ראשת הסייבר בבית הלבן: "עלות הטכנולוגיה הלא מאובטחת – מדהימה"

"העלות של טכנולוגיה לא מאובטחת היא מדהימה," כך אמרה אן נויברגר, סגנית היועץ לביטחון לאומי של ארה"ב לתחום הסייבר.

נויברגר הייתה דוברת המפתח בכנס RSA שנערך השבוע. בדבריה אתמול (ג') נויברגר ציינה כי "מחקר שערך מכון פונמון (Ponemon) ב-2019 העלה כי העלות הממוצעת של אירוע פריצה וגניבת נתונים עומדת על 13 מיליון דולרים. והעלות הזו הולכת וגדלה על ידי הקורבנות, שנדרשים להגיב לאירוע, ולעסוק בשחזור והתאוששות. עסקים קטנים, בתי ספר, בתי חולים וממשלות מקומיות, שלעתים קרובות יש להם פחות משאבים – הם הקורבנות העיקריים שנאבקים במיוחד לאחר האירוע".

"אמנם עלות אירועי הסייבר תועדה באופן נרחב בכמה דו"חות", ציינה נויברגר, "אך המגזר הציבורי והפרטי יכולים לצמצם את היקף האיומים על ידי מודרניזציה של כלי האבטחה והתהליכים שלהם. רק זה בלבד צריך להיות תמריץ מספק דיו כדי לשנות את דרכינו. ולמרות זאת, האם עשינו זאת? מה נדרש כדי לעשות זאת באופן הנכון? הקהילה היא זו שיכולה להניע את השינוי".

בדבריה בכנס, נויברגר הדהדה את דברי בכירים מהבית הלבן, ואמרה כי "ארה"ב צריכה לחדש את מערך הגנות הסייבר שלה, כדי למנוע מתקפות עתידיות של האקרים – פושעים מתוחכמים הפועלים ממניעים כלכליים, ותוקפים שלוחי מדינות. בנוסף לכך שזהו הכרח לטובת הביטחון הלאומי, הרי זו גם חובה ביטחונית-כלכלית". לדבריה, "ג'ו ביידן, נשיא ארה"ב, העלה את נושא הגנת הסייבר באופן (רציני/משמעותי –  י"ה) שאיש לפניו לא עשה בעבר. הבית הלבן מחויב לחיזוק ולהאצת תחום אבטחת הסייבר, כמו גם מודרניזציה של הגנות הסייבר".

המתקפה הביאה התמודדות עם האמת הקשה. סולארווינדס

נחתם השבוע בארה"ב: צו נשיאותי לאבטחת סייבר

"בעקבות האירוע של סולארווינדס (SolarWinds) התמודדנו עם האמת הקשה: חלק מהצעדים הבסיסיים ביותר לאבטחת סייבר לא הופעלו באופן שיטתי בקרב סוכנויות פדרליות", אמרה. "זה כולל הפעלת כלים כמו MFA, אימות רב-גורמי, הצפנה, רישום אירועים והגנה על נקודות הקצה. כל הטכנולוגיות הללו ממלאות תפקידים בולטים בצו הנשיאותי לאבטחת סייבר, עליו חתם ביידן בשבוע שעבר".

הצו מחייב את הסוכנויות הפדרליות לאמץ כמה שיטות עבודה מומלצות בנושא אבטחת סייבר, לרבות ארכיטקטורות Zero Trust, אימות רב שלבי, הצפנה של נתונים במנוחה, כמו גם נתונים בתנועה. הוא כולל גם דרישות לרשום ביומן אירועי אבטחת סייבר עבור מחלקות וסוכנויות פדרליות, ומחייב כי סוכנויות אלה יטמיעו גם כלים לזיהוי איומים ולתגובה בנקודות קצה.

"נקטנו בפעולה מיידית למימוש כלל הדברים האלה, אבל יש לנו עוד הרבה מה לעשות", סיכמה נויברגר. "ואנחנו מתחילים בתוכנה שאנחנו קונים (כפי שראינו במקרה של סולארווינדס – י"ה). שרשרת האספקה בתוכנה היא לעתים קרובות החוליה החלשה ביותר, והיא מהווה איום חמור, שמדינות הלאום והפושעים להוטים לנצל. המשמעות של המשך השימוש במודל הנוכחי היא שהממשל הפדרלי קונה תוכנות הכוללות לרוב פגמים ופגיעויות. ספקיות ה-IT מוכרות תוכנות פגיעות, בהנחה שהן יוכלו לתקן אותן מאוחר יותר, או אפילו להתעלם כליל מהפגיעויות. זה לא מקובל. זה מכניס ביודעין סיכונים בלתי ידועים. אבטחה חייבת להיות שיקול בסיסי במהלך פיתוח ועיצוב המוצרים. בניית ופיתוח מוצרים, בהם אבטחת המידע משולבת כבר מההתחלה, Security by Design – תחסוך אלפי דולרים. בסופו של דבר, המאמצים שלנו ישאו פירות מעבר לממשל הפדרלי. חלק ניכר מהתוכנות שקונה הממשלה הוא אותן תוכנות שבתי ספר, עסקים קטנים, עסקים גדולים ואנשים פרטיים קונים".