"הרעים בסייבר משתכללים ומתרבים – והמגנים נחותים טקטית"

"המצב בעולם הגנת הסייבר מביא לכך שהמגנים נמצאים בנחיתות טקטית: זאת, כי הרעים רבים ומתרבים, הם משתכללים ביכולות התקיפה שלהם, טכנולוגיות הפריצה נהיות זמינות וארגונים עוברים תהליכי דיגיטציה. לכן, המגנים נחותים קריטית מולם. זה יוצר מצב שבו 48 השעות שלאחר המתקפה הן קריטיות לארגון הקורבן", כך הזהיר רפאל פרנקו, מנכ"ל קוד בלו.

פרנקו, לשעבר סגן ראש מערך הסייבר הלאומי, עומד כיום בראש חברה שמתמחה בניהול משברי סייבר. הוא דיבר במסגרת כנס InfoSec 22, שנערך היום (א'), בהפקת אנשים ומחשבים, באולם האירועים לאגו בראשון לציון. בכנס השתתפו מאות מקצועני אבטחת מידע והגנת סייבר, והנחה אותו יהודה קונפורטס, העורך הראשי של הקבוצה.

לדברי פרנקו, "השנתיים האחרונות הביאו לשיבוש בעולם הסייבר מקצה לקצה, בין השאר בשל מגפת הקורונה, שהביאה לסגרים ולשינוי בדפוסי העבודה של עובדים בארגונים, העובדה שפושעי הסייבר עברו לפעול ל-'פיתוח עסקי' של פעילותם ויש מתקפות יום אפס. לכן, נדרש לעבור ממצב של מניעת אירועים להתאוששות – היכולת לקום לאחר הנפילה".

"כשארגון מותקף, זה מתחיל בדרישת תשלום דמי כופר לשחרור המחשבים שננעלו", אמר. "אז מתחיל משחק בתנאי אי ודאות. התוקף משחק 'כאילו' שחמט מול הקורבן, אבל הוא הקובע האם הארגון יצליח להתאושש".

מה לעשות כדי להצליח להתאושש?

פרנקו הסביר ש-"כדי להצליח להתאושש, כל ארגון חייב לשאול את עצמו שתי שאלות יסוד: מה הכי חשוב ודחוף עבורו? והאם הוא במצב שהוא יכול להתאושש? חשיבה משברית מתחילה בבוקר שבו הכול מוצפן. אז, יש לחשוב איך פועלים משם והלאה. יש לזכור שהתוקפים עברו קפיצת מדרגה, ולעתים הם שהו חודשים בסתר בתוך מערכות הארגון. רבים מהפושעים המקוונים הם כאלה שעשו 'הסבה מקצועית' – מפשיעה קלאסית לסייבר".

"עוד יש לחשוב", ציין, "כי בעת אירוע, כולם באים להושיט יד לעזרה, כולם הופכים ליועצים ויש רבים כאלה – וזה לא עוזר". לדברי פרנקו, "בבואנו להיערך למצב המשברי, יש לפעול בשלוש רמות: DDD – ר"ת של דליפת מידע, מתקפת DDoS והבת של המנכ"ל. אם לא נכין את עצמנו להתאוששות, מצבנו לא יהיה טוב. בין השאר, נדרש לקבל תמונת מצב טובה ביותר ומפורטת ממנהל המשא ומתן. כמו כן, יש לבחון מיהם הלקוחות, מה מידת מעורבות ההנהלה ועוד".

לסיכום אמר פרנקו כי "לאירוע התאוששות יש כמה ממדים: הטכנולוגי – איך מנקים, מקימים ומרימים את הרשת מחדש; המבצעי – בתחבולה ובהונאה תעשה לך מלחמה. יש לסחור עם התוקף, לחלץ ממנו בתחכום מידע, להתקין מלכודות דבש, לספק הסבר לצוותים מה קרה ולהבין את תמונת הקרב; הארגוני – יש להבין לעומק את התהליכים העסקיים ואת מידת הנזק והחומרה של המתקפה, ולבצע תעדופים בהתאם; וממד המוניטין – נדרש לנהל את כלל מרכיבי הארגון המצוי תחת משבר, תוך הגנה על שמו – מול עובדים, לקוחות, ספקים ובעלי המניות, ולדעת מה לומר לכל אחד. לקוד בלו יש את היכולת לכתוב את תפיסת ההגנה של הלקוחות מבעוד מועד, והיא זו שתכריע האם הם יתאוששו – או לא".