מקלות ואבנים - עולם העסקים תחת מתקפת סייבר
"אינני יודע באיזה נשק ישתמשו במלחמת העולם השלישית, אך ברביעית ישתמשו במקלות ואבנים" - אלברט איינשטיין
איינשטיין אשר מרבית חייו עברו במהלך החצי הראשון של המאה ה-20 התכוון, במשפט זה, לאיום להמשך הקיום האנושי בעקבות התחמשות אומות העולם בנשק אטומי. החשש ממכה אטומית עולמית אומנם טרם חלף, אולם, נראה כי האנושות קרובה יותר מתמיד לשוב ל"מקלות ואבנים", הפעם בעקבות לוחמת הסייבר אשר הפכה לאחרונה לכלי נשק טקטי ממשי אשר יוכל לגרום לנזק רב ומתוחכם יותר מאשר הפצצה החכמה ביותר.
שתי מגמות הוציאו את לוחמת הסייבר מספרי המדע הבדיוני לעולם בו אנו חיים כיום:
גלובליזציה של מערכות מחשוב: הגלובליזציה של עולם המחשוב גרמה לכך שכל הארגונים בעולם עושים שימוש במערכות אשר מקורם במספר מצומצם יחסית של יצרנים בעלי הקניין הרוחני על אותן מערכות (בעיקר חברות אמריקאיות וגרמניות) או בעלי יכולת ייצור תחרותית (סין). פועל יוצא מכך הוא שגורמים זדוניים יכולים לשים ידם על המפרט הטכני של רב מערכות המחשוב בעולם ולתכנן נוזקות והתקפות כנגד אותן מערכות.
רשת האינטרנט: האינטרנט החליף את מרבית רשתות התקשורת הפרטיות, הדואר האלקטרוני הפך את מכשיר הפקס למוצג מוזיאוני ואת הדוור לאדם אשר מעביר בעיקר חשבונות לתשלום. היעילות שרשת האינטרנט יצרה לעולם העסקי הביאה לכך שכל הארגונים שאינם ביטחוניים מחוברים לרשת האינטרנט ועושים באמצעותה תהליכים עסקיים משמעותיים.
מגמות אלו הפכו את לוחמת הסייבר לאיום ממשי אשר יכול להשבית חלקים נרחבים מהפעילות העסקית של כל ארגון למשל באמצעות התקפות DOS (Denial of Service) אשר מטרתן העיקרית היא להשבית את קישוריות הארגון לאינטרנט או באמצעות וירוסים מותאמים אישית לגוף המותקף כמו וירוס להבה (Flame) אשר נמצא במערכות של כור גרעיני באירן.
ארגונים חשופים לנזקים בעקבות לוחמת סייבר גם אם אינם מחוברים כלל לרשת האינטרנט וזאת באמצעות הנדסה חברתית (Social Engineering). שיטה זו פועלת על ידי הפעלת גורמים מתוך הארגון אשר פועלים בתום לב אולם מאפשרים, שלא בידיעתם, להחדרת נוזקות לתוך מערכות הארגון. שיטה שיצרה הד ציבורי נרחב (פרשת הסוס הטרויאני) בנושא זה היא שליחת CD פרסומי בכסות תמימה כאשר הפעלתו של ה - CD במחשבי הארגון מחדירה אליו קוד זדוני אשר עלול ליצור נזק למערכות או כמו במקרה הסוס הטרויאני, הוצאת מידע אל מחוץ לארגון לצרכי ריגול תעשייתי.
הנזק אשר לוחמת סייבר יכולה לגרום לכל ארגון המפעיל טכנולוגיות מידע יכול לנוע בין השבתה זמנית של פעילות הארגון, זליגת מידע ועד אובדן המידע השמור במערכות הארגון.
ארגון אשר חפץ לחיים חייב להיערך באופן משמעותי ויסודי לסיכוני הסייבר שעומדים בפניו. הערכות זו מחייבת הגדרת דרכי מגננה ומניעה בפני סיכונים אפשריים וכן תוכנית פעולה במקרה של פגיעה טכנולוגית בדרכי פעולתו.
כבכל סיכון לא ניתן למנוע במאה אחוזים את מכלול איומי הסייבר ולו מכיוון שאופי פעילות הנוזקות הוא ניצול פגיעויות (Vulnerabilities) אשר טרם הפכו למידע זמין לאנשי המקצוע. אולם כדרכם של סיכונים ניתן לנהלם עד לנקודת האיזון שבין הנזק ולכן העלות הכלכלית להתמודדות עם אותו נזק.
להלן מספר אמצעים שכל ארגון נדרש ליישם בהקשר לאיומי הסייבר:
1. ריכוז כוחות - יש לרכז את המאמץ סביב איומי הסייבר בידי צוות מוביל בעל ידע מקצועי בתחומים רלוונטיים לטכנולוגיית המידע ולפעילות העסקית, לספק לו סמכויות ומשאבים ואת היכולת להפעיל את כל הגורמים המתאימים בארגון כחלק מהערכות ומניעה וכן במקרה שאיום סייבר התרחש. הצוות המוביל צריך להיות מוכן עם תוכניות פעולה להתגוננות ולהמשכיות עסקית כפי שיפורט בהמשך.
