על משברי סייבר והלחץ הפסיכולוגי שההאקרים מפעילים על המנהלים

"השנה האחרונה הייתה רוויית משברי סייבר, מה שהביא לכך שחברות שעוסקות בתחום, וארגונים בכלל, שינו את תפיסת הפעולה שלהם. תוכנית העבודה היא שתמיד תהיינה פריצות", כך אמר רפאל פרנקו, מנכ"ל קוד בלו (Code Blue) ולשעבר סגן ראש מערך הסייבר הלאומי.

פרנקו דיבר במפגש של פורום אבטחת הסייבר CSC מבית אנשים ומחשבים, שנערך לפני ימים אחדים בסינמה סיטי בראשון לציון. מנחה המפגש היה יהודה קונפורטס, העורך הראשי של הקבוצה.

בדבריו האיר פרנקו זרקור על נושא שפחות מדובר כשעוסקים במתקפות סייבר: הלחץ הפסיכולוגי שההאקרים מפעילים על הקורבנות שלהם. כלומר, על מנהלי הארגונים שאליהם הם פורצים, ועל מנהלי האבטחה והסייבר שלהם.

"בשנה וחצי האחרונה, קבוצות הפשיעה בסייבר עושות עבודה משמעותית על מנת לייצר לחץ פסיכולוגי על מנהלי הארגונים שהן מתקיפות, כדי להוציא מהם כספים", ציין. "בהתחלה זאת הייתה רק סחיטת כספים, אבל הם הולכים ומשתכללים, ומתרחבים לאופני פעולה נוספים. כך, למשל, באירוע שניהלנו ראינו לחץ על המנכ"ל לפרסם את מסמך הגירושין שלו, ובאירוע אחר איימו על יו"ר של ארגון שיפרסמו תמונות מהטלפון של הבת שלו. במקרים מסוימים אף יש איומים על חיי אדם. אחת הסיבות המרכזיות לכך היא שהחל מתקפות הקורונה, הפשיעה הקלאסית מתערבבת עם זו הקיברנטית, על היכולות של הקבוצות שפועלות בכל אחת מהן. זה גם יוצר מגמה חדשה, כולל תקיפת בתי חולים".

"ניהלנו משברים גדולים, לרבות של לקוחות מממשלות שונות. אלה אירועים קשים שדורשים תשומות רבות, כי אלה לא רק אירועים טכנולוגיים, אלא כאלה שמייצרים לחץ על כל חלקי הארגון", אמר פרנקו.

מה עושים אם כבר קרתה מתקפה?

פרנקו ציין כמה כלים בסיסיים להתמודדות עם אסונות, למשל בדמות מתקפות סייבר – על מנת להתאושש מהם הכי טוב והכי מהר. "התאוששות מוצלחת מאסון מוגדרת על ידי מינימום נטישת לקוחות, מינימום הפסד כספי, אי הצלחת התוקף לחזור, ונטרול תביעות ארגוניות ואישיות על ידי היערכות מבעוד מועד", אמר. "המוכנות לאירוע משברי, כגון משבר סייבר, חייבת להיות מולטי דיסציפלינארית".

לדבריו, ניתן להגדיר התאוששות מאסון כמוצלחת כשמתקיימים התנאים הבאים: חזרה מהירה לשגרה, איתור חלופות לשירותים שנפגעו, ניהול תקשורתי אמין של המשבר וגיבוש תמונת מצב מהימנה.

"מומלץ לארגונים להגדיר מדדי התאוששות ויעדי הגנה", אמר פרנקו. "כדאי להם לקבוע יעדי שירות עסקיים, לתעדף שירותים תוך בניית מטריצה של חשוב כפול מסוגלות סייבר להתאוששות, ולבחון מבעוד מועד את העלויות הכלכליות של משבר סייבר. יש עשרות החלטות כלכליות שיכולות לעזור להבראת הארגון מאסון, וארגון שלא מתכנן זאת מבעוד מועד, ועל הצד הטוב ביותר – לא מגיע מוכן למתקפת הסייבר".

