מה על העסק לדרוש מספק התקשורת שלו כדי לקבל הגנה נכונה מאיומי סייבר?
מאת: מיכאל פנחס, 29.10.21, 12:21
 
מדוע נפגעה רמת האבטחה של מערכות התקשורת והטלפוניה בישראל? מה התחדש בתחום הגנת הסייבר בעולם התקשורת? מה אמור לעשות בעל העסק כדי להגן על העסק שלו ממתקפות סייבר?
 
כל מה שמנהל ובעל עסק צריכים לדעת על בחירת פתרונות שירותי תשתיות מחשוב וטלפוניה מאובטחים לעסקים, בחוות שרתים, באמצעות חברות התקשורת והאינטגרציה המובילות בישראל:
 
1. מדוע נפגעה רמת האבטחה של מערכות התקשורת והטלפוניה בישראל?
עסקים רבים וגם ארגונים ציבוריים וממשלתיים, הותקפו רבות בשנה החולפת במתקפות סייבר ובמיוחד במתקפות "כופרה". חלה עלייה ממש מבהילה בהיקף התקיפות.
 
מאז תחילת מגפת הקורונה ב-2020, שמועד סיומה לא ידוע, הצורך ב"עבודה מרחוק", שבמרכזה "עבודה היברידית" (חלק מהשבוע בבית חלק מהשבוע במשרד), הפך להיות הצורך המרכזי של כמעט כל העסקים והארגונים בעולם כמו גם בישראל.
 
זה הוביל באופן מידי לעלייה בביקושים לשירותי ענן, מפני שרק בשירותי ענן ניתן לספק "עבודה היברידית" גם מהבית. המשמעות של "שירותי ענן" זה שירותי אירוח שרתים בחוות שרתים - Data Centers הגדלים בקצב עצום ומתרחבים כל הזמן. כל הזמן נבנים מתקנים חדשים של חוות שרתים בכל רחבי הארץ (וכמובן ברחבי העולם, עם תשתיות סיבים הנפרסות בקצב מוגבר) וכמות המחוברים אליהם עולה בקצב אקספוננציאלי.
 
בעקבות אימוץ "העבודה ההיברידית" הסיכונים לפגיעות סייבר בעסקים גדלו בצורה מבהילה, כי כל אחד מהעובדים והמנהלים מקושר כעת לתשתיות התקשורת והמחשוב של העסק - מביתו.
 
2. מה התחדש בתחום הגנת הסייבר בעולם התקשורת?
גם למשרד התקשורת נמאסה ההפקרות של תחום האבטחה והגנת הסייבר בשוק התקשורת, במיוחד אחרי ש-2 ספקי תקשורת: Voicenter ו-Callbiz נפגעו לאחרונה קשה בתקיפות סייבר ומידע רב נגנב מהחברות הללו, במיוחד מידע רגיש על הלקוחות של החברות הללו. הנזקים הם אדירים.
 
לכן, משרד התקשורת יצא בשימוע תחת הכותרת: "על רקע האיומים ממדינות עוינות, משרד התקשורת מתכוון לחייב את חברות התקשורת לספק הגנה ממתקפות סייבר".
 
עיקרי התיקון לרישיונות כוללים הוראות מפורטות להגנת סייבר בהיבטים ניהוליים וטכנולוגיים כאחד, בכלל זאת, בכל הנוגע לאחריות הדירקטוריון, למינוי של מנהל הגנת סייבר בארגון/עסק, לגיבוש מדיניות הגנת סייבר ושורה של נהלי הגנת סייבר בארגון/עסק, לצד רשימה מפורטת של דרישות בהיבטים הגנתיים-טכנולוגיים. בתוך אלה, נכללים היבטים הנוגעים להגנת רשת התקשורת ולשילוב מנגנוני פיקוח, ניטור ובקרה המאפשרים לבסס תמונת מצב עדכנית של הגנת הסייבר; התמודדות עם אירועי סייבר; המצבים בהם נדרש לדווח ולשתף מידע, וכן ערוצי הדיווח לגורמים השונים, שנדרש ליידע אותם בתוך העסק ומחוצה לו, ובכלל זה משרד התקשורת; הטמעה ותרגול התוכנית בקרב בעלי תפקידים בארגון/עסק ונותני שירותים לארגון/עסק.
 
