"המענה לאיומי הסייבר נגד ישראל: שיתוף פעולה בין ארגונים"

"ארגונים בישראל נדרשים להיות מוכנים למתקפות סייבר וככל שהם ישתפו פעולה, יצרו רשת אמון ויתרגלו בשגרה - ייחסך זמן יקר בחירום", אמר אלי עמר, טכנולוג הגנה ראשי ב-CERT של הרשות הלאומית להגנת הסייבר

אלי עמר, טכנולוג הגנה ראשי CERT, הרשות הלאומית להגנת הסייבר, משרד ראש הממשלה. צילום: עזרא לוי

"ארגונים בישראל נדרשים להיות מוכנים בהגנת הסייבר, בשגרה ובחירום, ולבנות לעצמם חוסן סייבר. הדבר מאתגר כפליים בשל ה-'שכונה' בה ישראל נמצאת. יש מי שמאתגר את הגנת הסייבר. המענה לכך, בין השאר, הוא בשיתוף מידע בין מנהלי האבטחה בארגונים ובין הארגונים עצמם – לטובת העלאת רמת המוכנות למתקפות סייבר", כך אמר אלי עמר, טכנולוג הגנה ראשי ב-CERT של הרשות הלאומית להגנת הסייבר במשרד ראש הממשלה.

עמר היה דובר המפתח בכנס שערכה אורקל (Oracle) ישראל בנושא חוסן ארגוני בסייבר, Cyber Resilience. הכנס נערך היום (ב') במשרדי החברה בפתח תקווה בהשתתפות מקצועני אבטחת מידע והגנת הסייבר בארגונים. את הכנס פתחו מני מלר, טכנולוג ראשי באורקל ישראל, ונטליה דיסקין, מנהלת תחום אבטחת מידע בחברה.

ה-CERT הלאומי, אמר עמר, הוא צוות מוכנות (תגובתיות) לחירום בסייבר, "מטרתו היא שיפור החוסן ההגנתי במרחב הסייבר, סיוע בטיפול באיומי ובאירועי סייבר, וכן ריכוז ושיתוף מידע רלוונטי עם כלל הגורמים במשק".

לדבריו, "בעולם אבטחת המידע וההגנה בסייבר נמדדים על פי שלושה מדדים: שיתוף המידע, ביצוע השיתוף בזמן אמת והנחיות מה לעשות עם המידע".

שיח שונה בהיבט העסקי

בעת התמודדות עם איום הסייבר, ציין עמר, "יש לבנות ולפעול בשלוש שכבות: עמידות, חוסן והגנה". בשכבת העמידות, פירט, "מדובר בהשקעה בפעילות אבטחת המידע פנים ארגונים, כל מה שהארגון עושה בהיבט של מיקוד האיומים, בניית רציפות של הפעילות בשגרה ובחירום, צמצום משטח התקיפה, הכוונה ואסדרה".

בשכבה השניה, של החוסן, אמר, "יש לפעול מנקודת הנחה שהמתקפות אכן יתרחשו. יש מתקפות המצליחות לחדור את מערכי ההגנה הארגוניים. נדרש להיות במצב בו המנמ"ר מדבר בשפתו של מנהל אבטחת המידע, ומנגד, שהפונצקיות העסקיות ידברו בשפת ה-CISO. מנהל האבטחה, מצדו, יושב לרוב תחת סמנכ"ל התפעול ועליו לשוחח על תהליכי חירום, בעת שכולם במצב של פאניקה והארגון נמצא תחת איום ויש חשש להפסד כספי. נדרש 'לשמן' את התהליכים התפעוליים, זהו שיח שונה בהיבט העסקי".

"הסייבר הפך למוקד פעילות משמעותי", ציין עמר. "יש להפנים שכלי תקיפה שנבנו לטובת תקיפה של מדינות, עלולים לעבור 'הסבה' ולשמש ככלי תקיפה של ארגוני פשע מאורגן. בשכבת ההגנה, השכבה השלישית, יש להפנים שמתרחשת זליגה של כלי פשע-סייבר. זה עולם בו יש כלים שאני, כמנהל האבטחה בארגון, לא יודע כיצד להתמודד עימם. על הארגון להיערך גם מול מה שאינו מכיר ואינו יודע. הרשות הלאומית להגנת הסייבר קיימת כארגון הגנתי, המסייע להגנת המשק בתחום הסייבר".

לדבריו, "על מנהל האבטחה בארגונים לענות על כמה שאלות: מה יחסיו עם סוגי האיומים השונים, כיצד הוא ערוך לניהול המערכה, האם הוא מבין שמולו נמצא תוקף נחוש ומיומן ועליו לערוך היזון, של הכלה מול מקור, על מנת לוודא שהעסק ממשיך לעבוד".

"נדרש לבנות שורה של תהליכים שנקבעו מראש על מנת להתמודד עם אירועי סייבר", ציין עמר. "מדובר בעניין מורכב שצריך לקבוע מראש, בהתייחס לאנשים, טכנולוגיות וזהות האנשים – מי יעשה מה ומתי, ומה המשמעויות של אלה. החלק הטכנולוגי במתקפת סייבר הוא קטן. מה שחשוב זה להחליט על כל מיני היבטים תפעוליים. לא פחות חשוב הוא לערוך הדמיות ותרגילים".

פלטפורמה לשיתוף מידע אודות האיומים

היבט חשוב בטיפול באירועי סייבר, ציין עמר, "הוא שיתוף מידע באופן מיידי. כך, כאשר פרצה לעולם נוזקת Wannacry, בתוך 40 דקות כבר שיתפנו מידע בנושא האיום עם עמיתים באירופה".

עמר תיאר ארבעה מצבי פעילות: שגרה, הגנה שקטה, הגנה רועשת, שגרה מפוקחת וחזרה לשיגרה. מטרת ההגנה השקטה, הסביר, "היא לא להעיר את התוקף, שלא יידע שפצחנו בפעילות הגנה".

מתודולוגיית העבודה, ציין, "כוללת כמה שדות פעילות, משימות תפעוליות, משימות פרו-אקטיביות ומסגרות עבודה לתהליכים". המידע, הוסיף, "מתקבל משלל מקורות – מחיישנים, מקבוצות מחקר, מחברות, ומעמיתים. תהליך שיתוף המידע מביא לבניית תמונת סייבר מלאה עבור הארגונים".

הוא ציין כי "בנינו מאגר מידע Big Data על האיומים ודרכי ההתמודדות מולם. ארגונים לא צריכים לבנות שכזה. כשיש אירוע – אני לא נמצא בו לבד, אני חלק מקהילה שלמה". הוא ציין כי CyberNet היא הפלטפורמה לשיתוף מידע וידע טכנולוגי בנושא האיומים, והטיפול בהם, "מטרתה – העלאת חוסן ארגונים. זו רשת חברתית מקצועית לאנשי סייבר בישראל, לשתף מידע וידע בצורה אמינה ומאובטחת".

"חוסן סייבר היא הפעילות בשגרה ובחירום", סיכם עמר. "ככל שניצור את רשת האמון ונתרגל בשגרה – נחסוך זמן יקר בחירום. ארגונים נדרשים להכניס את ההגנה לתוך התהליכים, כבר בתכנון ולא רק בתוצר. הישראלים הם מובילי חדשנות – גם בהגנת הסייבר. יש להפוך את זה ממשהו שהוא אד-הוק, למשהו מובנה בתהליכים".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים