"עוד לא פיתחו טכנולוגיה שתמנע מעובד לחבר דיסק-און-קי באופן אסור"
ליאב שלזינגר מחברת נס הסביר מדוע ארגונים נדרשים לעמוד בתקנים ורגולציות, לצד הטמעת טכנולוגיות הגנת סייבר ● "בקצב ההתקדמות של תוקפי הסייבר, זה רק עניין של זמן עד שההאקרים יעקפו את מה שהם תופשים כחוליה החלשה - העובדים"
"תהליכי אבטחת המידע בהיבט הטכנולוגי בלבד לא יענו על כלל דרישות ההגנה. הגורם האנושי מכניס חולשות לארגון, בזדון או בשוגג. תחום ההונאות מבוססות מדיה חברתית נסק משמעותית בשנה החולפת בשל הקורונה והעבודה מרחוק. במשולש PPT, 'אנשים, תהליכים וטכנולוגיה' יש נקודת תורפה, האנשים: אין טכנולוגיה שתמנע מעובד לעשות פעולה אסורה, כגון חיבור דיסק-און-קי למחשב", כך אמר ליאב שלזינגר, מומחה לרגולציה ולניהול משברי סייבר בחברת נס (Ness).
שליזנגר הוסיף כי "בקצב ההתקדמות של תוקפי הסייבר, זה רק עניין של זמן עד שהם יעקפו את מה שהם תופשים כחוליה החלשה, העובדים. מה שנותר לארגונים הוא לחנך את העובדים למודעות לאיומים, ולעבוד לפי מתודולוגיות, והלימה לרגולציות".
שלזינגר דיבר היום (ג') בוובינר שערכה חטיבת הסייבר של נס, שדן באיומי הסייבר כ"כאב הראש" של הנהלות ארגונים. לדבריו, "חשוב לעמוד בחוקים, תקנים ורגולציות הקשורות בהגנת הסייבר, כי הם מהווים חלק בלתי נפרד מפתרון ההגנה הארגוני הכולל, בין אם אלו תקנות הגנת הפרטיות של האיחוד האירופי, ה- GDPR, תקן ISO 27001, והסמכת CMMC שמשרד ההגנה האמריקני מחייב לעמוד בה, המתבססת על הוכחת מימוש בקרות של NIST, מכון התקנים האמריקני להבטחת מידע".
"במקום לרדוף אחרי האיומים – לעבוד לפי תקנים ותהליך סדור"
לדבריו, "במקום לרדוף אחרי האיומים, נכון יותר לעבוד לפי תקנים ועל בסיס תהליך סדור שמוטמע בארגון. ארגונים חייבים לחשוף את העובדים לאיומי הסייבר, לדוגמה, מה זו הנדסה חברתית. כיום, מגיעים באמצעות מערכות הדוא"ל מיילים המכילים צרופות וקישורים זדוניים, וחשוב להדגיש שאין לפתוח כאלה המגיעים ממקור בלתי ידוע. מטרת ההאקרים רק מתגברת: לדלות פרטים ומידע על הארגון, למפות אותו, כדי להגיע לתחנת הקצה, או לעובד החלש. אין כלי טכנולוגי שימנע לחיצה על קישור זדוני. מודעות העובדים היא אבן דרך חשובה בהגנה".
על פי שלזינגר, "ה-SOAR, מרכז לתזמור ולמיכון תגובה לסייבר, חוסך זמן ומקצר את משך איסוף המידע על האירוע הפוטנציאלי". הוא הוסיף כי "לטובת התנהלות מאובטחת יותר בעתיד, יש להפיק לקחים לעומק, להנפיק להנהלה דו"ח מסודר ומפורט: מה נפגע, איך נפגע, מי מטפל, האם ה-CERT במערך הסייבר הלאומי כבר עודכן, ועוד. על ההנהלה לערוך דיונים בוועדות היגוי ייעודיות לצמצום סיכונים עתידיים. כל ארגון, מכל מגזר ובכל גודל, נדרש למערך נהלים והוראות עבודה מסודרים, לצד הטמעת הטכנולוגיות".
ממשיכים להתייחס למתקפות סייבר בתפישות הגנה מיושנות
עינת מירון, מומחית לחוסן סייבר ולהיערכות עם מתקפות סייבר בהיבטים העסקיים, אמרה בוובינר כי "הטעות הכי גדולה של ארגונים היא שברמה היומיומית, השוטפת, הם ממשיכים להתייחס למתקפות סייבר בתפישות הגנה ששימשו לפני עשרים שנה. מתקפות סייבר הן הטרנספורמציה הדיגיטלית האמיתית: ההאקרים הם הקובעים את הטון, את האתגר ואת תכיפות השינוי הנדרש. הם לא מתחשבים בקצב של ניסוח משפטי או בתהליך ממושך של אישור תקציב. ולכן, מנהלים חייבים להפנים את השינוי שבאחריותם להוביל – מיידיות, פרקטיות, דינמיות ומחשבה מעט שונה".
מירון סיימה באומרה כי "מנכ"לים שלא רוצים לאבד את הארגון שאותו הם מנהלים – חייבים לעשות שינוי בהיערכות לעולם התקפות הסייבר – ויפה שעה אחת קודם".
שלזינגר סיכם: "אנו מבינים כי אירועי אבטחת מידע הינם אירועים שמחייבים מעורבות הנהלה. כדי שההנהלה תהיה מוכנה לאירוע שכזה, מומלץ שההנהלות יבצעו תרגולת מוכנות לאירוע, בו הן יעברו סימולציה של אירוע אבטחת מידע, לרבות כל רבדיו השונים. כבר כיום אנו ב-נס מבצעים אימונים והדמיות עם ההנהלות בארגונים, החל מסטרט-אפים וכלה בארגוני ענק, וכמובן, ליווי של ההנהלות בעת האירוע".
איזה שטיות. בארגונים בטחוניים יש שימוע לעובד שמכניס דיסק און קי וכול העובדים יודעים שאסור. עובד שעשה מפוטר (וכבר יצא לי לשמוע על עובדים שפוטרו בגלל זה) באגונים לא ביטחוניים אפשר לעשות הגדרות על המחשב עם מגוון כלים שקיימים (חלקם בתשלום חלקם חינם) שמאפשרים למנוע הכנסת דיסק און קי. מה גם שכיום כל האחסון יושב בענן כזה או אחר אז דיסק און קי כבר מיותר.. אני לא זוכר את עצמי משתמש בדיסק און קי בשנה-שנתיים האחרונות למעט להתקין את המחשב מחדש וגם זה דרך כלי ייעודי של מיקרוסופט או מהרשת
מהיכן המשפט השטותי הנ"ל? כל מוצר אנטי וירוס בסיסי יש ניהול התקנים שחוסם usb