איך מתמודדים עם כופרות?

בחודשים האחרונים נכנס ללקסיקון עולם הסייבר ואבטחת המידע המונח "נוזקת כופר" או "כופרה". הכוונה היא לניסיונות של האקרים לחדור למערכות מחשוב של ארגונים או אנשים פרטיים, לשים יד על מידע רגיש ולנסות לסחוט את מושא התקיפה.

במבט ראשון נראה שאין כאן שום חידוש לעומת פשעי סייבר אחרים – נוזקות היו ויהיו חלק גדול מהאתגרים איתם מתמודדים עולמות אבטחת המידע והסייבר.

זוהי התמודדות בלתי פוסקת, שאין בה לעולם מנצחים או מפסידים חד משמעיים. היא מתנהלת בסבבים שונים, כאשר לפעמים ידם של התוקפים על העליונה ובפעמים אחרות, המותקפים יודעים היטב לסתום את הפרצות.

אבל בכל זאת יש כאן חידוש, או יותר נכון מגמה: ראשית, אם בשנים האחרונות היו הרבה מאוד מתקפות סייבר שהמניעים שלהן היו אידיאולוגיים, פוליטיים או לא מוסברים, הרי שבעתיד הקרוב, כך על פי הערכות מומחים, השימוש בסייבר למטרת סחיטת כספים ילך ויעלה.

התקיפות הללו, שהמניעים שלהן כלכליים טהורים, יכולות לשרת קשת רחבה מאוד של פורצים – החל מגורמי פשע דרך בעלי אינטרס כלכלי או מסחרי בגוף מסוים ועד להאקרים משועממים שמצאו דרך קלה לנסות ולהתעשר.

המניעים הכלכליים למתקפות סייבר – גם הם לא דבר חדש והיו קיימים תמיד. בין אם כשהיו פופולריות הפריצות לשם הפריצות, השתלת הווירוסים והנוזקות כדי לצבור קרדיט, להוכיח לארגון עד כמה הוא פרוץ או סתם להפיג את השעמום, ובין אם בתקופה האחרונה, של התקיפות האידיאולוגיות והפוליטיות. אלא שבזמן האחרון יש מי שדואג לייחצ"ן את התופעה. המומחים מזהירים מפני גל של נוזקות שיש ביכולתן להשבית מערכות קריטיות בארגונים, ושאם הם ירצו לשחרר אותן ולא ינטרלו את האיומים בזמן – יהיה עליהם לשלם הרבה כסף. הדבר רלוונטי במיוחד לארגונים גדולים, משום שנראה שההאקרים וארגוני הפשיעה הגיעו למסקנה שעדיף להשקיע מאמצים רבים יותר בניסיונות חדירה אליהם מאשר להציק לאנשים פרטיים או גופים קטנים. עניין של רווח והפסד, כנראה.

אז מה עושים?
הגנה על מערכות המידע ומערכות קריטיות בארגון היא תורה ישנה שכל מנהל אבטחה מכיר וכל מנהל מודע לה, או לפחות אמור להיות מודע. הביצועים תלויים במידת הרצינות שהארגון מייחס לאיום – רצינות שצריכה להיות מתורגמת לשחרור תקציבים ומשאבים. מלחמת המוחות היא כאן שם המשחק, ויש חברות שמצאו פתרון ומציעות אותו לשוק.

אבל יש זווית אחרת, שכבר נדונה במדור זה בעבר. פחות אוהבים לדבר עליה אבל היא קיימת ומוטב שתהיה מודעות: מה עושים כאשר מזהים שהתוקפים עשו עבודה טובה לשיטתם והם עלולים לשבש את פעילות הארגון? האם לשלם? האם לנהל משא ומתן? האם לקחת סיכון מחושב?

התשובה הראשונה שאולי עולה בראש היא ראשית ללכת למשטרה. זו עצה טובה ונכונה במידה שיש את מי לתפוס, אלא שברוב המקרים, זהות התוקפים לא ידועה, ולכן הדילמה היא קשה יותר וגם מסוכנת. זוהי סיטואציה טיפוסית של ניהול סיכונים, שכן המותקפים מודעים לכך שיש בידי התוקפים מידע ושהם פרצו למערכות קריטיות, ואם הם לא ישלמו – ייעשו צעדים קשים לארגון. אלא שהקושי בזיהוי הוא גדול וזה יכול לקחת לפעמים חודשים, בעוד שלתוקפים יש פתיל קצר.

