יותר מתקפות, פחות נזק

אחד הטורים הראשונים שכתבתי באנשים ומחשבים, הביא את הדו"ח השנתי של המכון האמריקני לאבטחת המחשב (CSI). כעת אני עושה זאת שוב – זו הפעם הרביעית. מדובר בארגון שסקריו התקופתיים מתפרסמים כבר 14 שנים ברציפות. הם נחשבים ביותר בקהילייה המקצועית העולמית ורואים אור תמיד לקראת סוף השנה האזרחית. אשתקד כתבתי שלא הכל שחור, בהקשר לממצאי הדו"ח, וזו הייתה יכולה להיות הכותרת גם השנה.

הדו"ח מכסה את התקופה שבין יולי 2008 ליוני 2009 והוא ייחשף לציבור הרחב בימים הקרובים. הכותרת החשובה ביותר שניתן להפיק מהמסמך עב הכרס, היא שישנן יותר מתקפות כיום, אך הן גורמות לפחות נזק. השורה התחתונה היא אם כך חיובית למדי. הנזק הממוצע לארגון בגין פגעי מחשב עמד בתקופה האמורה על 235,000 דולרים, על פי הדו"ח. זוהי ירידה מרשימה של 19% לעומת התקופה המקבילה שקדמה לה.

חשוב לזכור, כי גם בדיווח השנתי הקודם שמחנו לציין ירידה פרופורציונאלית דומה. מדובר, אם כך, במגמה. אם מחברים לכך את הממצא לפיו מספר המתקפות בסך הכל גדל, המסקנה המתבקשת הנה, כי הארגונים לומדים להתמודד עם סיכוני העולם הקיברנטי. יש בקרב הפרשנים כאלה המערערים על אמינות הנתונים, דווקא בשאלת גובה הנזק. הואיל והמדידה עקבית לאורך השנים, אני מציע לקבלה, אף אם יש בה קושי.

הגדלת היקף המתקפות ניכרת כמעט בכל התחומים. השנה 64% מהחברות נדבקו בתוכנות זדוניות, לעומת 50% בשנה הקודמת. 29% חוו מתקפה של מניעת שירות (DoS), כאשר בתקופה המקבילה עמד השיעור על 21% בלבד. ניסיונות לרגל אחרי סיסמאות צמחו מ-9% אל מעל 17%. בהשחתת אתרים, כולל שיבוטם, היקף הארגונים הנפגעים האמיר מ-6% אל מעל 13%. הפופולאריות של תרגילי פישינג גדלה וכשליש מהארגונים חשו זאת כבר על בשרם.

אחד מסעיפי הנזק היותר משמעותיים ממשיך להיות, המעילות הפיננסיות. הגידול בקטגוריה זו הנו משכיחות של 12% מהארגונים, לכמעט 20%. מה שהופך את הנושא לחשוב כל כך הנו הנזק הממוצע של פגיעה מסוג זה: 450,000 דולרים. יחד עם זאת ראוי לדעת, כי רבע מכלל ההפסדים הכספיים במערכות מידע נגרמו על ידי גורמים פנימיים בארגון, שלא במסגרת פעולות מרושעות. גם מפני נזקים שכאלה, עלינו כמובן להישמר.

ישנם גם סעיפים בהם חלה הקלה. 14% מהארגונים דווחו לפני שנה על ניצול לרעה  של רשתות אלחוטיות. השנה התופעה הצטמצמה לכדי מחצית מכך. השיפור בתחום הפגיעה במישור המסרים המיידיים, הנו מרשים אף יותר. מ-12% לכשליש מזאת, כיום. לו היה הסקר מספק מידע מפורש על הסיבות לשיפורים הללו, היה אפשר לבנות אולי מתכונים להטבה גם ביתר חזיתות הזדון הקמות על מערכות המידע הממוחשבות.

בסקר השנה השתתפו מנהלים בכירים המתמצאים בטכנולוגיית המידע, שמייצגים 440 ארגונים מכל גווני הקשת בארה"ב. עלעול בסקרים מהשנים הקודמות מצביע על כך שבתחום המדגם והיקפו, אין ברבות השנים התקדמות. אני, לפחות, הייתי מצפה להרחבת המדגם ועיבויו.

לראשונה עסק הסקר הפעם גם בשביעות הרצון של הארגונים ממאמצי אבטחת מערכות המידע שלהם. ככלל, הארגונים בהחלט טופחים לעצמם על השכם בתחום זה. הכוונה בראש ובראשונה להשקעה הנעשית בתחומי האבטחה השונים. כדי כך, שבין השיטין ניתן אולי למצוא הד להרגשה, שיתכן ומדובר בשביעות רצון מוגזמת. המרכיב היחידי עליו מצביע הרוב כלוקה בחסר, הנו הדרכת המשתמשים הסופיים למודעות אבטחתית. לא פעם עסק טור זה ברעה חולה זו.

כתמיד, נותר אני מלא קנאה. כפטריוט מקומי, אני מיצר על כך שלכולנו אין מושג מה קורה במקומותינו. בחמישית מהארגונים בארה"ב מדווחים על מעילות יקרות באמצעות מערכות המיחשוב – ואצלנו התופעה לא קיימת? שני שליש מהארגונים האמריקנים נדבקו בתוכנות זדוניות. כמה אצלנו? מדוע בארצנו לא עומד לרשות המנהל המקצועי מידע אמין ומתעדכן, אודות המגמות באיומים הטכנולוגיים? למה אנחנו ממשיכים לדבוק בדרכי החובבנות? היעדר מידע ושקיפות מהווים המכשול לפתרון מקצועי של בעיות. הסתרתן מאחורי מסך, רק מגדילה פגיעתן של עבירות המחשב.