בהעדר מידע – איך לזהות את איומי הסייבר?

מנמ"רים בכירים קוראים לממשלה להקים מרכז סייבר שיתריע על איומים ויסביר איך מטפלים בהם ● על התעשייה לסייע לגופים הממשלתיים בכך

דו"ח המבקר - חמור או עם ליקויים? אילוסטרציה: BigStock

בכנס האבטחה הגדול של RSA, שנערך בשבוע בעבר בסן פרנסיסקו, הוכחה שוב העוצמה הישראלית, בדמות שורה ארוכה של סטארט-אפים שהציגו שם ומשכו אליהם את טובי המומחים, כדי לשמוע על הפתרונות שלהם. ישראל נתפסת כמעצמת סייבר עולמית, ובצדק, והנתון הזה משחק לטובתם של לא מעט משקיעים, יזמים וכמובן הארגונים שמיישמים את הטכנולוגיה כחול לבן.

בצד האחר של העולם, בניו-דלהי, בירת הודו, הסתיים בשבוע שעבר כנס של בכירי היי-טק ישראליים – סמנכ"לי מיחשוב, מנמ"רים ומנהלי חברות IT. הכוונה היא לכנס INDIA 2016 של פורום המנמ"רים והמנכ"לים C3 מבית אנשים ומחשבים.

אחד הפאנלים שהתקיים במסגרת כנס זה, בהנחייתו ביד רמה של רונן זרצקי, סמנכ"ל הטכנולוגיות של ישראכרט, עסק בסוגייה האם וכיצד המגזר האזרחי-עסקי ערוך לטיפול באירועי סייבר. הדוברים בפאנל, מנמ"רים מצד אחד וספקים מצד שני, הודו בפה מלא: אנחנו לא מוכנים. יוצאים מהכלל הם ארגונים פיננסיים, שנתונים תחת רגולציה, וארגונים ביטחוניים, שהרגישות בהקשר שלהם גדולה. נציגי יתר הארגונים, המייצגים מגזרים חשובים במשק – בריאות, רשויות ציבוריות, מגזרי ייצור, תעשיה וכדומה – אמרו כי יש עוד הרבה מה לעשות וכי ההנהלות עדיין לא מבינות את הקריטיות שבהיערכות לסייבר, על משמעות הדבר והקצאת התקציבים המתאימים.

אלא שהבעיה הרבה יותר עמוקה ומורכבת: בחלק מהארגונים, הסייבר נתפס כעוד ורסיה של DRP, ואם הארגון השקיע בהמשכיות עסקית – הכול בסדר. אנשי מקצוע בתחום אומרים שזוהי תפיסה שגויה לחלוטין ואף מסוכנת, שכן בניגוד לתקלת מחשב באחת המערכות, ולא משנה מה סיבתה, היא דבר גלוי, שקל לזהותו, כאשר מתבצעת מתקפת סייבר, יש את כל הסיכויים שהארגון לא יבחין בה בשלבים הראשונים. הסנסורים שמתריעים מפני איום תקיפה אינם חד משמעיים.

מנמ"ר בכיר באחד הארגונים הגדולים במשק עמד לא מכבר על חומרת הבעיה הזו: "אם אני מזהה תקלה בשרתים אני יכול לעשות פעולות רבות, בין היתר השבתה זמנית של חלק מהמערכות. אבל מה קורה כאשר יש אינסוף התרעות למתקפות סייבר ואין כלי ניטור מתאימים, שיתריעו בוודאות שאכן מדובר בסכנה? האם יעלה על הדעת שבכל שני וחמישי אשבית את המערכות שלי, במיוחד כשמדובר במערכות שמשרתות מאות אלפי לקוחות?", שאל.

הבעיה המרכזית: היכולת לנטר את המידע

אם כך, הבעיה המרכזית של הארגונים כיום בהגנה על סייבר היא מידת היכולת לנטר את המידע ולהצביע במפורש על איום ממשי. חדירה למערכות מידע של ארגונים יכולה להיעשות בצורות שונות, והנוזקה יכולה "להסתובב" בארגון ימים ואולי שבועות, ולשים יד על המידע.

המשתתפים בפאנל ציינו שהם מצפים שגופים ממשלתיים, כמו מטה הסייבר או גופים ניטראליים אחרים שיש להם יכולת לעקוב ולנטר מידע, יקימו מרכז שכזה ויציעו אותו לארגונים בתשלום.

בכך יתגברו הארגונים בנוסף על כשל אחר: מחסור בשיתוף ידע. פעמים רבות, מנמ"ר של ארגון כלשהו רוצה לדעת בזמן אמת לא רק על מתקפות שעבר הארגון שלו, אלא גם על מתקפות שחוו ארגונים דומים ועל איומים שעלולים להשפיע עליו. הדבר מחייב אותו לתת משקל שונה למידע מודיעיני או כל התרעה אחרת על חשש לסייבר, ואולי לפעול בצורה אחרת.

הדילמה האם להפעיל את כל צופרי האזעקה ולחולל מהומה רבתי, להמשיך לחכות או לבדוק היא מסוג הדילמות שמדירות שינה מעיניהם של מנמ"רים רבים. בפאנל בהודו הופנתה קריאה למטה הסייבר לסייע למגזר האזרחי להירתם לפעולה. הם קראו לו לוודא שהארגונים אכן ידעו לאתר בזמן איומים משמעותיים, וידעו איך להיערך ואת מי להפעיל, כמו גם לוודא שכל אחד בארגון יודע את תפקידו. מתקפת סייבר היא אמנם טכנולוגית, אבל משפיעה על כל הארגון – החל מהעומד בראש הפירמידה ועד לאחרון העובדים.

השורה התחתונה: ישראל מייצאת טכנולוגיות סייבר למכביר לרחבי העולם. רצוי שאותם מוחות ששוקדים על הפיתוחים האלה יעשו גם משהו לטובת המולדת ויציעו לממשלה פתרונות שיוכלו לאפשר למנמ"רים לישון טוב יותר בלילה.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים