"רוסיה היא האיום הגדול והמשמעותי ביותר בסייבר"
"אני מאד חוששת מכך שהברית שבעולם הפיסי בין רוסיה לאירן תזלוג גם לשיתוף מידע בסייבר", אמרה סנדרה ג'ויס, מנהלת מודיעין האיומים של FireEye ● "גם לרעים יש מחסור במקצועני אבטחה" ● "לרוסיה יש מגוון יכולות הרסניות עם קבלות, תשוקה והתמדה"
"בשל תפקידי, רבים שואלים אותי מהו איום הסייבר הכי גדול. כיום, מה שהכי מדאיג אותי זה קשרי רוסיה-אירן. יש שיתוף פעולה צבאי בין השתיים, כפי שרואים בסוריה. אנו חוששים מזליגת מידע בסייבר מרוסיה לאירן. בין כל המדינות הרעות בסייבר, רוסיה היא הגרועה האולטימטיבית", כך אמרה סנדרה ג'ויס, סגנית נשיא בכירה ב-FireEeye.
בראיון לאנשים ומחשבים אמרה ג'ויס, מנהלת מערך המחקר ומודיעין האיומים הגלובלי בחברה, כי "הגיאו-פוליטיקה מניעה את עולם הסייבר. רוסיה היא איום הסייבר הגדול בעולם. היא הפילה תחנות כוח באוקראינה בכריסמס 2015 וב-2016 . זו אחת הפעמים הבודדות שמדינה הפילה תשתיות קריטיות של אויב. רוסיה מעולה בדיסאינפורמציה שנים רבות, וממשיכה לעשות זאת בסייבר. קבוצת ההאקרים Fancy Bear (מקבוצת APT 28) פועלת בשירות הביון הרוסי, והיא אחת הקבוצות שפרצה לשרתי המפלגה הדמוקרטית, והדליפה מיילים במטרה לסייע לדונלד טראמפ לנצח בבחירות לנשיאות ארצות הברית. מתקפת הכופרה NotPetya, שפגעה ב-2017 בארגונים רבים בעולם, בוצעה על ידי האקרים שלוחי רוסיה".
"לרוסיה", ציינה ג'ויס, "יש שלושה מאפיינים המעידים על הרצינות שלהם להשפיע גלובלית: יש להם יכולת, כוונה ותשוקה, ויש להם קבלות על פעילויות הרסניות ואגרסיביות שנעשו. תחבר את הנזק הכולל שעלול לקרות – ותגיע למימדים מאיימים. להפסקת חשמל יש השפעה מעבר לילדים שבוכים ולהורים שנלחצים. היא מצביעה על חולשת הממשל המותקף ביכולתו לספק שירותים הכי בסיסיים, וגרוע מכך – זה עלול לפגוע בחיי אזרחים".
"האירנים השתכללו בסייבר"
"בעבר לא ייחסנו לאירן חשיבות רבה כגורם איום בסייבר, אבל זה משתנה", אמרה ג'ויס, "האירנים שואפים להגמוניה במזרח התיכון. הנוזקה Shamoon פגעה ב-2012 במחשבים סעודים, ובאחרונה הבחנו בגרסות חדשות של הנוזקה. בעבר חשפנו מתקפת APT (מתקפה עקבית ומתמשכת) של האירנים, על מערכות SCADA – שו"ב לתעשייה. הם היו הראשונים לתקוף מערכות בטיחות של SCADA. זו עליית מדרגה מדאיגה: זה לא רק נועד לשתק, אלא גם להרתיע ולזרות בהלה".
"באחרונה חשפנו עוד קבוצה אירנית בסייבר: 39APT, שתקפה חברות טלקום ותחבורה לגניבה רחבת היקף של מידע אישי. הקבוצה פועלת גלובלית, אבל מתמקדת במזרח התיכון ומהווה איום מיידי למדינת ישראל. פעילות אחרת של האירנים היא לא לפרוץ, אלא להשיג גישה לגיטימית לכאורה, ובכך להימנע מלהשקיע משאבים בפריצות. האירנים נהיים מתוחכמים יותר ויותר בסייבר", היא הוסיפה.
למנהל אבטחת המידע בארגון, אמרה ג'ויס, "יש כמה אתגרים: יש לו מצוקת כוח אדם מקצועי, ופה, למרבה האירוניה, הוא לא לבד. גם לרעים יש מחסור כרוני בכוח אדם מקצועי בסייבר. עליו להתמודד עם האיום הפנימי, שלא נעלם לעולם. הוא נדרש להשקיע לא רק בטכנולוגיות, אלא גם בחינוך הארגון למודעות לאיומים, בהיבט התרבותי".
"הצרחה בין פושעי סייבר כלכלי ותוקפי מדינות"
בעבר, אמרה ג'ויס, "הייתה הפרדה בין פעילויות הסייבר. מדינות פעלו בסייבר נגד ארגוני ממשל אויבים וההאקרים שבחסות ארגוני פשע מאורגן גנבו כספים מכולם. כך, חשפנו בעבר את פעילות קבוצת Fin7, שתקפו מערכות פיננסיות בשיטתיות. היום אנו עדים לשיתופי פעולה בין שני סוגי ההאקרים, להצרחות – Crossovers. היום ההאקר פועל בארגון פשע, ומחר הוא נשכר על ידי ממשל. ראינו האקרים שעובדים עבור יותר ממפעיל ממשלתי אחד… אחד התרגילים הידועים של ההאקרים הללו הוא בביצוע מתקפות פיננסיות: מיסוך עשן והסחת דעת. הם תוקפים חלק אחד במערך ה-IT בבנק, כשהמתקפה משמשת מסך עשן לגניבת כספים מסיבית במקום אחר. בשל היכולות שלהם, ההאקרים רוקדים על שתי החתונות. זה מעניין".
"מנהל אבטחת מידע צריך לראות באיזה מגזר הוא עובד", אמרה ג'ויס, "אם אתה ארגון עסקי, בחן אילו טכנולוגיות ייחודיות יש בו. מי מהמתחרים ירצה לשים יד על בסיס הנתונים שלך. ערוך בקרות שיעמדו ברגולציות הרלוונטיות. ראה היכן עלולות להופיע נוזקות, מהן החולשות ב-IT שלך, היכן הסיכונים. בנה את פרופיל האיומים. לעולם לא תוכל להגן על הכל, אז ראה איפה ובמה להשקיע, כך שתקבל ROI מיטבי. אינך יכול לשנות את 'ערימת האבטחה' שלך כל שבוע, אבל אסור שיהיה פתרון הגנה סטטי, כשנוף האיומים משתנה ודינמי".
"על המנכ"לים לעשות 'רשימת מכולת' מול מנהלי אבטחת המידע שלהם. עליהם לדאוג לבניית צוותי תגובה, לתוכניות מה לעשות כשיפרצו להם, לדאוג להרבה תרגולים. זו מודעות, יצירת תרבות ארגונית כוללת", הסבירה.
"אני מנהלת את מערך מודיעין האיומים האזרחי הגדול בעולם", אמרה ג'ויס, "אנו עובדים ב-22 מדינות וב-32 שפות. אנשינו פועלים במחתרת ובדארקנט, ומדברים בשפת ההאקרים, ששונה מהשפות של אנשים 'רגילים'. אנו אוספים נתונים ממקורות שונים, מחיישנים, מארגונים, בשיתופי פעולה עם ממשלות, תוך הסתרת זהות הלקוחות, אבל כן הפצת מידע על מתקפה, ללמגזר הרלוונטי. יש לנו שבעה SOC גלובליים".
"פורסטר דירגה אותנו כמובילים בתחום – כי אנו מחברים בין נקודות, שלכאורה אינן קשורות", סיכמה ג'ויס, "אנו מספקים לארגונים ניראות של האיומים. חיבור מודיעין איומים עם טכנולוגיות מתקדמות – מגדיל את יעילות ההגנה. העתיד טמון בבינה מלאכותית, במחשוב קוואנטי ובאוטומציה, היא המפתח – רק כך נוכל להגיב בתוך מילי-שניות. לרעים יש יתרון אחד – הם מתחדשים מהר. לצערי, לצד האופטימיות שבי, למשל מהשוק הדינמי והתוסס של הסטארט-אפים בסייבר בישראל, יש גם צד פסימי: הפישינג מצליח כבר שנים – ויצליח. טבע האדם לא ישתנה, הוא ימשיך להיות החוליה החלשה בשרשרת".
פירסומת נטו לשיווק עצמי.