22 נובמבר 2014 | סיגל רוסין ודניאל דור
איומי הסייבר: האם באמת ארגונים בישראל מתמודדים עם זה?

בדיחה רווחת בקרב מומחי הסייבר מספרת, כי אם היה מד מהירות שמודד את רמת ה"מוכנות לאירוע סייבר" שבארגון, המצב היה נע על הסקאלה שבין "רע" ל"רע בצורה קיצונית".

בדיחה רווחת בקרב מומחי הסייבר מספרת, כי אם היה מד מהירות שמודד את רמת ה"מוכנות לאירוע סייבר" שבארגון, המצב היה נע על הסקאלה שבין "רע" ל"רע בצורה קיצונית".

 

ארגונים רבים (עסקיים וממשלתיים) מתקשים "לעכל" את המשמעות של המונחים "מדיניות סייבר", "אסטרטגיית סייבר" ו-"התקפות ממוקדות Zero-Day". יתרה מכך, ארגונים רבים אינם מבינים, כי ההתמודדות עם אתגרי הסייבר לא מסתיימת בהטמעת מוצרי תוכנה של אבטחת מידע, אלא דורשת הסתכלות פנים ארגונית עמוקה על הגנת משאבי הארגון בכל מחזור חיי המידע. התוצאה של אי הבנה זאת, באה לידי ביטוי כאשר מקבלי ההחלטות מנסים לזהות את "חשיפת הסייבר" הארגונית (Cyber Posture), הם מתמקדים ברגולציות ובמרחב פתרונות טכנולוגיים, ופוסחים מעל זיהוי ומיפוי מרחב הבעיות והתרחישים הרוחבי.

 

חשוב להבין, שמכיוון שמדובר בתחום מדעי חדש יחסית (בן פחות מ-70 שנה), קיימות אי-הסכמות רבות לגבי הגדרות וגבולות הגזרה השונים בתחום. עם זאת, ננסה לעשות סדר קל במונחים השונים הסובבים את מילת הבאז "סייבר":

 

1. Cyber Terror

מתקפת או מלחמת סייבר, המנוהלת באמצעות ארגון טרור או כנופיה, כנגד מדינה או אוכלוסייה של מדינה כלשהי.

 

2. Cyber Warfare

התקפה או סדרת התקפות של מערכות מחשוב (או מערכות אחרות המנוהלות באמצעות מחשבים), אשר מבוצעות מצד מדינה תוקפת, קבוצות באותה מדינה או ארגון טרור, כנגד מטרות במדינה מותקפת (מערכות ממשלתיות או ביטחוניות, תשתיות לאומיות או פרטיות).

 

3. Cyber Crime

התקפה או סדרת התקפות של גורם כלשהו, על מערכות מחשבים כלשהן, אשר המניע שמאחוריהן הינו גניבה, הונאה, או כל טובת הנאה כספית אחרת.

 

4. Cyber Security

מתייחס להיבט הטכני של הגנת מערכות מידע, ללא קשר להיבט הרעיוני (פוליטי / פלילי / אחר).

 

5. Hacking

תקיפת מערכת מידע – מתייחס להיבט הטכני של תקיפת מערכות מידע, ללא קשר להיבט הרעיוני (פוליטי / פלילי / אחר).

 

במקביל למונחים שתוארו דלעיל, חשוב מאוד להכיר את סוגי התקפות הסייבר הנפוצות יותר, איתן מתמודדים מרבית הארגונים כיום:

 

1. DDOS–Distributed Daniel of Service Attack

התקפת מניעות שירות מבוזרת. התקפת DDOSהינה, הניסיון לגרום לשרתי VPS, אתרי אינטרנט או שירותים אחרים, להפוך ללא זמינים ע"י ניצול מרבי של אחד ממשאבי השירות (מעבד, זיכרון, רוחב פס וכו').

 

2. APTAdvanced Persistent Threat

מצב בו "שמים את הארגון על הכוונת", ותוקפים אותו ספציפית בצורה שיטתית ומתוחכמת, לאורך זמן. מדובר בתקיפות שמאחוריהן עומדים גופים עוצמתיים ובעלי משאבים גדולים במיוחד, שיכולים להרחיב את מאמציהם ולעשות זאת לאורך זמן (לדוגמא, מדינות או ארגוני טרור).

