מה עוזר לארגונים להתאושש מהר יותר ממתקפות סייבר?

"אנחנו חיים בתקופה שבה בכל יום יש שיאים חדשים של מתקפות סייבר", כך אמרה מיטל אריק, שהייתה בכירה במערך הסייבר הלאומי. המשפט הזה לא מפתיע את מי שמומחה בתחום או צורך חדשות. לדבריה, "נקודת ההנחה היא שיש שני סוגים של ארגונים: אלה שנפרצו ואלה שלא יודעים שנפרצו. מה שחשבנו שמוגן יכול להיות שהוא ממש לא מוגן, וארגונים צריכים להיערך למתקפות כל הזמן".

אריק, לשעבר ראשת אגף בכיר ואסדרה (רגולציה) במערך, דיברה במפגש של פורום אבטחת הסייבר CSC מבית אנשים ומחשבים, שנערך באחרונה בסינמה סיטי בראשון לציון. את המפגש הנחה יהודה קונפורטס, העורך הראשי של הקבוצה.

בדבריה מנתה אריק כמה אירועים שקורים בימים אלה בעולם ויש להם השפעה מהותית על עולם הסייבר: "המשבר הכלכלי, שיוצר בקרב ארגוני פשיעה מוטיבציה לעבור לפשיעת סייבר, שם שערי הרווח גדולים והסיכונים קטנים יותר; השינויים באופן העבודה שנגרמו בעקבות הקורונה, והמעבר לענן, ששינה דרמטית את תפיסות ההגנה; והמלחמה באוקראינה, שם יש מתקפות סייבר בצמוד למתקפות הפיזיות. שלוש ההתפתחויות האלה 'משבשות' את עולם הסייבר, עד כדי השפעה רצינית על חייו של האזרח".

בהמשך היא סיפקה תשובה לשאלה: מה עוזר לארגונים להתאושש יותר מהר ממתקפות?, בהתבסס על הניסיון שלה. "אם יש פעולה אחת שארגונים יכולים לעשות בזמן הקצוב שיש להם היא לדאוג לגיבויים תקינים ורחוקים מהישג ידו של תוקף פוטנציאלי. ראינו מקרים של קטסטרופה שבהם זה היה גיים צ'יינג'ר, שעזר לארגון להתחיל להתאושש", אמרה.

"אלמנט נוסף הוא שליטה בנכסים של הארגון ובאיך המערכות שלו נראות", ציינה אריק. "בארגונים שבהם הייתה שליטה גבוהה ב-IT, יכולנו הרבה יותר מהר לקבל תמונת מצב איפה אנחנו עומדים, לבודד אזורים שהתוקף לא הגיע אליהם ומשם לחזור לפעילות. אי אפשר להגזים בחשיבות של זה".

עוד היא אמרה כי "בהרבה אירועים יש טיפול ומחיקה של לוגים. קיומם של לוגים מאפשר לשחזר את השתלשלות האירוע יותר בפשטות. כך ניתן להבין את מקור התקיפה ואיך לטפל בה".

הפרקטיקה שהכי מוכיחה את עצמה

נושא נוסף שאריק התייחסה אליו הוא הסגמנטציה. "כשהרשתות שטוחות, התוקף יכול להתפשט מאוד מהר. במקרים שבהם ארגונים יישמו ארכיטקטורות הגנה הם יכולים היו לזהות בקלות את הפעילות של התוקף ולסלק אותו", הוסיפה.

"חשוב מאוד שלארגון תהיה תוכנית של תגובה לאירועים, ושהם יישמו אותה. במקומות שבהם יש נוהל מה לעשות כשיש אירוע ראינו שהטיפול היה הרבה יותר אפקטיבי. כשאין תוכנית שכזאת, יש חוסר אונים מוחלט והארגון מאבד זמן יקר בטיפול באירוע הסייבר", אמרה.

אחד הדברים החשובים ביותר – ציינה אריק, כמו רבים ממומחי הסייבר – הוא מניעה. "התפיסה של כל ארגון צריכה להיות שהוא נפרץ. חשוב שהגורמים הרלוונטיים בארגון יבדקו את מצב ההגנה שלו כל הזמן, בשוטף. ההגנה יכולה להשתנות בכל רגע נתון. עליהם לוודא שהווקטורים שנמצאים בשימוש הרב ביותר חסינים ככל הניתן בפני המתקפות", הוסיפה.

"הפרקטיקה הכי חשובה ושהכי מוכיחה את עצמה היא ניהול הפצ'ים", הדגישה אריק. "בארגונים שבהם יש נוהל איך לעדכן בצורה מסודרת וברמה שבועית – ניצול החולשות הולך ומתקצר. יש ארגונים שלא עשו את זה וחטפו בגדול".

