10 הדיברות ליישום מיידי בהגנת סייבר

כולנו מכירים את סרטוני הטבע שבהם אריה לוכד וטורף בעל חי. כשמנסים לנתח את התופעה מבחינים שכמעט תמיד לקורבן הייתה חולשה מסוימת. ייתכן שהוא רק נולד ועדיין צעיר, ייתכן שהוא מבוגר ומתקשה לרוץ במהירות מספקת, ואולי חוסר ריכוז גרם לו להתרחק מהלהקה, מה שהותיר אותו בנחיתות מול האריות. כלומר גם מלך החיות בדרך כלל לא תוקף את בעל החיים החזק כשהוא מרוכז וערני, הוא ממתין לחוליה חלשה ולרגע המתאים.

כך זה גם בעולם הסייבר, אתה מכין הגנות מסוימות, מבצע רכש יקר, אבל אולי אתה לא מודע לכך שמערכות מתוחכמות סורקות את הארגון ללא הרף. ברגע של חוסר ריכוז או ערנות מופחתת, לדוגמה עבודה מרחוק באופן לא מאובטח בגלל צורך עסקי ושהייה במקלט, אי עדכון של ממצא קריטי בגלל שהצוות הטכני לא יכול היה להגיע לעבודה, ואז ההזדמנות מנוצלת והתוקף חודר ומשאיר Back door קבוע למתקפות עתידיות.

האחריות – על החברות

אלו החיים, אבל הנקודה היא, שבשנה האחרונה הרגולטורים מטילים על החברות את האחריות לנושא, כולל ענישה. כלומר מעבר לתסכול, לאובדן ימי עבודה בגלל כופרה מסוימת, לפגיעה תדמיתית בגלל פרסום שלילי, הרי שבסוף כל אירוע מגיע החלק השני המרתיע יותר, והוא כולל את הרגולטורים והלקוחות.

לדוגמה, חברה שהיא ספק של חברה אמריקנית עלולה לקבל מסמך משפטי על הפרת תנאים מהותיים בהסכם ועל סיכון שיתוף הפעולה. לפיכך המשך הפעילות כרגע מוקפא עד לסיום בירור המקרה. ארגונים רבים עומדים ב-SOC2 ומחויבים לדווח ללקוחות ולספקים על אירוע סייבר שאירע אצלם. בנוסף, רגולציית NIST 800-171 שעוסקת בשרשרת אספקה, והגרסה המחמירה שלה CMMC למי שפועל מול גופי ביטחון אמריקניים, מחייבת את הלקוחות האמריקנים הללו להגיב בתקיפות לספק שעבר אירוע סייבר.

"במהלך המלחמה, מרבית העסקים היו סגורים, אבל מערכות המחשוב היו פעילות. אנשים התחברו מהבית ועבדו תוך שהם מתמקדים בביצוע המטלות ההכרחיות תחת הלחץ מסביב. כתוצאה מכך חברות רבות הותקפו, עובדים רבים נפלו קורבן למתקפות פישינג מתוחכמות ועסקים קטנים רבים סבלו מפגיעה או ששילמו כספים. חלק מהחברות הללו מספקות שירותים לחברות אחרות, וכך אנו נכנסים לסוגית אבטחת מידע בשרשרת האספקה"

נשאלת השאלה, הרי יש 40,000 פגיעויות חדשות מדי שנה, מה אנו יכולים לעשות כחברה? והתשובה? כמו תמיד, עמדו בתנאי הרגולציה, ובנוסף – הגדילו ראש.

ISO 27001 הוא דבר נהדר, אבל אם תותקף, איש לא יתבע אותך. אבל אם יזלוג מידע רגיש, אז החל מ-14 באוגוסט שנה הזו, תהיה חשוף לתביעות בארץ הקודש. גם באירופה אתה עשוי להיות פגיע מבחינת GDPR, NIS2 החל מאוקטובר, DORA אם אתה גוף פיננסי באירופה, CCPA אם הלקוח במערב ארה"ב וכו'.

אז מה עלינו לעשות?

