דעה: תשקיעו בהגנה. לא בדמי כופר
מוטי קארו, מייסד שותף ומנכ"ל חברת סיטאדל, טוען כי השקעה בהגנה מפחיתה משמעותית את הסיכון למתקפת כופר מוצלחת. מיוחד
מוטי קארו
| 17/11/2020
מוטי קארו. צילום: סיטאדל
בחודשים האחרונים ישנה עלייה דרמטית בכמות המתקפות המתרחשות בעולם בכלל ובישראל בפרט. חלק גדול מהמתקפות אינן מתפרסמות בכלי התקשורת, ואלה שכן, לא נחשפות במלוא התמונה.
חוויה קשה ומטלטלת
החוויה של ארגון תחת מתקפת סייבר, ומתקפת כופר בפרט, הינה חוויה קשה ומטלטלת. גורם ההפתעה, הבלבול הראשוני, המעורבות המיידית של הדרגים הגבוהים, הצורך לקבל כמות עצומה של החלטות מכריעות, הפגיעה הכספית שהולכת ומתגברת ככל שהאירוע מתקדם, כל אלו מובילים לרמות לחץ גבוהות בעת אירוע מתקפת סייבר.
ניהול האירוע מורכב ביותר, מסועף ומתנהל במספר צירים: ציר המשא ומתן מול התוקפים, ציר התקשור – פנים חברה וחוץ, דיווח לרגולטור (בורסה, פיקוח על הבנקים, מוסדיים וכו') ועוד. כל ציר שכזה מובל על ידי גורמים שונים, בעלי תפיסות שלא תמיד עולות בקנה אחד ובמקרים רבים לא מתנהל באופן סדור, כאשר מקבלי החלטות לא תרגלו את עצמם לרגע משבר שכזה ומתמודדים לראשונה עם תרחיש קיצון.
חשוב להבין את עוצמת הנזק הפוטנציאלי של מתקפה. רק לאחר שלב הגילוי מתחיל להתבהר אט אט גודל האסון. עצירת הפעילות העסקית, לעיתים באופן מוחלט, הפגיעה במוניטין שמתלווה לפרסומים אודות האירוע, כתגובה לכך ניכרת פעמים רבות ירידה בערך המניה, ובחלק מהפעמים מתלווה גם תשלום כופר בסכומים גבוהים מאוד.
בחירת "הקורבן" בקפדנות
הסיבה הנפוצה של האקרים לתקיפת ארגונים היא השגת הון אישי. בשנים האחרונות חלה מגמה הולכת וגוברת של מתקפות Advanced Persistent Threat, מתקפות מתוחכמות ביותר, בהן התוקפים שמים להם ליעד את תקיפת ליבת הארגון תוך בחירת "הקורבן" בקפדנות, איסוף מודיעין עסקי וכלכלי על שוויו, בעלי התפקידים שלו ומערכות האבטחה הקיימות בו.
תוקף ממוצע יתכנן את המתקפה שלו מספר חודשים (בין 3-6 חודשים) וכל עוד המשוואה של זמן ההשקעה לעומת ההישג הכספי הצפוי תמשיך להיות לטובת התוקף, המוטיבציה רק תמשיך לעלות. מבין שלל סוגי המתקפות בולטות מתקפות הכופר, בהן פורצים האקרים לארגון, מצפינים את המידע במהירות שיא תוך "תנועה רוחבית" ברשת ולעיתים מחזיקים מידע עסקי / פרטי רגיש אליו נחשפו במהלך הפריצה.
עובדי הארגון אינם יכולים לגשת אל המידע או לשחרר אותו. מערכות המחשוב הופכות למשותקות, כשרק אותם האקרים מחזיקים במפתח להסרת ההצפנה. מתקפות אלו הולכות ונעשות פופולריות בשנים האחרונות.
אירוע סייבר אינו רק אחריותו של גוף ה-IT או גוף הסייבר בארגון. זהו אירוע כולל שמשפיע ומשליך על כלל הגורמים בארגון, ממנהל משאבי אנוש דרך מנהל השיווק ועד מנהל התפעול ולמעשה על כל השרשרת הניהולית על כלל הרמות בה. ברגע שהארגון מתורגל היטב וכל אחד יודע מה הוא צריך לעשות מהרגע הראשון, היכולת לתכלל את האירוע ולסיים אותו במהירות עולה בעשרות מונים.
