האם אנחנו ערוכים ליום שאחרי מתקפות הסייבר על הבחירות?
הסייבר משחק, לצערנו, תפקיד בולט במערכת הבחירות הנוכחית, והחששות מפני מתקפות קיימים ● האם מדינת ישראל התכוננה לגרוע מכל? איך בכלל עושים את זה? ואילו לקחים המגזר העסקי יכול להפיק מכך?
בימים אלה עסוקה המדינה כולה במערכת הבחירות הקדחתנית ובגורמים הפנימיים והחיצוניים שעשויים להשפיע על תוצאותיה. לא אחת מאז יריית הפתיחה שלה התפרסמו חוות דעת ומאמרים של מומחי סייבר המזהירים מפני איומים העשויים לפגוע במערכות המחשב התומכות בבחירות, לשנות את התוצאות ולהשפיע באופן בלתי הפיך על הגורל של כולנו.
איומי סייבר יכולים לבוא לידי ביטוי בכל מיני צורות – לא רק השימוש הפופולרי במילה בימים האחרונים, בדמות הפריצה האיראנית לכאורה לסמארטפון של בני גנץ. כך או כך, מדינת ישראל חייבת להתגונן מפניהם ולהכין את עצמה לגרוע מכל. יחד עם זאת, אל לה לשכוח לבצע תכנון מקיף ומעמיק לגבי תסריט שלילי של היום שאחרי, שבו האקרים יצליחו במזימתם.
מקרה בוחן אולטימטיבי להיערכות של ארגון גדול למתקפת סייבר
מערכת הבחירות היא מקרה הבוחן האולטימטיבי להיערכות של ארגון גדול ומסיבי ליום שאחרי מתקפה. אפשר ללמוד ממנה לקחים גם לגבי העולם העסקי, על ענפיו השונים. ההתמודדות של המדינה עם תסריט האימים שבו גורמים עוינים ביצעו מניפולציה בתוצאות על מנת לשרת אינטרסים של מדינות יריב דומה להתמודדותו של ארגון עסקי שהותקף והושבתה פעילותו. בשני המקרים יכול להיגרם נזק בלתי הפיך למוניטין החוסן של הארגון ולכלכלתו. בשניהם הארגון חייב לדעת להיערך עם תכנית סדורה, שתאפשר לו לעמוד מחדש על הרגליים במהירות ולספק ללקוחותיו – בין אם מדובר באזרחי המדינה או בלקוחות עסקיים – את השירות לו הם ראויים, בצורה אמינה ושקופה.
ההיערכות ליום שאחרי כוללת שני עמודי תווך עיקריים, שמאפשרים הפקת תובנות, התאוששות מהירה והיערכות לפריצה הבאה. הראשון הוא מנגנון לאיסוף ראיות שמגדיר את המידע שיש לתעד לכל אורך התהליך (בחירות או עבודה סדירה של מערכות המחשוב) ואופן האיסוף שלו, על מנת שיהיה ניתן לנתח אותו לאחר מעשה בצורה יעילה. בין הנתונים שנאספים ניתן למנות מי ניגש למערכת, מקור הגישה, דרכי זיהוי המשתמש ועוד. הללו יעזרו לתחקר בדיעבד איך בוצעה הפריצה.
חשוב לוודא במהלך התהליך שאין העלמת ראיות – בשנים האחרונות האקרים נוטים להשתמש בנוזקות שמשמידות את המידע שיכול לאתר אותן ומבצעות השחתה מכוונת של כל המידע מסביבן. מדיניות "אדמה חרוכה" כזאת מקשה על התחקור ומבטיחה להאקרים שהכלים שפיתחו ישמשו אותם לאורך זמן רב יותר.
עמוד התווך השני כולל ניתוח מידע, תחקור ותגובה, במהלכו נבחנים ומנותחים הכלים ששימשו בהתקפה כנגד הארגון. הדבר מתבצע בעיקר על ידי מרכזי SOC וחברות מומחיות בתחום הסייבר, במטרה לענות על השאלות הקריטיות: איך ומתי בוצעה החדירה? האם נשארה עדיין גישה למידע או למערכות שליטה מרחוק? מה ניתן ללמוד מכך? איך ניתן לנטרל את פעילותן? מי הגורמים המעורבים? ואיזה מידע דלף?
