הגנה מפני מתקפות סייבר: הגיע הזמן לחשוב מחוץ לקופסה

איומי סייבר הפכו לכמעט שגרה במסכת אירועי האבטחה שכל ארגון חווה, והארגונים נאלצים להתמודד עם המצב. יותר ויותר מנמ"רים מפנימים את העבודה שתוכניות ההגנה הקיימות לא מספיקות ושיש בתחום הזה הרבה יותר דיבורים מאשר מעשים.

הפשיעה ברשת הפכה לתופעה נפוצה מאוד, בין אם מדובר במתקפות ממניעים עסקיים או בין מדינות. ההאקרים המתקיפים נעשים משוכללים מיום ליום. המציאות העצובה היא שבגלל האופי והמקצוענות של ההאקרים והארגונים הקטנים והגמישים בדרך כלל שחלקם חברים בהם, הם מסוגלים לקבל החלטות במהירות רבה יותר, מה גם שיש להם משאבים להצטייד במיטב הטכנולוגיות.

אנליסטים מחברת הייעוץ מקנזי (McKinsey) פרסמו לא מכבר מאמר בנושא בו העריכו שהיקף הנזק הממוצע שיכול להיגרם לארגונים כתוצאה ממתקפת סייבר עלול להגיע ל-100 מיליון דולר. הסכום הזה כולל את עלויות השיקום וההתאוששות, ומנגד לא כולל את ההפסדים, הלקוחות שינטשו וירידת שווי הערך של הארגון.

מקנזי מציעה למנמ"רים ולארגונים לחשוב מחוץ לקופסה ולהתחיל לתכנן אסטרטגיה רחבה יותר במלחמה בפשיעה הקיברנטית. לא מספיק לעסוק כל היום בהגנה חיצונית על הרשת ובטיפול בתוכניות התאוששות. למעשה, מה שהחברה מציעה להם הוא ליישם תוכנית DR למקרה של התקפת סייבר משמעותית.

הממשל האמריקני, לדוגמה, הבין שיש בו איים שלמים שמהווים אתגר לארגוני הפשיעה והטרור. לכן, הוא מיישם תוכנית שנקראת IR (ר"ת Incident Response), בהשקעה של שלושה מיליארד דולר בשנה. מדובר בתוכנית מפורטת, שדומה לספר פקודות בזמן חירום וכוללת הוראות מה צריך לעשות בכל שלב, מי צריך לעשות זאת ומתי.

"המטרה העיקרית של תוכנית זו היא קודם כל ליצור מצב שבעת מתקפת סייבר, מישהו מנהל את האירוע הזה כמו כל אירוע אחר בארגון", כתבו האנליסטים ממקנזי.

לקיומה של תוכנית כזו יש משמעות כפולה: ראשית, היא עושה סדר בארגון ומבהירה לעובדים שיש מי ששומר על הנכסים הכי חשובים שלו ושנית, היא משרה ביטחון ומגבירה את האמון של בעלי המניות של החברה.

אין להסיק מכך שכיום אין לכל הארגונים אסטרטגיה להגנה דיגיטלית על נכסים חשובים, אולם בחלק גדול מהם הדבר לא מוסדר ולא מתוכנן.

שורה של מכשולים
מקנזי מודעת למגבלות של תוכנית שכזו, שמביאות לכך שבהרבה ארגונים שיש בהם תוכניות כאלה, הן לא מיושמות, וחלקן בכלל לא עדכניות ולא מתורגלות. לעתים קרובות, מדובר בתוכניות גנריות ולא רלוונטיות.

מכשול מוכר נוסף הוא העדר תיאום בין היחידות העסקיות השונות. יש בארגונים יחידות ייצור קריטיות שמודעות לסכנה ומנהלות תוכניות IR משלהן, אבל הן לא מתואמות ולא משולבות עם יחידות אחרות – עובדה שיכולה להיות מאוד קריטית בשעת חירום.

המכשול השלישי שמפריע ליישום תוכניות שכאלה הוא ההון האנושי. מתקפת טרור קיברנטי מחייבת שינהיגו את ההגנה מפניה המומחים הטובים ביותר. קבלת ההחלטות במקרים שכאלה צריכה להיות מהירה וחדה. למרבה הצער, זה לא תמיד המצב ואין הכשרה של אנשים לכך.

מניתוח המכשולים שגורמים לתוכניות IR לא לצאת לפועל אפשר להשליך גם על היתרונות שלהן: התוכניות הללו מאפשרות קבלת החלטות משופרת; יוצרות תיאום טוב יותר בין היחידות השונות בארגון; מסדירות את התיאום החיצוני; מביאות לשמירה של הארגון על קשר עם העולם החיצון גם בעת מתקפה קיברנטית, כאשר במקרים של מוסדות ממשלתיים זה יכול להיות קשר עם סוכנויות ביון – זרות ומקומיות; היא מאפשרת לסכם מראש על אופן ההתייעצות והפעלת גורמים מתחומי הזיהוי הפלילי, הרפואה ועוד. זמינותם של גורמים אלה יכולה להיות קריטית ביותר בעת מתקפה קיברנטית רחבה, שמשתקת מערכות ועלולה לגרום לסיכון חיי אדם.

במאמר מביאים האנליסטים של מקנזי מקרה של חברת ביטוח גדולה בארצות הברית שהפעילה תוכנית IR לסייבר אחרי שעשתה את כל הפעולות והשקיעה משאבים, רק כדי לגלות שההסכם שלה עם חברה שמעניקה סיוע חירום במצבי אסון פג מזמן.

השורה התחתונה: מדובר בנושא מאוד מטריד, שארגונים צריכים להיערך אליו, בין אם במגזר העסקי או הממשלתי. ומה אצלנו? האם בישראל יש מדיניות ל-IR? האם הארגונים בארץ – החברות והמוסדות הממשלתיים – ערוכים לטפל כהלכה באירועי סייבר? כל אלה שאלות מדאיגות מאוד, שצריכים להטריד את מנוחתם של אנשי המקצוע. שאלות אלה ואחרות יעמדו במרכז ועידת Cyber Security 2014 של אנשים ומחשבים, שתתקיים ב-16 בינואר במלון דיוויד אינטרקונטיננטל בתל אביב, בשיתוף המטה הקיברנטי הלאומי במשרד ראש הממשלה. בין הדוברים המרכזיים בכנס יהיו ד"ר יובל שטייניץ, השר לענייני מודיעין, רמי אפרתי, ראש אגף בכיר למגזר האזרחי במטה הקיברנטי הלאומי וד"ר גבי סיבוני, ראש תוכנית לוחמת סייבר במכון למחקרי ביטחון לאומי.

מתעניינים באבטחת סייבר? הירשמו לכנס Cyber Security 2014 של אנשים ומחשבים