במציאות: משלמים כופר
לא מעט אירועים הסתיימו לאחרונה בתשלום הכופר לתוקף, בסכומים גבוהים באופן משמעותי (ממאות אלפי דולרים ועד מיליוני דולרים רבים). המניע העיקרי של אותן חברות היה רצון לסיים את האירוע ולחזור לפעילות, וכן למנוע מן התוקף לפרסם מידע עסקי חסוי, דבר שעלול כמובן להסב נזק רב.
בחלק משמעותי ממקרים אלו החברות המשלמות החזיקו כיסוי ביטוחי של פוליסת סייבר שסייע להן לקבל החלטה לשלם "על חשבון" חברת הביטוח. נשאלת השאלה – האם הסיכון האקטוארי של חברות הביטוח אינו גבוה מדי לאור כמות המתקפות? ואף חשוב יותר לשאול האם חברות הביטוח מבצעות הליך חיתום ראוי לכל חברה בטרם הנפקת פוליסה?
ולשאלת המיליון. האם לשלם או לא לשלם?
דעתי – כל מקרה לגופו. אין תרחיש מתקפה אחת דומה לאחרת וגם כל ארגון הוא שונה. לפיכך, כל אירוע הוא ייחודי ויש לנהל אותו באופן מותאם. אך לצד זאת חשוב לזכור כי כל עוד פשיעת הסייבר משתלמת וכדאית, ידם של התוקפים על העליונה וכוחם הולך ומתעצם. ברמה העקרונית, יש לעשות ככל הניתן בכדי להימנע מתשלום.
תשקיעו בהגנה. לא בדמי כופר
מניסיוני בניהול מספר רב של אירועים, אירועי כופר מבליטים באופן דרמטי את מוכנות הארגון מבעוד מועד לתרחישים מסוג זה - החל ממדיניות גיבויים יעילה ותרגולה דרך ניטור וזיהוי הצפנה בזמן אמת.
על חברות הביטוח לפעול למינוף רמת ההגנה בארגונים, ובזמן הליך החיתום לוודא כי הגופים אותן הן מבטחות מוגנים כראוי. בניגוד לפוליסות ביטוח אחרות, בפוליסת סייבר קיים צורך מהותי לבקרה שוטפת של חוסן הארגון ועמידותו בפני מתקפות אלה, מעין פוליסה דינאמית הדורשת התאמות תמידיות של ההגנות על הארגונים אל מול האיומים.
באופן זה השוק יחווה פחות אירועי קיצון של אירועי סייבר בכלל ותשלומי כופר בפרט.
וזו בדיוק תשובת מיליון הדולר. על החברות והארגונים לנסות ולהימנע מלהגיע למצב של מתקפת כופר, ואת הכסף, הרבה פחות מאותן עלויות שלאחר מתקפה, להשקיע בהגנה נכונה על הארגון.
חשוב לציין שתשלום הכופר לתוקף אינו רגע סיום האירוע. אין נוסחת קסם. זמן "ההחלמה" הוא ארוך, כואב ומתיש. הארגון נדרש לחשב מסלול מחדש, להטמיע בקרות, לבחון את מערכות ההגנה, את וקטורי התקיפה השונים, והכי חשוב, הוא נדרש להפיק לקחים על מוכנותו לאירוע שהתרחש, בכלל הרמות. משלב זיהוי האירוע , דרך ההכלה ובלימה ועד חזרה לשגרה.
גוף המחקר של Ponemon פרסם לאחרונה מחקר מקיף שבחן אלפי גופים בעולם שנפגעו ממתקפת סייבר ואשר מצא כי הנזק הכספי הממוצע לארגון עומד על 3.4 מיליון דולר לאירוע. נתון לא פחות חשוב באותו מחקר מראה שבארגונים בהם הייתה תוכנית מוכנה, כלי בקרה והיערכות טובה, הנזק קטן בעד 60 אחוז מהממוצע.
וכמו שריר שיש לתרגלו, על מנת לחזקו, כך גם נדרש לתרגל את ההנהלה, ולתרגל נהלי תגובה, כדי שלא "יתנוונו", ושניתן יהיה "לשאת" בעת הצורך את משקלו רב המעמסה של אירוע סייבר.