נקבעו 3 רמות של דרישות רגולטוריות המנותחות כאן, להגנת סייבר לספקי תקשורת לרשתות שירותי תקשורת בענן: ספקים הנותנים שירות למעל למיליון לקוחות, ספקים הנותנים שירות למעל מ-200 אלף לקוחות וספקים הנותנים שירות למעל ל-20 אלף לקוחות.
 
כל עסק וכל ארגון חייבים להבין ולהפנים, שתוקפים לא נותנים התרעה והם לא מדווחים מראש את מי הם יתקיפו מחר. לכן, חובתם של המנהלים וחובתם של בעלי העסק להיות אקטיביים כבר עכשיו ולהיערך נכון להתמודדות עם הסיכון החמור הזה.
 
3. מה יש לדרוש מספק התקשורת שלך, כדי להיות בטוח, שאתה מקבל ממנו הגנה מרבית ונכונה מכל סיכוני הסייבר, ומה אתה אמור לעשות כדי להגן על העסק שלך?
 
א. הדרישה הראשונה והכי חשובה שיש לדרוש מספק התקשורת שלך, אישור שהוא מחובר ל-"SOC תקשורת" (מרכז פיקוח קיברנטי - Security Operation Center לתחום עולם התקשורת) של "מערך הסייבר הלאומי".
 
למרות שהמרכז הזה, לרבות כל נהליו ומערכותיו נפתח לשוק התקשורת בינואר 2020, כיום מחוברות ומעבירות אליו מידע 2 חברות תקשורת בלבד. אין להסכים להפקרות הזו בשוק התקשורת ויש לוודא, שספק התקשורת שלך, קודם לכל, דואג לעצמו וללקוחותיו, לפי הנהלים והעקרונות של מרכז הסייבר הארצי.
 
ב. חובה לקבל ייעוץ ולהקים מערך הגנה עצמאי של עסק. אפשרי שזה ייעשה וייושם בסיוע ספק התקשורת, בתנאי, שאותו ספק קיבל את כל ההסמכות הנדרשות המתאימות מ"מערך הסייבר הלאומי".
 
מערך ההגנה העצמאי של העסק יוקם אחרי ניתוח הסיכונים של העסק, וקביעת ממונה על הגנת העסק מפני התקפות סייבר, מבין העובדים או המנהלים המצויים בעסק. אם אין עובד או מנהל בעסק, שיכול לעסוק בנושא, ניתן לרכוש את השירות הזה ב"מיקור חוץ", מספק מורשה ומאושר ע"י "מערך הסייבר הלאומי". 
 
ג. יש לבדוק את כל ההגנות של כל המערכות בעסק, לרבות כל מכשירי הקצה לרבות מצלמות אבטחה, מדפסות, סנסורים ועוד. חייבים לקבוע סיסמאות חזקות לכל מכשירי הקצה. אין להסתמך על הבטחות ספקי הציוד, ויש לבדוק כל מכשיר קצה שוב ושוב בבדיקה שנתית כדי לוודא, שהוא מוגן, ואחת לשנה מוצע להחליף סיסמאות.
 
ד. יש להפריד הפרדה מוחלטת של המידע הרגיש הנמצא בעסק (יש לקבוע מראש, בניתוח הסיכונים, מה המידע הרגיש של העסק. לדוגמה: כרטיסי אשראי, סיסמאות, נתוני עובדים, נתוני לקוחות, רשומות רפואיות, הקלטות של שיחות רגישות, וכיו"ב) ומידע זה יישמר וייאגר במקום מאובטח ומוגן, עם גישה מוגבלת ומפוקחת בנפרד משאר המידע הארגוני. אם המידע נשמר מחוץ לכתלי העסק - בענן, יש לשמור אותו בענן נפרד או בגישה נפרדת במערכת מוגנת אצל אותו ספק ענן.
 
ה. כל החיבורים מרחוק למערכות העסק (בין מהבית או מהדרכים, ממחשבים נייחים וניידים ומסמארטפונים, ובין אם מעובדי ומנהלי העסק או מספקים, שותפים או לקוחות), ייבדקו ויעברו "הקשחה" וניטור מתמידים, כדי למנוע כל אפשרות פריצה דרך החיבורים החיצוניים הללו.  אם לעסק אין יכולת לבצע "הקשחה" של חיבורים מרחוק בעצמו, ניתן לשכור שירות כזה ב"מיקור חוץ" מחברות, שקיבלו הסמכה לכך מ"מערך הסייבר הלאומי".
 
