ההתקפות בחודשים האחרונים על חברות גדולות כדוגמת גרמין, ממחישות את גודל הפגיעה בפעילות העסקית והצורך לבחון את אופן הטיפול בהגנה בסייבר בארגון בתיעדוף משימות הארגון על סדר היום. באופן טבעי, חברי הדירקטוריון האמונים בין היתר על קביעת מדיניות ואסטרטגיה ארגונית עסוקים בחלוקת קשב ומשאבים לפעילויות ופרוייקטי ליבה ארגוניים שהקו המנחה הוא הגדלת הרווחים ועמידה ביעדים ארגוניים מוגדרים. מן הסתם משאבים אלו כוללים צורך בתקציבים גבוהים לפעילות שיווק, פיתוח, גיוס וכד באופן שעלול להסיט מנושאי ליבה לא פחות חשובים כדוגמת הגנה בסייבר. לעיתים אף מטרידה אותנו העובדה כי השקעות באבטחה בכלל ובאבטחת סייבר בפרט תעלה לא מעט כסף ותצריך משאבים נוספים של זמן וידע בתוספת משאבים נוספים ולכן התיעדוף מוסט, ממילא להשקעות אחרות, כאלו, שקל לאמוד את ההחזרים שלהם (בדילמת השקעת כספים בין שיווק לאבטחה כנראה שתקציב השיווק יהא גבוה יותר). עם זאת, ראייה נכונה של חברי הדירקטוריון תוכל לתרום משמעותית בבניית תהליכים רוחביים נכונים ומיצוב נושאי סייבר על סדר באופן שיצמצם באופן ניכר את סיכוני הסייבר ומשטחיי התקיפה. מעורבות זו, תבטיח בהכרח את העמידה ביעדיי הארגון ומניעת פגיעה ברווחים.
בינואר 2020 חוותה חברת easyjet התקפת סייבר מתוחכמת בה נגנבו פרטיהם של תשעה מיליון לקוחות החברה. התקפה זו הובילה גם להאשמות חמורות, ע"י הרשויות והלקוחות, לרשלנות הגנה על המידע ופגיעה בפרטיות. בתוך כך היא עומדת לחקירת הרגולטור הבריטי לענייני אבטחת מידע (ה- (ICO בגין רשלנות. צפי הקנס שיוטל עלייה צפוי להיות בסדר גודל של כ- 256 מיליון פאונד בעוד הרווח השנתי הוא רק 6.4 מיליון פאונד (ובשנת 2020 נכנסים לא מעט הפסדים ישירים ממשבר הקורונה). האירוע זה, ממחיש היטב את נושא החבות המשפטית, בחינת הרגולציה בהיבטי סייבר, אחריות כוללת של הדירקטוריון להגנת מערכות המחשוב, ונקיטת תשומות להגנה על פרטיי הלקוחות.
אירועים אלו מחייבים שינוי גישה של הדירקטוריון והנהלת הארגון. בכלל זה: בניית תהליכים רוחביים נכונים ומיצוב הגנת הסייבר על סדר היום. כול זאת במטרה לצמצם סיכונים ארגוניים במישור הפיננסי, תתפעולי, בטיחותי ועוד (העלולים לצוץ בעקבות תקלת מחשב, אירוע סייבר או סייבר המתחזה לתקלה) וצמצום משטחיי התקיפה וההזדמנויות בראיית התוקף.
הגם שקיימים לא מעט כלים שמטרתם לסייע ולתמוך את תהליכי ניהול סיכוני הסייבר ובניית תוכנית עבודה ניתן במאמר זה 4 גישות שיסייעו לדירקטוריון להתמודד ולכוון נכונה עם תהליך הגנת הסייבר בארגון.
