מה המשותף לכל מתקפות הסייבר האחרונות?
היה שוני מסוים בין שלל המתקפות שידענו באחרונה, אבל היה גם דבר אחד ברור שאיחד את כולן: העדר אבטחה מתאימה ומספיקה
מתקפת הענק הרוסית על ארצות הברית שממנה נפגעו, על פי הדיווחים, 500 חברות וגופי ממשל, היא המשך לגל מתקפות הסייבר שמתחרשות בשבועות האחרונים ברחבי העולם, כולל בישראל. יש בין הארגונים שנפלו קורבן למתקפות הללו קו מחבר אחד ובוהק: העדר אבטחה מתאימה ומספיקה, שתדע להתמודד עם האיומים.
זה גם היה אחד המסרים המרכזיים שעלו בכנס IT & Security של אנשים ומחשבים, שנערך אתמול (ד') – בעיתוי אקטואלי במיוחד. הדוברים בכנס – נציגי ממשלה, מומחי סייבר ומנהלי אבטחה – היו מאוחדים בדעתם שגם אם מדובר במתקפות מסוגים חדשים, האופן שבו יש לבצע את ההיערכות אליהן, את מניעתן ואת ההגנה על הארגונים לא שונה בהרבה מהמוכר. מה שצריך לעשות הוא לבצע את כל ההמלצות, התרגולים וההשקעות בתשתיות אבטחה, כדי לרענן ולהיערך לכל תרחיש.
השם שירביט עלה לא מעט בכנס, אם כי לא היה מרצה שהתייחס נקודתית לפרטי הפרשה, שנמצאת בחקירה, ושעדיין לא התגלה עליה הכול. רק אתמול פרסמו ההאקרים את תמונת הדרכון של מנכ"ל החברה והודיעו שהם כבר מכרו חלק מהמסמכים והמידע שגנבו לגורמים שלישיים. אחת הסברות היא ששירביט היא רק כלי בידי תוקפים שיש להם כוונות אחרות, ולא הכסף הוא מה שמעניין אותם. כך או כך, השאלות הן באילו אמצעי אבטחה והגנה נקטה החברה והאם היא הייתה יכולה למנוע את המתקפה מבעוד מועד.
נכון הוא שניהול האבטחה נכנס לשיקולים של ניהול סיכונים ולא ניתן להסתיר את שרתי הארגון מאחורי חומות בצורות של הגנה, במיוחד לא בעידן העבודה המוגברת מהבית, אבל דווקא עובדה זו הייתה צריכה לגרום לארגונים לגבש אסטרטגיה חדשה של הגנה. זאת, מפני שמעצם העובדה שחלק ניכר מהעבודה מבוצעת מרחוק, ההגנה מעט או הרבה יותר רופפת, כי מרבית המחשבים של העובדים לא מוגנים באותה מידה כמו המחשבים שלהם בארגון. נציגי החברות הטכנולוגיות שהשתתפו בכנס סיפרו על כלים ומתודולוגיות שמאפשרות הגנה טובה יותר על נכסי המידע של הארגון, והציעו להתייעץ אתם ולהתבסס על הידע והניסיון העשירים שהם צברו.
אירועים חדשים – אתגרים מוכרים
הקורונה הביאה אתה הרבה אירועי סייבר שונים, אבל לא אתגרים שלא ידענו קודם. ארגונים שמנהלי האבטחה שלהם ידעו לדפוק על השולחן בזמן ולשכנע את המנכ"לים להשקיע בכלי הגנה טובים יותר הצליחו לשרוד את הקורונה, לפחות בינתיים, עם מינימום פגיעות. ארצות הברית, ישראל או כל מדינה אחרת לא יכולה ולא רוצה להעמיד מומחה סייבר מטעמה ליד כל ארגון וחברה. אבל היא יכולה להשקיע בהכשרה טובה יותר של כוח אדם, לשחרר תקנים של מנהלי אבטחה בגופים ציבוריים, למשל ברשויות המקומיות, ולהשקיע משאבים בהסברה בתחום הסייבר.
בהקשר זה, יש לציין שחלק מהמרצים בכנס הצביעו על כך שגם כשזה נוגע לאבטחה, ה-"יהיה בסדר" וה-"לי זה לא יקרה" הכה ישראליים מככבים. מדהים היה לשמוע דוגמאות מארגונים שההתנהלות שלהם הייתה כזו עד לקורונה, ואחרי פרוץ המשבר למדו עד כמה היא לא הייתה נכונה. עד כמה הם שגו כאשר לא שמעו להמלצות של אנשי המקצוע בארגונם.
האם ה-"יהיה בסדר" יימשך גם בשנה הבאה? האם המתקפות יירגעו עם "הירגעות" המגיפה המיוחלת, שיש לקוות שתקרה עם הגעת החיסונים? למרבה הפלא, רוב הדוברים אמרו שהם לא צופים שינוי דרמטי, מה גם שחלק מהם טענו שבניגוד למה שרבים סבורים, שנת הקורונה 2020 לא הייתה חריגה בכל מה שקשור לניסיונות התקיפה. אולי, במידה מסוימת, במינון ובסוגים, אבל כל פריצה לארגון נושאת דפוסי פעולה זהים, בין אם אלה פשעי סייבר לגניבת מידע, ריגול בסייבר – עסקי או מדיני – או כל מתקפה אחרת. וכשדפוסי הפעולה זהים, יש דמיון רב גם בדרכי ההתגוננות. מה שצריך לעשות כדי למנוע כמה שיותר מתקפות ולהתמודד בהן על הצד הטוב ביותר כשהן כבר קורות הוא ללמוד טוב יותר את האיומים ולנקוט בדרכי ההגנה.
ועכשיו עולה השאלה הנצחית שמדמה את הביצה או התרנגולת. מי נושא באחריות להגנה על מאגרי המידע הבעלים של מאגר המידע או המפעילים של מאגר המידע, בהנחה שלא מדובר על אותו גוף ? לדוגמא, בועדה מרחבית לתכנון ובנייה שוכרת שירותים לניהול מערך ה GIS של הוועדה, שנמצא בפועל OFF SITE אצל מפעיל המאגר ומי ששיווק להם את זכויות השימוש בתכנה, וגם בגיבויים שמשווק התכנה המליץ / מפעיל. אז מי אחראי לפריצה שכל עיסוקה הוא לשנות את כל המיקומים ב 2 מ' ( למעלה , למטה ימינה שמאלה לא ממש משנה ) ומי יישא בעלויות הרבות, אם זה לא יתגלה במועד, ויינתן רישיום לבניית מרכז מסחרי שפולש לשטח לא שלו בכ 5 מ' בנייה, לא כולל מרחקים מקו מגרש ? שאמשיך ? הדוגמאות מרובות, ... תשובות כל שהן ?