״מתקפת כופר אינה אישית נגד הנהלת הארגון״
ד״ר יניב הראל, סגן נשיא בכיר להגנת סייבר בחברת סיגניה, מספר על חווית ניהול אירוע סייבר מאחורי הקלעים. ראיון מיוחד
עמי רוחקס דומבה
| 08/07/2021
יניב הראל. צילום: סייברטק
האם נכון לשמור מתקפת סייבר בסוד? כיצד מתמודדים עם חוויה חריגה כזו כעסק? ״אירוע מתקפת סייבר הוא חוויה שונה מכל חוויה אחרת שעוברת על הארגון. מבחינת הארגון זה משבר משמעותי״, מסביר ד״ר יניב הראל, סגן נשיא בכיר להגנת סייבר בחברת סיגניה.
״מדובר במשבר שבאופן מיידי מעורבת בו כל שדרת הניהול של הארגון. האירוע ׳עולה׳ מהר לניהול ישיר של המנכ״ל או הבעלים והוא משפיע על היחס עם המשקיעים, הלקוחות, התדמית הציבורית, המוניטין ואם יש, גם עם הרגולטור. פתאום, ברגע אחד, הכל משתנה.״
האירוע הופך לשיח ציבורי
הראל מציין כי אי אפשר לסמוך על זה שהאירוע ישאר בדלתיים סגורות. לפיו, אם הארגון מפוקח, האירוע יכול להפוך להיות שיח ציבורי מאד מהר. ״הרבה דרגי ניהול מפקחים על הדרג המקצועי באירוע כזה. אם האירוע הופך להיות ציבורי, הארגון נדרש לשיטת עבודה מסודרת כיצד להתמודד עם המציאות החדשה״, מסביר הראל.
״אחד התפקידים שלנו הוא לפשט את השיח בין הדרג המקצועי לדרג הניהולי מבעוד מועד. באירוע אמת, זה קורה פתאום. בהפתעה. בלי הכנות מראש. אם הסיסו לא יודע להנגיש את המידע הטכני למנכ״ל ולצוות המשפטי, מורכבות הטיפול באירוע, בזמן אמת - עולה.
״כשסיגניה מגיעה לאירוע כזה, בכל מקום בעולם, מנסים להבין מה קרה, לפענח את שורש התקיפה ומה היתה התפתחותה לאורך הזמן. זה הבסיס. אם לא תבין מה קרה באירוע, אתה יכול לקבל החלטות לא נכונות. עובדים בשיתוף פעולה עם הצוות הטכני המקומי.
״בחלק גדול מהמקרים, האירוע מתחיל בדוא״ל כופר שקיבלו בחברה. בחקירה אתה מוצא שהאירוע בכלל התחיל שלושה שבועות קודם לכן. אנחנו מכירים הרבה קבוצות תקיפה ויודעים לאפיין מה הם רוצים. גם אם לא, מתוך צורת העבודה יודעים מה כוונתם.
״במקרים מסוימים, רואים תוקף ששהה הרבה זמן ברשת והתכוון להגיע למערכת ניתוח נתונים. משם הוא רצה גישה למידע. מתוך הבנת האירוע, אתה מבין מה הוא מחפש ואיך הוא פועל.״
הראל מסביר כי מטרת הלקוח היא לחזור לפעילות כמה שיותר מהר. ״יש איזון בין הציר הטכני לבין העסקי. יש חברות שיכולות לעצור פעילות לכמה ימים ויש כאלו שלא יכולות לעצור את הפעילות אפילו ליום אחד. זה גם משפיע על הזמן שלוקח לשחזר את המערכות של החברה״, אומר הראל. ״לצד חקירה פורנזית, הארגון נדרש להגיב לתוקף. לנהל איתו מו״מ. אנחנו מעניקים סיוע גם בזה, וגם בקבלת החלטות נכונה, כולל תקשורת בין הגורמים השונים בחברה.״
החוסן של הארגון
שאלה נוספת עמה מתמודדת סיגניה ועובדת עם רבים מלקוחותיה, היא כיצד לבנות את החוסן של הארגון. ״אם אתה ארגון שלא בנה את הארכיטקטורה נכון, כך שמי שנכנס לא מקבל גישה לכל המשאבים, אתה בבעיה. אם אין לך מערכות שמנטרות תופעות חריגות, אתה גם בבעיה. ועוד הרבה מאד מרכיבים טכניים ומתודולגיים שיוצרים את החוסן הסייברי. ברגע שבנית את הארגון לטובת חוסן בסייבר, יש לך סיכוי טוב לזיהוי מקדים של מתקפה והקטנת הנזק״, מסביר הראל.