שילוב הסייבר בתהליך מיפוי וסקר סיכונים והיערכות לשרידות עסקית ותהליך ההתאוששות מאסון:
אחד הנושאים המהותיים בהוויית הארגון זוהי השרידות העסקית והתהליכים המבטיחים את השירות, קווי הייצור התפוקה או השירות. כך, בנק הנותן שירותים פיננסים 24/7 ללקוחותיו, פס ייצור של חברת תרופות או מזון, חברת תעופה, רשת מלונות וכד'. מאחר ומרבית תהליכי הארגון הם ממוחשבים, קיים בהכרח הצורך בניתוח סיכוניי סייבר (חיצוניים ופנימיים) שיכולים להשבית ולפגוע בתהליך העסקי והישרדותו. בתוך כך שאלות של משמעות התקיפה על מערכות המחשוב השבתתן (כדוגמת כופר), אופן ההמשכיות העסקית, יכולת התאוששות (זמן תפעול ומעבר לגיבוי) וכד. משכך, קיים גם הכרח בבחינת הצורך ביתירות בציוד מחשוב (חומרתי ותוכנתי) למצב בו קיים אירוע או תקלה שיכולים להשליך על ה- DOWNTIME ותהליך הפרודוקטיביות של הארגון. לדוגמא, ההיערכות לשרידות עסקית ביחס לפס ייצור בו קיימת מכונה ייחודית מחו"ל מחייבת הערכת הפסדים צפויים בזמן תקלה או אירוע סייבר המשליכים על חלופה ומעבר לתהליך ייצור ידני וכמובן מחייב גם התארגנות מראש ביכולות תפעול, ידע הצטיידות ויתירות במכונה או חלקים רזרביים. לחילופין במקום בו פעילות הליבה היא סליקה פיננסית יש להיערך לאפשרות סליקה ידנית או אופן אחר באם קיים חשש לאירוע סייבר ברשת או המחשב המקומי האמון על תהליכי הסליקה. מיפוי סיכונים אלו הנישען על השלכות סייבר אפשריות לתהליך השרידות העסקית והתאוששות מאסון מאפשרים בניית תהליך הכולל, הצטיידות ומיצוי בקרות מתאימות המתבססות על שיטות, תהליכי עבודה וטכנולוגיות הגנה מתאימות.
יצירת מנגנונים תומכיי החלטות לתיעדוף משימות הגנה בסייבר (תיקוף באמצעות מודיעין):
בניית תוכנית הגנה בסייבר היא משימה מורכבת גם בראיית הדירקטוריון וההנהלה. היכולת להחזיר את ההשקעה בעולם האבטחה, לא תמיד קיימת וכך גם היעדר יכולת ההוכחה (גם בדיעבד) כי החומות שנבנו באמת סייעו למניעת הסיכון. ייתכן כי היו ניסיונות תקיפה, בהם החליט התוקף לוותר ולעבור ליעד אחר נוכח הקושי להתמודד עם טכנולוגיות וסידורי אבטחה מורכבים. מאחר ויש לא מעט אילוצים ושיקולים תקציביים, פוליטיים ואחרים קיים צורך בכלים ומנגנונים שיסייעו לקבל את ההחלטה הטובה ביותר ביחס לתעדוף המשימות וההשקעה הכספית. החלטה זו צריכה להיתמך בנתונים מתוקפים ביחס לטרנד ודפוסי התקיפה, השינויים הטכנולוגיים וכד. הצורך והיכולת לתקף את השלבים וההמלצות המתגבשות לתוכנית עבודה היא אבן יסוד בבניית התוכנית הן ביכולת לשכנע את בעלי העניין וגורמי ההנהלה בהשקעות הרלוונטיות ויתרה מכך ביכולת ליצור הגנת סייבר נכונה וריאלית.
שאיפתם של גורמי הגנת הסייבר בארגון היא לתת כיסוי אבטחתי רחב בלא מעט טכנולוגיות ומימדים. באופן טבעי נדרשת השקעה (או טיוב) במערכות ליבה כדוגמת ה- FW, מערכת לאיתור ומניעת DDOS, הטמעת טכנולוגיות ל- ZERO TRUST, ניהול הרשאות ותיקיות, מערכות הלבנת קבצים אך גם מערכות ייעודיות לארגון כדוגמת מערכת לאיתור ומניעת הונאות איומים פנימיים וכד. עם זאת, יש לזכור כי המשאבים והיכולות מוגבלות ולא ניתן להגן באופן מלא על כל נכסי הארגון ולכן יש לאפיין תהליך נכון במיפוי וניהול הסיכונים ותיקופם ולהקצות את משאבי ההגנה בהתאם. תהליך זה יאפשר גם מבט רוחבי שיאפשר שילוב טכנולוגיה הנותנת מענה למספר אתגרים וסוגיות אבטחה (כדוגמת הטמעת מנגנון: ZERO TRUST הנותן אפס אמון בנכסים וביישויות המתחברות לארגון ועל כן נותן מענה גם להיבטי הצפנת תעבורה והסתרת המידע, שימוש במנגנוני האימות, בדיקת המידע ויכולות נוספות.
