כיצד להתמודד עם פריצות לרשת?
האקרים לא מכוונים רק לעבר ארגונים גדולים ועשירים. טווח המטרות שלהם גדול. אז מה עושים בעת פריצה? נעם פרוימוביץ, מנכ"ל קספרסקי ישראל, מסכם את התשובות
נעם פרוימוביץ
| 31/01/2016
"יש דליפה בארגון. מישהו גונב לנו נתונים מהמערכות". השעה קצת אחרי חמש בבוקר ואלכס (שם בדוי), מנהל אבטחת מידע של אחד הארגונים הפיננסים המובילים בישראל, מנסה לדלות עוד ועוד נתונים מן המתקשר בצד השני של הטלפון. בד בבד, הוא מנסה להבין מי יכול להיות הפורץ, ומהן ההשלכות של פריצה שכזו. כיצד מסבירים אותה להנהלה וללקוחות? האם עליו לפנות למשטרה או שמא עליו להסתיר את העניין ולנסות לפתור אותו ללא מעורבות של גורמים חיצוניים? שאלות רבות מתרוצצות בראשו של אלכס בשעה מוקדמת זו של הבוקר.
שש וחצי בבוקר. אלכס מגיע לארגון שלו, פוגש את הצוות ומבקש להריץ בדיקות עם כל הכלים והמערכות המתוחכמות שעומדים לרשותם. קשה להם לעקוב אחר מקור הדליפה ואילו נתונים בדיוק דלפו. הרי כל המידע שנגנב לא נמחק. הוא פשוט הועתק. חצי שעה אחר כך הוא מגלה עוד זליגת מידע. מה עושים? זה עומד להיות יום ארוך.
זו אינה סימולציה
המקרה המתואר לעיל אינו סימולציה. זהו מקרה שקרה באמת. והוא יכול לקרות לכל ארגון, בכל רגע נתון. הוא אפילו יכול לקרות בלי שהארגון יידע שהייתה לו דליפה. האקרים פרצו ל-JPMorgan Chase והריצו מניות. עובדי חברת סוני בארצות הברית התעוררו בוקר אחד רק כדי לגלות שכל המיילים הפנימיים שלהם נגנבו ופורסמו בכלי תקשורת בכל רחבי העולם ומידע חשאי על כוכבים ועסקאות פרוץ לעיני כל.
אך ההאקרים לא מכוונים רק לעבר ארגונים גדולים ועשירים או אולפני סרטים שמפיקים קומדיה שנויה במחלוקת על צפון קוריאה. הטווח של המטרות – הרווחיות והתמימות שבהן – הוא יחסית גדול. לעיתים הקורבנות נבחרים מראש לצורך גניבת מידע ממוקדת. הדבר גורם להפתעות מטרידות. אך לעיתים הקורבנות נבחרים בצורה אקראית, רק בגלל שיש להם נקודת תורפה שאותה פושעי הסייבר יכולים לנצל באופן אוטומטי. חשבו על מרגלים וסחטנים בקצה אחד ושודדי רחוב וכייסים בקצה השני.
החשש הגדול של כל מנהל אבטחת המידע זוהי התובנה שעל אף כל אמצעי האבטחה שיירכשו, הארגון עדיין יהיה ברמת סיכון. ולכם – בתור אנשי מקצוע – יהיה קשה להסביר להנהלה איך כל ההשקעה העצומה שאתם חתומים עליה לא הצליחה למנוע את הנזק.
הפתעה מטרידה
ולמרות זאת, אנו יודעים כי אין אחריות של 100% שמבטיחה לנו כי ניתן לחסום התקפה מתוחכמת שהוכנה היטב מבעוד מועד ואני רק יכול להניח שכמוני, כל מנכ"ל ומנהל אבטחה ירצה לדעת על פירצת אבטחה בזמן אמת. ובעיקר, מה ניתן לעשות ברגע שמשהו כזה מתגלה? ובכן, אני יכול לספר לכם זאת מהניסיון האישי שלנו. משום שאנחנו חווינו הפתעה כזאת: גילינו כי המערכות שלנו נפרצו. אנחנו, חברת אבטחת מידע מובילה. לא קיים כלי ניטור שלא נמצא ברשותנו. המודעות אצלנו היא ברמה הגבוהה ביותר ועדיין, זה קרה גם בחברה שלנו.
