קרן אלעזרי, לקראת כנס SecTech: "בעולם של ימינו אין חזית ואין עורף, כולם חשופים ארגונים גדולים כקטנים"

קרן אלעזרי היא האקרית לשעבר ומשמשת כיום אנליסטית וחוקרת אבטחת מידע באוניברסיטת תל אביב. היא פועלת בחזית עולם הסייבר כבר שנים רבות. אלעזרי תשתתף בכנס SecTech שייערך ב-4 ביוני בתל אביב. רגע לפני תפסנו אותה לשיחה קצרה.

בעולם העסקי של ימינו, איזה עניין יש להאקרים לפגוע בארגונים קטנים ובינוניים?
"חשוב להבין שבמאה ה-21, עידן המידע, ההגדרות של ארגונים קטנים, בינוניים, ממשלתיים או בטחוניים אמנם קיימות מבחינה עסקית, אך עבור פושעי הסייבר הן כבר לא כל כך משמעותיות. כל סוגי הארגונים נחשבים למטרות באותה המידה. יתרה מכך, מחקירת אירועי סייבר שהתרחשו בשנים האחרונות התגלה כי דווקא הארגונים הבינוניים והקטנים, אלה שלא מאמינים שיש להם מה להסתיר או שאינם מטרה פוטנציאלית לתוקף או לפושע, מהווים פתח לחדירה לארגונים גדולים יותר. כך היה למשל במקרה של אחת הפריצות המפורסמות של השנים האחרונות, בה חדרו פושעי סייבר למחשבי רשת הקמעונות האמריקנית טארגט (Target). מחקירת האירוע נתגלה כי הפרצה של הפושעים להיכנס לארגון הגדול, והמוגן היטב דווקא, הגיעה מאחד מספקי המשנה שלו – חברה משפחתית שאפילו לא טרחה להתקין אנטי וירוס בסיסי במחשבים שלה, וסיפקה לפושעים גשר למחשוב הארגוני של טארגט דרך פורטל הספקים".

האם נכון להגיד שלארגונים גדולים קל יותר לדאוג לאבטחת מידע מלארגונים קטנים ובינוניים?
"אני מאמינה שזה בדיוק להיפך. אמנם, בתאגידי העל שיש להם מאות ואלפי עובדים יש לרוב אסטרטגיית הגנה, אבל מנהלי האבטחה של אותו ארגון, עם המיליונים שעומדים לרשותם, צריכים לרדוף אחרי השינויים שמתרחשים בו. הארגון יכול להשתמש בטכנולוגיות חדשות, למשל שירותי ענן חדשים, ולא תמיד מנהל האבטחה מעודכן בנושא. דווקא יותר קל לדאוג לאבטחת מידע בפחות השקעה בארגונים בינוניים וקטנים. אפשר להעלות את רמת האבטחה יחסית בקלות מבלי הצורך להשקיע מיליונים בתקציב האבטחה".

האם תוכלי לפרט?
"אני חושבת שהרבה ארגונים קטנים ובינוניים לא מתייחסים בכלל לסוגיית האבטחה. אין להם קצין אבטחת מידע ולכן הם נמצאים במקום שבו גם אם יעשו יחסית מעט, הם כבר ישפרו בהרבה. יתרה מכך, בארגון קטן, עם מספר דו ספרתי של עובדים, באמת אפשר להגן על כל מכשירי הקצה – לפטופים וטלפונים. אפשר להחליט ברמה הארגונית שהולכים על אסטרטגיית הגנה ופשוט בהרבה לאכוף אותה. דווקא באותם ארגונים קטנים ובינוניים אפשר, בהשקעה יחסית לא גדולה, להגיע לאימפקט גדול בהיבט של אבטחת המידע".

את עוסקת הרבה בנושא "האקרים לבנים", כאלו שמסייעים לארגונים למצוא פרצות באבטחת המידע. כיצד יכולים גם ארגונים קטנים ובינוניים להשתמש בשירותים האלה?
"הרבה מהמידע בעולם ההאקרים וה-Security Researchers, אותם האקרים חיוביים, כמו אנשים שאני עובדת איתם, מפורסם במקומות גלויים – פורומים ואתרי אינטרנט שמיועדים לדבר הזה. כך, בתור מנהל אבטחת המידע בארגון, בלי להוציא יותר מדי כסף ניתן ללמוד מהדיווחים שלהם. יש מסדי נתונים חופשיים לחלוטין בהם חוקרים מעדכנים על פרצות שמצאו. בתור ארגון שמשתמש בתוכנה מכל מיני ספקים אפשר לגשת לשם באופן חופשי ולבדוק אילו בעיות אבטחה יש בגרסאות התוכנה שבה הוא משתמש".

באופן יותר רחב, אילו מגזרים עסקיים את רואה כחשופים למתקפות סייבר בימינו?
"המגזרים הכי בולטים הם העולם הפיננסי והמגזר הבטחוני-ממשלתי. עם זאת, בעולם הפיננסי לפחות, יש שינוי בשנים האחרונות. אם בעבר מתקפות סייבר היו על בנקים או אתרי בנקים כדי לגנוב פרטים של כרטיסי אשראי, כיום ניתן להשיג את הנתונים האלה ממקומות אחרים. אפשר לפרוץ לרשת סופרמרקטים או לרשתות קמעונות אחרות ולגנוב מהן פרטים של כרטיסי אשראי או מספרי חשבונות, ולאו דווקא לגשת לבנקים. מגזר הקמעונות בארצות הברית חווה מתקפות סייבר רבות בשנים האחרונות ובהתאם, המודעות לאבטחת מידע עלתה שם.

גם בישראל – כל חברה שמעבדת וסולקת מספרי כרטיסי אשראי יכולה להפוך למטרה מעניינת עבור פושעי סייבר, ללא קשר למגזר העסקי בו היא פועלת. בענף חברות האשראי יש תקן אבטחה שנקרא PCI, שנחשב סטנדרט בעולם וגם פה הוא מתחיל לתפוס חזק. כיום, חברה או ארגון שעומדים ברף מסוים (סולקים מספר מסוים של כרטיסי אשראי בשנה) חייבים לעמוד בתקן האבטחה הזה של איגוד חברות האשראי. חברות שלא משתפות פעולה עם התקן יכולות לקבל קנסות או שיפסיקו לאשר להן סליקת כרטיסים. ועדיין, לצערי, אין בישראל מספיק חברות מסחר וקמעונות שמיישמות את התקן הזה ברמה המלאה. אני מקווה שזה ישתנה בשנים הקרובות".

להרשמה לאירוע הקליקו כאן.