 

3. Zero Day Attack

מבוסס על פרצות אבטחה שקיימות במערכות מחשוב, אך אשר אינן מוכרות לארגונים עד 'יום האפס', כלומר עד היום שהן מגיעות לתודעה ציבורית (פרצות אלה לא ידועות ליצרן המערכות בארגונים ולא לצרכני המערכות). אחרי שפרצה כזו מגיעה לתודעת הציבור, החברה שיצרה את מערכת המחשוב, חברות ה-Anti-Virusוהצרכנים פועלים מיד לחסום אותה. בטוויסט "מעניין" של Zero Day Attack, האקרים רבים מציעים את הידע בנוגע לפרצת האבטחה בזירת ה-Dark Net, ובכך מפיצים את הידע הנכסף בין בעלי עניין נוספים.

 

4. Rootkit

ערכה (Kit) המכילה אפליקציות קטנות ושימושיות שמאפשרת לתוקף להשיג גישה לתיקיית ה-"Root" (שורש) של המחשב המותקף. במילים אחרות, Rootkitהינה אוסף של אפליקציות ופונקציות, אשר מאפשרים נוכחות קבועה ובלתי ניתנת לזיהוי של התוקף על המחשב של הנתקף. במרבית המקרים, מדובר באפליקציות אשר ממוקמות על המחשב ברמת ה-Kernel.

 

לאחר שהארגון (הממשלתי או העסקי) מזהה את כלל מרחב הבעיה והתרחישים בפניהם הוא ניצב, מוטלת עליו החובה להחליט מה יהיה תמהיל הפעילויות והפרויקטים האופטימאלי, שיצמצם למינימום את הסיכון בו מצוי הארגון (Risk Mitigation).

 

עד היום, חלק ניכר מהארגונים עושה שימוש בכלי אבטחת מידע מסורתיים, אשר כוללים תיקוף רציף של כלים אלה, ובדיקות חדירה שמבוצעות ע"י ספקים חיצוניים (Pen Test). מרבית כלי אבטחת מידע אלו, מתבססים על תשתיות הארגון ומודל 7 השכבות, בו לכל שכבה ברשת קיימות טכנולוגיות הגנה שונות. לדוגמה, לעמדות הקצה קיימת חבילת Endpoint Security, לרשת הפנים-ארגונית ישנה טכנולוגיה בשם NAC(Network access control), אשר מתקפת את הציוד המורשה להתחבר לרשת. בנוסף, קיימים כלים להרשאות וניהול זהויות העובדים והלקוחות כגון IDM(Identity & access management), כלי זליגת מידע ארגוניים בשם DLP(data leak prevention) ועוד כלים רבים אחרים.

 

במקביל, מתגברת בשנים האחרונות התופעה של שימוש באנליטיקה מתקדמת בעולם הסייבר. ארגונים רבים, בוחנים ומטמיעים כלי BIמסורתיים וכלי אנליטיקה מתקדמים, על מנת להתמודד עם אתגרי הסייבר. לדוגמא, קיימים כיום בשוק כלי אנליטיקה, אשר "עוקבים" אחרי כל ה"אירועים" אשר קורים בארגון (לדוגמא, כל המיילים שנשלחים ברחבי הארגון), ומזהים התנהגויות חשודות של עובדי ולקוחות הארגון. חשוב לציין, כי בכדי לממש אנליטיקה מעל ה"אירועים" הקורים בארגון, על הארגון להטמיע טכנולוגיות מסוג Big Dataשתומכות ביכולות אנליטיקה אלו.

 

ניתן להגיד בביטחון רב יחסית, כי ארגונים רבים (אשר נמצאים ב"קבוצת הסיכון"), מימשו כבר חלק ניכר מיכולות אבטחת המידע המסורתיות, ומשקיעים כיום יותר ויותר בפתרונות אבטחת מידע מודרניים, אשר כוללות שילוב משלים של טכנולוגיות BI, Big Data ו-Event Streaming Processing.

