בועז דולב, CyberVision: "ההתמודדות עם אירוע קיברנטי שונה ומורכבת מ-DRP 'רגיל'"

"התמודדות עם אירוע שנגרם כתוצאה מתקיפה קיברנטית שונה מהותית מאירוע 'רגיל' – רעידת אדמה, טילים, הצפה ועוד. אז, קיימים מנגנוני DRP מוכרים שמסוגלים להחזיר את מערכות המחשב לעבודה סדירה בתוך זמן קצר ביותר. באירוע קיברנטי, לעומת זאת, התמודדות הארגון מסובכת יותר ודורשת בניית מתודולוגיית BCP חדשה", כך אמר בועז דולב, מנכ"ל CyberVision.

דולב, לשעבר מנהל ממשל זמין במשרד האוצר, דיבר בכנס BCP2011, הוועידה המרכזית לנושא היערכות לקראת אסונות והמשכיות עסקית. האירוע נערך בסוף השבוע במרכז הכנסים אבניו שבקריית שדה התעופה. הוא הופק על ידי אנשים ומחשבים, הנחה אותו יהודה קונפורטס, העורך הראשי של הקבוצה, והשתתפו בו מאות מקצוענים מהתחום.

לדברי דולב, CyberVision מתמחה ביצירת מערכי הגנה והתמודדות עם איומים קיברנטיים. הוא ציין, כי "בניית מתודולוגיית BCP חדשה כוללת כמה רכיבים: בראש ובראשונה פיתוח יכולת הבנה שהותקפת, הבנת המתקפה, יצירת פתרון 'זמני' מהיר, העלאה חלקית של המערכות וטיפול 'שורש' במתקפה, סיבותיה ותוצאותיה". על פי דולב, חברות שלא פועלות כך "ימצאו את עצמן מותקפות שוב ושוב, ללא יכולת התמודדות אמיתית עם תקיפות מסוג זה".

הוא אמר, כי המועמדות הראשונות לתקיפה הן חברות שפעילותן מבוססת ווב, דוגמת וואלה!, Ynet, אמזון (Amazon), ספקי אינטרנט, רשמי שמות מתחם, ספקי אירוח, בנקים מקוונים, חברות כרטוס, רשתות חברתיות וספקיות דואר אלקטרוני מבוסס רשת, כגון ג'י-מייל (GMail) והוטמייל (Hotmail). לדבריו, גם חברות שמבססות חלק מפעילותן העסקית על הרשת חשופות למתקפה כזאת, בהן בנקים, חברות תעופה וחברות תקשורת.

דולב הוסיף, כי תוכנית המשכיות עסקית לארגונים בשל מתקפה קיברנטית צריכה לכלול התייחסות לכמה היבטים: תקיפות DoS; תקלות או הפסקת הפעילות במערך האירוח או במיחשוב ענן; תקלות במערך הסליקה המקוון של ספק הסליקה; תקלות של ספק התקשורת לספק האירוח או הענן; וכן פריצה לבסיסי הנתונים של החברה אצל ספק האירוח, פגיעה בהם או גניבת מידע.

תקיפות למניעת שירות (DoS) מונעות, לדבריו, גישה לחברה. "זה נעשה על ידי כך שהן תופסות את צינור התקשורת ומאטות את עבודת שרתי החברה על ידי משלוח של אלפי או מיליוני שאילתות. אלה עלולות לגרום לקריסת שרתי החברה". לכן, אמר, "נדרש לבצע ניתוח סיכונים ולבחון מהו פרק הזמן המרבי שהחברה תוכל לסבול תקיפה שכזו ומהו הנזק שייגרם לה בהשבתה לפרקי זמן של שעות, ימים או שבועות". כפתרונות אפשריים למצב הוא ציין ספקי Caching, שכפול מערכות, שכפול אתרים, הכנסת מערכות להתמודדות מול תקיפות DoS והקשחת מערכות קיימות.

הדרך להתמודדות עם תקלות או הפסקת פעילות במתכונת אירוח או ענן היא "גיבוי סדיר של הנתונים הקיימים בענן – בשרתי החברה, ולא רק בענן", אמר. בנוסף, ציין, יש לבצע ניתוח סיכונים ולבחון מהו הסיכון באובדן נתונים חלקי או מלא של המידע בענן וכן מהו הנזק שייגרם לחברה בהשבתה של ספק הענן לפרקי זמן מסוימים. הפתרונות האפשריים לכך הם, לדבריו, התקשרות עם שני ספקי ענן, שכפול מערכות ושכפול אתרים.

"מתקפות APT – רציניות יותר מהמוכר"

נושא נוסף שדולב התייחס אליו בדבריו הוא מתקפות ה-APT (ר"ת Advanced Persistent Threat). מדובר במתקפות רציניות יותר מהמוכר, ארוכות טווח, בעלות רמת תחכום גבוהה בכלי התקיפה וביכולות התוקפים. "חברות החשופות לאיומי APT ול-Ms-APT הן חברות שרשתותיהן הפנימיות מחוברות באופן ישיר או חלקי לאינטרנט לכמה מטרות: לבצע טרנזקציות עסקיות; לקבל ולשלוח דואר אלקטרוני; לאפשר לעובדיהן גישה לאינטרנט; ולקשר בין מערכות מידע פנימיות לחיצוניות", אמר.

דולב ציין, כי "במרבית החברות, הסיכון הוא כפול – קיימת אפשרות לפגיעה הן במערכים העסקיים המקוונים והן במערכות הפנימיות שלהן". לדבריו, דרכי הטיפול באיומים אלה כוללות מיפוי התהליכים העסקיים הקריטיים לארגון ודרך המימוש שלהם במערכות מחשב; מיפוי הממשקים לגופים חיצוניים; מיפוי נקודות התורפה של הרשת הפנימית וניהול הרשאות בארגון; שרידות למערכות המחשב בהיבטי סייבר; שרידות הדטה סנטר; שרידות התהליכים העסקיים בעקבות פגיעת סייבר; ויצירת מערך ניטור ו-DLP (מניעת דליפת מידע) לחברה.

הוא המליץ להקים מערך Cyber-BCP גם לחברות שרשתותיהן הפנימיות אינן מחוברות לאינטרנט. זאת, "מתוך הנחה שניתן לבצע תקיפת סייבר במגוון דרכים, חלקן עקיפות לחלוטין".

דולב סיכם את דבריו באמרו, כי "מוצע לכל חברה וארגון לבצע היערכות להתמודדות עם תקיפות סייבר. ההתמודדות מחייבת בניית מתודולוגיות ודרכי התמודדות חדשות למערך Cyber-BCP. קיימים מספר אלמנטים 'פשוטים' וזולים יחסית שמאפשרים התמודדות מהירה עם תקיפות סייבר. הזמן לתחילת ההיערכות הוא אתמול".