן על הנכסים הקריטיים, ולצלוח את סערת איומי הסייבר שלא שוקטת אף פעם.