פז יצחקי-וינברגר, מנכ״ל IWC יצחקי וינברגר יועצים בע״מ – יועצי אבטחת מידע מביא מניסיונו הרב בשטח אבטחת האתר הארגוני ומשתף כאן.
אבטחת מידע פז יצחקי ויינברגר

אילו מגמות רואים כאן, מעבר להתרחבות היקף התקיפות על אתרים ישראליים?

מעבר לכך שאתרים ישראליים מהווים מטרה למתקפות מעצם היותם מזוהים עם ישראל ו/או עם העם היהודי, ישנה עליה גלובאלית ללא קשר לישראל הן במספר המתקפות, הן במורכבותן, והן ביכולות הטכניות הנדרשות כדי להוציאן לפועל. אם בעבר מרבית המתקפות מקורן היה בתוכנות זדוניות, בהתקפות של נערים/ילדים (“Script Kiddies”), האקינג מתוך שעמום או עניין אקדמי, כיום לא מעט ואפילו חלק ניכר מהמתקפות מגיעות מצד מדינות. ראינו זאת לא מעט בחדשות: צפון קוריאה, סין, רוסיה ואפילו יחידת האקרים של החיזבאללה. ישראל גם הואשמה בביצוע תקיפות נגד מתקנים של מדינות אויב, כמו גם גופי פשע מאורגן (cyber crime), כמו ה-RBN (Russian Business Network) שהוא גוף מסודר המעסיק מאות אנשים בשכר, שתפקידם הוא לכתוב קודים זדוניים. כאשר אלו מצליחים ומגיעים ל”הישגים”, הם מקבלים אף בונוסים….

גם היעד להתקפות, אתרי הארגונים עצמם, השתנו ללא היכר בשנים האחרונות. אם בעבר אלו היו אתרים אינפורמטיביים, שמספקים מידע בלבד, שהיו חשופים בעיקר לפגיעה במוניטין / השחתת תכנים (Defacing), היום לא מעט מהאתרים מחוברים בקרביהם למידע הארגוני, למסדי הנתונים של הארגון, לתשתיות הארגון, שניתן לבצע באמצעותם פעולות או לקבל מידע רגיש ולכן החשיפה של הארגונים להתקפות הרבה יותר גבוהה. האקר יכול לבצע פעולות בנקאיות, להשתלט על זהות משתמשים, לגנוב פרטי אשראי ולגרום נזק ממשי לחברה, כולל אף אסונות של ממש כמו השבתת מתקני ייצור, חבלה בתהליכי ייצור, גרימה לתאונה / תקלה וכיו”ב.

איזה איומים חדשים ולא מוכרים יש בתחום?

איום משמעותי עיקרי הוא שהיום אנשים מסתובבים עם שלל מכשירי מובייל עם מערכות הפעלה שונות (iOS, Android, Windows Mobile), ומכל מערכת הפעלה כזאת ומתצורות שונות של מכשירים מתחברים למאגרי המידע של החברה ולרשת והסביבה הפנימית שלה ויוצרים וקטורים למתקפה. הרבה מהאינטרקציה בעבודה כיום כרוכה באבטחת מידע וסייבר במובייל, שמובילה לסיכונים חדשים.

מהן גישות ההגנה המשתלמות ביותר? בעלות ה-ROI הטוב ביותר?

ה-ROI לגישות ההגנה השונות משתנה מארגון אחד למשנהו ומבחינת יכולות העובדים בארגון. למשל, ארגון קטן לא מעסיק מומחה מחשוב, מומחה אבטחת מידע או מומחה מערכות מידע. לעומת זאת, בארגון כמו בנק מעסיקים עשרות ומאות עובדים בתחום של מערכות מידע ואבטחת מערכות מידע. עלות עובד כזה היא יקרה, של עשרות אלפי שקלים בחודש.

הגישה היעילה ביותר לעסקים קטנים היא להסתייע בחברות / ספקים, שיספקו להם שירות כזה, כמו אחסון או שירות ענן בגוגל או אמזון ואז ספק השירות הוא זה שדואג לפיירוול, לגיבויים, לשלמות האתר, לביקורת שוטפת, לאיכות, לתת ללקוח התראה במקרה ויש תקיפה או בעיה כלשהי. ספקים אלו עובדים מול אלפי לקוחות בעלות נמוכה וברמת שירות סבירה.

