לעשות ולא רק לדבר

הפריצה הגדולה לחברת התקשורת הבריטית Talk Talk משמשת כמקרה בוחן לאי המוכנות של חברות גדולות לסיכונים שמציב תחום הסייבר לעסקים. מאמר מיוחד

לעשות ולא רק לדבר

הכירו את חברת TalkTalk, ספקית התקשורת השנייה בגודלה בבריטניה. לחברה למעלה מ-4 מיליון לקוחות והיא מציעה מגוון שירותים הכולל: מובייל, חיבור לאינטרנט באמצעות סיבים אופטיים, קווי טלפונים נייחים ושירותי טלוויזיה.  

ב- 21 לאוקטובר 2015 חוותה TalkTalk מתקפת סייבר משולבת. ההתקפה החלה במניעת שירות מבוזרת שגרמה להפלת אתר החברה שמשמש לשיווק, מכירות ושירות לקוחות. במקביל התבצעה חדירה למאגרי המידע שלה (באמצעות SQL Injection). התוקפים השיגו פרטים של  156,959 לקוחות ומתוכם פרטי חשבונות בנק וקוד גישה לאתר השירות של 15,656 לקוחות. החברה חדלה מלספק את שירות הדואר האלקטרוני שלה למשך יממה וגם הפסיקה את פעולת אתר האזור האישי של לקוחותיה למספר שבועות, אותו הצליחה להשיב לתפקוד מלא רק לאחר כשלושה חודשים. כתוצאה מכך, מכירות החברה נפגעו כיוון שמרבית מכירות המובייל ללקוחות חדשים נעשות אונליין. על פי הערכות, החברה איבדה מעל 250,000 לקוחות (לא כולל אובדן לקוחות פוטנציאלים כתוצאה מהורדת אתר המכירות לצורך תיקון ליקויי אבטחת מידע). בנוסף החברה גם קיבלה בקשת כופר בסכום של 80,000 ליש"ט (450,000 ש"ח). 

תחילה עלה חשש שמדובר באירוע מדינתי ושכל פרטי לקוחות החברה (כ-4 מיליון) נחשפו כיוון שקבוצת האקרים לקחה בתחילה את האחריות לתקיפה. לאחר כמה ימים התברר המצב כהרבה פחות גרוע לבריטניה, אולם הרבה יותר גרוע לחברה. המשטרה בבריטניה עצרה 5 אנשים בגילאי 15-20 אשר לאחד מהם, נער בן 18 מוויילס, "קשר ישיר לניסיון הסחיטה של החברה". 

מתקפת הסייבר שביצעו נערים הצליחה לגרום לא רק למבוכה רבה, אלא בעיקר לנזק אדיר. הנזק מהתקיפה הוערך תחילה על ידי החברה בכ- 30-35 מיליון ליש"ט (170-200 מיליון ש"ח), אולם הערכות אחרונות מדברות על כך שמדובר בסכום כמעט כפול שמגיע ל- 60 מיליון ליש"ט (340 מיליון ש"ח) וכולל היבטים כגון הוצאות לצוותי התגובה לאירוע, עלויות IT, יועצים חיצוניים, פורנזיקה, שיקום המוניטין, credit monitoring, אובדן מכירות, עלויות שדרוגים חינם וכו' . לחברת TalkTalk היה פוליסת ביטוח סייבר - אך בהיקף מוגבל בלבד. הכיסוי שהעניק הביטוח היה נמוך והפוליסה, על-פי הערכות, עמדה על סך של 5 מיליון ליש"ט, שהינם שווי-ערך רק לכ-8.3% מהנזק הכולל. חשוב לציין שלמרות התקיפה, TalkTalk הראתה ביצועיים חיוביים, עליה ברווחים ובחלוקת דיווידנדים. 

האירוע הוא ללא ספק אחד מאירועי הסייבר הקשים ביותר שקרו באירופה. הגנת הסייבר (כנראה) לא נלקחה ברצינות הראויה לפני התקיפה, והתרחשותה צריכה להוות נורת אזהרה לסקטור העסקי העולמי בכל הנוגע להגברת מודעות ומחויבות מעשית לנושא. האפשרות לתקוף חברה בסדר גודל כזה על ידי שחקנים מקומיים וצעירים ולגרום לה נזק של מאות מיליוני דולרים, כמו גם יכולת התאוששותה הכלכלית ממנו - צריך להוות בסיס ללמידה והפקת-לקחים. 