המפקח על הבנקים והממונה על שוק ההון הוציאו כל אחד בהתאמה חוזר רלוונטי המדבר על תרגול הנהלה אחת לשנה, מה שמחייב גופים אלו ליצור תהליכים ונהלים שמחזקים קצת את אותו "שריר". האם זה מספק? האם אכן כל אחד יידע את מקומו בזמן אירוע? אומר שזוהי בהחלט התחלה טובה, ובעיקר הבנה שכמו בכל תרחיש של מצב חירום, ללא תרגול מראש, יווצר מצב של כאוס.
רק עניין של זמן
לסיכום, ארגונים רבים בישראל אינם מבינים את ההשלכות של אירוע סייבר בכלל ואירוע כופר בפרט. כמי שליווה עשרות אירועים כאלה מקרוב החוויה אינה נעימה והתוצאות דרמטיות. אי הוודאות וזמן ההתאוששות עלולים להיגרר לשבועות רבים בו בזמן שהארגון סופג הפסדים אדירים גם ברמה הפיננסית וגם ברמת המוניטין.
מאז ומעולם התחבט שוק הסייבר עם מודל Return On Investment. עשרות מודלים נבנו בניסיון למדוד מהו החזר ההשקעה על אבטחת מידע, כיצד וכמה נכון להשקיע. נראה כי התשובה על כך לא תהיה מדויקת אף פעם, אך דבר אחד בטוח: השקעה לא מספקת באבטחת מידע עלולה ליצור הפסד של מיליונים בעת אירוע.
מעטים הארגונים שאינם חווים אירועי סייבר. לצד מצב קיצון, בו מפאת חוסר באמצעים וניטור , הארגון אינו יודע שהותקף, נמצאים, בקצה השני של הסקאלה, הארגונים שהגנו על עצמם באופן הוליסטי ומחושב. חשוב לזכור. ארגונים שחווים פחות אירועי סייבר הם לא ארגונים שלא נתקפים. הם פשוט ארגונים שהגנו על עצמם טוב מתוך תפיסה מקיפה והוליסטית.
ארגון שלא הגן על עצמו, נמצא תחת פצצה מתקתקת. זה רק עניין של זמן מתי הוא יחווה את האירוע. וכשהוא יותקף, זה ככל הנראה יהיה בעל משמעויות קריטיות והרות גורל עבורו. במציאות של היום זו אינה שאלה של "אם" אלא שאלה של "מתי".
מוטי קארו, מייסד שותף ומנכ"ל חברת סיטאדל, טוען כי השקעה בהגנה מפחיתה משמעותית את הסיכון למתקפת כופר מוצלחת. מיוחד
מוטי קארו. צילום: סיטאדל
בחודשים האחרונים ישנה עלייה דרמטית בכמות המתקפות המתרחשות בעולם בכלל ובישראל בפרט. חלק גדול מהמתקפות אינן מתפרסמות בכלי התקשורת, ואלה שכן, לא נחשפות במלוא התמונה.
חוויה קשה ומטלטלת
החוויה של ארגון תחת מתקפת סייבר, ומתקפת כופר בפרט, הינה חוויה קשה ומטלטלת. גורם ההפתעה, הבלבול הראשוני, המעורבות המיידית של הדרגים הגבוהים, הצורך לקבל כמות עצומה של החלטות מכריעות, הפגיעה הכספית שהולכת ומתגברת ככל שהאירוע מתקדם, כל אלו מובילים לרמות לחץ גבוהות בעת אירוע מתקפת סייבר.
ניהול האירוע מורכב ביותר, מסועף ומתנהל במספר צירים: ציר המשא ומתן מול התוקפים, ציר התקשור – פנים חברה וחוץ, דיווח לרגולטור (בורסה, פיקוח על הבנקים, מוסדיים וכו') ועוד. כל ציר שכזה מובל על ידי גורמים שונים, בעלי תפיסות שלא תמיד עולות בקנה אחד ובמקרים רבים לא מתנהל באופן סדור, כאשר מקבלי החלטות לא תרגלו את עצמם לרגע משבר שכזה ומתמודדים לראשונה עם תרחיש קיצון.
חשוב להבין את עוצמת הנזק הפוטנציאלי של מתקפה. רק לאחר שלב הגילוי מתחיל להתבהר אט אט גודל האסון. עצירת הפעילות העסקית, לעיתים באופן מוחלט, הפגיעה במוניטין שמתלווה לפרסומים אודות האירוע, כתגובה לכך ניכרת פעמים רבות ירידה בערך המניה, ובחלק מהפעמים מתלווה גם תשלום כופר בסכומים גבוהים מאוד.