בכנס CyberSure של אנשים ומחשבים, שנערך בנובמבר האחרון, דיבר עו"ד מוטי קריסטל, מומחה למשאים ומתנים עם גורמים שמנסים לסחוט כסף מהארגון באמצעות תקיפות סייבר. עו"ד קריסטל אמר שהשיקולים של ארגון איך לנהוג הם חלק ממערכת של ניהול סיכונים והערכת מצב. הוא דיבר על החשיפה והשלכותיה, והביא כדוגמה את הארגונים הפיננסיים: כמו כל גוף עסקי, הם מבוססים על האמון של לקוחותיהם. המחשבה הראשונית אומרת שגוף פיננסי יפעל נכון אם יפנה למשטרה, אלא שהתוצאה של החקירה יכולה להיות קריסה שלו או חשיפה לאלפי תביעות אישיות.

השורה התחתונה: הטיפול בכופרות הוא שילוב של היערכות טכנולוגית נכונה, עדכנית ובלתי פוסקת, בדיוק כמו שמגנים על גבולות המדינה, עם קריאה נכונה של המצב, הערכת סיכונים ויכולת לנהל משא ומתן, כדי למזער את הנזק ככל שניתן.

עד כמה המחסור במהנדסים אמיתי?

במסגרת יום המדע שנערך השבוע עלה לדיון הנושא של מחסור במהנדסים בתעשיית ההיי-טק. המספר הנטען, שיש עליו חילוקי דעות, הוא 8,000 בשנה. לעומת זאת, יש בקרב העוסקים בכך הסכמה על שני דברים: הראשונה היא שמדובר במחסור קריטי ושבעתיד הוא יהיה אפילו גורלי לגבי עתידן של לא מעט חברות. אבל יש גם הסכמה שנייה, שלפיה יש כיום עתודות כוח אדם שיכולים לגשר על הפער הזה – לפחות עד שבני הנוער והסטודנטים ישלימו את לימודי חמש יחידות הלימוד במתמטיקה בתיכון והלימודים האקדמיים הרלוונטיים.

במסגרת הדיון, שנערך בוועדת הכלכלה של הכנסת, טענו חברים בוועדה בפני נציגי החברות שיש בישראל מספיק מהנדסים ובעלי מקצוע שיכולים למלא את המחסור – שעברו את גיל ה-40 וחלקם אף את גיל ה-50. חברי הוועדה אמרו לאנשי התעשייה שמצד אחד יש 8,000 משרות פנויות ומצד שני יש אנשים שמתאימים לתפקידים המוצעים אבל אין להם עבודה.

מדינת ישראל הקטנה לא יכולה להרשות לעצמה לברור רק את הצעירים, וצריך לעשות מאמצים ולבדוק איך משלבים את אותם בני ה-40-50. חלק מהם אולי לא יודעים את שפות התכנות ואת המגמות החמות ביותר, אבל אף אחד לא נולד עם זה, כלומר – אפשר להכשיר אותם. ואמנם, האפשרות הזו הוצעה במהלך הדיון.

המחסור אל מול שילוב בני הגילאים הגבוהים יותר זה דבר לא חדש וגם ראשי איגוד תעשיות ההיי-טק מודים בכך. הם מנסים לשכנע את חבריהם להעסיק את אותם בני 40-50.

העניין דורש גם פתרון לעלות השכר של אותם מהנדסים בוגרים. זהו המקום שבו המדינה יכולה להתערב, על ידי מתן תמריצים ואולי השתתפות בעלות השכר לאותם מעסיקים שיעסיקו אותם. ולא רק אותם, אלא גם חרדים, נשים ובני המגזר הערבי.

יש חברות שקלטו את הפוטנציאל ומעסיקות גם עובדים ממגזרים אלה, אבל הקצב איטי ולא  עונה על הצרכים הדחופים. אם בממשלה אמנם יקחו את הנושא ברצינות וישבו על המדוכה, יש סיכוי שבקרוב יימצא פתרון גם לתעסוקה של העובדים הבוגרים והמנוסים, ובני המגזרים האחרים.