כשירות, מנהיגות ושקיפות

תגובתה של החברה ומהלכי פתרון הבעיות הראשוניים שניסתה לבצע, באורח מבולבל ועמום, עשויים להעיד שלא הייתה לה תוכנית חירום מתורגלת וברורה להתמודדות עם אירוע סייבר שכזה. כבר באותו היום החברה הודיעה לרשויות האכיפה והחלה בחקירה פנימית של ההתקפה. יום למחרת בחרה החברה לפנות לכלל לקוחותיה באמצעות הטלוויזיה וליידע אותם אודות האירוע ודרכי ההתנהלות בעטיו. כלי זה נועד להבטיח תפוצה מקסימלית של ההודעה. במקביל, החל הדירקטוריון בחקירה עצמאית של המתקפה בסיוע של חברה חיצונית.

הברונית דידו הרדינג, מנכ"לית החברה, שהרבתה להתראיין לכלי התקשורת בעקבות האירוע החמור, התמודדה באומץ ובשקיפות ציבורית עם הביקורת הקשה שספגה. בכל הדוחות הכספיים שלה פורסמו נתונים על התקיפה - הרבה מעבר למה שאנחנו רגילים לראות במקרים דומים בעולם. במשך מספר ימים עלתה המנכ"לית לשידור מדי יום תוך שהיא מדווחת על התפתחויות האירוע והטיפול בו, לרבות פירוט אודות הפעולות בהן נוקטת החברה  על-מנת להקטין את הנזק שנגרם ללקוחותיה. מראיון אחד למשנהו במשך המשבר, הרדינג נראתה טוב יותר, בטוחה יותר, בקיאה יותר בפרטי המקרה ומשמעויותיו ומעל כל הרבה יותר ממוקדת בלקוח ונוסכת בקהל המאזינים, הצופים והלקוחות - ביטחון.  התבטאויות כגון "אם נמשיך לעשות מה שטוב ללקוחות שלנו, כפי שעשינו בשבועות האחרונים, נישפט לפי המעשים שלנו לא לפי הדיבורים", זה נכון רק שהם ישפטו גם על מה שהם לא עשו לפני ההתקפה. 

הלקוח הוא הדאגה הראשונה

במהלך חודש נובמבר החברה יצאה במספר מבצעים והצעות לשדרוג חינם של החבילות הקיימות ללא עלות נוספת ללקוחות שנפגעו. זה לא עזר לה מאוד. החברה איבדה 250,000 לקוחות (7%), מתוכם 40% למתחרה - BT. חמישית מהלקוחות שעזבו את החברה עשו את זה בגלל אובדן האמון בה. היות והחברה לא הייתה מוכנה עם תוכנית תגובה מסודרת הצעות השדרוג גרמו לה מבוכה רבה. לקוחות רבים לא יכלו לעזוב בגלל שהם נאלצו לשלם כנס כספי מצד אחד הדבר העלה את מדד חוסר שביעות הרצון של החברה מצד שני. אפשר לטעון שבזה החברה הצילה את עצמה מבריחה מסיבית של לקוחות בזמן שהיא הכי צריכה שהם יישארו. "לא בחרתי להישאר" אמר אחד הלקוחות, "אולצתי להישאר". לא רק ש-TalkTalk התייחסה ברשלנות להגנת הסייבר והם משלמים את המחיר היא גם לא מצליחה לפצות אותם כהלכה.

להתייעלות יכולה להיות עלות

הברונית הרדינג, נחשבת לעילוי עיסקי ומונתה להוביל את הקבוצה ולשפר את ביצועיה לאחר שמשנת 2009 נמצאו במגמת ירידה. לשם כך, נאלצה החברה לבצע הקטנה של ההוצאות התפעוליות וקיצוצים נרחבים בכוח אדם. האם הגנת הסייבר נפגעה כפועל יוצא מתהליכי ייעול אלו? על-פי הרדינג התשובה כן. במהלך השנים שחלפו מאז, הייתה החברה חשופה לפחות לארבעה אירועי סייבר משמעותיים ומתוקשרים אך ההנהלה לא ייחסה להם חשיבות מספקת. תופעה זו צריכה לשמש נורת אזהרה, במיוחד עבור המערכת הבנקאית, שצריכה כעת להציג תוכניות התייעלות בהתאם לדרישת המפקחת על הבנקים, חדוה בר. לפי בר, "על הבנקים לקבוע ולהציג לפיקוח על הבנקים תכנית התייעלות רב שנתית, שתכלול יעדי ביניים מוגדרים היטב, ומעקב ופיקוח אחר יישום התוכנית על ידי דירקטוריון התאגיד הבנקאי".