הצורך בניהול סיכונים ותיקוף הוא הכרחי נוכח העובדה שגם האיומים, שיטות התקיפה והטכנולוגיות משתנות. איומי הסייבר שלפני עידן הקורונה הם לא בדיוק אותם האתגרים עימם התמודד הארגון בתקופה שקדמה למשבר. אם בעבר השקיעו הארגונים" ע"פ רוב, בטכנולוגיות הגנה בתוך הארגון הרי שהיום האתגרים מורכבים יותר שכן כול עובד מבית מהווה יעד לתקיפה והצורך בתיכנון ההגנה חוצה את גבולות הארגון.
אחד מהשלבים הקריטיים לבניית משימות ותוכנית הגנה יעילה הוא שלב מיפוי נכסים והנגזרת של ניהול הסיכונים, שמטרתו לכוון את הקצאת משאבי ההגנה, אבטחה ובחירת בקרות ההגנה. זאת תוך סיכון מחושב תוך התמקדות במערכות, תשתיות או אפליקציות קריטיות מוגדרות.
כדי לתקף את האיומים ולהיערך לקראתם, נדרש, בין היתר, ידע מגוון ועדכני שיאפשר למקד את המשאבים הנדרשים והגורמים האחראים לבניית תוכנית העבודה והטמעתה בפועל. ידע זה ניתן להפיק באמצעות דו"חות מודיעין (לרבות גלויים) והיסטוריית אירועים המופקת ע"י חברות מובילות וגופי מחקר (מסחריים ואחרים) וכן מודיעין ותובנות סייבר המופקות גם ע"י מערכות הארגון (כדוגמת ה- FW שיכול להצביע על התקפות ופניות עויינות מאזור מסוים בעולם, מזהיי תקיפה וכד'). אלו יאפשרו להנהלה קבל תמונת מצב מתוקפת על טרנדים ושיטות תקיפה באופן שייתמוך את קבלת החלטתם להמשך. קיימים לא מעט כלים המשלבים מודיעין זה בתהליך מיפוי הסיכונים ובניית תוכנית עבודה להמשך.
התלות בין שלב סקר סיכונים לבין בדיקת חדירות:
לעיתים קיים טשטוש בין המושג סקר סיכונים למושגים בדיקת חדירות או בדיקת חוסן. הבנת המושגים גוזרת את השלבים ותוכנית העבודה להמשך. סקר סיכונים בסייבר הוא תהליך מובנה המתנהל בהתאם למתודולוגיה ידועה, תכליתו לאתר את הסיכונים (ורמתם) אשר עלולים לפגוע במימוש או יעדי הארגון. ככזה, ההסתכלות בתהליך היא על כול המערכות והוא מתבצע ע"פ רוב בשאלון, תצפית סקירת מסמכים ושיטות נוספות שמטרתם להצביע על תהליכים או נכסים קריטיים. לאחר שנבחרו מספר תהליכי ליבה או נכסים קריטיים אנו שואפים לרכז מאמצים סביב אלו, להתעמק, להשקיע משאבים במטרה לאתר את החולשות הפערים הטכנולוגיים בכדיי לצמצם את הפערים ומשטח התקיפה ע"י טיפול ליקויים. בדיקה טכנולוגית זו לאיתור חולשות אפשריות היא בדיקת חדירות.
אחת הנקודות החשובות בהערכת הסיכון ובהמשך באופן בדיקת החוסן היא היכולת לשכלל את כול מעגלי האבטחה (לרבות מניעת גישה ואבטחה פיזית) בהגעה אל הנכס הקריטי. שכן אם מדובר בנכס קריטי המבודל ברשת עצמאית בתוך ארגון עם סידורי אבטחה פיזית , תהליכי מהימנות עובדים וכד' היכולת לממש התקפה יורדת וכך סיכויי התקיפה פוחתים. בתהליכים של סקר הסיכונים וכן גם בדיקת החדירות על ההנהלה להיות מעורבת גם בבחינת הנתונים, הערכה ריאלית ליכולת מימוש וכן מעקב סדור (עם יעדים מוגדרים) להטמעת התהליכים לצמצום הפערים בתוכנית העבודה
שינוי גישה מהמושג שרשרת אספקה בסייבר למושג סייבר – בשרשרת אספקה:
כמות הסיכונים אליהם חשופים הארגונים וכמובן הדירקטוריון וההנהלה הם לא מעטים. קיימים סיכונים תפעוליים, סיכונים פיננסים, סיכונים משפטיים, סיכונים בטיחותיים ועוד. בנוסף התחדדו בשנים האחרונות הסיכונים האפשריים בשרשרת אספקה בסייבר (המכוונת לתכלית או פגיעה מסוימת). סיכון זה מצריך תשומות, הטמעת כלים ומחשבונים, תפיסות, שיטות וגישות שונות. מאחר וסיכוני הסייבר הם רוחביים ויכולים להגיע ממערכות או תהליכים שונים יש להטמיע את הסייבר בהסתכלות רוחבית בכלל הסיכונים הקיימים ולכול אורכם. לשיטה זו, כאשר נעמוד על הסיכון הפיננסי נבחן את דרכי הפעולה וסיכוני הסייבר הקיימים לכול אורכו. כאשר נעמוד על סיכוני בטיחות, נבחן את דרכי הפעולה וההזדמנויות האפשריות ליצירת תקלת בטיחות או פגיעה באמצעות הסייבר וכד'. שיטה זו תאפשר לחלק את המשאבים נכונה ולבנות תהליכי עבודה סבירים הגיוניים וחשוב יותר תמצב את הסייבר ותקטין את הסיכונים. תהליך זה ייצר גם סינרגיה בין מנהלי הגנת הסייבר לבין המנהלים המקצועיים האחרים ומשכך סיעור המוחות והצבעה על הסיכונים תהא מדויקת וריאלית עוד יותר.
