מהם איומי הסייבר המרכזיים – ואיך ניתן להיערך אליהם?

איומי הסייבר המרכזיים על ארגונים השנה וכיצד הם יכולים להיערך אליהם – אלה הם הנושאים שבהם עסק איתי חבר, מנמ"ר ומנהל חטיבת הסייבר של דאסו סיסטמס (Dassault Systems), בדבריו בפני פורום CISO של אנשים ומחשבים. מפגש הפורום נערך אתמול (ב') במשרדי HackerU שברמת גן.

בפתח דבריו סקר חבר את האיומים והנושאים המרכזיים שצריכים להעסיק ארגונים השנה בהיבטי אבטחת המידע והסייבר. הוא מנה ביניהם את האינטרנט של הדברים, נוזקות, קריפטו ומטבעות דיגיטליים, ענן, בינה מלאכותית, שרשרת אספקה, מתקפות על גופים ממשלתיים ותשתיות קריטיות, ו-GDPR – תקנות הגנת הפרטיות של האיחוד האירופי, שייכנסו לתוקפן ב-25 בחודש זה.

האינטרנט של הדברים

בהמשך הוא הרחיב על כל אחד מהאיומים. בנוגע לאינטרנט של הדברים אמר חבר כי "כבר כיום יש 23 מיליארד מכשירי IoT שמחוברים לרשת, ובתוך כמה שנים צפוי המספר לעלות ל-75 מיליארד. יהיה מאוד קשה לנהל אותם וכתוצאה מכך יתגברו איומי הסייבר עליהם". הוא ציין שהסכנה עולה לנוכח העובדה ש-70% משוק האינטרנט של הדברים מצוי במגזרים קריטיים – ממשלה וערים, תעשייה ומגזר הבריאות. "יש כאן סכנה מהותית של תקיפה על תעשיות קריטיות ומכשירים רפואיים, מה שעלול להוביל עד כדי פגיעה בחיי אדם", אמר.

חבר המליץ "לעולם לא להשתמש במכשירים שאינם יכולים לקבל עדכוני תוכנה, שינוי סיסמאות או עדכון חומרה; לשנות מדי פעם את שם המשתמש שמוגדר כברירת מחדל; להשתמש בסיסמה ייחודית לכל מכשיר IoT; ולהתקין עדכוני תוכנה וחומרה בכל אחד מהמכשירים הללו בהקדם, כדי לצמצם את החשיפה לאיומי סייבר".

נוזקות וקריפטו

הוא ציין כי הנוזקות רווחות במיוחד באחד התחומים הפופולריים בזמן האחרון: מטבעות דיגיטליים וקריפטו. לדברי חבר, יותר מ-40% מהמתקפות שבוצעו בשנה האחרונה בתחום היו מבוססות כופרה (Ransomware). חלק נרחב מאותן תקיפות בוצע באמצעות ניצול חולשה של מיקרוסופט (Microsoft), שמאפשרת לגולשים להפעיל דלת אחורית ולהתקין סקריפטים שמתחברים ל-C2, וכך להוריד את התוכנה הזדונית. במקרים אחרים, מבצעים הפצחנים מתקפות קריפטו בתוך הדפדפן – Inbrowser Crypti Jacking – על ידי שימוש בג'אווה סקריפט (Java Script).

הוא מנה בין האמצעים להתגוננות מפני המתקפות הללו התקנת כלי אנטי כופרה ועדכון של ה-AV.

מחשוב ענן

חבר ציין כי מדיניות רווחת של ארגונים היא "ענן תחילה", במיוחד לאור העובדה שהממשל האמריקני אימץ אותה. בוושינגטון, אמר, "קודם כל בודקים יכולת היתכנות של הענן ואחר כך, במידה שאי אפשר לבצע את הפעילות בענן, עושים זאת לוקאלית. מאז הרבה גופים מסתכלים קודם כל על הקלאוד". הוא הציג נתונים שלפיהם שווי שוק הענן עומד כיום על 181 מיליארד דולר והוא עלול "להתפוצץ" בשנים הקרובות ולהגיע לכדי 520 מיליארד.

כיצד מבצעים ניהול סיכונים בענן? לדברי חבר, "חייבים לבדוק את רמת האבטחה כשבאים לרכוש שירותי ענן. אני רואה גופים, בעיקר גדולים, שמבקשים אפילו סיורים והוכחות לפני שהם עושים זאת ורוצים לדבר עם האחראים בחברה שהם קונים ממנה שירותי ענן. בנוסף, צריך להבין איך להגן על המשתמש ולהשתמש בכלי ניטור שמציעות ספקיות הענן".

הבינה המלאכותית – עוד תחום שכולל סיכוני סייבר. אילוסטרציה: g_peshkova/BigStock

בינה מלאכותית

"הבינה המלאכותית זולה וכוללת אפשרויות רחבות ונוחות יותר להאקרים", הוסיף. "יש חולשות רבות שקשורות לכך, שאותן ההאקרים מנצלים, והאוטומציה מאפשרת יעילות מרבית של התקיפות הללו". בנוסף, אמר, "ככל שהתחום ילך ויתפתח, כמות האיומים תגדל".

חבר הדגיש כי ניהול הסיכונים בכל הקשור לבינה המלאכותית עדיין לא מוסדר, משום שהתחום נמצא בחיתוליו. כדי להיערך לאיומים הללו ולמתקפות פוטנציאליות, הוא המליץ לזפקי הבינה המלאכותית להחיל על עצמם רגולציה קפדנית ולארגונים – להעביר את העובדים הדרכות כמה פעמים בשנה.

קוד פתוח

"78% מהחברות כבר משתמשות בקוד פתוח והשימוש בו יגבר", אמר חבר. "זה יעיל וזול, עד כדי כך שאי אפשר להיות תחרותיים בלי להשתמש בקוד פתוח. אלא שמדובר בהימור מסוים, משום שלא כל פרויקטי הקוד הפתוח מקבלים תמיכה שוטפת".

לדבריו, כדי להתגונן ממתקפות כאלה, "על הארגון להטמיע לכל אורכו מדיניות ותהליכי Package Management, לערוך רשימת מלאי לכל השכבות, להירשם ל-CERT ולערוך ביקורת אבטחה לספקים העיקריים שלו".

תשתיות קריטיות

בהמשך התייחס חבר למתקפות שנערכות בחסות של מדינות שונות, ואמר כי ה-"שחקניות הגדולות", שמהן יוצאות המתקפות הרבות ביותר, הן רוסיה, צפון קוריאה, איראן, ארצות הברית וישראל. בניגוד למה שניתן לחשוב, סין לא נמצאת ברשימה הזאת.

"מתקפות בחסות מדינות גוברות בזמנים של מלחמה פיזית. המגמה הזו תלך ותימשך, והן יתמקדו במתקפות על תשתיות קריטיות", אמר חבר. לדבריו, ניהול נכון של סיכונים של תשתיות קריטיות כולל הפרדת רשתות; מינוף תומכות חומרה המספקות שליטה פיזית; יישום גישה קפדנית למידע ושליטה בו; ומעקב אחרי תעבורת הרשת.

GDPR

עוד התייחס חבר לתקנות הפרטיות האירופיות, ה-GDPR, שכאמור, ייכנסו לתוקפן לקראת סוף החודש. הוא ציין כי על ארגונים להיערך ליישום התקנות הללו – אלה מהם שלא עשו כן, מאחר שאם הם לא יעשו זאת ולא ימלאו אחרי התקנות בזמן אמת, הם עלולים לקבל קנסות גבוהים.