״אם הארגון מתחיל פעילות איתנו לפני אירוע, אנחנו מכינים אותו לאירוע. עושים תרגילים, מכשירים את הצוותים הטכניים, אימון בעלי התפקיד הסייבריים, משחקי תפקידים, קבלת החלטות בלחץ ועוד. זה עוזר באירוע אמת. אנחנו רואים גם תופעה שמנכ״לים תופסים את המתקפה כאישית עליהם. אנחנו מנסים להסביר שהתוקף רוצה כסף ואין בזה משהו אישי. מבחינת התוקף, זו העבודה שלו. אנחנו מנסים לנטרל את החלק הרגשי בקבלת החלטות.״
בהקשר אוטומציה, הראל טוען כי מדובר בהרבה באז. לפיו, החוסן של הארגון נובע במידה משמעותית מטכנולוגיות מוכחות, מדיניות ונהלים. ואיך כל זה מסונכרן. ״זה נכון שככל שהארגון יותר גדול, נדרשת יותר אוטומציה לטובת סנכרון. עם זאת, אוטומציה נמכרת לפעמים כאקמול. אם יש לך אנאליסט אוטומטי בסוק, לא אומר שאתה מוגן. אוטומציה היא חלק מתפיסת החוסן - אינה חזות הכל״, מסביר הראל.
״אנחנו נותנים גם המלצות אחרי אירוע, אך איננו ממליצים לארגון מה לקנות. להפך, המטרה היא לעבוד עם הארגון כיצד מוציאים יותר מהטכנולוגיות הקיימות. להיות יותר אפקטיבי עם מה שהוא כבר רכש.״
תיאום ציפיות
בזמן אירוע, לכל אדם בשרשרת ההחלטות יש ציפייה שונה מהמציאות. וזה יכול להוביל לאי נעימות. במקרים אחדים המנכ״ל מגיע עם תפיסת יסוד שאינו מוכן לשלם כופר. אחר מוכן לשלם, אבל דורש כמה שפחות. ״הדגש הוא להתיישר עם פונקציית המטרה של החברה. יש דברים שפחות תלויים בזה כמו חקירה פורנזית, שיקום תהליכים עסקיים ועוד״, מסביר הראל.
״בחברות גדולות, לא כל הפעילות נפגעה. אלא רק חלקה. אם התוקף התמקד במחלקת הכוח אדם, זה לא אומר שעוצרים את רצפת הייצור. בארגונים גדולים ומורכבים התוקף לא נמצא בכל המקומות. אנחנו מנסים להבין דרך החקירה הפורנזית מה הסיכון לארגון. בהתאם לזה, כיצד זה ישפיע על התהליכים העסקיים. מהן דרכי הפעולה האפשריות.״
עוד היבט הוא התמודדות עם תוצאות האירוע. הראל מסביר כי במישור הטכני, נדרשים להבין מה קרה ואיך בונים את הארגון בצורה טובה יותר להפחתת סיכונים. ״היו לא מעט מקרים בהם כשעשינו בדיקה של הקבצים שיש ברשת כחלק מטיפול באירוע מצאנו עוד דלתות אחוריות שיש ברשת, שלא היו קשורות לאירוע שטיפלנו בו. אולי חיכו לאירוע עתידי או לכניסה נוספת״, ממשיך הראל.
״יש תביעות לקוחות, שיקום התדמית, בניית האמון עם הלקוחות. אלו תהליכים שעמם מתמודדות חברות לאחר האירוע. בחלק מהפעמים אתה מגלה שלאירוע יש השלכות חוקיות. במקרה כזה, נכנסים לאירוע שירותי אכיפת החוק באותה מדינה וזה מוסיף עוד מורכבות לניהול האירוע.״
איך בוחרים חברת IR?