צריך לקחת בחשבון שיש ארגונים שחשופים יותר למתקפות, כמו ארגונים שיש בהם תשתיות לאומיות (חברת חשמל, מקורות, תעופה, כל שירות שקשור לחיי אדם), חברות מזון (למשל, חשש לחבלה בפס ייצור מזון שפוגע באוכלוסייה גדולה), דבר שמוביל להריסת מוניטין, באופן שלא ניתן להתאושש ממנו. ראה למשל מקרה “רמדיה” שנבע מתקלה / רשלנות. מקרים דומים יכולים להתרחש כתוצאה מתקיפה זדונית או חבלה וההשלכות על ארגון ברורות. זה יכול להיות ממש סוף הארגון כולו, רק בשל פרצת אבטחת המידע שאפשרה את החבלה / תקלה. ארגונים כאלו חייבים שליטה בשירותים אלו ואז הם צריכים להשקיע ביועצים, אסטרטגיה, מערכות ואולי בפתרון ייחודי מבחינת אבטחת מידע, על מנת להקשות על התוקפים. קשה להם יותר להסתמך על ספקים חיצוניים ובחלק מהמקרים הם אף יימנעו מהעברת תשתית קריטית לענן.

כל כמה זמן כדאי לעשות בדיקות חדירה או פגיעה באתר וכמה זה עולה?

משתנה מארגון לארגון, חשוב לא להזניח ותמיד “להיות עם היד על הדופק”. עלות הוגנת היא חיוב לפי שעה, כאשר בארגונים גדולים עושים בדיקות ביקורות ומבדקי חדירה גם ברמה השבועית, וארגונים קטנים יותר מסתפקים במבדק חודשי, רבעוני, חצי-שנתי ואפילו לעתים רק אחת לשנה.

אלו טיפים והמלצות מעשיות למנמ”רים לשיפור הגנת אתר קיים תוכל להציע?

פז מציע למנמ”רים שאם יש לארגון אתר קיים, קודם להזמין ביקורת מקצועית חיצונית, של גורם שלא הקים את האתר, שלא קשור לחברה והוא נטול אינטרסים או “דעה קדומה”, שיבדוק ויציין את החולשות והסיכונים שאיתר באתר הארגוני בדו”ח שכמובן יימסר לחברה תחת חיסיון ויסווג כסודי ביותר. השלב הנוסף הוא להשקיע בחשיבה אסטרטגית בפתרון הנכון, כולל הערכת סיכונים לארגון. למשל, לאלו איומים פנימיים וחיצוניים האתר חושף את הארגון. צריך לזכור, שהאתר חושף כלפי החוץ מוניטין, מסרים שיווקיים ומהאתר עצמו גם ניתן להיכנס לליבת הארגון ולהסב נזקים לארגון למערכותיו, למידע המצוי בו ואף לחשוף נתונים רגישים של צדדי ג’ חלילה ואת בעלי התפקיד בארגון לחבות ואחריות אישית.

תוכל לתת דוגמאות שממחישות נזקים שקרו בגלל אי ביצוע האבטחה? בגלל שלא ננקטו אמצעי אבטחה נאותים לאתר?

דוגמאות לנזקים כתוצאה מתקיפות:

ראו פרסומים שנעשו בכלי התקשורת (חיפוש Google פשוט): באתר eBay ו-PayPal נחשפו פרטי כרטיסי אשראי. אתרים פופולריים כמו Twitter, Facebook, LinkedIn מהווים כר נרחב להתקפות של האקרים. ב-“אתר הבגידות” לאנשים נשואים ashleymadison.com הייתה פרשיה שזכתה להד תקשורתי רחב במסגרתה נחשפו לכאורה פרטי אנשים שעשו שימוש באתר ובגדו בבני זוגם. זוהי פגיעה בפרטיות שלהם, בדיוק התחום שהאתר מתיימר להבטיח למשתמשים בו סודיות וחשאיות. אפילו פורסם שבחברת לאומי קארד היה ניסיון לכאורי לסחיטה באיומים מצד עובד / עובד לשעבר לחשוף את פרטי הלקוחות. כלומר, יש התקפות על האתרים גם מבחוץ וגם מבפנים (וכאן יש לשים דגש על מהימנות עובדים ונהלים במקרים של עובד שפוטר / סרח / עובר תפקיד או עובדים שמצויים ב-“פיתוי” גבוה יותר, כי הם חשופים לסכומים כסף גדולים או יכולת להרוויח מביצוע מעשה זדוני), יש תופעות של פישינג מול מרבית אתרי הבנקים בעולם באמצעות מיילים ללקוחות פוטנציאליים, באמצעות הקמת “אתר ביניים” המתחזה לאתר הבנק וחשיפת פרטי הלקוחות וחולשות בין אתרים שונים (Cross Site Issues).

תוכל לתת הערכה או טווח עלויות לסוגי הטיפול השונים?

שוב, זה משתנה ממקרה למקרה וסוגי הטיפול הנדרשים. אם צריכים מומחה אבטחת מידע בעל ידע ושיעור קומה מדובר בעלות של מאות ש”ח לשעה, על פניו נשמע יקר, אבל לפעמים מספיק רק יום, מספר ימים בודדים או שבועות בודדים של המומחה ושאר הפעולות ובעיקר הפעולות המתקנות מבוצעות על ידי צוות הארגון או אנשי מערכות מידע זוטרים יותר שעלות שעת עבודה שלהם נמוכה והם רק מקבלים את ההנחיות ו/או הדו”ח עם הממצאים לתיקון מאת המומחה.

זה בדיוק דומה להתייעצות עם מומחה בכל מקרה אחר, כמו ייעוץ רפואי עם מומחה בכיר פרטי ואז טיפול שוטף בקהילה בעניינים רפואיים, לשכור אדריכל או מהנדס בכיר ואז לבצע את התוכניות שלו באמצעות קבלנים ופועלי בניין, לבקש חוות דעת וסיוע של משפטן בכיר, אך הייצוג השוטף ומרבית העבודות בתיק נעשות על ידי עורך דין זוטר יותר, כמו לגבש אסטרטגיה שיווקית על ידי “גורו” מכירות ושיווק, אך הביצוע בפועל נעשה בעיקר על ידי פרסומאים. בדרך כלל, כדאי להשתמש במומחים מהליגה הראשונה ולא לקמץ בהוצאה זו, אפילו למאמץ חד-פעמי או לשם חיווי דעה פעם בחצי שנה או שנה.

עד כמה הנושא הזה קריטי ביחס לנושאים אחרים וכמה להשקיע בו מתוך סל התקציב לאבטחה?

כל ארגון משקיע בהתאם ליכולות שלו.

בארגונים גדולים יש תקציב אבטחת מידע, שהוא חלק מתקציב מערכות המידע. היקף תקציב מערכות המידע מסך תקציב הארגונים הגדולים נע בדרך כלל בין 3-5%, כשתקציב אבטחת מערכות המידע מתוכו מגיע ל-30-50% (כלומר עד 1.5-3% לכל היותר). יש ארגונים שאבטחת המידע הארגוני הוא הליבה שלהם, למנוע זליגת מידע של מחירים לספקים, מחירים ללקוחות, שכר עובדים, מידע על מכרזים רגישים, על מוצרים חדשים או קמפיין פרסומי חדש או חמור מכך – לוודא שלא יושבת פס ייצור, שלא תהיה חבלה בייצור ויהיו מוצרים פגומים, שלא יתרחש חלילה אסון או שייחשפו נתונים של צדדי ג’ שבאחריות הארגון או שחלילה לא תהיה עמידה ברגולציה לה נתון הארגון

פז יצחקי וינברגר

מנכ״ל IWC יצחקי וינברגר יועצים בע״מ – יועצי אבטחת מידע

אתר: www.itzhaki-weinberger.com