אלי סיסו, טלדור: "המתקפות שמתפרסמות הן רק קצה הקרחון"

"האיומים והמתקפות שמתפרסמים, שאנחנו שומעים עליהם בתקשורת, הם רק קצה הקרחון. יש עוד הרבה ארגונים שחוו פריצות קיברנטיות ואנחנו לא יודעים עליהן", כך אמר אלי סיסו, מנהל תחום אבטחת מידע בטלדור תקשורת.

סיסו דיבר בכנס IT מוניציפלי, שעסק במיחשוב ברשויות המקומיות. האירוע התקיים באחרונה במרכז הכנסים אווניו בקריית שדה התעופה, בהפקת אנשים ומחשבים ובהשתתפות מאות מנמ"רים ואנשי מקצוע נוספים ממגזרי הרשויות המקומיות והממשלה. מנחי הכנס היו פלי הנמר, יזם ומנהיג אנשים ומחשבים, ויהודה קונפורטס, העורך הראשי של הקבוצה.

לדברי סיסו, "אין ארגון שאין לו טכנולוגיות אבטחת מידע וארגונים צריכים לייעל את המערכים שלהם בתחום". לדבריו, "כדי להתמודד היטב עם איומי אבטחת מידע צריך קודם כל לדעת על קיומו של האיום. לפעמים האיום רדום ומחכה ליום הדין, או שהוא נוזקה מתקדמת – וצריך לזהות אותו". הוא ציין כי "קיימות מערכות SIEM, שאוספות לוגים ומנסות לעשות השוואה בינם לבין אירועי אבטחת מידע שהיו ברשת. יש גם יכולות הקלטה של כל תעבורת הרשת –  Security Analytics. כשלוקחים את הלוגים ואת תעבורת הרשת ומאחדים אותם למקור אחד, יכולים לתחקר את הדברים. כמו כן, יש את החלק התשתיתי, שהוא לא חלק מהרשת עצמה אבל הוא מקבל את כל הלוגים ואת תעבורת הרשת. זה דורש אחסון רב ומעכב את הפתרון, אבל אם רוצים לבצע ניתוח של איומים ומתקפות, רצוי להשקיע בזה".

סיסו אמר כי "קיימים כמה ערוצים ידועים שדרכם פוגענים יכולים להיכנס: דיסק און קי, מיילים ואחרים. צריך לקחת את כל הקבצים ולנתח האם הם עושים דברים שנוזקות עושות. במידה שכן, יש להתריע בפני מנהל הרשת ולחסום את הפוגען לפני שהוא נכנס אליה. הסייג היחיד הוא תעבורת גלישה, שאי אפשר לעצור אותה. במקרה שכזה עושים את הדברים בדיעבד: מקבלים מידע על הפוגען ומה הוא עשה, ואז מרתיעים את הגורמים הרלוונטיים בארגון, כדי למנוע את ההדבקה".

הוא הוסיף כי "לפעמים, קודים עוינים הם מלכודות דבש. שכזה קורה, הקוד עושה את הרשת הארגונית וירטואלית וממפה את כל המערכות שיש בו. כל מי שבוחן את הרשת מבחוץ לא יודע שהיא וירטואלית. עם פתרונות אבטחת מידע רלוונטיים, הארגון מקבל על התוקפים מידע רב יותר ויכול לחסום אותם".

איום נוסף שסיסו ציין הוא הבוטנטים. "הם רלוונטיים לארגונים שלא חוששים להשתמש במיחשוב ענן", אמר. "זה פוגען שנראה תמים, אבל הוא יכול לעשות נזק ברשת ולהוציא מידע מהארגון. הזיהוי שלו קריטי".

מענה "יעיל וחכם" לאירועי חירום
רונן שוסהיים, מנהל מכירות בטלדור, דיבר על האפשרות לתת לאזרחים מענה "יעיל וחכם", לדבריו, כשקורים אירועים לא צפויים, באמצעות מערכת מאסטרו. הוא ציין כי "טלדור פעילה רבות ברשויות מוניציפליות ובמגזר הממשלתי. יותר מ-50 מערכות GIS שלה מוטמעות ברשויות מקומיות. פיתחנו מערכות למגזר הציבורי והממשלתי ומשם הגענו למערכות ניהול אירועים לרשויות".

"מרבית האירועים ברשויות הם אירועים 'פשוטים': אזרח מתקשר ומתלונן על מפגע, ועל הרשויות לטפל בכך. הן מאוד מיומנות בזה", הוסיף שוסהיים. "אלא שעיריות לא מתורגלות לתת מענה לאירועים מורכבים יותר, שמצריכים מענה ממספר גורמים בהן. במקרה הטוב יש נהלים בקלסרים של העירייה, במקרה הרע גם את זה אין. כאן באה המערכת שלנו".

"אנחנו מחלקים את האירועים המדוברים לשלוש משפחות: אירוע יזום – כל אירוע גדול בעיר; אירוע חירום רשתי – בניין קורס, דליפת חומרים, תאונה גדולה ועוד מקרים כמו אלה; ואירוע חירום מדינתי – מלחמה או אסון טבע", ציין שוסהיים.

הוא אמר כי "האתגרים לתפעול אירועים בשעת חירום הם ניהול והטמעה, כוח אדם ומקבלי החלטות, מידע תומך ושליטה בכוח. הקמנו את מאסטרו כדי לתת מענה לכך. ראשית, מאסטרו מייצרת למשתמשים בה תמונת מצב רלוונטית לסוג האירוע, שנותנת את כל המידע כדי לאפשר למנהלים לקבל החלטות ומספקת לאנשים הרלוונטיים את המשאבים הרלוונטיים בזמן אמת. שנית, התגובה שלה מידית ומדויקת – כל יחידה ויחידה בארגון, על פי מה שנקבע מבעוד מועד, מקבלת באמצעות המערכת את המשימות שהיא צריכה לבצע, באופן שקוף לרמות מעליה. כל גורם יודע בזמן אמת מה הוא צריך לעשות, לפרטי פרטים, המידע מגיע ישר למי שצריך". הוא ציין כי "המערכת מתממשקת למקורות המידע הרלוונטיים לארגון ויושבת על מערכת GIS של טלדור".

לסיכום, לדברי שוסהיים, "מאסטרו היא מערכת למנכ"לים ומנהלי תפעול, לא לקב"טים, ויש לציין שהיא נותנת מענה לא רק כשיש אירועי חירום, אלא גם להרבה מאוד אירועים שוטפים בארגון".