בעקבות אזהרה שפרסמו לאחרונה גופי מודיעין וביטחון אמריקניים - בהם ה-FBI, סוכנות הסייבר CISA, ה-NSA וגוף המודיעין הצבאי DC3, גובר החשש מהסלמה בזירה הקיברנטית.
כל הגופים מצביעים על שורת מתקפות סייבר מתוכננות נגד תשתיות קריטיות ורשתות פגיעות בארצות הברית, שלפי החשד מקורן בגורמים איראנים או כאלה הפועלים בשמם. אף שאין בשלב זה ראיות למתקפה פעילה, הדוח מדגיש את הצורך הדחוף בהגברת ההגנות, במיוחד סביב תשתיות חיוניות.
בישראל החשש דומה: תשתיות בריאות, תחבורה, אנרגיה, ממשל וכלכלה חשופות יותר מאי פעם. נדב אביטל, ראש קבוצת מחקר איומים בחברת הסייבר אימפרבה מזהיר, כי "ממתקפות עבר אנו יודעים שיש לפחות שלוש שיטות נפוצות ליצירת נזק תשתיתי". לדבריו, השיטה הראשונה היא מניעת שירות (DDoS). כפי שראינו לפני כמה חודשים בישראל, מניעת שירות מספקי סליקת אשראי לדוגמה יכולה לשתק חלקים גדולים מהמשק ולגרום לנזק כלכלי משמעותי. "מדובר באיום שנוגע גם למגזר הבריאותי, הממשלתי, התחבורתי ועוד", הוא אומר.
שיטה אחרת היא השתלטות על חשבונות, בעיקר של מנהלי מערכות ובעלי הרשאות נרחבות. ״בצורה זו, תוקפים עשויים לגנוב מידע, למחוק אותו, להדליף או לסחוט״, מסביר אביטל.
דרך נוספת, לדבריו, היא השתלטות על מערכות פגיעות, שיש להן גישה למידע רגיש - צעד שמאפשר לתוקף שליטה עמוקה ורחבה אף יותר.
"מנצלים פרצות ישנות"
כדי להיערך מבעוד מועד, ממליץ אביטל על סדרת פעולות. בראשן: "ביצוע מיפוי ופיקוח על תשתיות עם גישה לרשת, ובמיוחד הסרת גישה ישירה לאינטרנט במערכות קריטיות שלא זקוקות לה. כמו כן, יש לדאוג לעדכוני תוכנה סדירים וניהול חולשות, במיוחד כאלה שהוזנחו לאורך זמן". לדבריו, תוקפים מנצלים פרצות ישנות כחולשה בסיסית ונפוצה.
לצד זאת, הוא ממליץ על חיבור למערכות התראה מוקדמת, פלטפורמות שיתוף מודיעין וערוצי SOC וכן "הטמעת הגנה מתקדמת למשתמשים רגישים כמו עיתונאים, אנשי ממשל או חוקרים באמצעות סיסמאות ייחודיות והגנה רב-שלבית".
אלון יפה, ארכיטקט פתרונות אבטחת מידע בחברת הסייבר MazeBolt, מדגיש את הצורך במבדקי תקיפת פתע (Red Team) ללא התראה מראש. "מומלץ כי מבדקים אלו יבוצעו על ידי ספקי שירות שונים, בעלי ניסיון מוכח בתחום הסייבר ההתקפי על כל גווניו", הוא אומר. "פעולות אלו נחוצות על מנת לקבל תמונת מצב מדויקת של היערכות ויכולות ההגנה העכשווית - וזמני התגובה של מכלול צוותי ההגנה בזמן אמת. תרגול מעין זה, באופן תדיר, בהכרח יספק מידע קרוב יותר למציאות באשר להבנת תוצאות אירוע תקיפה, ויאפשר למקבלי ההחלטות להנחות על פעולות מניעה נחוצות שלא תמיד נראות לעין ללא תרגול מסוג זה. כך ניתן לצמצם נזקים בזמן אמת ולשפר את יכולות התגובה וההגנה".
"האמון דווקא מתחזק"
ליאור פרנקל, מנכ"ל Waterfall Security ויו"ר פורום הסייבר באיגוד ההייטק הישראלי, מצביע על הקשר הישיר בין האיומים בזירה הקיברנטית לבין אופן הפעולה של חברות ההייטק בישראל. "הסיכון ממתקפות סייבר נמצא בעלייה מתמדת, בין היתר על רקע ביטחוני, וזהו אתגר עולמי מתמשך. עם זאת, איומים חדשים אינם פוגעים ישירות באמון הלקוחות", הוא קובע. לדבריו, "כל עוד טכנולוגיות הסייבר הישראליות מצליחות להתמודד בהצלחה עם הגידול בכמות ובמגוון המתקפות - האמון דווקא מתחזק".
במה שנוגע להשלכות הכלכליות, פרנקל מתייחס לשוק ביטוחי הסייבר, שמצוי בתנודות מתמשכות: "אחת ההשלכות המרכזיות היא עלייה בפרמיות, אך תגובת חברות הביטוח אינה מסתכמת בכך. הן מעדכנות את תנאי הפוליסות, משנות את גובה ההשתתפות העצמית ומוסיפות סעיפים שמגדירים מה מכוסה ומה מוחרג. בנוסף, יותר חברות דורשות עמידה בדרישות מוקדמות כתנאי לפוליסה". עם זאת, הוא מדגיש: "ביטוח סייבר מספק רשת ביטחון כלכלית בלבד. הוא אינו מונע מתקפות ולא מהווה תחליף להגנות טכנולוגיות ותהליכיות".
ברמה הלאומית, פרנקל סבור שיש עדיין דרך ארוכה: "המדינה מפעילה כיום מערך סיוע טכני דרך מערך הסייבר הלאומי, אך היכולת לספק תמיכה מלאה בזמן אמת עדיין מוגבלת. קיימת מערכת התרעה והכוונה ראשונית, אך היא מתמקדת בעיקר בהפצת מידע טכני ולא בתגובה מבצעית מלאה. ללא מערך תגובה משולב הכולל גם תמיכה משפטית, תקשורתית וביטוחית, כפי שנהוג במודלים כמו FEMA בארה"ב, קשה לייצר הגנה אפקטיבית בזמן אמת".
פרנקל מדגיש, כי הדרישות מצד לקוחות מחו"ל מתחדדות. "לקוחות דורשים לא רק עמידה בתקנים כמו ISO 27001 אלא גם הוכחות לפעולות אקטיביות: סימולציות תקיפה, מערכות ניטור בזמן אמת, והפרדה מוחלטת בין רשתות IT ו-OT".
לדבריו, השפעת האיומים הקיברנטיים ניכרת בשלושה מישורים: "ברמה הארגונית, חברות עוברות מהיערכות טכנית בלבד להיערכות מערכתית כוללת – כולל תרגול תרחישים, ניטור בזמן אמת וניהול סיכונים כחלק מהאסטרטגיה. ברמה השיווקית, הדיאלוג עם לקוחות כולל שקיפות מלאה, התחייבויות חוזיות לרמות הגנה מסוימות וביקורות חיצוניות. ולבסוף – ברמה הערכית – האיום הסייברי מרחיב את תחום האחריות התאגידית, שכוללת כיום גם הגנה על שרשראות אספקה, על מוניטין תעשייתי, ועל דיווח יזום לגופים הלאומיים - גם כשאין נזק בפועל".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו