דן סולומון, מומחה סייבר בינלאומי: "המתקפות מצליחות כי ההנהלות לא לוקחות אחריות"

"מתקפות סייבר ואירועי אבטחת מידע מצליחים לאורך זמן, וזו עובדה. יש לכך כמה סיבות, ובראשן תחכום רב יותר של התוקפים, העדר שימת לב ונטילת אחריות של הנהלות ארגונים, וכן העדר מודעות וחוסר היערכות שלהם, או היערכות חלקית. יש לשנות את המצב הזה – ובמהירות", כך אמר דן סולומון, מומחה עמידות סייבר בינלאומי.

סולומון דיבר בפתח כנס InfoSec 2015. הכנס, בהפקת אנשים ומחשבים, התקיים זו השנה ה-15, במרכז הכנסים אווניו שבקריית שדה התעופה. הנחה את הכנס יהודה קונפורטס, העורך הראשי של הקבוצה.

צילום ועריכת וידיאו: ליאור רובינשטיין

לדברי סולומון, המשמש כמנהל תחום סיכוני סייבר ושירותי אבטחת מידע ב-OptimalRisk, "ארגונים נופלים והפריצות צולחות כי הם לא נערכים מספיק, או לא נערכים באופן ההולם. על מנת להצליח בעמידות מפני מתקפות אבטחת מידע וסייבר נדרשות תשומת לב והשקעה תקציבית, והרבה פעמים זה לא קורה".

חוסר מודעות, חוסר מוכנות

המומחה אמר כי "המשמעות של היערכות מפני מתקפות סייבר היא מודעות לצד מוכנות. פעמים רבות מנהלים בארגונים אומרים 'לא ידענו מספיק', 'לא היינו מספיק מוכנים' או 'לא היינו ערים לסיכונים'. הרבה פעמים הם נערכים לקראת התרחישים הצפויים והבנאליים, ולא לקראת המתקפות שקורות במציאות".

סולומון ציטט ממחקרים שנערכו בקרב ארגונים באירופה, לאחר שאלה נפרצו. עלו מהם שני נתונים מדאיגים: רק מחצית מהארגונים היו מודעים ל-מה שבאמת קרה ורק רבע מהם היו מודעים להשלכות של המתקפה שהצליחה. בנוסף, מחצית מהארגונים כלל לא צופים שיחוו פריצה. לעומתם, שליש מכלל הארגונים, גם אלה שטרם נפרצו, מאמינים שהם חווים, חוו או יחוו פריצה, אך אין להם מושג מהי ומה המשמעות שלה.

"עוד עלה מהמחקר שמנהלים בטוחים מאוד שהם מוכנים לקראת אירוע סייבר, כי הם השקיעו משאבים. אולם, בפועל, המוכנות שלהם פחותה, יש פער שנדרש לגשר עליו. מעט מהם משערים שיוכלו למנוע את הפריצה, אולם רבים מהם סבורים שיוכלו לנהל את המשבר – וגם הם שוגים", ציין.

"ארגונים לא יודעים איך לנהל סיכונים באופן מושכל"

"אנחנו רוצים שתהיה בקרב הנהלות הארגונים, ולא רק אצל מנהלי אבטחת המידע, מודעות לסיכוני הסייבר, ולאחר מכן – שהיא תתורגם למעשים", אמר סולומון. "יש ניגוד בין היקף ומורכבות האיומים ובין רמת המוכנות האמיתית של הארגונים. פעמים רבות בארגונים חשים ביטחון במוכנות, בלי שזה מגובה במעשים".

הוא ציין כי "הסיבה למצב הפרדוקסלי הזה היא שרבים מהארגונים לא יודעים איך לנהל סיכונים באופן מושכל ואם הם עושים זאת, הדבר לא מבוצע בצורה אפקטיבית או מספקת. רוב הסיכויים שיקרה אירוע אבטחה בעל השפעה רבה חלים כשהארגונים נמצאים ברמת מוכנות מעטה או בינונית. לצערי, הארגונים יופתעו, על אף שזה היה צפוי מראש: הם ייפגעו כי לא חוללו שינויים בתוכניות האבטחה, למרות הפערים".

