תובנות מאירוע שירביט: כיצד ניתן להיערך טוב יותר למתקפות סייבר?
בעקבות מתקפת הסייבר החמורה על חברת הביטוח עולה חשיבה מחדש על תחום הגנת ואבטחת המידע, הן בנוגע להיערכות מוקדמת לצמצום נזקים והן בנוגע לאופן שבו ניתן לשוב לשגרה ביעילות ומהירות לאחר, חלילה, פגיעה דומה
מתקפת הסייבר על חברת הביטוח שירביט יצרה עוררות מחודשת בקרב כל מקבלי ההחלטות בכלל החברות והארגונים בישראל, חוצה מגזרים, בנוגע לתפישת אבטחת המידע וההגנה בסייבר. מדיניות, נהלים, ניהול סיכונים בשילוב פתרונות טכנולוגיים מתקדמים, בדגש על ניהול ותגובה לאירוע, לא צריכים להישאר רק בקרב אנשי אבטחת המידע, אלא שיש גורמים נוספים שעליהם להיות מעורבים. השאלה שכולם מתחבטים בה הינה – על פי איזו מתודולוגיה לפעול בכדי לצמצם למינימום את פוטנציאל הפגיעה, ומה הם הצעדים שיש לנקוט בקרות אירוע מסוג זה?
אם עד לפני מספר שנים המטרה הייתה מניעה מוחלטת של מתקפת סייבר, או "לי זה לא יקרה", הרי שלאור מתאר האיומים הדינאמי בו אנו חיים השאלה הפכה למורכבת יותר. כיצד ניתן לצמצם את פוטנציאל הנזק וזמן הידיעה שאנו תחת מתקפה, והחשוב מכל את זמן התגובה, במטרה לחזור לרציפות תפקודית מהר ככל האפשר?
במאמר זה ננסה לייצר מדריך בסיסי שיעניק לכם כמה שיותר ערך בנושא מוכנות ויכולת ארגונים למנוע מתקפות ולהגיב להן נכון, לאחר שהתרחשו.
למה כדאי לשים לב בהסדרת תהליכית ברמה הארגון?
רגולציות מחייבות לגופים מפוקחים ואימוץ תקני אבטחת מידע כאלה ואחרים – אלו יכולים לקבוע מסגרות עבודה, אבל אינם יכולים לעמוד בקצב ההתפתחות הטכנולוגית והאיומים החדשים. לכן הם צריכים להגדיר תהליכים, קביעת מדיניות ארגונית, גזירת נהלי עבודה שוטפים, חלוקת סמכויות ושגרות עבודה, בדגש על בקרה וניהול שוטף של מערך ההגנה. תחת כל תהליכי ההסדרה, הארגון חייב לפעול במרחב תמרון טכנולוגי הנותן מענה לאיומים החדשים מעת לעת.
חשוב להבין שתוצאות סקרי אבטחת מידע ומבחני חדירה רלוונטיים למועד בו בוצעו, מעידות כי כל שינוי בתפישת ההגנה ובמרכיביה, או בארכיטקטורת הרשת, יכולים לשנות את מתאר האיום והחשיפה מהקצה אל הקצה.
מכאן החשיבות לניטור ובקרה שוטפים – תוך שימוש בסימולציות עקביות לזיהוי פערים במעטפת ההגנה והתבוננות פנימה בעיניי התוקף, אם מתוך הארגון ואם מחוצה לו. כל זאת במקביל לתהליך סדור ושוטף של עדכון מערכות ההגנה וסגירת פגיעויות/חולשות ועל פי הצורך – שדרוג מרכיבי הרשת.
מיפוי כלל התהליכים העסקיים וגישת המשתמשים וההרשאות בתהליכים – לכל תהליך עסקי חייבת להיות מעטפת אבטחה, הן ברמה התשתיתית והן ברמה האפליקטיבית, תוך שימת דגש על בקרת מעורבת מיכונית או אנושית, ומכאן נושא בקרת הגישה וההרשאה מקבלים משנה תוקף. דבר המחייב הבניית זהויות והרשאות, תוך בקרה שוטפת במחזור החיים של המשתמש, למניעת ניצול גניבת זהות בהמשך, וזאת תוך כדי אימוץ מודל ההרשאות המינימלי המקטין את החשיפה למחיקה, שיבוש או דלף מידע.
נהלים סדורים – תהליך זה חייב להיות מעוגן בנהלי עבודה סדורים, כולל חלוקת סמכויות ואחריות של כל השותפים בתהליך, כאשר לאחראי אבטחת המידע הארגוני יש סמכות ואחריות כוללת על ביצוע עקבי של התהליך.