עוד אלמנטים שהיא ציינה הם אותנטיקציה של פונקציות רבות, שמקשה על התוקפים, רמת שליטה טובה במשתמשים במערכות, ומודעות וחינוך של העובדים, שהם החולייה החלשה בארגון.

רם לוי, מנכ"ל קונפידס. צילום: דרור סיתהכל

רם לוי, מנכ"ל קונפידס, עסק בדבריו בהכנה של ארגונים לניהול משברי סייבר. "הדבר הכי חשוב להגנת סייבר הוא רגולציה, כי ארגונים לא עושים בדרך כלל רגולציה על עצמם, ואם זו מוטלת עליהם, הם מחייבים את הספקים שלהם להתנהג בהתאם", אמר.

"יש יחס ישר: היערכות של ארגון למתקפת סייבר היא ערובה די טובה לזה שכנראה לא יתקפו אותו, כי קל לתקוף את מי שלא נערך", ציין.

"אין סיכוי בעולם להפסיק את מתקפות הסייבר", אמר לוי דברים לא אופטימיים, אבל נכונים. "אם לא יודעים על מה מגנים אי אפשר להגן, אלא שבחלק מהמקרים בלתי אפשרי לדעת את הכול". יתרה מזאת, ציין, "לחלק מאנשי הסייבר אין השכלה מספקת ובעיות האבטחה שהם מגלים גדולות עליהם. או אז, יש צורך במערכות שיעזרו לארגון לטפל בכך, והן יקרות או קשות לתפעול. אם לא משקיעים בסייבר סכומים גדולים ובאופן קבוע, בלתי אפשרי להגן ב-100% על מערכות הארגון, וצריך להניח שהוא מועד לפריצה".

מה זה בדיוק משבר סייבר?

ברמה המדינתית, לוי ציין כי "בישראל ראינו מבוא למתקפות סייבר, ולא מתקפות שהשפיעו מאוד ברמה הלאומית, כמו באלבניה או בצ'ילה. כדי שהמדינה תהיה מוכנה באמת לאירועי סייבר, יש צורך בתפיסה לאומית ובתוכנית לאומית איך מנהלים משבר סייבר שבו אנשים ייהרגו, אי אפשר יהיה לטפל בחולים ויהיו פקקי תנועה אדירים. בנוסף, צריך להתאים בהקשר זה את השפה הצבאית לגופים האזרחיים. מה שעשינו בצבא לא יעבוד בבנק, למשל, צריך לעשות התאמות".

לדבריו, "משבר סייבר הוא אירוע משבש – מאיים או כזה שגורם להתממשות של איום. הוא כולל שלושה מאפיינים: זמן קבלת החלטות קצר מאוד, אלמנט הפתעה משמעותי מאוד ואיום שהוא איום אמיתי".

"משבר סייבר קורה מהר, ויש כמה דברים שעלולים לקרות במהלכו ולהביא לאיבוד זמן רב: זיהוי שגוי של הבעיה, קושי בפריסת כלי חקירה, חוסר ידע על הארכיטקטורה והיישומים שבשימוש, נהלים ותהליכי המשכיות עסקית לא מספיקים ולא מתורגלים, חוסר הערכה של הבעיות, פתרונות לא בדוקים ולא מספקים במשבר, חוסר מוכנות מספקת למשבר ממושך וסימפטום האשמת הקורבן", אמר.

"הציבור יודע על סיכוני סייבר הרבה פחות ממה שחושבים"

"המטרה היא לצמצם את משך אירוע הסייבר ואת הנזק ממנו לארגון למינימום האפשרי", ציין לוי. "קונפידס מציעה היערכות של הארגון, לרבות סקר מוכנות; מעבר על נהלי החברה וכתיבת נוהל המשכיות עסקית מותאם לאירועי סייבר; סדנאות; הכנת תרחיש לתרגול הארגון למצבים קיצוניים; וקביעת רמת הבקרות – ושיפורן. אנחנו יוצרים דשבורד שמראה עד כמה הארגון מוכן למשבר סייבר ומתרגלים את תוכנית הגנת הסייבר שלו". הוא הדגיש בהקשר זה ש-"אסור לעשות תרגיל לפני שמכינים אליו את חברי ההנהלה והעובדים, כי אז יהיה כישלון קולוסאלי".

"מאוד קשה לעשות הערכת מצב בנוגע לאירוע סייבר", ציין לוי. "אנחנו מתרגלים את הסמנכ"לים שוב ושוב, וגורמים להם להבין את המצב בתוך חמש דקות, בצורה מדויקת וחדה".

לסיכום הוא הזהיר כי "הציבור יודע על סיכוני סייבר הרבה פחות ממה שחושבים שהוא יודע. הפער שיש בין איך אנשי הטכנולוגיה והאבטחה תופסים את הסיכון לבין מה שהציבור יודע הוא גבוה".