״זה כמו רופא או עו״ד. יש אירוע ואתה צריך לבחור מי יטפל בך. גם בתחום הסייבר, אתה צריך לבחור איזו חברה תטפל לך באירוע״, אומר הראל. ״יש פתרונות במגוון מחירים. ברגע האמת, אתה תעדיף כאלו שיש להם ניסיון בהרבה מתקפות סייבר.
״בשנות פעילות החברה, הצטבר נסיון רב בעבודה עם לקוחות בכל העולם בהם הצוותים הצליחו במגוון מתקפות להבין את התוקף ולהפחית נזק ללקוח. לסיגניה יש גם טכנולוגיות ייחודיות שהיא עובדת אתן. מעבר לכלי מדף, יש לה כלים ייעודיים שפותחו למטרות שדוברו במאמר.״
משהו אחר: סיכום פעילות בבאר שבע
לצד ההתחלה החדשה בסיגניה, הראל סיים שש שנים בהובלת פעילות פתרונות הסייבר של חברת דל בבאר שבע. הקבוצה אותה ניהל קמה כחלק מEMC, וזכתה במכרז הCERT הלאומי ושל האנרגיה. "בשנה האחרונה בנינו את החיבור של קבוצת פתרונות הסייבר לתוך המבנה המתאים לDell Technologies. בחברות גדולות, ההטמעה, גם לפעמים לאחר רכישות מוצלחות, היא רק ההתחלה של הליך ארוך, שבחלק לא מבוטל של הפעמים נכשל. את זה פחות קוראים בחדשות״, מסביר הראל.
״על מנת להצליח, חילקנו את הקבוצה לתתי קבוצות, כך שכל אחת השתלבה בחטיבה עסקית אחרת של דל ופועלת כיום כחלק מאותה חטיבה. מחלקת הפיתוח כיום פועלת כחלק מחטיבת המוצרים הגלובלית והשיקה מוצר לאחרונה, מחלקות המלוות את הלקוחות הן משתייכות לארגון הSERVICES וכך גם נוספים. הנוכחות בבאר שבע במלואה, כאשר חלקי הקבוצה משתייכים לחטיבות העסקיות הקיימות.״
ד״ר יניב הראל, סגן נשיא בכיר להגנת סייבר בחברת סיגניה, מספר על חווית ניהול אירוע סייבר מאחורי הקלעים. ראיון מיוחד
יניב הראל. צילום: סייברטק
האם נכון לשמור מתקפת סייבר בסוד? כיצד מתמודדים עם חוויה חריגה כזו כעסק? ״אירוע מתקפת סייבר הוא חוויה שונה מכל חוויה אחרת שעוברת על הארגון. מבחינת הארגון זה משבר משמעותי״, מסביר ד״ר יניב הראל, סגן נשיא בכיר להגנת סייבר בחברת סיגניה.
״מדובר במשבר שבאופן מיידי מעורבת בו כל שדרת הניהול של הארגון. האירוע ׳עולה׳ מהר לניהול ישיר של המנכ״ל או הבעלים והוא משפיע על היחס עם המשקיעים, הלקוחות, התדמית הציבורית, המוניטין ואם יש, גם עם הרגולטור. פתאום, ברגע אחד, הכל משתנה.״
האירוע הופך לשיח ציבורי
הראל מציין כי אי אפשר לסמוך על זה שהאירוע ישאר בדלתיים סגורות. לפיו, אם הארגון מפוקח, האירוע יכול להפוך להיות שיח ציבורי מאד מהר. ״הרבה דרגי ניהול מפקחים על הדרג המקצועי באירוע כזה. אם האירוע הופך להיות ציבורי, הארגון נדרש לשיטת עבודה מסודרת כיצד להתמודד עם המציאות החדשה״, מסביר הראל.
״אחד התפקידים שלנו הוא לפשט את השיח בין הדרג המקצועי לדרג הניהולי מבעוד מועד. באירוע אמת, זה קורה פתאום. בהפתעה. בלי הכנות מראש. אם הסיסו לא יודע להנגיש את המידע הטכני למנכ״ל ולצוות המשפטי, מורכבות הטיפול באירוע, בזמן אמת - עולה.