בחירת "הקורבן" בקפדנות
הסיבה הנפוצה של האקרים לתקיפת ארגונים היא השגת הון אישי. בשנים האחרונות חלה מגמה הולכת וגוברת של מתקפות Advanced Persistent Threat, מתקפות מתוחכמות ביותר, בהן התוקפים שמים להם ליעד את תקיפת ליבת הארגון תוך בחירת "הקורבן" בקפדנות, איסוף מודיעין עסקי וכלכלי על שוויו, בעלי התפקידים שלו ומערכות האבטחה הקיימות בו.
תוקף ממוצע יתכנן את המתקפה שלו מספר חודשים (בין 3-6 חודשים) וכל עוד המשוואה של זמן ההשקעה לעומת ההישג הכספי הצפוי תמשיך להיות לטובת התוקף, המוטיבציה רק תמשיך לעלות. מבין שלל סוגי המתקפות בולטות מתקפות הכופר, בהן פורצים האקרים לארגון, מצפינים את המידע במהירות שיא תוך "תנועה רוחבית" ברשת ולעיתים מחזיקים מידע עסקי / פרטי רגיש אליו נחשפו במהלך הפריצה.
עובדי הארגון אינם יכולים לגשת אל המידע או לשחרר אותו. מערכות המחשוב הופכות למשותקות, כשרק אותם האקרים מחזיקים במפתח להסרת ההצפנה. מתקפות אלו הולכות ונעשות פופולריות בשנים האחרונות.
אירוע סייבר אינו רק אחריותו של גוף ה-IT או גוף הסייבר בארגון. זהו אירוע כולל שמשפיע ומשליך על כלל הגורמים בארגון, ממנהל משאבי אנוש דרך מנהל השיווק ועד מנהל התפעול ולמעשה על כל השרשרת הניהולית על כלל הרמות בה. ברגע שהארגון מתורגל היטב וכל אחד יודע מה הוא צריך לעשות מהרגע הראשון, היכולת לתכלל את האירוע ולסיים אותו במהירות עולה בעשרות מונים.
במציאות: משלמים כופר
לא מעט אירועים הסתיימו לאחרונה בתשלום הכופר לתוקף, בסכומים גבוהים באופן משמעותי (ממאות אלפי דולרים ועד מיליוני דולרים רבים). המניע העיקרי של אותן חברות היה רצון לסיים את האירוע ולחזור לפעילות, וכן למנוע מן התוקף לפרסם מידע עסקי חסוי, דבר שעלול כמובן להסב נזק רב.
בחלק משמעותי ממקרים אלו החברות המשלמות החזיקו כיסוי ביטוחי של פוליסת סייבר שסייע להן לקבל החלטה לשלם "על חשבון" חברת הביטוח. נשאלת השאלה – האם הסיכון האקטוארי של חברות הביטוח אינו גבוה מדי לאור כמות המתקפות? ואף חשוב יותר לשאול האם חברות הביטוח מבצעות הליך חיתום ראוי לכל חברה בטרם הנפקת פוליסה?
ולשאלת המיליון. האם לשלם או לא לשלם?
דעתי – כל מקרה לגופו. אין תרחיש מתקפה אחת דומה לאחרת וגם כל ארגון הוא שונה. לפיכך, כל אירוע הוא ייחודי ויש לנהל אותו באופן מותאם. אך לצד זאת חשוב לזכור כי כל עוד פשיעת הסייבר משתלמת וכדאית, ידם של התוקפים על העליונה וכוחם הולך ומתעצם. ברמה העקרונית, יש לעשות ככל הניתן בכדי להימנע מתשלום.
תשקיעו בהגנה. לא בדמי כופר
מניסיוני בניהול מספר רב של אירועים, אירועי כופר מבליטים באופן דרמטי את מוכנות הארגון מבעוד מועד לתרחישים מסוג זה - החל ממדיניות גיבויים יעילה ותרגולה דרך ניטור וזיהוי הצפנה בזמן אמת.
על חברות הביטוח לפעול למינוף רמת ההגנה בארגונים, ובזמן הליך החיתום לוודא כי הגופים אותן הן מבטחות מוגנים כראוי. בניגוד לפוליסות ביטוח אחרות, בפוליסת סייבר קיים צורך מהותי לבקרה שוטפת של חוסן הארגון ועמידותו בפני מתקפות אלה, מעין פוליסה דינאמית הדורשת התאמות תמידיות של ההגנות על הארגונים אל מול האיומים.