הוא קרא לארגונים לכתוב תוכנית להתאוששותם ממתקפות סייבר, שהוא קורא לה פק"מ – פקודת מבצע למלחמה, כמו בצה"ל. "זה לא נוהל, אלא תוכנית מה עושים בעת אירוע מלחמתי כמו מתקפת סייבר", הוסיף פרנקו.

יעדי הגנת ההתאוששות

"יש להציב כמה יעדים: הגנת נושאי משרה, ממשל תאגידי, מניעת הפרת פרטיות, התאוששות טכנולוגית, התאוששות סייבר, מוניטין התאוששות פיננסית, רציפות תפקודית ועסקית, ומבצעים וטיפול בתוקף", ציין הדובר.

לסיום, הוא קרא לקהילת אנשי ההגנה בסייבר: "כמו שלמדתם את עולם המניעה, עליכם ללמוד את עולם ההתאוששות".

איתי משולם, מנהל הטכנולוגיות של גוף הייעוץ והשירותים המקצועיים בדל טכנולוגיות. צילום: ניב קנטור

איתי משולם, מנהל הטכנולוגיות של גוף הייעוץ והשירותים המקצועיים בדל טכנולוגיות, דיבר על הדרכים שבהן החברה מסייעת לארגונים להיות מוכנים יותר למתקפות סייבר.

"הטרנספורמציה הדיגיטלית, הענן והעבודה מרחוק מייצרים בעיות סייבר רבות. ויש גם פחדים, שעולים עם שלוש המגמות האלה: ארגונים מפחדים מריגול תעשייתי ומאיבוד היכולת לתת שירותים, והם לא בטוחים ביכולתם לשחזר את המידע שלהם לאחר מתקפה", אמר.

משולם דיבר על ה-"ילידיות לענן" (Cloud Native) – ארגונים ומערכות ש-"נולדים" ישר לקלאוד – ואמר כי זו "מצריכה לנהל את הפגיעויות בצורה חדשה. על ארגונים לייצר יכולות חדשות ולתת מענה עם כלים חדשים ואסטרטגיות מעודכנות, ולהטמיע בהם את האבטחה המודרנית".

איך עושים את זה? יש כמה מרכיבים: "קודם כל, הבנה אילו אפליקציות בדיוק קיימות בארגון ומה ההשלכה של מתקפת סייבר שתפגע בהן. שנית, יש לבצע את אחד הכלים החשובים לארגונים – ציד איומים. הכוונה היא למעקב וניטור מתמיד של מתקפות סייבר שעלולות לתקוף אותם. היבט נוסף הוא אוטומציה – זמן הוא אחד הדברים הקריטיים בהתמודדות עם מתקפות סייבר, ואוטומציה מקצרת את הזמן הזה. כמו כן, כדאי לארגונים לעשות תוכנית לתגובה לאירועים (IR) וגיבוי", צין משולם.

"דל מציעה פתרונות לכך, באמצעות עולמות ההגנה על המידע שלה – ה-MDR", אמר. "עולמות אלה מבוססים על ה-XDR של סקיור וורקס (SecureWorks), ייעוץ, אוטומציה, DevOps ,DevSecOps, המשכיות עסקית והתאוששות מסייבר, עם עותק שלישי מנותק מהרשת ומגובה AirGap".

עוד הוא אמר כי "ארגונים צריכים להכשיר בהתאם את ההון האנושי לניהול המקרים האלה בארגון. בנוסף, רצוי שתהיה להם אסטרטגיית שרידות אל מול המתקפות. הם צריכים קודם כל להבין מה קיים בביזנס ובאפליקציות שלהם, את הקשרים העסקיים והאפליקטיביים, האם יש מחשוב צללים וכדומה. לאחר מכן עליהם להסתכל על ההגנה – איך הם יכולים לזהות את התקיפות על הסביבות שלהם וכיצד הם מגנים מפניהן. בנוסף, עליהם לדעת להביא את המידע בזמן על מנת להימנע מראש ממתקפות סייבר מוצלחות. על זה הם צריכים לדעת איך מגבים, איך משחזרים ואיך מנהלים את ההון האנושי".

"הרבה ארגונים בוגרים חשופים למתקפות סייבר, כי הם לא מייצרים את החיבור בין הכלים, האנשים והתהליכים. אנחנו עוזרים להם בכך", סיים משולם.