דעה: הכשלים של טאוור באירוע הכופר

טאוור היתה חוסכת את אירוע הכופר אם היתה משקיעה 250,000 דולר באבטחת מידע 

צילום: יח"צ

מיליוני דולרים שילמה חברת הביטוח של טאוור להאקרים שהצליחו להצפין בלילה שבין שישי לשבת בשבוע שעבר את מערכות המחשוב שלה. בעוד רגע נדבר על המוסריות שבדבר הזה, אבל לפני כן מספרים. תשלום כופר (כאמור מיליוני דולרים, באמצעות פוליסת ביטוח שגם היא שווה כמה מיליונים). צוותי Incident Response בהיקף של ימים רבים ללא הפסקה כששעה ממוצעת תעלה כ-300 דולר (ויותר) לאדם, בצוות של 3-5 אנשי מקצוע. 

כלים טכנולוגיים ייעודיים (כמה אלפי דולרים), החלפת תשתיות, החלפת ציוד מחשוב (עמדות קצה,מסופונים – ככל שנדרשים יותר מהם, העלות תאמיר למיליונים), ליווי משפטי (300 דולר לשעה), עיצומים רגולטורים, תביעות ייצוגיות, פיצויים ללקוחות בשל הפרות חוזיות, עיכובים שנגרמים בתהליכי יצור, הכל כסף מדיד למדיי. כעבור שנתיים בממוצע, ומתברר שהאירוע עלה בערך שמונה ספרות. בדולרים. 

זה מה שאנחנו יודעים היום, כשמנתחים ומסכמים את מה שגילו חברות כמו Equifax (שבעה מיליארד דולר), Marriott (מיליארד דולר), Maersk (שלוש מאות מיליון דולר), הידרו נורסק (75 מיליון דולר). וטאוור היא לגמרי בליגה של הגדולים. של החברות האלה. מעט טכני אבל לא פוגע במסר – דוגמאות מהוירוס שפגע במערכות המחשוב של טאוור, נשלחו למערך הגנת הסייבר, שם הם נבדקו למול כל מערכות ההגנה המוכרות והפתעה - הם נעצרו כבר בכניסה. כן, הבנתם נכון. תיכף ארחיב. 

בעולם העסקי ROI הוא המלך ונראה שארגונים עדיין חושבים שמנהל אבטחת מידע הוא רעש רקע שלא תורם למאמץ הארגוני. תרשו לי להיות בוטה, מניתוח כמה כשלים עקרוניים שהובילו לפגיעה ההרסנית בטאוור, אם היה מועסק בה מנהל אבטחת מידע בצורה מקצועית ורצינית (ולא יומיים בשבוע), אזי שבהוצאה ממוצעת, בחישוב ממש ממש גס, של רבע מיליון דולר וכל האירוע הזה היה נמנע. פשוט ככה. 

עלות מעסיק שנתית של מנהל אבטחת מידע במשרה מלאה היא בערך 100,000 דולר. מנהל אבטחת מידע מקצועי היה מגדיר צרכים מדויקים והיה מבצע מספר מהלכים, גם אם בסיסיים, בעלות ממוצעת של עוד 100,000-150,000 דולר שכוללים בין היתר את היוזמה הממש מרחיקת לכת – הוספת כלי EDR. 

מנכ"ל של מפעל יצור לא אמור להכיר את המושג, אבל אסביר בפשטות שמדובר במערכת טכנולוגית שנקראת Endpoint Detection and Response. כשמה כן היא - מזהה מתקפות, וירוסים ושאר תהליכים שנעדיף שלא יחדרו לארגון ומגיבה אליהם. יחד עם העלאה בסיסית של מודעות ההנהלה לסיכוני הסייבר העסקיים שלה, פלייבוק מדויק להתנהלות בזמן מתקפה והמלצות לצמצום החשיפה לסיכוני סייבר עם תרגיל הנהלה קונקרטי וזה בערך עוד 50,000 דולר בשנה.

לא הוצאות מורכבות מדיי לחברה כמו טאוור שבשבוע האחרון שילמה הרבה יותר מכך וזו רק ההתחלה. עוד קצת כלי ניטור, עוד סקר סיכונים ובאמת, בעלות זניחה ממש, טאוור היתה במקום אחר לגמרי. וזה לא שטאוור עבדה בואקום. ארגון כזה הרי לא מתפקד ללא מערכות מידע ותשתיות חזקות. ואכן, הרבה שאלות אבטחת מידע מקבלות מענה תחת המעטפת הזו ועדיין.. זה לא מספיק. אבטחת מידע זה לא מותרות ואי אפשר לנהל אותה בהתכתבות או עשירית משרה. 

השאיפה של כל מנכ"ל, ובטח היום, כשאנחנו רואים מה נעשה בטאוור, היא לתרבות אבטחת מידע ארגונית, שתאפשר לו לשמר המשכיות עסקית. בלי מנהל אבטחת מידע ובלי להבין את סיכון הסייבר הייחודי עבורו, זה פשוט לא אפשרי. ה-ROI  שמנהל אבטחת מידע מביא לארגון בזכות תהליכים מורכבים וסיזיפיים שהוא לוקח על עצמו, הוא עצום – החל בעמידה ברגולציות, דרך דרישות ובקרות של ספקים ולקוחות ועד לרציפות תפעולית של ממש. הנה שוב, ההוכחה.

בסוף הרי הכל שאלה של כסף, ולהגיד "לי זה לא יקרה, או אני לא צריך את זה" ובכן, תשאלו היום את אנשי טאוור אם היו חוזרים שבוע אחורה ומקצים 250,000 דולר לאפשרות שאולי וזה כן יקרה. 

הבטחתי מילה על דרישות הכופר שחברות הביטוח מעודדות לשלם - תראו, מעבר לדיון המוסרי בשאלת התשלום לטרוריסטים, חשוב להבין שתשלום הכופר הוא רק טיפה בים עצום של הוצאות שלא מכוסות בביטוח. כשתשלום הכופר מועבר, מתחיל הברדק האמיתי ולמען האמת, תשלום כופר חושף את הארגון לעוד ועוד מתקפות וליחס ישיר של עלויות הפרמיה. אפשר לצמצם את הסיכוי להיפגע ממתקפת כופר ואפשר גם להתמודד איתה בצורה הרבה יותר יעילה. בשביל זה צריך פשוט להכיר בסיכון.

[הערת עורך: טאואר הוציאה לבורסה שתי הודעה. ראשונה ב6.9.2020 על אירוע סייבר. שניה ב10.9.2020 על סוף האירוע וחזרה לשגרה.]

עינת מירון היא יועצת מומחית ל- Clevel בתחום Cyber Resilience – הערכות והתמודדות עם סיכוני סייבר בהיבטים העסקיים.