2. מודיעין עסקי - הצוות המוביל את הטיפול באיומי הסייבר והצוותים המקצועיים המסייעים לו צריכים להיות מחוברים למקורות מידע אשר יכולים לספק להם פרטים על מתקפות סייבר בהתהוות וכן על דרכי התמודדות אשר יושמו בידי ארגונים אחרים. מודיעין שכזה ניתן למצוא בגופי ביטחון שונים, ספקי מערכות מחשוב, יועצים מקצועיים בתחום, גופי פיקוח רגולטורים ובשותפות אד הוק עם גורמים עסקיים מתחרים בענף לצורך שיתוף מידע והתגוננות.
3. עדכניות - זמן התגובה הנדרש לארגון ליישם אמצעי הגנה ועדכוני מערכת הינו רכיב קריטי בפגיעות הארגון מהתקפות. התקפות רבות מתוכננות על בסיס הפצת עדכוני תוכנה אשר מופצים על ידי יצרנים כאשר הגורם הזדוני יוצא מנקודת הנחה, מבוססת, כי זמן התקנת העדכונים בארגונים אינו מיידי ולכן מאפשר חלון של זמן לנצל פגיעויות ידועות. לשם כך נדרשת ערנות בכל הקשור לעדכוני תוכנה ונדרש לצמצם את משך הזמן אשר לוקח לארגון ליישום עדכוני תוכנה עד לטווח של מספר שעות בודדות בלבד.
4. ניהול סיכונים - ארגון צריך להעריך מה עומק הפגיעה האפשרית לבעלי העניין במקרה של פגיעה, השבתה או אובדן של מערכות המחשוב שלו וכל המידע המנוהל בהם. למידת הנזק האפשרית הנעמדת בתהליך זה השפעה מכרעת על היקף המשאבים ודרכי הפעולה הנדרשים.
5. יצירתיות וגמישות מחשבתית - נדרשת מחשבה גמישה ויצירתית על מנת שארגון יוכל להעריך את נקודות התורפה שלו, לבנות אמצעי הגנה אפקטיביים וחשוב צעד אחד לפני הגורם המפגע. תרחישי פגיעה יצירתיים יכולים להיות כלי סימולציה חשוב בידי הארגון על מנת להעריך את טיב מנגנוני ההגנה שלו ואת עומק הנזק שהוא עלול לשאת בעקבות מתקפת סייבר.
6. מקלות ואבנים - זה הזמן לשקול שמירה על אמצעים הנחשבים למיושנים אולם יכולים לשמור על הארגון במקרה של מתקפת סייבר, למשל שמירה על תיעוד בנייר של הפעילות העסקית כמו העתקי תיעוד פנים, תדפיסי חשבונות שונים ועוד. בנוסף ישנם אמצעים טכנולוגיים מיושנים מעט, כמו גיבוי נתונים על גבי קלטות, אשר יכולים לתת מענה להשחתת המידע במערכות הארגון. קלטות גיבוי ניתן לשמור במקום מוגן מנותק מהטכנולוגיה הקיימת וכך לאפשר שיחזור מידע גם לאחר פגיעה קשה במערכות, גיבוי נתונים באתר חלופי או בדיסקים אשר משמשים כגיבוי יפגעו גם הם במתקפה ולכן עשויים שלא לפעול בדיוק כאשר הם ידרשו.
7. המשכיות עסקית - במסגרת תוכנית ההמשכיות העסקית שלו צריך הארגון לייצר תרחישי פעולה גם במקרים בהם אבדו מערכות המידע של הארגון ובשל כך לייצר משאבים ודרכי פעולה אשר יאפשרו לו להמשיך לפעול באמצעים ידניים, כגון, טפסי נייר, תדפיסים של מידע חיוני ותהליכים שאינם מבוססי טכנולוגיה. ישנם ארגונים טכנולוגיים כמו חברות למסחר אלקטרוני, שלא יוכלו להמשיך ולפעול ללא טכנולוגיה אולם רוב הארגונים יכולים להמשיך ולפעול גם אם ביעילות נמוכה באמצעים שאינם טכנולוגיים.
8. בדיקה עצמית - בדיקת הערכות הארגון למתקפת סייבר על ידי תרגול תהליכי ההמשכיות העסקית, בדיקות חוסן וחדירה, סקרי סיכונים וכיו"ב, נדרשים כיום יותר מתמיד כאשר נדרש לקחת בחשבון שסיכונים שבעבר נחשבו לבעלי סיכוי קלוש להתממש עשויים להיות כיום עקב אכילס של הארגון.
המצב הביטחוני והמדיני של ישראל מעצים את איומי הסייבר בפניהם עומדים ארגונים מקומיים לעומת עמיתיהם בעולם. רשויות המדינה נערכות על מנת לנסות לצמצם את הסיכון ברמה הלאומית אולם חסר ידע וניסיון עולמי על מנת שניתן יהיה לספק וודאות ברמה הלאומית כי ארגונים לא יפגעו על ידי לוחמת סייבר, כפי שצבא ומשטרה נותנים לגבי הביטחון האישי ונזקי רכוש.
אך יש לזכור זאת, גם כשם שקיומה של משטרה עדיין מחייב שמירה של מזומנים בכספות כך ארגונים חייבים לבצע את אשר ביכולתם על מנת להתמודד עם איומי הסייבר ולשמר את ארגונם.
הירשם לניוזלטר
Please fill out the following form to access the download.