"העלאת מודעות עובדים לסכנות הפישינג מחייבת היערכות הוליסטית המגנה מפני מתקפות בדוא"ל, SMS, ווב ואפליקציות"
כך אמרה לימור גרוסמן, מנהלת שיווק ומכירות של מערכת Q-Log, להדמיה ואימון עובדים להתמודדות עם תרחישי פישינג וסייבר מתקדמים
"תחום הגנת הסייבר הינו אחד התחומים הטכנולוגיים הלוהטים. ההשקעות שמבצעים ארגונים כדי להפחית את איומי הסייבר הינן ניכרות, כאשר גרטנר (Gartner) מעריכה שהיקף ההשקעה בשנת 2015 יסתכם בכ-77 מיליארד דולר. אם כך הדבר, כיצד קורה שיותר ויותר מתקפות חודרות את ההגנות שהארגונים מציבים סביבם? חלק מהתשובה נעוץ בעובדה שהאקרים מפנים כיום חלק ניכר מהמאמץ שלהם לא להתמודד עם הטכנולוגיה שהארגון מיישם, אלא דווקא להתמודדות עם הגורם האנושי של הארגון, קרי העובדים". כך אמרה לימור גרוסמן, מנהלת שיווק ומכירות של מערכת Q-Log, להדמיה ואימון עובדים להתמודדות עם תרחישי פישינג וסייבר מתקדמים.
מערכת Q-Log מאפשרת לדמות בצורה מעשית תקיפות סייבר באופן אוטומטי ושוטף לאורך כל השנה, לאתר את העובדים הנמצאים בסיכון גבוה לחדירת האקרים, ולהדריך אותם. כמו כן, המערכת גם כוללת יכולת הדמיה של השתלטות חיצונית על המחשב של העובד על ידי וירוסים. בנוסף, המערכת מסוגלת לבצע התאמות למודולים מתקדמים ומתפתחים של מתקפות הפישינג, כולל מתקפות באמצעות שימוש בדואר האלקטרוני, פישינג במסרונים (SMS), פישינג ב-Web ואפליקציות.
המערכת גם כוללת כלים הוליסטיים המאפשרים תכנון וביצוע של תכנית עבודה שנתית להעלאת מודעות העובדים בארגון, מעקב אחר ביצוע, מדידת אפקטיביות התהליכים השונים ותעדוף של התכנים. בנוסף, המערכת כוללת כלי ניהול המאפשרים שליטה ובקרה מלאים בתכולות הקמפיינים ותזמון הפצתם, התממשקות ל-Active Directory, מסד נתונים מוכן של קמפיינים המבוסס על מתקפות פישינג אמיתיות, ועוד. מערכת ה-Q-Log מפותחת ומשווקת על ידי סלסטיה (Celestya) מגוש תפן בצפון.
אילו ארגונים מועדים יותר למתקפות בתרחישי פישינג?
"אנחנו רואים מתקפות פישינג המכוונות נגד משרדי ממשלה או ארגונים ביטחוניים, עבור בבנקים וחברות ביטוח, ועד בתי חולים ואוניברסיטאות. זה יכול להיות חלק ממאמצי הריגול של מדינה נגד מוסדותיה של מדינה אחרת; זה יכול להיות חלק מפעילות של ריגול תעשייתי המבצע ארגון עסקי אחד נגד אחר; זה יכול להיות במטרה לבצע פעילות פלילית מסוג הונאה וגניבת כספים; וכמובן בישראל אנחנו רואים האקרים הפועלים על רקע אידיאולוגי ופוליטי נגד ארגונים גדולים המזוהים עם ישראל".
"למעשה אין היום מגזר מועד יותר או פחות למתקפות פישינג. המתקפות חוצות ורטיקלים והן שמות דגש על ניסיונות חדירה לתוך הארגון דרך ניצול של טעות אותה יבצע אחד העובדים בארגון. בתרחישי מתקפות מהסוג הזה לא צריך יותר מעובד אחד שנופל בפח אותו טמן לו ההאקר כדי להעמיד את המידע והמערכות של הארגון בפני סכנה, וחושף את הארגון לנזקים בלתי הפיכים".
מה מציעה Q-Log לארגון כדי להפחית את הסיכונים של מתקפת פישינג?
"Q-Log באה לטפל ישירות ב'מימד האנושי' על ידי תרגול של המשתמשים בארגון במגוון תרחישים של מתקפות פישינג. המערכת מספקת למשתמש את הכלים להתמודד ברמה האישית מפני מתקפה, ולמנהל אבטחת המידע את הכלים להעלות את המודעות של העובדים ולהקטין את החשיפה ברמה הארגונית".
"אחד היתרונות המרכזיים שמציעה Q-Log נוגע ביכולת הציות לדרישות הרגולציה ששמה לה למטרה למנוע הצלחות של מתקפות פישינג. כך לדוגמא, טיוטת הממונה על שוק ההון ביטוח וחסכון לניהול סיכוני אבטחת מידע בגופים מוסדיים, שהתפרסמה באוקטובר השנה, מדברת באופן מפורש על ביצוע מבחני חדירה תקופתיים הכוללים הדמיית ניסיון תקיפה מרשתות חיצוניות, בדיקות הנדסה חברתית, התחזות ופישינג, לכל הפחות אחת לשנה. Q-Log מספקת בדיוק את הפתרון אותו דורש הרגולטור".