אני ניר בראון ואני ראש חטיבת ההמשכיות העסקית והחוסן הארגוני בחברת אלמנטס. אנחנו מתמחים בשיפור המוכנות למצבי משבר ואירועי חירום, ובניהול ההתמודדות איתם – גם בעולם הפיזי וגם בעולם הוירטואלי.
נושא השיחה שלנו היום הוא What if – מה יקרה בארגון כשהחומות תיפרצנה?
And they will.
בימי הביניים, הערים הגדולות התפתחו בתוך חומה. התפיסה היתה שהדרך היחידה להגן על עצמך היא להקיף את העיר בחומה, וכמה שהחומה יותר גבוהה וחזקה כך טוב. ולחומה הוסיפו עוד חומה חיצונית ועוד אמצעים כמו צריחים, ושערים, וחפיר ושומרים ושמן רותח ועוד.
ובסוף, ברוב המכריע של המקרים, החומה נפרצה…
ואם החומה לא נפרצה בכוח – הפעילו יותר כוח: בליסטראות, סולמות, כלי ניגוח, מגדלים. על כל מערכת הגנה פותחה מערכת התקפה שהתגברה עליה. ובאותם מקרים שבהם גם כוח לא עזר – בסוף נמצא איזה USER שפתח את השער, בכוונה או בטעות. וכשכלום לא עזר, הביאו סוס טרויאני..
כי בסופו של דבר, זו תחרות לא הוגנת בין מגן ותוקף, ובמשחק חתול ועכבר הזה, התוקף תמיד ינצח.
המגן חייב להצליח בכל פעם. אסור לו להשאיר שום נקודת תורפה, ואסור לו להוריד עירנות אפילו פעם אחת. והתוקף, הוא רק צריך להמשיך ולנסות… ולנסות, עד שימצא את נקודת התורפה החשופה.
וכשהתוקף כבר נכנס פנימה לעיר, אחרי שכילית את כל המשאבים בקרב על החומה עצמה – המלחמה בתוך העיר הופכת להיות אתגר מורכב הרבה יותר, גם מבחינה צבאית וגם מבחינה מנהיגותית.
בעולם הגנת הסייבר המצב זהה לגמרי. ארגונים משקיעים המון בחומות הגנה ובפתרונות למניעה של תקיפות סייבר: פיירוול ואנטי וירוס ו-IDR ו-SOC ו-SIEM ועוד עשרות כלים וטכנולוגיות חכמות שבסוף נועדו כולן לדבר אחד בלבד – למנוע מהתוקף להצליח ולחדור את חומות הארגון.
אבל מה אם בסוף הוא כן יצליח? מה אם נבוא בוקר אחד לעבודה ונגלה שהמערכת נפרצה?
לחברת אלמנטס נסיון רב בייעוץ לחברות וארגונים בתחום ההגנה והתמודדות עם משברי סייבר. לפרטים נוספים מוזמנים ליצור קשר: 072-2650145, או באמצעות טופס הפניה.
האם אנחנו יודעים לנהל את המלחמה בתוך החומות?
רק בשנה האחרונה שולמו מאות מיליוני דולרים כתוצאה מתקיפות Ransomware:
- גרמין שילמו 10 מיליון דולר
- טרבלקס שילמו 6 מיליון
- עיריית ניו ברדפורד שילמה 5.3 מיליון דולר
- טאוור נתקפו, וסאפיינס, וורינט ומי לא?
ואלה רק התקיפות הגדולות שפורסמו, ואלה רק הנזקים הישירים שנובעים מהתשלום לתוקפים.
ומה עם הנזק המצטבר: אובדן ההכנסות והשבתת העבודה, והחומרה שצריך להחליף, ועלויות השחזור והתביעות, וההתדיינות המשפטית והפרמיה לביטוח שעולה ועולה, וקנסות, ו… המחיר יכול להיות בלתי נתפס. וזמן ההתאוששות יכול להיות ארוך מאד.
והבעיה הכי גדולה היא שיותר מדי ארגונים מתעלמים מהמוקש הזה היום. יותר מדי ארגונים מניחים שזו הבעיה של ה-CISO. שזו האחריות שלו.
כמה ארגונים בנו תוכנית פעולה לרגע הנורא שבו תקפוץ ההודעה המהבהבת: you have been hacked?
כמה ארגונים יודעים מה לעשות? לשלם או לא לשלם? בכלל מותר לנו לשלם? הביטוח יחזיר לנו? מה סיכויי ההתאוששות? מי יכול לעזור לנו? מה הנזק הצפוי? איך מעריכים את הנזק הצפוי? איך מנהלים את האירוע הזה? מה מותר מבחינה משפטית? אנחנו כפופים ל-GDPR? איך מנהלים מו"מ? עם מי מנהלים מו"מ? ועוד מיליון שאלות שבלי לענות עליהן אי אפשר לנהל את האירוע בצורה רצינית.
ולא, אלה לא שאלות טכנולוגיות, אלה שאלות עסקיות, אסטרטגיות, ולכן מי שצריך להתמודד איתן הם לא הגורמים הטכנולוגיים. זוהי ליבת ההעסק – ולכן היא צריכה להטריד את הנהלת העסק.
ועדיין. עם כל החשיבות שאני מייחס למוכנות החברה לתקיפות של מערך המידע, אני חושש שאנחנו מתעסקים פה במלחמה הקודמת ולא במלחמה הבאה, וכאן אני רוצה להאיר נקודה מטרידה אפילו יותר.
לפי סקר שפורסם רק לפני כמה ימים, בשלושת רבעי מהתקיפות הצליחו התוקפים להצפין את המידע. למרות זאת, רק רבע מהגופים שנתקפו – באמת שילמו את הכופר. השאר הצליחו להתאושש על ידי שחזור מגיבויים או בדרכים אחרות. לשם השוואה, רק לפני ארבע שנים, בסקר דומה התוצאה היתה ש-70% מהארגונים שילמו את הכופר.
המשמעות היא שמבחינת התוקף, תקיפות כופרה הן השקעה בסיכון גבוה. יש סיכוי גבוה מדי שלא תראה בסוף את הכסף. שהמאמץ יהיה לשווא. יותר מדי ארגונים למדו איך להתגונן בצורה יעילה. וכמו בשכונה, כשהשכנים שלך משקיעים באמצעי הגנה ומיגון כמו פלדלת ורב בריח ואזעקות – תקנה כלב. כי הגנבים יחפשו את המטרה הקלה, את הבית עם החלון הפתוח או את מי שהשאיר את המפתח מתחת לשטיח בכניסה.
ובעולם הסייבר החלון הפתוח והפרוץ ביותר הוא מערכות הבקרה והתשתיות.
עד היום כמעט ולא ראינו תקיפות כופרה על תשתיות, אבל, בעצם… למה לא?
התחלתי עם הדוגמא של התקיפה על מגדל משה אביב. סיפור דומה עם השלכות אפילו קשות יותר קרה גם במלון באוסטריה.
אבל למה לעצור בבניין משרדים? הכסף הגדול באמת נמצאת במפעלים התעשייתיים.
אם תוקף יצליח לפרוץ לרשת הבקרה שמנהלת את מיכל הברום של מפעל כימי – תראו לי מנהל אחד שיהיה מספיק אמיץ לא לשלם ולהסתכן שהתוקף יפוצץ את המיכל? תוקף כזה יוכל לדרוש, ולקבל כל סכום שרק ירצה.
תוקף שישתלט על קו ייצור של מפעל תעשייתי יוכל לעשות נזק בלתי נתפס – כזה שגניבת מידע תהיה משחק ילדים לעומתו.
ואם בעולם ה-IT תמיד אפשר לקוות שנצליח לשחזר מגיבוי, ואם לא אז התוקף ייתן לנו את מפתח ההצפנה –
בעולם מערכות הבקרה והתשתיות שום גיבוי לא יעזור לנו. הנזק יהיה בלתי הפיך.
