הגנת סייבר מקצה לקצה על תשתיות ארגוניות

באפריל 2019 נתקף הסניף הישראלי של חברת ורינט, חברה המפתחת מוצרי סייבר ומודיעין. התקיפה טופלה בפרק זמן קצר, אך הותירה אחריה שובל של פגיעה קשה במוניטין החברה וצניחה מיידית בשווי מניותיה.

שנה לפני כן, באפריל 2018, בתקיפת סייבר סינית נפרצו מחשביהם של למעלה מ-30 תאגידים, חברות ענק (בראשן אפל, אמזון ובנקים מרכזיים), ארגונים ממשלתיים וצבאיים, ואף, ככל הנראה, מחשבי ה-CIA.

נדמה, כי בשני העשורים האחרונים, וביתר שאת בחמש השנים האחרונות, החלו להיאסף ולהצטבר אינסוף מקרים בהם הצליחו תקיפות סייבר לפגוע בחברות ובארגונים, פרטיים וציבוריים, גם בכאלו אשר טענו כי הם מוגנים מפני תקיפות סייבר, ומוכנים להתמודדות איתן.

במרבית התקיפות שבוצעו עד היום, לא זוהו התוקפים, אך תוצאות פעילותם ניכרה היטב בשיבוש יכולת הארגונים לספק שירותים ומוצרים ללקוחותיהם, פגיעה במוניטין ופגיעה כלכלית.

לעיתים זוהו התוקפים כגורמי פשיעה, אשר ניסו לעשות לכיסם, ולעיתים זוהו התוקפים כחובבנים, שביקשו לקצור תהילה או להוכיח את יכולתם. פעמים אחרות, היו אלו עובדים מהארגונים והחברות עצמם, אשר ביקשו להתנקם או לגרום לנזק בזדון מסיבות שונות.

במקרים אחרים בוצעו התקיפות על ידי ארגוני מחאה אקטיביסטיים, שביקשו להביע מחאה ולייצר שינוי בדעת הקהל ומקבלי ההחלטות. והיו כמובן תקיפות אשר זוהו כמגיעות מארגוני טרור וממדינות לאום, שתכליתן הייתה איסוף מודיעין או השגת הישגים מדיניים וצבאיים, כחלק ממערכה כוללת.

בישראל, בדומה למדינות אחרות בעולם, שוררת הדעה כי ההתמודדות עם איומי הסייבר הם נחלתו של איש/אשת מערכות המידע או איש/אשת אבטחת המידע (ה-CISO), אשר קיבל תקציבים לכך, ובאחריותו להביא וליישם טכנולוגיות וכלים טכנולוגיים לשם הגנה על הארגון.

כאן נדרש להדגיש, כי אירוע סייבר, המוכנות אליו והתמודדות איתו אינם נחלת אנשי אבטחת המידע אלא באחריותו הישירה של המנכ"ל, הנדרש לפעול על מנת להגן על הארגון מפני אירוע סייבר בכל רבדיו של הארגון – מגיוס המשאב האנושי והטיפול בו, הבנת נקודות הכשל הטכנולוגיות בתהליכים העסקיים, מודעות, מניעת גישה פיזית למערכות המחשוב, ועד היערכות ברמה האסטרטגית, נוהלית, משפטית וכלכלית.

עדות לאחריותו הישירה של המנכ"ל להיערכות ולניהול משברי סייבר היא בעצם העובדה שמנכ"לי חברות משלמים בתפקידם על משבר סייבר שפוקד את ארגונם, ואי יכולתם להיערך לו מבעוד מועד ולהתמודד איתו במהלך התקיפה. כך למשל, מנכ"ל חברת בת של חברת התעופה Austrian פוטר מתפקידו לאחר תקיפת סייבר שגרמה להפסד של כ-56 מיליון דולר, או מנכ"ל חברת אקוויפקס שפוטר, לאחר תקיפת סייבר קשה על ארגונו.

