עלויות פשעי הסייבר נאמדות ב-450 מיליארד דולרים בשנה
מאת: חיים חביב, 18.12.17, 23:23

כיצד שומרים על חסינות עסקית בעיצומו של אירוע סייבר? ארגונים נדרשים כיום להתמודד עם כלי תקיפה, ששימשו מעצמות, ולהיערך לדברים, שאינם מכירים. וגם, תעשיית ההאקרים מגלגלת פי 2 מתעשיית הסמים.

חברת אורקל (Oracle) ישראל קיימה היום במשרדיה בפתח תקוה מפגש מומחים תחת הכותרת Cyber Resilience, ובמילים אחרות: כיצד שומרים על חסינות עסקית (בארגון) בעיצומו של אירוע סייבר? מדובר בכנס ראשון מסוגו בישראל, שהוקדש כולו ל-Cyber Resilience ועורר ענין מיוחד על רקע המתקפות הגדולות שנחשפו לאחרונה (Uber, Deloitte ואחרות) ולקראת כניסת תקנות הפרטיות החדשות של האיחוד האירופי ,(GDPR) שתשפעה גם על ארגונים ישראלים.

בכנס נטלו חלק דוברים בכירים של החברה ושותפיה בישראל מהארץ ומחו"ל, ובהם גם נציג בכיר של אגף ה-CERT ברשות הישראלית הלאומית להגנת סייבר. פתחו את האירוע מני מלר, טכנולוג ראשי באורקל ישראל, ונטליה דיסקין ,מנהלת תחום אבטחת מידע בחברה. נמסר, שעלויות פשעי הסייבר בעולם מוערכות בכ-450 מיליארד דולרים בשנה.

אלי עמר, (בתמונה למעלה), טכנולוג הגנה ראשי באגף ה-CERT ברשות הסייבר הלאומית ודובר מרכזי בכנס: "ישנה זליגת כלים מהעולם המעצמתי לעולם פשעי הסייבר. אנשים, שפיתחו כלי תקיפה אגרסיביים עבור מדינות, יודעים אח"כ להסב אותם לעולם פשעי הסייבר, והארגונים (האזרחיים) נדרשים לפתע להתמודד עם כלי תקיפה מעצמתיים (כמו APT's), להיערך מול אמצעים ואיומים מתקדמים, שאינם מכירים, וגם לדעת לפעול באופן מושכל.

יש צורך בשיתוף מידע, לכאורה, בניגוד ל'איסטינקט העסקי': בעולם ההגנה אנו נמדדים על שיתוף המידע. אם אשתף אתכם מידע ולא תדעו מה לעשות אתו, או אם אשתף אתכם במידע שעה אחרי ההתרחשות, כנראה, שלא עמדתי בהגדרת השיתוף.

גם גופים מתחרים כמו הבנקים בישראל, משתפים מידע, כי כולם מבינים את הצורך החשוב בשיתוף. ה-CERT הישראלי מקושר ל-50 מדינות במערכת בינלאומית, שמאפשרת לשתף מידע עם גורמים מורשים בחו"ל.

יש 3 שכבות במערך האבטחה של ארגונים: שכבת העמידות, שכבת החוסן ושכבת הגנה. בשכבת החוסן (resilience) נדרש המנמ"ר לדבר בשפה של מנהל אבטחת המידע, אבל גם שהמנהל העסקי ידבר בשפה של מנהל אבטחת המידע.

אני קורא לארגונים להתאים את היכולות ההגנתיות שלהם ממשהו אד-הוק ל-DNA הארגוני. החלק הטכנולוגי בתוך מתקפת סייבר הוא קטן. אנו יודעים להתמודד עם מערכות מידע אבל האם די בכך? לצערי, לא. יש תקיפות הגורמות לפגיעה בארגון ובתדמיתו.

כיוון שמנהל אבטחת המידע (CISO) יושב לרוב תחת התפעול בארגונים, כיצד יוכל לדבר ולהכווין תהליכים בזמן חירום כשכולם בפאניקה? כשמפסידים כסף? כשיש איום של פגיעה תדמיתית? למצב כזה צריך להתכונן מראש.

שכבת החוסן מתייחסת לפרק זמן מאוד מצומצם בעיצומו של אירוע סייבר, וצריך לדעת מראש: מי האנשים הרלוונטיים, שישבו סביב 'השולחן העגול' (מנכ"ל, מנמ"ר, דובר, יועץ משפטי וכו'), מה הם התהליכים שיתקיימו, מי הם האנשים בעולם הטכנולוגי, מה המשמעויות שתגענה למנהלים ועוד. ארגון צריך להניע 'שעון לחימה' ולייצר תהליך של חזרה לשגרה (צמצום נזקים כלכליים, תדמיתיים)".