בכלל, אנחנו נוטים להשליך יותר מדי ממה שאנחנו יודעים על הגנת הסייבר בעולם ה-IT לעולם ההגנה על מערכות הבקרה. וזו טעות. כי עולם מערכות הבקרה מתנהג אחרת:
- בעולם מערכות הבקרה גיבוי לא רלבנטי, כי מה שחשוב הוא הנכס הפיזי ולא המידע
- ובעולם מערכות הבקרה, הנזק הוא פיזי ובלתי הפיך
- ובעולם מערכות הבקרה קצב השדרוגים והעדכונים נמוך מאד, יש עוד המון מערכות קריטיות שמבוססות על ווינדוס XP או אפילו דוס. מערכות שנכתבו בימים בהם וירוס היה רק שפעת.
- ובעיקר, מי שמנהל את ההגנה על מערכות המידע, כבר הפנים את החשיבות של הגנה ואבטחת מידע ומודע לסיכונים ולאיומים. זה המקצוע שלו. מי שמנהל את מערכות הבקרה – ברוב המקרים בא מעולם התפעול. מה שמעניין אותו זה שקווי הייצור ימשיכו לעבוד. שהגרנטורים והצ'ילרים לא יפסיקו. אבטחת מידע נמצא במקום מאד נמוך במודעות שלו. וגם אם זו הכללה, היא לא מאד גסה.
אחת הטענות הכי נפוצות ששמענו בארגונים, היא שאין בעיית אבטחת מידע ברשתות הבקרה כי הן מנותקות לחלוטין מהאינטרנט ומהעולם החיצון. עד היום הטענה הזו לא עמדה במבחן המציאות באף אחד מהארגונים שבדקנו. כולם היו פתוחים לאינטרנט, וכמעט כולם ללא שום אמצעי הגנה רציני. ואף אחד לא הבין את חומרת האיום והמשמעות שלו.
אז נכון שגם התוקפים עדיין לא מיומנים ומתוחכמים מספיק, ועדיין לא באמת גילו את הפוטנציאל שבתקיפת מערכות בקרה. אבל התוקפים לומדים מהר יותר.
וכשהם יצליחו המחיר יהיה גבוה הרבה יותר.
המסקנות שלנו ברורות
השאלה היא לא אם מערכות ההגנה שלנו ייפרצו, אלא רק מתי ואיפה. אנחנו חייבים להניח שיום אחד התוקף יצליח לחדור אלינו, אם זה לא קרה כבר. נכון, זו קלישאה שחוקה, וכולם אומרים את זה כל הזמן. זה עדיין הלקח החשוב ביותר שכל אחד חייב לזכור ולנצור.
נקודת התורפה החשופה ביותר והמוזנחת ביותר היא במערכות הבקרה – שם נמצא הכסף הגדול ושם נמצאת ההזדמנות הגדולה לאנשים הרעים. הם אולי עוד לא הבינו את זה, אבל זה לא ישאר כך לנצח
וזו ממש לא בעיה של ה-CISO. או לפחות לא רק שלו. הנהלות חייבות להיערך לתרחיש האימים, להתכונן אליו ולבנות תוכנית התמודדות שתאפשר לעסק לצמצם את הנזקים ולהמשיך לתפקד, גם כאשר החומות הטכנולוגיות תיפרצנה.
וכמו כל תוכנית – אין משמעות לתוכנית בלי תרגול אירועי סייבר אמיתי ומוחשי של ההנהלה בניהול אירועי סייבר בכלל וסייבר במערכות בקרה בפרט.
ארגונים שיפנימו את המסקנות האלה ויתכוננו בהתאם יוכלו להתמודד עם תקיפות מכל סוג ולמזער את הנזקים. X ומי שלא… טוב, גם הרעים צריכים לחיות ממשהו. (:
תודה רבה על ההקשבה, מוזמנים לפנות אלינו בשאלות, הערות, רעיונות וכמובן אם תצטרכו סיוע בגיבוש תוכנית התאוששות מאסון – DRP, או תרגיל מוכנות.
לחברת אלמנטס נסיון רב בייעוץ לחברות וארגונים בתחום ההגנה והתמודדות עם משברי סייבר. לפרטים נוספים מוזמנים ליצור קשר: 072-2650145, או באמצעות טופס הפניה.