שלושה ממדים מרכזיים להתכוננות והתארגנות לקראת מתקפה

על מנת להתמודד מול איום הסייבר, נדרשים ארגונים, על גופיהם השונים, להתכונן ולהתארגן לקראת מתקפה בשלושה ממדים מרכזיים –

הממד הראשון הוא העמידות והמוכנות הארגונית. ביטויה של המוכנות הארגונית היא בהתוויית אסטרטגיה ארגונית, מגזרית ומדינתית, נהלים לאבטחת מידע, מודעות והתנהגות עובדים, פיקוח על סיכוני סייבר בתהליכים חוצי-ארגון (כדוגמת סיכוני שרשרת האספקה, הגישה הפיזית למערכות המחשוב, ניטור איום הגורם הפנימי ועוד), תרגול, סימולציות, וכלים נוספים.

פיתוח העמידות מתחיל בביצוע סקר סיכונים, המגדיר את התהליכים העסקיים הארגוניים, המערכות החיוניות לשירות התהליכים העסקיים, האיומים על המערכות ומכאן, את הפערים בהם יש לטפל – טכנולוגיים, ניהוליים וארגוניים.

עניין נוסף לו נדרש לתת את הדעת, לבקר אותו ולפקח עליו באמצעות תהליך סדור ומובנה, הוא סיכוני תקיפת הסייבר דרך שרשרת האספקה הארגונית, שהינה נקודת החולשה של הארגון, שכן הארגון אינו מבקר את ספקיו ואת המוצרים והשירותים המגיעים מהם, ודרכם עלולה להתרחש תקיפה על הארגון.

כל אלו נועדו לשם היערכות ארגונית מקצה לקצה לתקיפת סייבר, העלולה להתפתח לכדי משבר ארגוני, משקי/מגזרי או לאומי.

הממד השני הינו הטכנולוגי והשימוש במערכות אבטחת מידע טכנולוגיות, לשם ניטור מתקפות בזמן אמת, 24/7, התגוננות בזמן אמת בו מתרחשת תקיפה, וחזרה לשגרה מהירה ככל הניתן, ובנוסף, הגנה פיזית על מערכות המידע ומניעת הגישה אליהן (גם אם פתרונות האבטחה הם פתרונות בענן).

הממד השלישי הוא יכולתו של הארגון להתמודד ארגונית בזמן אמת עם התקיפה, להתאושש ולחזור לשגרת פעילותו מהר ככל הניתן, ועם נזקים מועטים ככל הניתן (כלכלית, מוניטין וארגונית). ממד זה כולל יכולות ונהלים של תרגול מנהלים ועובדים, מתודולוגיות לניהול סיכונים ומשברים, הבנת תהליכים עסקיים ומשמעות היפגעותם, מודיעין ושיתוף ידע בין גופים ועוד.

לסיכום, איום הסייבר אינו בלעדי לסוג כזה או אחר של חברות או ארגונים, והאמרות "לי זה לא יקרה" או "יהיה בסדר", מוכיחות שוב ושוב, פעם אחר פעם, כי מול איומי הסייבר אין להן מקום.

תקיפת סייבר אקראית או מכוונת על הארגון עלולה להתפתח במהירות למשבר ארגוני כזה אשר לא נצפה מראש על ידי ההנהלה שלו. היערכות לתקיפת סייבר ולמשבר אשר עלול לבוא בעקבותיה היא באחריותו האישית והישירה של מנכ"ל הארגון, ולא רק של מנהל אבטחת המידע. היערכות זו צריכה לכלול בעלי תפקידים שונים בארגון, כגון היועץ המשפטי, הדוברות, החשב, אנשי משאבי האנוש, קצין הביטחון (אם קיים) ועוד.

ההיערכות הארגונית לאיום זה נדרשת להתקיים בממדים ארגוניים, ניהוליים, תקשורתיים, טכנולוגיים, משפטיים, פיזיים ואנושיים. ראשיתה של ההיערכות היא בביצוע סקר סיכונים כולל, הבוחן את הפערים הארגוניים מול תהליכי הליבה העסקיים וההגנה הנדרשת עליהם. סקר הסיכונים והבנת הפערים הארגוניים, הניהוליים והטכנולוגיים יובילו לניסוח אסטרטגיה ארגונית ולתפירת פתרונות לניהול סיכוני הסייבר וההתגוננות הארגונית.

הכותב, סא"ל (מיל.) אייל פינקו, יועץ תחום הסייבר הימי במרכז הגנת הסייבר BDO ישראל, ישתתף בכנס Infosec 2019, שיערך בחודש הבא