ניתוח: מערכות האבטחה שהתקינו עסקים וארגונים בעלויות פנטסטיות בשנים האחרונות אינן מספקות מענה ולו אפילו מינימלי לאיומים האבטחה והסייבר הנייח והנייד שיש כיום. האם הפתרון הוא לזרוק את כל המערכות הללו לפח?
מאת:
אבי וייס, 24.7.13, 23:30
.jpg?id=11986232)
ביקור בחברת קומסק (
שחשפה כמה מוצרים וכלים חדשים לעולם הסייבר), מספק הצצה לעולם של ההתמודדות עם איומי האבטחה והסייבר בארגונים ועסקים בינוניים וגדולים. השורה התחתונה: הכלים הקיימים לא מספקים כל מענה, אפילו מינימלי לאבטחה. אין מערכת, שלא נפרצה או תיפרץ, במוקדם או במאוחר. השאלה היחידה המעניינת כאן את המנהלים: איך מתמודדים עם הפריצה ודואגים ל"המשכיות עסקית".
משה ישי, מנכ"ל קומסק ייעוץ: "אנו מרגישים, שהבשלנו וחשים מספיק בטוחים להיחשף ולחשוף לציבור את הכלים והיכולות שלנו. אנו בשוק הזה מ- 1986, ומספקים ייעוץ בעולם אבטחת המידע עם כ- 160 יועצים ב- 22 מדינות ברחבי העולם לכ- 600 לקוחות גדולים. ב- 6 השנים האחרונות גדלה המודעות לאבטחה בכל מגזרי המשק, בעוד שקודם לכן היא הייתה נחלת המגזר הפיננסי.
היום, אנו מצויים בעידן הסייבר. זה נמשך כבר כמה שנים עם קפיצת מדרגה באיומים. אנשי אבטחת המידע נתקלים בשני אבסורדים. האבסורד הראשון: גם אם הושקעו מיליוני דולרים בכל הכלים להגנה, עדיין ניתן לתקוף ארגון ולהצליח בתקיפה. האבסורד השני: כל הכלים הישנים לא יעילים מול התקפות לפי דפוסים לא מוכרים. כך, ארגונים בכל סדר גודל בכל רחבי העולם עומדים בפני איומים מפתיעים. לכן, אנו מאמנים היום את המנהלים באררגונים הגדולים להתמודד בפני 'הלא נודע'. במקביל, צריך כלי מודיעין, בדיוק כמו בצבא. מודיעין יכול לחשוף התקפות עוד לפני שהן קורות, או בשלבים בהם הן מתרחשות בתוך הארגון אבל הארגון עדיין לא חש בהן.
בכל הסימולציות, שעשינו עם ארגונים לגבי תקיפה הכי נפוצה - DDOS, השגנו 100% חדירה. דהיינו: לא היה ארגון ולא הייתה מערכת שלא נפרצו. לא מצאנו ארגון המוגן עד הסוף. כולם נפרצו וכולם ייפגעו, במוקדם או מאוחר. המערכות בכלל לא מגנות עליהם.
לכן, אנו מספקים את התובנה הבאה: 'המשכיות עסקית וסייבר הם ספורט קבוצתי'. דהיינו: יש לבצע אימונים קבוצתיים ולהתכונן ל'לא ידוע', בעבודה קבוצתית. רוב האירועים, שאנו רואים, נופלים תחת ההגדרה של Cyber Crime. יש מעט אירועי טרור ועוד פחות 'מלחמות סייבר' - Cyber Warfare, שזוכים לחשיפה בתקשורת.
תחום הסייבר עדיין לא מוסדר ברמה העולמית וגם לא המדינתית בראייה כוללת. יש רגולציות שונות חלות על חלק מהארגונים. אין עדיין יד מכוונת אחת של כולם. שילוב ידיים מאוד חשוב, בעיקר במקטע של שיתוף מודיעין".
דברים ברורים אלו אינם חדשים. אתן רק שתי דוגמאות להמחשה של המצב של עולם האבטחה:
א. ביום עיון
שנערך בטכניון, כל המרצים (ללא יוצא מן הכלל) ציינו, שכל מערכות האבטחה הקיימות היום, מכל הספקים, כולל מערכות חדשות על שרתים וירטואליים ומערכות אבטחה בענן, אינן מונעות ואינן מגינות על שום דבר. פשוט הן לא שוות מאומה. הן תיפרצנה בהתקפה הראשונה עליהן.
ב. במבדק פשוט לכל תוכנות ההגנה שיש על המכשירים הסלולריים
נמצא שהן (כולן, ללא יוא מן הכלל) נכשלו במבחן הכי פשוט, של זיהוי כל הרוגלות העוינות שהושתלו על המכשירים הסלולריים.
לכן, נשאלת השאלה מה לעשות: האם לזרוק את כל המערכות הללו לפח ולהתחיל להתפלל, או לחילופין להתאמן לכל תרחיש בסימולטור של קומסק?
התשובה הברורה שלי היא: יש להשאיר ולתחזק את המערכות, שהושקעו בהן מיליונים, מכמה סיבות טובות:
א. כסת"ח. התקנת מערכות אבטחה הם כלי הכסת"ח הטוב ביותר של מנהלים, אם הייתה פריצה ונזק לארגון ("לא אנחנו אשמים, האינטגרטור\ספק המערכת\ מחלקת האבטחה\מחלקת ה- IT - מחק את המיותר, אשמים").
ב. עמידה ברגולציות. אין כל סיכוי לשכנע את הרגולטורים השונים, שכל הרגולציה שלהם לתחום האבטחה לא שווה יותר מהנייר הממוחזר שהם משתמשים להדפיס את ההנחיות המרובות שלהם. לכן, כדי להיות "בסדר" עם הרגולטורים ולקבל את כל "תווי התקן" וההסמכות השונות הנדרשות ע"י כל גופי הרגולציה, אין מנוס אלא לרכוש ולהתקין את כל מערכי האבטחה, למרות שהם לא מביאים איזו תועלת לתחום האבטחה.
ג. כלי האבטחה מרתיעים, כנראה, חלק מהעבריינים, במיוחד הטפשים והחובבנים. כך, שיש בהם, אולי, איזו תועלת בסיסית.
ד. הסעיף הכי חשוב: כל כלי האבטחה משפיעים על התנהגות העובדים (סיסמאות, אכיפת מדיניות אבטחה, בדיקות אבטחה, וכיו"ב), כך, שיש בכלים אלו תועלת עצומה להנהלה, ביצירת מנגנוני פיקוח של ההנהלה על כל העובדים ו"הכנסתם" למסגרות של פיקוח הדוק. בלי האיומים של האבטחה, לא ניתן היה להשיג פיקוח כזה הדוק על כל מאפייני ההתנהגות של העובדים ברשת הארגונית וברחבי הארגון, פיקח הדוק על כל מה שהעובדים עושים, כל הזמן.
שורה תחתונה: כלי אבטחה היקרים למיניהם אינם מביאים תועלת ישירה לתחום האבטחה לארגון. אולם, יש להם תועלת עקיפה בכמה היבטים חשובים של מערכות הניהול הארגוניות, שאסור להמעיט בערכם.
