נתקף הסייבר אינו בהכרח האשם

"זאת אשמתם, הם לא היו נפגעים אם היו דואגים להתקין עדכונים" – כמה פעמים שמענו את הטענה הזאת, בעקבות התקפת Petya או WannaCry, ובעצם כל התקפה של תוכנה זדונית אחרת שניצלה נקודות חולשה ידועות בשנים האחרונות?

כששומעים את שיחות הסייבר הגנריות, אפשר לחשוב שצוותי אבטחת מידע ברחבי העולם הם עצלנים או חסרי ידע, או גם וגם, אם נפלו קורבן להתקפות סייבר.

נכון שניתן היה להימנע מכמה מהתקפות סייבר שאירעו השנה, אם היו נערכים מראש, אך האשמת הקורבן היא התנהגות נאיבית. לארגונים בינוניים וגדולים כאחד, עם צוותי IT רגילים, תיקון "טלאים" (Patching) אינו משימה קלה. מדובר בסוגיה מאתגרת, שלוקחת זמן ומלאת בעיות. זה יכול היה להיות קל, באופן יחסי, לבצע באדיקות מספר עדכוני תוכנה, כאשר עובדים עם מחשב אישי וקומץ יישומים. אולם, עבור צוותי IT האחראים לעדכון של אלפי מערכות, מספר התיקונים הדרושים לחודש, עשוי לעבור את ה-100.

כך למשל, בית חולים ממוצע (כ-500 מיטות) משתמש בכ-460 יישומים במערכות המחשוב שלו. כל יישום דורש עדכונים ותיקונים באופן שוטף, כאשר היישומים הנפוצים ביותר – קוראי פלאש, דפדפנים ומערכות הפעלה – דורשים תשומת לב גדולה יותר. איתור נקודות חולשה ותקיפתן, הן פעולות שצורכות השקעת זמן רב של האקרים, ועל כן, התמקדות ביישומים נפוצים, מייצרת תמורה גדולה יותר להשקעתם. "למזלם" של ההאקרים – יישומים אלה רוויים נקודות חולשה.

האשמה – לא של קורבן התקיפה – אלא של הספק

הימצאותן של נקודות חולשה אינה אשמתו של קורבן התקיפה – אלא של הספק. בעוד ספקים שונים אומנם מקבלים תשומת לב שלילית כאשר נקודות החולשה נחשפות, עדיין נראה כי מצבו של הקורבן תלוי בו ונקודות החולשה הינן באשמתו. כלומר, חלקו של הספק נתפס כפחות מביך ובעייתי מאשר חוסר יכולתו של הקורבן (העסק שנפרץ) להתמודד עם התקפות סייבר שונות.

אם עדכונים, תיקונים והתקנות היו יכולים להתבצע ללא "תופעות לוואי" – דיינו, כי אז כל המערך היה פשוט יותר לניהול. אך זה לא המקרה, וכל מי שעבד בחברה גדולה יודע להעיד כמה גדולה האנחה כאשר צוות ה-IT מודיע על ביצוע עדכונים במערכת. עדכונים לרוב מביאים עמם זמני השבתה של המערכות בזמן העבודה, והעובדים נדרשים להוריד את העדכון ולאתחל את המערכת וזו בהכרח סיטואציה שמובילה לבעיות.

לעתים, עבור כל התקן שחווה בעיות לאחר עדכון, יש התקן אשר כלל לא קיבל את העדכון. עדכוני אבטחה לנקודות קצה במערכת נשלחים לרוב ממסוף ניהול הרשת. אם התקן אינו מחובר לרשת או אינו מופעל כאשר העדכון מופץ, הוא לא יעודכן. בנוסף, אם למשתמשים יש שליטה ניהולית (admin), הם יוכלו לבטל את העדכון. ארגון יכול למצוא עצמו עם פער מאסיבי באבטחת הנתונים, אם תרחיש מעין זה חוזר על עצמו מספיק פעמים.

באופן אידיאלי, מערך ה-IT צופה זאת ומתקן זאת במהרה, אך לצערנו זה לא קורה. בפועל, תיקונים ועדכונים במערך ה-IT מאתגרים וחולשים על אלפי נקודות קצה, קל וחומר כאשר תהליך העדכון הוא רק סעיף אחד מרשימת המשימות הממוצעת של אנשי ה-IT.

עדכוני מערכת ותיקונים שונים צריכים להיות בראש סדר העדיפויות של צוותי ה-IT. אסטרטגיה טובה בהקשר זה, תהיה כזו אשר נותנת עדיפות גבוהה לעדכונים עבור יישומים נפוצים, לרבות דפדפנים ומערכות הפעלה. יחד עם זאת, כאשר התקפות כופר (Ransomware) מצליחות, עולה השאלה מה נשבר בשרשרת אבטחת הנתונים שבעקבות כך התקיפה התאפשרה, ולא למה לא היה עדכון כזה או אחר.

טכנולוגיה מיושנת אשר לא בנויה להתמודד עם איומים מודרניים

למשל, האם ספקית התוכנה העדיפה ממשק משתמש על פני רמת אבטחה בשאיפה לצאת לשוק? האם פתרון האבטחה למכשיר הקצה לא הצליח לעצור איום ידוע? האם הקורבן הסתמך על טכנולוגיה מיושנת אשר לא בנויה להתמודד עם איומים מודרניים?

כך או כך, ישנן סיבות רבות שבגינן תכניות אבטחה עלולות להיכשל בעצירת איום. יש לצפות שהאקרים ימשיכו להצליח בתקיפותיהם, עם הוצאת מיליוני דולרים מארגונים וערעור השקט הנפשי של התעשייה, אלא אם נשנה את השיח.

ההשקפה על הצלחתן של תקיפות סייבר והסיבות לתקיפות אלה, צריכה להיות מקיפה יותר ולא ממוקדת בהאשמת הקורבן, שלרוב באמת עסוק רוב הזמן בשמירה על סטנדרט אבטחה גבוה. גורמי התעשייה השונים, בכל שרשרת הערך, צריכים לחלוק את האחריות ואת הפעילות לשיפור רמת האבטחה העולמית.

קל לסמן את הארגון הנתקף כאשם, לזהות בו את האחראים ולתבוע נקיטת צעדים נראים לעין בכל רמות הניהול בו. מנגד, הרחבת השיח לא רק תאתר אשמים, אלא תאפשר בצורה נכונה יותר לנוע אל שיפור ההיערכות ומניעת תקיפות בעתיד.

הכותב הינו מנכ"ל קבוצת פתרונות הסייבר, Dell-EMC.