אז מה החלטנו לעשות? בחרנו בשקיפות מלאה. פרסמנו את המידע. השותפים שלנו היו בין הראשונים לקבל אותו. לאחר מכן פרסמנו את המידע לציבור. מדוע? משום ששיתוף ידע ופתיחות יכולים לסייע למנוע הישנות של מתקפות דומות בעתיד. גם לארגון שלכם וגם לאחרים. הדבר נכון גם לגבי מתקפות שנכשלו. מתקפה שנבלמה על ידי חברה אחת, עלולה שלא להיקלט בראדר של חברות אחרות. שמירת הסוד מסייעת רק לפושעי הסייבר.
אבטחה – כמו גם פשיעת סייבר – היא עסק רציני. פושעי הסייבר משתפים פעולה ביעילות רבה, פועלים בתוך מערכות של מפתחים, לקוחות, ספקי שירותים וקבלני משנה של כלי פריצה בדיוק כמו כל עסק רגיל. כמובן שגם מומחי אבטחה עובדים יחד באופן הדוק כדי לעקוב, לזהות ולאתר פושעי סייבר. אבל כדי להגן על עצמנו מפני פשעי סייבר, גם ארגונים צריכים לעבוד בשיתוף פעולה הדוק. אנחנו יכולים לעשות זאת באמצעות שיתוף פרטים על תוכנות זדוניות ושיטות התקפה, וגם באמצעות שיתוף ידע על התמודדויות שחווינו. אז קחו אחריות. אם כולנו נעשה את זה, אנחנו לא חייבים להיות הבאים בתור.
האקרים לא מכוונים רק לעבר ארגונים גדולים ועשירים. טווח המטרות שלהם גדול. אז מה עושים בעת פריצה? נעם פרוימוביץ, מנכ"ל קספרסקי ישראל, מסכם את התשובות
"יש דליפה בארגון. מישהו גונב לנו נתונים מהמערכות". השעה קצת אחרי חמש בבוקר ואלכס (שם בדוי), מנהל אבטחת מידע של אחד הארגונים הפיננסים המובילים בישראל, מנסה לדלות עוד ועוד נתונים מן המתקשר בצד השני של הטלפון. בד בבד, הוא מנסה להבין מי יכול להיות הפורץ, ומהן ההשלכות של פריצה שכזו. כיצד מסבירים אותה להנהלה וללקוחות? האם עליו לפנות למשטרה או שמא עליו להסתיר את העניין ולנסות לפתור אותו ללא מעורבות של גורמים חיצוניים? שאלות רבות מתרוצצות בראשו של אלכס בשעה מוקדמת זו של הבוקר.
שש וחצי בבוקר. אלכס מגיע לארגון שלו, פוגש את הצוות ומבקש להריץ בדיקות עם כל הכלים והמערכות המתוחכמות שעומדים לרשותם. קשה להם לעקוב אחר מקור הדליפה ואילו נתונים בדיוק דלפו. הרי כל המידע שנגנב לא נמחק. הוא פשוט הועתק. חצי שעה אחר כך הוא מגלה עוד זליגת מידע. מה עושים? זה עומד להיות יום ארוך.
זו אינה סימולציה
המקרה המתואר לעיל אינו סימולציה. זהו מקרה שקרה באמת. והוא יכול לקרות לכל ארגון, בכל רגע נתון. הוא אפילו יכול לקרות בלי שהארגון יידע שהייתה לו דליפה. האקרים פרצו ל-JPMorgan Chase והריצו מניות. עובדי חברת סוני בארצות הברית התעוררו בוקר אחד רק כדי לגלות שכל המיילים הפנימיים שלהם נגנבו ופורסמו בכלי תקשורת בכל רחבי העולם ומידע חשאי על כוכבים ועסקאות פרוץ לעיני כל.