 

ברור מאליו, כי בכדי להתמודד עם אתגרי הסייבר הרבים הניצבים היום בפני ארגונים, עליהם לנקוט בגישה משולבת אשר כוללת שינויים בנושאים הבאים:

 

1. תמיכה אסטרטגית של ההנהלה – העומדים בראש הארגון חייבים להעלות את נושא אבטחת המידע לראש סדר העדיפויות. ברור מאליו, שהדבר צריך להיעשות במסגרת של תוכנית ניהול סיכונים, וכל השקעה של משאבים ביכולות אלה דורשת השוואה לכמות הנזק הפוטנציאלי, אשר יכולה להיווצר כתוצאה מאי-השקעה ביכולות אלה. בהקשר זה, האיום על ארגוני ממשל ועל תשתיות של מדינה, הינם יקרים לאין שיעור מכל איום אחר.

 

2. הגדרת "מדיניות הסייבר" – ברור מאליו כי התמודדות עם אתגרי הסייבר הינם רציפים וממושכים. ההתמודדות עם האתגר דומה מאוד לתהליך "ניהול קרב": זיהוי המצב, מיקוד המשאבים ויכולות הזיהוי בחלק מאתגרי הסייבר, זיהוי כל חלופות הפעולה האפשריות, החלטה על החלופה העדיפה, הוצאה לפועל של החלופה וזיהוי התוצאה של הטמעת החלופה (וחוזר חלילה).

 

3. ניהול רוחבי של אבטחת מידע – ארגונים רבים מביאים בימים אלה בעלי מקצוע וגופים רלוונטיים בכדי להתמודד עם האתגר: CISO(Chief Information Security Office) או CSO(Chief Security Officer). בעלי מקצוע וגופים אלה, הינם ברובם גורמים מקצועיים מאוד בתחום אבטחת המידע, אולם לעיתים בעלי ידע חלק או בסיסי בביזנס הארגוני. כמו כן, לעיתים הם מקבלים הרשאות או יכולות מעטות מדי, אשר לא מאפשרים להם לזהות את מרחב הבעיות והאתגרים אשר בפניהם הם עומדים. לפיכך, יש לוודא כי הארגון נותן לגורם האמון על אבטחת המידע את הכבוד והמשאבים הראויים לתפקיד (כל זאת כמובן במסגרת ניהול הסיכונים הארגוני).

 

4. שימוש בקטלוגי אבטחת מידע – בכדי לזהות את יכולות האבטחה הנדרשות לארגון, הארגון חייב למפות באופן אפקטיבי את האתגרים בפניהם הוא ניצב. מיפוי אפקטיבי דורש שימוש בידע רחב שנצבר בעבר בגופים ממשלתיים ועסקיים שונים ברחבי העולם. על הארגון או הממשל לאמץ גישה של שימוש בקטלוגי אבטחת מידע, אשר יסייעו לו בזיהוי כל האתגרים לפניהם הוא עומד.

 

לסיכומו של עניין,חשוב לזכור שאיומי הסייבר על הארגון נמצאים עמוק בתוך תחום "ניהול הסיכונים הארגוני והמדיני". כמובן, שחשוב להדגיש את איומי הסייבר שמוגדרים כ"סכנה על הביטחון הלאומי". באופן טבעי, ישנן דעות שגורסות כי ישנם הרבה אנשים שיכולים לגרוף רווח מסיפורי ההפחדה על סכנות הסייבר (כגון, ספקים ויצרנים בתחום האבטחה). מצד שני, ישנם כאלה הטוענים, כי מדובר באחד האיומים הגדולים ביותר על האנושות, וכי סביר מאוד שבאחת המלחמות הבאות, נראה מדינה כלשהי משותקת רק בגלל מתקפת סייבר...

תגובות
הוסף תגובה

* אין לשלוח תגובות הכוללות מידע המפר את תנאי השימוש של StartIsrael לרבות דברי הסתה, דיבה וסגנון החורג מהטעם הטוב.