אבטחת מידע "מאפשרת" לצד בקרה הדוקה – הטרנספורמציה הדיגיטלית בה אנו חיים, ושקיבלה זריקת מרץ בשנה האחרונה כתוצאה ממשבר הקורונה, מחייבת התאמת פתרונות טכנולוגיים לכל צורך תפעולי שנדרש, וזאת מבלי להתפשר על רמת אבטחה נאותה בשילוב בקרה שוטפת.
המציאות בה אנו חיים מחייבת הצטיידות בארסנל פתרונות טכנולוגיים מתקדמים הנותן מענה אוטומטי ככל האפשר בהגנה מפני השבתת שירות, שיבוש מידע וזליגת מידע, אם ברמת הממשקים לעולם, כולל סינון דוא"ל וגלישה לאינטרנט, נראוּת רשתית המאפשרת זיהוי אנומליות, הגנה על תחנות הקצה והשרתים שהם היעד הסופי של כל מתקפה, מערך מרכזי של בקרה, ניטור ומניעת מתקפות על בסיס קורלציה של כלל מערכות ההגנה הארגוניות, וזאת בהתבסס על יכולות למידת מכונה (ML) ובינה מלאכותית (AI) המתמודדות עם סוגי תקיפות שונים, אם על ידי מכונה ואם על ידי תוקף אנושי.
מודעות והדרכה – החוליה האנושית מהווה נקודת תורפה מהותית בניסיונות תקיפה של מערכות ורשתות בהנדסה חברתית, יש למסד תכנית הדרכה ומודעות בקרב כלל העובדים לאיומים הנפוצים, לזיהוי, לאחריותם במניעת האיומים ולדיווח.
מדד חוסן סייבר ארגוני – מדד כזה המשקלל ציון איכותי לחסינות מערך האבטחה הארגוני בכל עולמות התוכן הרלוונטיים, על בסיס מיפוי וזיהוי הפערים בתהליכים העסקיים הקריטיים ובכלל, מאפשר למקבלי ההחלטות, אף ברמת דירקטוריון ומנכ"ל, לקבל תמונה כוללת של מערך האבטחה הארגוני, ולטפל בחולשות ואיומים משמעותיים בו במקום, עם משאבים מוגברים.
מיקוד והבנת חומרת האירועים – ניסיונות למתקפות סייבר מתרחשים בכל עת, רובם מתקפות גנריות וחלקם ניסיונות למתקפות ייעודיות נגד ארגון כזה או אחר.
על ארגונים לבצע בתדירות גבוהה ככל האפשר תרגילים בהם הם מדמים מגוון תרחישי קיצון של אירועי סייבר, ותוצאותיהם, ומביאים לידי ביטוי את המוכנות הארגונית-טכנולוגית וניהולית.
מיפוי הפערים והפקת לקחים חייבים להיות מעוגנים בנהלי העבודה והפק"לים הארגוניים. לא ניתן בעת גילוי של פריצה משמעותית, לארגן ולייצר נהלים לניהול האירוע. הארגון חייב להיות מוכן מראש ולדעת כיצד ואיך הוא פועל בשעת משבר, כדי להביא לצמצום הפגיעה עד כמה שניתן, ולאפשר חזרה לשגרה מהר ככל האפשר.
הכותב הוא מנהל חטיבת אבטחת מידע וסייבר בבינת תקשורת מחשבים
כתבה נחמדה אבל לא מעידה על הבנת הארגונים הקטנים. המדיניות המוצעת מתאימה למי שבכלל חושב על הנושא. מי מהקטנים חושב? השרידות העסקית חשובה יותר מהשקעה במשהו "דמיוני"(לכאורה כמובן) אבל מבחינת הבעלים - משרה נוספת או השקעות בהגנות - זה יוקרה ולא תורם להכנסות. SMB בדרך עדיין לא בשלב ההגנות, לא בשלב החשיבה , גם בגלל תעריפי היעוץ המוגזמים.
החשיבה שהחלטות לגבי מוכנות לפריצת סיבר, והערכות שצריכה להתקבל לא רק בידי אנשי המחשוב / סיבר משולה לתיקון מכאני ברכב על ידי זגג רכב... אכן מנכלים ובעלי חברות הן קובעי הטון אך לעיתים רבות ההמלצות או הדרישות של מנמרים ומנהלי אבטחת סיבר נופלים על אוזניים ערלות ,והבעלים אינם ששים בלשון המעטה לפתוח את הכיס ולהשקיע...עד קרות הנזק .... ברור שיש לכנס חממת מוחות של כל ההנהלות בכל שכבות הניהול ,תמיד יש למבט ,דעה נוספת משקל וזווית ראיה נוספת מתחומו שיכולה לתרום אך ההחלטות המיגון וההערכות הסופיות חייבות להישאר בידי הגורם האחראי על כך.