תהליך "הקשחה" זה כולל בדיקה האם יש גישה מבחוץ למערכות של העסק, לרבות ל: מצלמות האבטחה, סנסורים, מרכזיה, טלפונים שולחניים, שרתים, נתבי תקשורת, דלתות כניסה, שערים, או כל רכיב שיש לו כתובת IP חיצונית או פנימית בעסק.
 
ו. יש לקבוע נהלי אבטחה וסייבר לעסק ולהעביר הדרכה לפחות אחת לשנה, לכל המנהלים והעובדים בעסק. אם לעסק אין יכולת לבצע הכנת ספר נהלים ולהדריך עובדים בעצמו, ניתן לשכור שירות כזה ב"מיקור חוץ" מחברות, שקיבלו הסמכה לכך מ"מערך הסייבר הלאומי".
 
ז. יש לבצע תרגול לפחות אחת לשנה בכל הקשור להתמודדות עם איומי סייבר. אם לעסק אין יכולת לבצע תרגול כזה בעצמו, ניתן לשכור שירות כזה ב"מיקור חוץ" מחברות, שקיבלו הסמכה לכך מ"מערך הסייבר הלאומי".
 
ח. יש לבצע פיקוח שכל מערכות התוכנה בעסק מכל סוג ולכל מכשיר קצה הן מהגרסה האחרונה וכל תוכנות האבטחה מעודכנות, כל הזמן.
 
ט. יש לבצע תחקור (ובכתב) על כל חשד לתקרית סייבר או גילוי פרצת אבטחה. חברות המחויבות בנהלי ISO27001:2013, או תקנים דומים, שחלים עליהן (כדאי להוסיף: עמידה בתקני PCI L1), ממילא מחויבות לבצע תחקיר. מאוד מומלץ על ניהול תחקיר פנימי וחיצוני מלא ומקצועי בהקדם האפשרי. בעקבות התחקור הזה יש להסיק מסקנות וליישם אותן. אם לעסק אין יכולת לבצע תחקור כזה בעצמו וליישם מסקנות של תחקור מקצועי כזה, ניתן לשכור שירות ב"מיקור חוץ" מחברות, שקיבלו הסמכה לכך מ"מערך הסייבר הלאומי".
 
היחס לנושא הסייבר צריך להיות בדומה לחקירת משטרה: אדם או קבוצת מומחים לסייבר, שחוקרת לעומק מה ואיך קרה לפי עקרון Follow the Data - שמוודא האם בעל העסק באמת יודע היכן יושב המידע הרגיש שלו, האם הוא יודע למי יש גישה אליו והאם נעשה בו שימוש ראוי.


 
לסיכום: מתקפת סייבר היא אירוע הרסני, שכמעט ובלתי אפשרי להתאושש ממנו, אם לא נערכים נכון. תשלום הכופר אינו מועיל או משנה דבר (אם זו התקפת כופרה) ולכן צריך להבין, שמדובר באירוע קשה במיוחד, שיצריך זמן ומשאבים כדי לחזור לאיזו שהיא שגרת עבודה.
 
לכן חשוב, שעסקים/ארגונים יערכו מבעוד מועד למתקפות סייבר. זאת, ע"י ביצוע מיפוי של המידע הרגיש ומתן גישה רק למי שנדרש, עדכון סדיר של כל רכיבי התוכנה מכל סוג (גם למצלמות יש תוכנה), הטמעת מוצרי אבטחה לניטור, חסימה ומניעת גישה למידע ותשתיות, העלאת מודעות בתחום אבטחת המידע בקרב העובדים והמנהלים בעסק/ארגון, בדיקת המוכנות בתחום הסייבר של כל שרשרת האספקה והשותפים של העסק, גיבוי עדכני של כל המידע הקיים בעסק, הכנת תוכנית מגירה להתמודדות עם אירוע סייבר, ביצוע תרגולים לפחות אחת לשנה, ביצוע תחקורים ויישם הלקוחים הנלמדים מהתחקורים הללו, עדכנון מתמיד של הנהלים והדרכת העובדים והמנהלים בכל עדכון.

מאת: מיכאל פנחס, מהנדס תקשורת, אוקטובר 2021.