סיכום:
על אף המורכבות בתהליכי הניהול וקבלת ההחלטות בנושאים השוטפים בארגון מעורבות הדירקטוריון וההנהלה בפיקוח על תוכנית הגנת הסייבר, תהליכי העבודה, הקצאת המשאבים היא הכרחית ואף נדרשת ביתר שאת מ- DAY ONE. לצד הקצאת משאבים וטיוב שיטות העבודה יש להבטיח גם תהליכים ומנגנונים שיסייעו לארגון להקטין את הנזקים וההפסדים בקרות אירוע אך גם בתביעה אפשרית שלאחריה(כדוגמת פוליסת ביטוח). דוגמא טובה שהוכיחה הקטנת ההפסדים בעקבות תביעה היא בהפעלת כיסוי הביטוחי לאירוע סייבר בחברת טארגט (ארה"ב). התקפת הסייבר, שהובילה לזליגת כרטיסי אשראי של הלקוחות גררה תביעות שהובילו בין היתר לפיטור המנכ"ל ואי חידוש חוזה לדירקטוריון ודרישה לתשלום פיצויים בסך כולל של 250 מיליון דולר שמתוכם - 90 מיליון דולר כוסו ע"י חברת הביטוח.
פיקוח הדירקטוריון על היערכות ושמירת כשירות ביחס למשימות הנגזרות לבעלי התפקידים בהנהלה לקראת אירוע סייבר יאפשר מוכנות טובה יותר. היערכות הדובר מבעוד מועד עם בנק הודעות מוכן מראש יקל משמעותיות על ניהול האירוע בפועל ויימנע מצב של עיכוב הודעות שיכול להוביל לתביעות אישיות, כפי שהיה באירוע של יאהו (חקירות של הקונגרס ורשות ניירות ערך אמריקאית בגין הדיווח המאוחר על התקרית), הוצאת הודעות מבולבלות היכולות להשפיע על ערך המנייה וכד. סקירת האיומים ותרחישים אפשריים, כדוגמת מו"מ באירוע כופר או סוגיות הצטיידות בטכנולוגיות הגנה בסייבר, למנהל הכספים תחשוף אותו להבנה וקבלת החלטות נכונות ביחס להיערכות סייבר ולמיצוי תקציב ייעודי נכון יותר. רצוי גם לתרגל אחת לשנה אירוע סייבר להנהלה שמעבר להמחשה והצגת המשמעויות יאפשרו גם התנסות וקבלת החלטות טובה יותר של המנהלים בשגרה ובחירום. חשוב גם לזכור שלצד תוכניות עבודה והצטיידות עתידיות יש לפקח גם על יישום מיטבי, Best Practice של הטמעה בראשונה ויישום טכנולוגיות קיימות בארגון (כדוגמת בדיקת וטיוב של חוקי ה- FW בארגון והלימה לדרישות היצרן, הספק ותהליך סדור המבטיח למידה ויישום תובנות מאירועיי סייבר). וגם בסיום הכתבה יש לזכור כי, המרחק בין אירוע שיוביל להשבתת הארגון יכול להיות במרחק של לחיצה על פקודה באמצעות העכבר או מקש במחשבו של הגורם העוין. מעורבות הדירקטוריון, בשילוב תהליכים רציונליים נכונים יש בה בכדיי להפר איזון זה.