המשותף לשני המנגנונים הללו הוא ששניהם מסתמכים על מידע ועל היכולת לשלוף אותו בקלות ובמהירות. אולם, אחת הבעיות העיקריות היא שהמידע שאוספים ומתחקרים נשמר פעמים רבות במדיה שאינה זמינה לאחזור מידי, כגון קלטות. מדיה זאת עשויה להיות זולה, אך היא מקשה על שליפת המידע.
רמת ביצועים ראויה – ומהירה
אם במערכת בחירות עסקינן, הרי שציבור שלם לא יכול לחכות חודשים עד שהמידע יישלף וינותח ועד שתוצאות הבחירות ייוודעו לאשורן. הפרוצדורה חייבת להתבצע במהירות האפשרית. באותה המידה, בתחום העסקי, חברה בורסאית חייבת לדעת מהר אם התבצעה פריצה למערכות בטרם תתבצע הונאה כלכלית.
כלומר, בתכנון ההיערכות ליום שאחרי ארגונים חייבים להבטיח את רמת הביצועים הראויה שתאפשר להם להפיק את התובנות והניתוח המדויק ביום פקודה. יתרה מכך, לאחר תהליך הפקת הלקחים חייב להתנהל תהליך משוב מדוקדק בו הארגון בודק האם כל המידע נאסף והאם הוא מוכן למתקפה הבאה. שאלות המפתח בסופו של התהליך הן: האם יש שאלה שהארגון רצה לשאול במהלך התחקור ולא יכול היה לקבל עליה תשובה? והאם מתקפה כזאת כיום הייתה מצליחה?
הסנאפשוטים
יכולות גבוהות לאיתור, זיהוי ושליפת מידע מקבלות מענה בעולם התשתיות. פתרונות אחסון מודרניים כוללים בתוכם מנגנונים המאפשרים מעקב מדויק אחר איומי סייבר וזיהוי התקפות פעילות – סנאפשוטים.
נפח הסנאפשוטים גדל כתוצאה מהשינויים הרבים שיוצרת חדירתה של נוזקה או כופרה למערכת והם צורכים קיבולת אחסון גדולה יותר. אם פתרון האחסון של הארגון מספק ניטור והתראות בנוגע לצריכת הקיבולת, צוות האחסון יזהה בקלות את העלייה הזאת ויגיב לכך במהירות. הסנאפשוטים מאפשרים גם את ההתאוששות המהירה ביותר, מאחר שאין צורך להעביר טרה-בייטים של מידע בחזרה מיעדי הגיבוי. זמן ההתאוששות גם הוא אלמנט קריטי במערכת בחירות שנפרצה. כפי שציינתי, היא תהיה חייבת לאחזר נפח מידע גדול בזמן קצר.
לפיכך, ארגון, בין אם מדובר במדינה או בעסק, חייב לבחון את הכלים התשתיתיים שעומדים לרשותו ולמנף אותם על מנת לבצע תכנון מקיף ויסודי למנגנונים התומכים בניתוח שאלות קריטיות ביום שאחרי תקיפה. הטכנולוגיה פעמים רבות כבר נמצאת בפתרונות האחסון המיושמים ונדרשת גישת הפעלה הוליסטית, שכוללת שיתוף פעולה הדוק בין אנשי התשתית, אבטחת המידע והפיתוח. הדבר יאפשר מימוש אפקטיבי וכלכלי שלה, תוך קבלת התאוששות ו/או תחקור מהירים, שיכולים, פשוטו כמשמעו, להטות את הכף מאסון למדינה או לחברה לתסריט חיובי של חזרה לשגרה ברוכה ובריאה.
הכותב הינו סמנכ"ל טכנולוגיות לאזור EMEA באינפינידט.
תגובות
(0)