״כשסיגניה מגיעה לאירוע כזה, בכל מקום בעולם, מנסים להבין מה קרה, לפענח את שורש התקיפה ומה היתה התפתחותה לאורך הזמן. זה הבסיס. אם לא תבין מה קרה באירוע, אתה יכול לקבל החלטות לא נכונות. עובדים בשיתוף פעולה עם הצוות הטכני המקומי.
״בחלק גדול מהמקרים, האירוע מתחיל בדוא״ל כופר שקיבלו בחברה. בחקירה אתה מוצא שהאירוע בכלל התחיל שלושה שבועות קודם לכן. אנחנו מכירים הרבה קבוצות תקיפה ויודעים לאפיין מה הם רוצים. גם אם לא, מתוך צורת העבודה יודעים מה כוונתם.
״במקרים מסוימים, רואים תוקף ששהה הרבה זמן ברשת והתכוון להגיע למערכת ניתוח נתונים. משם הוא רצה גישה למידע. מתוך הבנת האירוע, אתה מבין מה הוא מחפש ואיך הוא פועל.״
הראל מסביר כי מטרת הלקוח היא לחזור לפעילות כמה שיותר מהר. ״יש איזון בין הציר הטכני לבין העסקי. יש חברות שיכולות לעצור פעילות לכמה ימים ויש כאלו שלא יכולות לעצור את הפעילות אפילו ליום אחד. זה גם משפיע על הזמן שלוקח לשחזר את המערכות של החברה״, אומר הראל. ״לצד חקירה פורנזית, הארגון נדרש להגיב לתוקף. לנהל איתו מו״מ. אנחנו מעניקים סיוע גם בזה, וגם בקבלת החלטות נכונה, כולל תקשורת בין הגורמים השונים בחברה.״
החוסן של הארגון
שאלה נוספת עמה מתמודדת סיגניה ועובדת עם רבים מלקוחותיה, היא כיצד לבנות את החוסן של הארגון. ״אם אתה ארגון שלא בנה את הארכיטקטורה נכון, כך שמי שנכנס לא מקבל גישה לכל המשאבים, אתה בבעיה. אם אין לך מערכות שמנטרות תופעות חריגות, אתה גם בבעיה. ועוד הרבה מאד מרכיבים טכניים ומתודולגיים שיוצרים את החוסן הסייברי. ברגע שבנית את הארגון לטובת חוסן בסייבר, יש לך סיכוי טוב לזיהוי מקדים של מתקפה והקטנת הנזק״, מסביר הראל.
״אם הארגון מתחיל פעילות איתנו לפני אירוע, אנחנו מכינים אותו לאירוע. עושים תרגילים, מכשירים את הצוותים הטכניים, אימון בעלי התפקיד הסייבריים, משחקי תפקידים, קבלת החלטות בלחץ ועוד. זה עוזר באירוע אמת. אנחנו רואים גם תופעה שמנכ״לים תופסים את המתקפה כאישית עליהם. אנחנו מנסים להסביר שהתוקף רוצה כסף ואין בזה משהו אישי. מבחינת התוקף, זו העבודה שלו. אנחנו מנסים לנטרל את החלק הרגשי בקבלת החלטות.״
בהקשר אוטומציה, הראל טוען כי מדובר בהרבה באז. לפיו, החוסן של הארגון נובע במידה משמעותית מטכנולוגיות מוכחות, מדיניות ונהלים. ואיך כל זה מסונכרן. ״זה נכון שככל שהארגון יותר גדול, נדרשת יותר אוטומציה לטובת סנכרון. עם זאת, אוטומציה נמכרת לפעמים כאקמול. אם יש לך אנאליסט אוטומטי בסוק, לא אומר שאתה מוגן. אוטומציה היא חלק מתפיסת החוסן - אינה חזות הכל״, מסביר הראל.
