"הגורם האנושי בסייבר; ההוצאה הגדולה ביותר, אבל הכרחית להגנה"

"הגורם האנושי הוא ההוצאה הגדולה ביותר, אולם היא הכרחית כדי להפיק את המירב מההשקעה של ארגון במערכות אבטחת מידע והגנת הסייבר". כך אמר אדי קליינמינץ, ראש סייבר הגנה, מינהלת שו"ב וסייבר, מפעל מלמ, חטיבת מערכות טילים וחלל בתעשייה האווירית לישראל.

קליינמינץ דיבר בפורום הגנת סייבר, CSC מבית CISO, של אנשים ומחשבים. הפורום, אותו הנחה אבי וייסמן, מנכ"ל שיא סקיוריטי, התקיים היום (ב') באולם yes Planet בראשון לציון, ונושאו היה הכשרה תרגול ומודעות להגנת הסייבר.

קליינמינץ אמר כי המחקרים מעלים, שלמרות שארגונים מכשירים עובדים להגנת סייבר, הרי עדיין יש פער בתחומי המודעות והכישורים שלהם לתחום. לדבריו, "רוב ההדרכה בתחום היא תיאורטית ולא ברור עד כמה למידה זו אפקטיבית ביכולתה להכיל אירועי סייבר. לטעמנו, על מנת להכיל אירועי סייבר, צריכה להיות פרקטיקה".

לוודא שהארגון אכן מוכן וערוך

הוא הוסיף כי אתגר נוסף העומד בפני העוסקים בתחום, הוא היעילות החלקית שבהטמעת מוצרי האבטחה. "מוצרים מוטמעים בלא שאנשים יודעים לעשות בהם שימוש כולל, ואינם יודעים לעשות זאת בזמן אמת".

לדברי קליינמינץ, "על מנת להגיע לשלמות בתחום אבטחת המידע בארגון, נדרש לטפל בפן האנושי – וזה ייעשה על ידי פרקטיקה. רק מי שעושה, ולא רק לומד – הוא זה המבין. לאחר מכן צריך לוודא שהארגון אכן מוכן וערוך".

הוא הציג את שרשרת התקיפה: "אם קיבלת התראה,  זה לא סייבר. התראה היא הרמת דגל לארגון מותקף ומהווה הזדמנות לחקור את התהליך מהתחלה ועד הסוף. נדרשת לכך סביבה רחבה ואמיתית. עוד נדרשת עבודת צוות – לא של איש אחד. הפתרון לא בהכרח יבוא מהאיש הטכני".

קליינמינץ הציג פלטפורמת הכשרה שנבנתה בשיתוף אבנת אבטחת מידע. "אין המדובר בהדמייה", אמר, "כי אם בבנייה של סביבה מציאותית בה ניתן להתאמן ולחוש את האיומים ולהתמודד מולם".

דגש על עבודת צוות

מאמן הסייבר TAME Range, אמר, "כולל מגוון רחב של תרחישי מתקפות סייבר שפותחו על בסיס אירועים אמיתיים, על בסיס מתודולוגיות וניסיון. השימוש במאמן הסייבר מאפשר הכשרה והתמודדות עם מתקפות סייבר: זיהוי האיום, ניהול האירוע, מיתון הפגיעה והשגת שליטה על ההתרחשות. המאמן מקנה כלים להתמודדות בסביבה מבוקרת, גם בתרחיש בו כמה פלטפורמות מותקפות בו זמנית, תוך ניהול התגובה, בדגש על עבודת צוות".

"מדובר בחווייה מאד חזקה עבור החניכים", אמר קליינמינץ. "במשך התרגול, המדריך יכול לראות את התקדמות ההתקפה והפעילות המתבצעת. אם יש התקפה אז אנשי הארגון נדרשים לספק המשכיות עסקית ולא 'לסגור את הברזים'. כל רכיב הוא ריאלי ולחניכים יש נגישות לרכיבים אלה. יש לשים דגש על עבודת הצוות, שבה עובדים לפי נהלים, ומתבצע תיעוד לטובת תחקור האירוע. בסוף השיעור מבצעים סיכום תרגיל, בו מוצג 'פתרון בית ספר'. חשוב להכניס את האנשים לראש של התוקף, כדי שיבין את ראייתו ופעולותיו".

"חשוב לשמור על כשירות לאחר בניית הכוח", סיכם, "נדרש להשקיע בגורם האנושי כמו בטייסים – זה אף פעם לא נגמר".

רוני בכר, סמנכ"ל חטיבת טכנולוגיות סייבר באבנת

רוני בכר, סמנכ"ל חטיבת טכנולוגיות סייבר, אבנת, אמר כי "הוזמנתי על ידי יחידת הביקורת בארגון גדול. נכנסתי לארגון, התחלתי לפרוץ לרשת, השתלטתי עליה והגעתי לסיסמאות המשתמשים. אנשי האבטחה לא הבחינו בכך, כי לאורך התקיפה לא הפעלתי דברים חשודים, אבל עשיתי סריקות. מנגד, הם השתיקו התראות שווא וככה הצלחתי".

"אנו מסייעים לארגונים לנהל אירועי אבטחה", אמר בכר. "לטייב את מערכת ניהול אירועי האבטחה, SIEM, שלהם. לגלות איך התוקף עובד ואיפה ניתן לתפוס אותו". הוא סיים בציינו כי "יש לבנות צוות, ללמד אותו לעבוד ביחד. לאחר מכן יש לפעול למצב של המשכיות עסקית ומערכות שתמיד עובדות. חשוב להעביר מידע להנהלה, לא לשער השערות בלא הוכחות, לדעת מתי החל אירוע ומתי הסתיים – מי נכנס ומאיפה".