אל תסמכו על הטכנולוגיה

כנס InfoSec 2014 של אנשים ומחשבים, שנערך ביום ה', העלה שתי תובנות מרכזיות: האחת היא שמרבית הארגונים עדיין תקועים בסוף שנות ה-90 ומשקיעים חלק גדול מהמשאבים בהגנה על רשת התקשורת הארגונית, באמצעות פיירוולים, תוכנות אנטי וירוס ועוד דברים שאנחנו מכירים מאז. התובנה השנייה היא שמי שנוהג כך טועה בגדול ומסכן את הנכס היקר הקיים בכל ארגון: המידע.

ההאקרים, הן אלה בעלי הכוונות הפליליות-כלכליות והן אלה בעלי הרקע הפוליטי-אידיאולוגי, מכוונים את מאמציהם לפגוע באתרי האינטרנט של הארגונים. והרי אין כיום ארגון רציני שלא מפעיל אתר.

מנהלי האבטחה מודעים למציאות המשתנה אבל עדיין לא ניתן לומר שהם עשו את השינוי המחשבתי, את המהפך הארגוני. כך נוצרו יחסי כוחות לא שווים בין הפורצים, שרובם עובד באופן עצמאי וספק אם יש באמת תיאום ביניהם, למומחי האבטחה מכל הארגונים ומכל הסביבות העסקיות והציבוריות.

הדוברים השונים בכנס השתמשו בכל הטכניקות המוכרות כדי לשכנע את מאות המאזינים שהגיע הזמן להתקדם, רגע לפני שיהיה מאוחר. קודם כל, צריך להכיר את הבעייתיות לעומק, כולל הקלות הבלתי נסבלת של משתמשים ובעלי תפקידים המתמסרים בקלות רבה לכל האקר מתחיל. "אם חשבתם שההאקרים עובדים קשה, אתם טועים", אמר אחד הדוברים. "הם לומדים את דפוסי ההתנהגות של הארגונים, כולל את הטעויות שהם עושים, למשל חוסר הזהירות בשחרור מיעד כגון סיסמאות והרשאות, ובתוך זמן קצר חייהם נעשים קלים והם אף אולי נעשים עשירים".

"לי זה לא יקרה" – הגרסה הארגונית
משתתפי הכנס שמעו ממומחי האבטחה כי האקסיומה לפיה "הארגון שלי מוגן" ("לי זה לא יקרה" – הגרסה הארגונית) חלפה מהעולם מזמן. חברות אבטחת המידע הגדולות ביותר מפתחות שיטות וכלים כדי להגן על האתר ועל הארגון, רגע אחרי שהפורץ נכנס, כי אין דבר כזה הגנה הרמטית. ח"כ מאיר שטרית אמר, ובצדק, ש-"לא משנה כמה תשקיע באבטחה, מספיק שהפורץ יצליח פעם אחת להפיל לך את הרשת וכל המאמצים שלך ירדנו לטמיון". בהתאם לכך, מרבית הפתרונות שהוזכרו בכנס מאפשרים לזהות מראש משתמשים בעלי כוונות זדון ועוצרים אותם רגע לפני שהם מתחילים לבצע את זממם.

אולם, התובנה המעניינת ביותר, שעברה לאורך כל הכנס, היא שאסור לסמוך על כלים וטכנולוגיה. עד כמה שהיא נשמעת מוזרה, אומרים אותה מומחים ולוחמי סייבר ותיקים, בעלי הרבה מאוד חוכמה וניסיון חיים. חלק מהדוברים טען כי הכלים הקיימים כיום פותחו ותוכננו כדי להלחם את המלחמה של אתמול. מפת האיומים משתנה מדי כמה חודשים ואולי אפילו מהר יותר. שום חברה לא יכולה לעמוד בקצב של הפורצים, שלומדים את הכלים, מהר מאוד מזהים את החולשות שלהם ומפתחים שיטות איך לעקוף אותם.

המסקנה מתובנה זו היא שהגנה על אתרים של ארגונים צריכה להיות שילוב של יישום הכלי הנכון עם המוח האנושי. צריך להשתמש בשיטות מתוחכמות שכוללות מעקב, איסוף נתונים ועין פקוחה 24 שעות ביממה על הרעשים שמסביב לרשת. חלק מהחברות שמספקות את השירותים האלה הגדירו את פעילותן כ-"סיירת אבטחה", בדומה לסיירות הפיזיות, שמספקות שמירה היקפית על בתים ומגורים. היכולת לזהות דפוסי התנהגות של משתמשים, ובמיוחד חריגה מהם, שמורה בעיקר למומחים וכאלה שלא ישנים בלילות. הכלים יכולים להיות לעזר, אבל בשורה התחתונה, לא כדאי לסמוך עליהם. אל תתפתו להיענות לעצותיהם של אלה שמעוניינים שתיקנו את המוצרים שלהם. חשוב שתוודאו שהשמירה על האתרים שלכם, הגישה אליהם והשימוש באפליקציות יפוקחו על ידי מוח אנושי שיודע לנתח מצבים וגם להזהיר מפניהם. ויפה שעה אחת קודם.