בעקבות התקיפה, TalkTalk החלה לבצע ביקורות מקיפות למערכות ה-IT שלה, לרבות שרשרת האספקה. אחת הדוגמאות הבולטות היא החלטת החברה להפעיל מרכז שירות לקוחות במיקור חוץ ושכרה לטובת העניין את Wipro ההודית שטיפלה ב- 90% מהפניות. במסגרת הבדיקות, TalkTalk גילתה ששלושה עובדים במרכז השירות שלה בהודו סייעו להונאת לקוחות. למהלכי הונאה אלו אין קשר לפריצה של אוקטובר אבל הצורך של החברה להשיב לעצמה את אמון לקוחותיה, גרם לה לפעול ביתר-שאת, באופן חד, גלוי ועיקש. TalkTalk הודיעה בסוף ינואר שהיא שוקלת להפסיק את ההתקשרות עם החברה ההודית, והאחרונה עשויה לשלם מחיר כבד על מעשי עובדיה. כאשר אצל הגורם הנתקף יורד גשם - כולם נרטבים. 

סיכון מקצועי ועסקי

הסייבר הוא סיכון סיסמטי לכל ארגון ללא יוצא מן הכלל ולכן הוא גם סיכון מקצועי למנהלים (occupational hazard) של אותם ארגונים. חלקם יצטרכו להתמודד עם התקפות שיזעזעו את הארגון שלהם. אבל הסייבר מייצג תמונת סיכון מורכבת וייחודית, בהשוואה לאיומים אחרים כיוון שהוא בלתי צפוי  קשה לאבחון מאתגר לייחוס ולהבנה והשפעותיו העקיפות חמורות בהרבה על-פי-רוב מאלו של התקפות ישירות בגלל סוגיות המוניטין ואובדן האמון שכרוכות בו.

מנהלים חייבים להכיר את יסודות ההגנה של המערכות בהן הם משתמשים. אסור שסוגיות כמו הצפנה, הגנה פרואקטיבית, שיתוף מידע, תרגול, ביטוח סייבר, יישארו רק בגדר מושגים המוכרים רק בשיח הפנימי של לחטיבות ה -IT. בחברת TalkTalk הוטחה ביקורת רבה על כך שהמידע של לקוחותיה לא היה מוצפן בהתאם לסטנדרטים מקובלים בתעשייה. חמור מכך, המנכ"לית אפילו לא ידעה לומר האם המידע מוצפן, כעולה מתשובתה כשנשאלה במהלך ראיון: "האמת האיומה היא שאני לא יודעת". 

TalkTalk היא דוגמה טובה לחברה שהיו בידה סימני אזהרה רבים ורקע של פגיעות גבוהה לספוג אירוע סייבר משמעותי. החברה נתקפה מספר פעמים בשנים האחרונות ועברה תהליכי התייעלות פנימית שלוו בקיצוצים בין-היתר בהגנת הסייבר. זו עדות לכך שהחברה לא הבחינה בסימנים ולא נקטה צעדי התגוננות מספקים מבעוד מועד. המקרה של TalkTalk הוא נורת אזהרה לארגונים שנמצאים בתהליכי התייעלות. אלו תהליכים חיוניים לעסק ללא עוררין אבל שלא יהיה ספק, האיומים ילכו ויתגברו עם התלות ההולכת וגדלה במחשבים, ולכן המשימה שלנו מורכבת יותר - עלינו למצוא את הדרך לייעל את ההגנה מבלי להקטין אותה. מעורבות של ההנהלה הבכירה בתהליכי הגנת הסייבר היא צעד בכיוון הנכון. 

בהקשר הזה, תרגול מוכנות לאירוע היא הכלי מצוין לניהול שלו. תרגול פירושו לדעת איפה בדיוק נמצאות נקודות התורפה במוכנות של הארגון בהתמודדות עם אירועי סייבר. זוהי הזדמנות לשפר את היכולת לזהות, לנהל ולהכיל באופן אפקטיבי אירועי סייבר גדולים, וללמוד כיצד למזער נזקים עסקיים ותדמיתיים. מסגרת תרגול טובה מאפשרת תהליך למידה מתמשך ושיטתי של אוכלוסיות שאמורות לפעול בצורה מותאמת. תהליך כזה כשהוא נבנה נכון מסייע לשפר כשירות ויכולת ההתמודדות עם איומי הסייבר, בצל אי-הוודאות הכרוכה בהם. המקרה של TalkTalk צריך ללמד אותנו שבהגנת הסייבר צריך פחות 'לדבר לדבר' ויותר ל'עשות לעשות'.

***

רם לוי, מייסד ומנכ"ל חברת קונפידס - חברה של מומחים שמסייעת לארגונים בתכנון ותרגול הגנת הסייבר. בעברו שימש כמזכיר של הוועדה הלאומית של ראש הממשלה שבעקבות המלצותיה הוקם מטה הסייבר הלאומי. כיום הוא משמש גם כיועץ הסייבר של המועצה הלאומית למו"פ