להלן 10 דיברות שכדאי ליישם בהקדם האפשרי:

1. ביצוע פגישת הנהלה ביחד עם מנהל אבטחת מידע, היועץ המשפטי ורואה החשבון, על מנת לאמוד את החשיפה והסיכונים מול הרגולטורים השונים וכדי לתכנן תוכנית פעולה.
2. הכנת פגישה עם הדירקטוריון כדי להציף את האיומים. זה גם נדרש מבחינת ביטוח הדירקטורים.
3. דרישה מחברת SOC להיות בערנות גבוהה ביותר בכל הקשור לענן, להתרעות ב-0365 ולהתרעות מה-EDR במחשבים.
4. לוודא שיש תוכנית של היערכות לטיפול באירוע חירום, Incident response, זה חיוני וגם מהווה תנאי בביטוח סייבר.
5. מי שטרם הכין, אז בהקדם האפשרי להכין תוכנית BCP (המשכיות עסקית). זה גם נדרש כחלק מביטוח הסייבר.
6. ניטור בפיירוול ובמסדי הנתונים אחר תעבורת מידע חריגה. זה נשמע מיותר, אבל תמיד בתחקיר אירוע חשוב לדעת האם זלג מידע מהארגון. בהקשר זה לבדוק האם ישנם שירותים מיותרים שעדיין פתוחים לעולם, נניח שרת FTP שעדיין פעיל.
7. הגבלת Geo location מחמירה ככל האפשר במסגרת הפעילות העסקית, כך תקטינו את מספר המדינות שמהן ניתן לפנות ולתקוף את הארגון.
8. כל בעלי התפקידים הבכירים בארגון קחו בחשבון שקל לאתר אתכם, נניח בלינקדין ואתם יכולים להיות וקטור חדירה איכותי לארגון. להיזהר מאוד ממקרי פישינג ולדווח על כל חשד, וכמובן הקפידו שכל חיבור מרחוק מחייב אימות כפול. לא לוותר בנושא בכלל!
9. מנו מנהל אבטחת מידע – CISO – במשרה מלאה או חלקית. להזכירכם – זו חובה הכרחית עבור חלק גדול מהחברות במשק.
10. בצעו מיפוי פנימי של מידע רגיש לפי הגדרתו בחוק. היכן הוא מאוחסן? האם הוא נדרש עדיין? למי יש גישה אליו? והקשיחו בהתאם.

במהלך המלחמה, מרבית העסקים היו סגורים, אבל מערכות המחשוב היו פעילות. אנשים התחברו מהבית ועבדו תוך שהם מתמקדים בביצוע המטלות ההכרחיות תחת הלחץ מסביב. כתוצאה מכך חברות רבות הותקפו, עובדים רבים נפלו קורבן למתקפות פישינג מתוחכמות ועסקים קטנים רבים סבלו מפגיעה או ששילמו כספים. חלק מהחברות הללו מספקות שירותים לחברות אחרות, וכך אנו נכנסים לסוגית אבטחת מידע בשרשרת האספקה.

השלב של הפסקת אש ותחושה של מעבר להפסקת אש מחזיר אותנו במהירות למציאות. יפה עושה הממשלה שמציגה הצעה של תקנות שעת חירום (סמכויות נוספות לשם התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים ושירותי האחסון). חשוב שמערך הסייבר יהיה מעורב ויסייע לארגונים שקיים חשש למתקפת סייבר נגדם ושלא נתנו מענה מתאים בהתאם לסעיף 3(3) בחוק "התמודדות עם תקיפות סייבר חמורות במגזר השירותים הדיגיטליים". במילים אחרות, מערך הסייבר יוכל לחייב את הספק לבצע פעולות לאיתור התקיפה ובלימתה. באופן הזה המדינה מעלה שלב ומתחילה להפגין מעורבות מעמיקה יותר בהגנת הסייבר.

לסיכום, השתדלו ליישם את עשרת הדיברות שציינתי למעלה, זה עשוי לחסוך כאבי ראש רבים.

הכותב הוא, מנכ"ל חברת מדסק מקבוצת SQLink.