באופן זה השוק יחווה פחות אירועי קיצון של אירועי סייבר בכלל ותשלומי כופר בפרט.
וזו בדיוק תשובת מיליון הדולר. על החברות והארגונים לנסות ולהימנע מלהגיע למצב של מתקפת כופר, ואת הכסף, הרבה פחות מאותן עלויות שלאחר מתקפה, להשקיע בהגנה נכונה על הארגון.
חשוב לציין שתשלום הכופר לתוקף אינו רגע סיום האירוע. אין נוסחת קסם. זמן "ההחלמה" הוא ארוך, כואב ומתיש. הארגון נדרש לחשב מסלול מחדש, להטמיע בקרות, לבחון את מערכות ההגנה, את וקטורי התקיפה השונים, והכי חשוב, הוא נדרש להפיק לקחים על מוכנותו לאירוע שהתרחש, בכלל הרמות. משלב זיהוי האירוע , דרך ההכלה ובלימה ועד חזרה לשגרה.
גוף המחקר של Ponemon פרסם לאחרונה מחקר מקיף שבחן אלפי גופים בעולם שנפגעו ממתקפת סייבר ואשר מצא כי הנזק הכספי הממוצע לארגון עומד על 3.4 מיליון דולר לאירוע. נתון לא פחות חשוב באותו מחקר מראה שבארגונים בהם הייתה תוכנית מוכנה, כלי בקרה והיערכות טובה, הנזק קטן בעד 60 אחוז מהממוצע.
וכמו שריר שיש לתרגלו, על מנת לחזקו, כך גם נדרש לתרגל את ההנהלה, ולתרגל נהלי תגובה, כדי שלא "יתנוונו", ושניתן יהיה "לשאת" בעת הצורך את משקלו רב המעמסה של אירוע סייבר.
המפקח על הבנקים והממונה על שוק ההון הוציאו כל אחד בהתאמה חוזר רלוונטי המדבר על תרגול הנהלה אחת לשנה, מה שמחייב גופים אלו ליצור תהליכים ונהלים שמחזקים קצת את אותו "שריר". האם זה מספק? האם אכן כל אחד יידע את מקומו בזמן אירוע? אומר שזוהי בהחלט התחלה טובה, ובעיקר הבנה שכמו בכל תרחיש של מצב חירום, ללא תרגול מראש, יווצר מצב של כאוס.
רק עניין של זמן
לסיכום, ארגונים רבים בישראל אינם מבינים את ההשלכות של אירוע סייבר בכלל ואירוע כופר בפרט. כמי שליווה עשרות אירועים כאלה מקרוב החוויה אינה נעימה והתוצאות דרמטיות. אי הוודאות וזמן ההתאוששות עלולים להיגרר לשבועות רבים בו בזמן שהארגון סופג הפסדים אדירים גם ברמה הפיננסית וגם ברמת המוניטין.
מאז ומעולם התחבט שוק הסייבר עם מודל Return On Investment. עשרות מודלים נבנו בניסיון למדוד מהו החזר ההשקעה על אבטחת מידע, כיצד וכמה נכון להשקיע. נראה כי התשובה על כך לא תהיה מדויקת אף פעם, אך דבר אחד בטוח: השקעה לא מספקת באבטחת מידע עלולה ליצור הפסד של מיליונים בעת אירוע.
מעטים הארגונים שאינם חווים אירועי סייבר. לצד מצב קיצון, בו מפאת חוסר באמצעים וניטור , הארגון אינו יודע שהותקף, נמצאים, בקצה השני של הסקאלה, הארגונים שהגנו על עצמם באופן הוליסטי ומחושב. חשוב לזכור. ארגונים שחווים פחות אירועי סייבר הם לא ארגונים שלא נתקפים. הם פשוט ארגונים שהגנו על עצמם טוב מתוך תפיסה מקיפה והוליסטית.
ארגון שלא הגן על עצמו, נמצא תחת פצצה מתקתקת. זה רק עניין של זמן מתי הוא יחווה את האירוע. וכשהוא יותקף, זה ככל הנראה יהיה בעל משמעויות קריטיות והרות גורל עבורו. במציאות של היום זו אינה שאלה של "אם" אלא שאלה של "מתי".