״אנחנו נותנים גם המלצות אחרי אירוע, אך איננו ממליצים לארגון מה לקנות. להפך, המטרה היא לעבוד עם הארגון כיצד מוציאים יותר מהטכנולוגיות הקיימות. להיות יותר אפקטיבי עם מה שהוא כבר רכש.״
תיאום ציפיות
בזמן אירוע, לכל אדם בשרשרת ההחלטות יש ציפייה שונה מהמציאות. וזה יכול להוביל לאי נעימות. במקרים אחדים המנכ״ל מגיע עם תפיסת יסוד שאינו מוכן לשלם כופר. אחר מוכן לשלם, אבל דורש כמה שפחות. ״הדגש הוא להתיישר עם פונקציית המטרה של החברה. יש דברים שפחות תלויים בזה כמו חקירה פורנזית, שיקום תהליכים עסקיים ועוד״, מסביר הראל.
״בחברות גדולות, לא כל הפעילות נפגעה. אלא רק חלקה. אם התוקף התמקד במחלקת הכוח אדם, זה לא אומר שעוצרים את רצפת הייצור. בארגונים גדולים ומורכבים התוקף לא נמצא בכל המקומות. אנחנו מנסים להבין דרך החקירה הפורנזית מה הסיכון לארגון. בהתאם לזה, כיצד זה ישפיע על התהליכים העסקיים. מהן דרכי הפעולה האפשריות.״
עוד היבט הוא התמודדות עם תוצאות האירוע. הראל מסביר כי במישור הטכני, נדרשים להבין מה קרה ואיך בונים את הארגון בצורה טובה יותר להפחתת סיכונים. ״היו לא מעט מקרים בהם כשעשינו בדיקה של הקבצים שיש ברשת כחלק מטיפול באירוע מצאנו עוד דלתות אחוריות שיש ברשת, שלא היו קשורות לאירוע שטיפלנו בו. אולי חיכו לאירוע עתידי או לכניסה נוספת״, ממשיך הראל.
״יש תביעות לקוחות, שיקום התדמית, בניית האמון עם הלקוחות. אלו תהליכים שעמם מתמודדות חברות לאחר האירוע. בחלק מהפעמים אתה מגלה שלאירוע יש השלכות חוקיות. במקרה כזה, נכנסים לאירוע שירותי אכיפת החוק באותה מדינה וזה מוסיף עוד מורכבות לניהול האירוע.״
איך בוחרים חברת IR?
״זה כמו רופא או עו״ד. יש אירוע ואתה צריך לבחור מי יטפל בך. גם בתחום הסייבר, אתה צריך לבחור איזו חברה תטפל לך באירוע״, אומר הראל. ״יש פתרונות במגוון מחירים. ברגע האמת, אתה תעדיף כאלו שיש להם ניסיון בהרבה מתקפות סייבר.
״בשנות פעילות החברה, הצטבר נסיון רב בעבודה עם לקוחות בכל העולם בהם הצוותים הצליחו במגוון מתקפות להבין את התוקף ולהפחית נזק ללקוח. לסיגניה יש גם טכנולוגיות ייחודיות שהיא עובדת אתן. מעבר לכלי מדף, יש לה כלים ייעודיים שפותחו למטרות שדוברו במאמר.״
משהו אחר: סיכום פעילות בבאר שבע
לצד ההתחלה החדשה בסיגניה, הראל סיים שש שנים בהובלת פעילות פתרונות הסייבר של חברת דל בבאר שבע. הקבוצה אותה ניהל קמה כחלק מEMC, וזכתה במכרז הCERT הלאומי ושל האנרגיה. "בשנה האחרונה בנינו את החיבור של קבוצת פתרונות הסייבר לתוך המבנה המתאים לDell Technologies. בחברות גדולות, ההטמעה, גם לפעמים לאחר רכישות מוצלחות, היא רק ההתחלה של הליך ארוך, שבחלק לא מבוטל של הפעמים נכשל. את זה פחות קוראים בחדשות״, מסביר הראל.
״על מנת להצליח, חילקנו את הקבוצה לתתי קבוצות, כך שכל אחת השתלבה בחטיבה עסקית אחרת של דל ופועלת כיום כחלק מאותה חטיבה. מחלקת הפיתוח כיום פועלת כחלק מחטיבת המוצרים הגלובלית והשיקה מוצר לאחרונה, מחלקות המלוות את הלקוחות הן משתייכות לארגון הSERVICES וכך גם נוספים. הנוכחות בבאר שבע במלואה, כאשר חלקי הקבוצה משתייכים לחטיבות העסקיות הקיימות.״