לוקה מרטלי (Luca Martelly), (בתמונה משמאל), דירקטור אבטחת מידע של אורקל באזור EMEA: "המאמץ כיום מתמקד ב-2 מישורים עיקריים - כלים טכנולוגיים ומודל האחריות המשותפת בין ספק הענן לבין הלקוח. הלקוחות היום, גם מסורתיים הנחשבים לארגוני On premise, עובדים לעיתים בסביבה של מספר דאטה בייסים: אחד על שרתי הארגון, ועוד מספר נוספים של ספקי ענן שונים (בין אם במערכות לניהול משאבי אנוש, CRM, מערכת מיילים בענן, וכד') - סביבה מורכבת מאד ולא פשוטה לניהול. איך מאבטחים את כל זה?

הגישה של אורקל מטפלת מרמת הסיליקון ועד לאפליקציות, ולאחרונה אף עשתה צעד משמעותי עם השקת הדאטה בייס האוטונומי הראשון בעולם של אורקל, מבוסס ML (לימוד מכונה), שמונע טעויות אנוש, מתחזק את עצמו, עושה patching לעצמו וגם מאבטח את עצמו. גם שילוב של כלים מעולמות ה- AI ו-ML מספקים מודיעין נוסף, כיוון שהם יודעים לזהות איומים חדשים על בסיס איתור התנהגות חריגה של משתמשים ברשת. כך, ה- Oracle Identity Security Operations Center לומד התנהגויות בארגון ויכול להתריע על כל חריגה בהתנהגות של משתמש".

שחר מאור, מנהל אבטחת מידע בחברת Outbrain, הסביר כיצד שומרים בארגון על "שפיות אבטחתית" בתוך המורכבות התוססת של הארגון והענן, כלומר: איך למצוא את האיזון בין חברה צעירה, ש"חיה ונושמת ענן", לבין שמירה על המערכות ונכסי המידע. הוא תיאר את הגישה, שפיתח באאוטבריין, ולפיה לעובדים יש חופש לעבוד עם הכלים הדרושים להם ביומיום, ועם זאת, הם חלק ממערך ההגנה על הארגון, בגישת "כל עובד הוא Firewall קטן וכולנו Firewall איתן".

נטליה דיסקין: "תעשיית הפצחנים (האקרים) מגלגלת כיום בערך פי 2 מתעשיית הסמים: אנו מתמודדים עם פשע המאורגן היטב וממומן היטב. זו התמודדות עם אנשים מאוד מקצועיים. לכן, צריך כיום לדעת להתמודד עם איומי סייבר מתקדמים בכל מיני רמות, ולא רק ברמה הטכנולוגית אלא גם במישור של מתודולוגיה, חינוך עובדים, איך להמשיך עסקים כרגיל, איך מייצרים חזרה לשגרה ואיך לצאת מהמתקפה בצורה הכי מהירה תוך מזעור נזקים ככל האפשר?".

ליאור בן דוד, מנכ"ל LBD נתן 'הצצה' לעולמם של ההאקרים, והדגים כמה קל לפרוץ לארגון ולגרום נזק, כיוון שעל כל דבר אפשר לעשות מניפולציה, גם על אנשים וגם על מכשירים.

עינת מירון, יועצת מומחית להנהלה בכירה בתחום Cyber Resilience, סקרה מקרים שונים של מתקפות סייבר על ארגונים ומסקנות ולקחים העולים מהם.

תובנה מרכזית, שעברה כחוט השני בקרב כל הדוברים: נדרשת גישה המשלבת בין אבטחת מידע וכלים טכנולוגיים, המשכיות עסקית (יכולת להמשיך לפעול Business as usual תוך כדי ואחרי מתקפה) ובין שרידות עסקית (היכולת להתאושש בהקדם מהמשבר בסיומו – מניה שצונחת, ספקים שנוטשים, משקיעים שמתחילים לשאול שאלות, פיחות במוניטין ועוד.

חשוב גם, לשתף וגם להסתייע בניסיון של הקהילה העסקית כמו גם ברשות הסייבר הלאומית. בתכל'ס, נדרש מנהל אבטחת מידע (CISO) "להעביר" נכון להנהלה הבכירה בארגון את האיומים הפוטנציאליים בהתרחש משבר סייבר בארגון, במיוחד כאשר השלכותיו של משבר כזה תחייבנה עפ"י התקנות החדשות, גם אחריות אישית של המנכ"ל.
 
בתמונה (מימין): שחר מאור, נטליה דיסקין, לוקה מרטלי,  אלי עמר.

קרדיט צילום: עזרא לוי.