אך ההאקרים לא מכוונים רק לעבר ארגונים גדולים ועשירים או אולפני סרטים שמפיקים קומדיה שנויה במחלוקת על צפון קוריאה. הטווח של המטרות – הרווחיות והתמימות שבהן – הוא יחסית גדול. לעיתים הקורבנות נבחרים מראש לצורך גניבת מידע ממוקדת. הדבר גורם להפתעות מטרידות. אך לעיתים הקורבנות נבחרים בצורה אקראית, רק בגלל שיש להם נקודת תורפה שאותה פושעי הסייבר יכולים לנצל באופן אוטומטי. חשבו על מרגלים וסחטנים בקצה אחד ושודדי רחוב וכייסים בקצה השני.
החשש הגדול של כל מנהל אבטחת המידע זוהי התובנה שעל אף כל אמצעי האבטחה שיירכשו, הארגון עדיין יהיה ברמת סיכון. ולכם – בתור אנשי מקצוע – יהיה קשה להסביר להנהלה איך כל ההשקעה העצומה שאתם חתומים עליה לא הצליחה למנוע את הנזק.
הפתעה מטרידה
ולמרות זאת, אנו יודעים כי אין אחריות של 100% שמבטיחה לנו כי ניתן לחסום התקפה מתוחכמת שהוכנה היטב מבעוד מועד ואני רק יכול להניח שכמוני, כל מנכ"ל ומנהל אבטחה ירצה לדעת על פירצת אבטחה בזמן אמת. ובעיקר, מה ניתן לעשות ברגע שמשהו כזה מתגלה? ובכן, אני יכול לספר לכם זאת מהניסיון האישי שלנו. משום שאנחנו חווינו הפתעה כזאת: גילינו כי המערכות שלנו נפרצו. אנחנו, חברת אבטחת מידע מובילה. לא קיים כלי ניטור שלא נמצא ברשותנו. המודעות אצלנו היא ברמה הגבוהה ביותר ועדיין, זה קרה גם בחברה שלנו.
אז מה החלטנו לעשות? בחרנו בשקיפות מלאה. פרסמנו את המידע. השותפים שלנו היו בין הראשונים לקבל אותו. לאחר מכן פרסמנו את המידע לציבור. מדוע? משום ששיתוף ידע ופתיחות יכולים לסייע למנוע הישנות של מתקפות דומות בעתיד. גם לארגון שלכם וגם לאחרים. הדבר נכון גם לגבי מתקפות שנכשלו. מתקפה שנבלמה על ידי חברה אחת, עלולה שלא להיקלט בראדר של חברות אחרות. שמירת הסוד מסייעת רק לפושעי הסייבר.
אבטחה – כמו גם פשיעת סייבר – היא עסק רציני. פושעי הסייבר משתפים פעולה ביעילות רבה, פועלים בתוך מערכות של מפתחים, לקוחות, ספקי שירותים וקבלני משנה של כלי פריצה בדיוק כמו כל עסק רגיל. כמובן שגם מומחי אבטחה עובדים יחד באופן הדוק כדי לעקוב, לזהות ולאתר פושעי סייבר. אבל כדי להגן על עצמנו מפני פשעי סייבר, גם ארגונים צריכים לעבוד בשיתוף פעולה הדוק. אנחנו יכולים לעשות זאת באמצעות שיתוף פרטים על תוכנות זדוניות ושיטות התקפה, וגם באמצעות שיתוף ידע על התמודדויות שחווינו. אז קחו אחריות. אם כולנו נעשה את זה, אנחנו לא חייבים להיות הבאים בתור.
