"עם כל הכבוד להאקרים, מקור רוב הפרצות הוא בטעויות בקונפיגורציה"
"טעויות בקונפיגורציה עלולות, בין היתר, לחשוף נתונים למי שלא אמור להיחשף אליהם, כפי שקרה במקרה של ארקיע, או ליצור משטח לתקיפת האקרים מבחוץ", כך אמר עמוס רוזנבוים, סמנכ"ל הטכנולוגיות של אואזיס
"אנחנו שומעים רבות על מתקפות סייבר, ועל התחכום ההולך וגובר של ההאקרים. אולם, רוב הפרצות שנוצרות במערכות מידע וביישומים, מקורן דווקא בטעויות ותקלות. המקור של רובן המכריע הוא בטעויות בקונפיגורציה – הגדרות התצורה", כך אמר לאנשים ומחשבים עמוס רוזנבוים, סמנכ"ל הטכנולוגיות של אואזיס.
רוזנבוים התייחס בדבריו לדיווח מלפני ימים אחדים, שלפיו תקלה במערכת אבטחת המידע של ארקיע חשפה נתונים אישיים רבים של לקוחות שהזמינו באינטרנט, כגון: שמות נוסעים, עלות טיסה, כרטיסי אשראי ויעדים. על פי הפרסום, תקלה זו אפשרה לכל אדם לשנות את פרטי ההזמנה של אחרים.
לדבריו, "טעויות מעין זו עלולות, בין היתר, לחשוף נתונים למי שלא אמור להיחשף אליהם, כפי שקרה במקרה הזה, או ליצור משטח לתקיפת האקרים מבחוץ". הוא הסביר כי "מדובר בטעויות בקונפיגורציה, שמבצעות נטרול של מערכות אבטחת המידע, או שנוצרות בשל טעויות שמבצעים אנשי IT בהגדרות הרכיבים השונים של יישומים. דוגמה לכך היא טעות בהגדרות בסיס הנתונים, שגורמת לחשיפת שדות שלא אמורים להיות חשופים".
"אנחנו יוצאים מנקודת הנחה שתקלות ופרצות יהיו כל הזמן, וכאשר מבצעים שינויים בהגדרות ובתצורות – נגרמות טעויות", אמר. "בשנים האחרונות, וביתר שאת בשלוש השנים האחרונות, ככל שהטרנספורמציה הדיגיטלית צוברת תאוצה, גדל משטח התקיפה של היישומים הדיגיטליים. הבעיה היא שבעוד שרוב הארגונים עסוקים במימוש עוד ועוד שכבות הגנה, שהן חשובות וראויות – הם שמים פחות דגש ומאמץ על בקרה חיצונית ומתמשכת על האפקטיביות של מערכי ההגנה הללו ועל איתור פרצות".
"אחד מכלי הבקרה המוכרים: ביצוע מבדקי חדירה"
"אחד מכלי הבקרה המוכרים בתחום הזה הוא ביצוע מבדקי חדירה. פעם בשנה הארגון עושה תרגילי הדמיה לבדיקת ערוצי חדירה ליישומים הדיגיטליים. אך בדיקה של פעם בשנה אינה מספיקה. טעויות שונות עלולות להיווצר בכל יום. ארגונים בוגרים בתפיסת האבטחה שלהם מבינים שנדרש ניטור קבוע ורציף של הנוכחות הדיגיטלית שלהם, על ידי גורם מבחוץ, כזה שיבחן את הפרצות מנקודת מבט של התוקף", אמר רוזנבוים.
הוא הוסיף כי "גרטנר מגדירה את הכלים לבדיקת פרצות באופן מתמשך וקבוע תחת הקטגוריה External Attack Surface Management – כלים לבדיקת משטח התקיפה הפוטנציאלי לכל ארגון. אלה ממפים בצורה אוטומטית את הנכסים הדיגיטליים של הארגון ואת הנגישות שלהם לגורמים חיצוניים דרך האינטרנט, כאשר הם בודקים חשיפה לחולשות ידועות ולא ידועות כאחד. כלים אלה בוחנים את המערכות הטכנולוגיות מבחוץ, ממפים את הפרצות והחולשות לפי רמת החשיבות ומסייעים לטפל בתקלות הללו. פתרונות אלה מוצעים על ידי חברות אבטחת המידע הגדולות, כגון פאלו אלטו, ויש גם סטארט אפים בתחום. אחת מחברות הסטארט-אפ הישראליות שמעניינות הפועלות בתחום הזה היא CyCognito".
לסיכום ציין רוזנבוים כי "אפשר לבצע תהליכים שימנעו טעויות כאלה מראש. לצוותי המחשוב והאבטחה בארגון מומלץ לשים דגש על שני רכיבים עיקריים: הראשון הוא מתודולוגיות עבודה – רבות מהתקלות הללו מתרחשות בעת ביצוע שינויים במערכות, ולכן חשוב להקפיד על בקרת שינויים מסודרת, בדיקה מה השתנה וביצוע בקרה יסודית על השפעות השינויים. בקרת השינויים חשובה במיוחד כשמדובר במידע רגיש, ולכן מומלץ, לאחר כל שינוי, לבצע מערך בדיקות אבטחה מלא. הרכיב השני הוא לבחור ביישומים ובמערכות פשוטים לניהול ומימוש. ככל שנדרשת פחות התעסקות בניהול המערכת וביצוע השינויים במערכות הוא פשוט, כך יש פחות חשיפה לטעויות קונפיגורציה. לעתים, בחירה במערכת פשוטה יכולה לבוא על חשבון היכולת לכוונן כל רכיב במערכת. אולם, בחירה שכזו בהחלט מפחיתה את הסיכוי לטעות".
הסבר פשוט וברור שכל אחד יכול להבין אותו. נראה לי שאפילו מקבלי ההחלטות בחברות כמו ארקיע, קופות חולים, בנקים ועוד מבינים שלא מדובר בכוחות רשע חיצוניים שפוגעים בהם אלא ב"פרצה קוראת לגנב" שבתחום אחריותם 👏👏👏👏