עו"ד אביב אילון: "שמירת ראיות בטרם אירוע אבטחה תעלה פחות מהנזק שבאירוע"

"יש כמה סיבות מדוע כדאי לשמור ראיות אלקטרוניות, אולם מעבר להיבטים המשפטיים לכך, כדאי לשמור ראיות בטרם קורה אירוע אבטחת מידע, כי הטיפול המקדים יעלה פחות מנזקי אירוע האבטחה עצמו", כך אמר עו"ד אביב אילון, מומחה לדיני משפט ואינטרנט.

עו"ד אילון דיבר בפורום CISO, מפגש מנהלי אבטחת מידע של קבוצת אנשים ומחשבים. המפגש התקיים אתמול (ב') במלון שרתון בתל אביב, והנחה אותו אופיר זילביגר, מנכ"ל SECOZ.

לדברי עו"ד אילון, "על מנת להיערך לאירוע אבטחת מידע, דרוש לדעת איך שומרים על ראיות. יש לדאוג לעריכת רישום של גורמי מפתח בארגון, תפקידם ואופן פעילותם בעת האירוע. יש לבצע תיעוד פיסי ודיגיטלי של האירועים. יש לוודא איתור של מקור הנזק ולבצע תיחום של הנזק כדי לשמור על המידע שלא נפגע". לדברי עו"ד אילון, "לצד טיפול בהיבטי האבטחה הפיסית, יש לערוך סקירה וניתוח של מידע מז"פי, משפטי. לצד זה, יש לבצע הערכת סיכון פעילות, כמו גם עדכון נהלים".

על פי עו"ד אילון, "כולם צריכים לשמור ראיות אלקטרוניות – רשויות ממשל וביטחון, ארגוני בריאות ופיננסים, מוסדות השכלה, חברות תעשיה וארגונים פרטיים".

ביצוע כלל הפעילות לפני שקורה אירוע אבטחת מידע, ציין, "הכוללות ייצור מערך מניעה, ניטור וניהול נכון – יביא לכך שהעלויות הללו תהיינה פחותות מאירוע אבטחת מידע. זה יביא ליעילות והוזלת עלויות, לצד תועלות נוספות: שמירה על קניין רוחני כמו גם סיוע לרשות האוכפת להוכיח בפני רשות שופטת שלא הייתה בארגון התרשלות".

"נדרש להכיר בארגון בצורך במדיניות מתאימה, בנהלים ובתהליכים", סיכם עו"ד אילון, "יש לבחור כלים ליישום והטמעה, מעקב פיקוח ותרגול הנושא. יש להכיר את החוקים הרלוונטיים. יש לדאוג לראיות בעלות משקל שתהיינה מהימנות ואמינות בבית המשפט. יש לוודא שהראיות נתפסות בחושים בלא תיווך. יש לדאוג לראיות לראיות, שלא יטענו שהן הושתלו. הדבר צריך להיות מתועד, שקיפות, מודעות, נהלים – כמו גם יישום, הטמעה ועדכון".

אופיר דוד, ראש צוות מודיעין סייבר, CyberHat, תיאר את טיפול החברה במקרה של אירוע סייבר. לדבריו, "על מנת להתמודד עם אירועי סייבר, חשוב ללמוד את זהות התוקפים, ללמוד את התנהלותם ולהגיב בהתאם. בכל צעד, יש לחשוב כמו במשחק שחמט, כמה צעדים קדימה". הוא הוסיף כי "התמודדות עם אירוע סייבר, היא היכולת להגיב – כפול זמן התגובה".

דוד תיאר מקרה בו הוא ואנשי צוותו התבקשו לסייע בעת מקרה חדירה למערך המיחשוב של ארגון גדול בבריטניה, ארגון גלובלי, הפועל ב-30 מדינות עם 200 סניפים. האירוע, ציין, כלל הכנסת מחשב בלתי מזוהה לדטה סנטר של הארגון, שרתים שנפלו בלא סיבה, שינויי סיסמאות ומניעת גישה לשרתים.

אנשי הארגון הצביעו על חשוד בשם ג'פרי, עובד שפוטר כמה ימים קודם לכן. אנשי סייברהאט בדקו את השרתים בהם ג'פרי היה מעורב בהם, הצליבו פרטים עם רשתות חברתיות בהן הוא היה פעיל והחלו בחסימתו בערוצי התקשורת השונים בהם הוא עבד מול מערך ה-IT בארגון שלו לשעבר.

תוך כדי העדכונים, תיאר דוד, "החלה התקפה – הפכנו לצוות תגובה. מישהו ששלט בשרתים מחק קבצים. חסמנו את התעבורה מולו, וגיליונו כי המחשב הנייד שלו הכיל כל מיני רכיבי מעקב וריגול, בעלי פוטנציאל לגרימת נזק".

"ככל שגילינו עוד ממצאים", סיכם, "הוא הבין ש'סוגרים' עליו ולכן באקט של ייאוש שלח מייל עם תוכן פוגעני. פזיזות זו הובילה לזיהוי כתובת ה-IP שלו למשך שתי שניות – וזה הספיק לאיתורו. לאחר מכן מחקנו את כל הסיסמאות הקשורות אליו, הקשחנו שרתים וביצענו את כל הצעדים הנדרשים. עלות אירוע האבטחה עמדה על מיליוני פאונדים – וניתן היה לצמצם עלויות אלו בביצוע צעדי מנע הנדרשים בעת עזיבת עובד".