סולומון דימה את מנהלי אבטחת המידע ללהטוטנים בקרקס, המלהטטים בין כדורים רבים באוויר. "עליהם לתמרן בין ריבוי האיומים והמורכבות שלהם, בין פערים ברמת המודעות, ניהול סיכונים, פגיעויות, יכולות שחזור והתאוששות מאסון, מתודולוגיות ומוצרים", אמר.

הוא ציין בעיה נוספת בארגונים: "פעמים רבות, כשכבר יש תכנית אבטחה והתאוששות, ארגונים לא מודעים לפרטיה".

מה צריך לבדוק?

"עמידות סייבר נכשלת", פסק סולומון, "ולכן יש להפיק לקחים: מה הייתה נקודת הכשל? מה נכשל? מדוע נכשל? מה היה אופן הנפילה – האם מדובר בטכנולוגיה, בתהליכים או בבעיה ניהולית? יש לבחון למה דברים קרו גרוע, מה מאפיין את הכישלון. אילו סיבות הביאו את הארגון להיכשל ומה התגובה הנדרשת לכך. לאחר מכן יש להתוות תוכנית לניהול סיכונים ולאבטחת מידע".

לדבריו, "יש כמה היבטים לעמידות: הכרה בבעיות, הבנת הסיבות, הפרדה בין בעיה וסיבתה או הערכה לא נכונה לגבי מה שצפוי בעתיד; פרשנות: הערכה לא נכונה של הבעיה העתידית ולחילופין קישור שגוי בין בעיה לפתרון או למציאות; קבלת החלטות: למשל, החלטות גרועות, לא להחליט או לקבל החלטה בעיתוי גרוע; ולבסוף: עדיין יכול להיות כישלון, כי המעשה שבוצע לא היה ישים, לא בוצע נכון או לא בזמן. נדרש לזהות את הבעיה, לתפור לה הגנה מתאימה, ליצור יכולת תגובה ולבנות מערך התאוששות".

נקודת כשל נוספת אותה ציין סולומון מצויה בממשק הטכנולוגיה והאינטגרציה. "זה כל כך קשה כי קיימת מורכבות: יש צוותים מרובים הקשורים בסיכונים ויש קשיי ניהול; נדרשת אינטגרציה של טכנולוגיה ומתודולוגיה; קיימת הסלמה בתרחישים, אך אין התקדמות בהבנה שלהם; יש פער בין הצפי העתידי של אנשי הארגון ובין מה שצפוי לקרות באמת; ואין הבנה מספקת של התרחישים. יש ללמוד ולהבין את כלל הבעיות ואת המענה להן".

"אין פלא שהעמידות בסייבר נכשלת", אמר סולומון. "ארגונים לא עושים מספיק, ומה שהם עושים לא בהכרח נכון, נדרש ועונה למתקפות העתידיות. הם לא נערכים מספיק. קיים פער בין המודעות לגבי ההיערכות להיערכות בפועל, ובנוסף קיים פער בין ההיערכות לבין חומרת הסיכונים. כל הכישלונות קשורים לבכירי הארגון, ולא רק למנמ"ר ולמנהל אבטחת המידע".

עם זאת, הוא אמר ש-"נעשים יותר מאמצים בכיוון, בעיקר כי מנהלים מתחילים להאזין. אני קורא להנהלות: לימדו את הקשיים, הכירו את הסיכונים ושימו אותם בהקשר. יש לבחון מה מידת ורמת המודעות, כמה היא בשלה ומפותחת; לענות ביושר על השאלה מהי מידת העמידות בסייבר, כמה היא אמיתית וכמה פיקטיבית; יש לבחון את רמת הבשלות, מידת התגובתיות ומצב ההלימה לתהליכים; להתמקד בסיכונים; לתאם ציפיות; ולהזריק חדשנות. התכוננו לקראת הלא ידוע, לא רק אל הצפוי. הניחו מידה רבה של אי ודאות והרבה אי ידיעה".