מאת: אילן מצליח
מתקפות הסייבר להן היינו עדים השנה יצרו עניין מחודש בקרב מקבלי ההחלטות בחברות והארגונים בישראל, בנוגע לתפישת נושא אבטחת המידע וההגנה בסייבר והביאה להבנה כי כל נושא המדיניות, הנהלים והפתרונות בנושא זה לא צריכים להישאר רק בקרב אנשי אבטחת המידע בארגון, אלא בקרב גורמים נוספים שעליהם להיות מעורבים.
שינוי תפישתי: במקום “לי זה לא יקרה” – “איך מצמצמים את היקף הנזק?”
אם עד לפני מספר שנים המטרה הייתה או מניעה מוחלטת של התקפות סייבר או “לי זה לא יקרה”. אך לאור מתאר האיומים הדינאמי בו אנו חיים השאלה הפכה למורכבת יותר: כיצד ניתן לצמצם את פוטנציאל הנזק וזמן הידיעה שאנו תחת מתקפה? בנוסף, ואולי החשוב מכל, איך אפשר לייעל את יכולת התגובה במטרה לחזור לרציפות תפקודית מהר ככל האפשר?
ואכן, השאלה שכולם מתחבטים בה הינה על פי איזו מתודולוגיה עליהם לפעול בכדי לצמצם למינימום את פוטנציאל הפגיעה.
אנו מקדישים את המאמר הזה על מנת לייצר מדריך בסיסי שיעניק לכם כמה שיותר ערך בנושא מוכנות ויכולת ארגונים למנוע מתקפות ולהגיב להם נכון, לאחר שאלו התרחשו.
הסדרה תהליכית ברמת הארגון: למה כדאי לשים לב?
רגולציות מחייבות לגופים מפוקחים ואימוץ תקני אבטחת מידע כאלה ואחרים יכולות לקבוע מסגרות עבודה, אבל אינן יכולות לעמוד בקצב ההתפתחות הטכנולוגית והאיומים החדשים. לכן, הן צריכות להגדיר תהליכים, לקבוע מדיניות ארגונית, גזירת נהלי עבודה שוטפים, חלוקת סמכויות ושגרות עבודה בדגש על בקרה וניהול שוטף של מערך ההגנה.
תחת כל תהליכי ההסדרה הארגון חייב לפעול במרחב תמרון טכנולוגי הנותן מענה לאיומים החדשים מעת לעת.
חשוב להבין שתוצאות סקרי אבטחת מידע ומבדקי חדירה רלוונטיים למועד בו בוצעו. כל שינוי בתפישת ההגנה ובמרכיביה, או ארכיטקטורת הרשת יכולים לשנות את מתאר האיום והחשיפה מהקצה אל הקצה.
מכאן, החשיבות לניטור ובקרה שוטפים תוך שימוש בסימולציות עקביות לזיהוי פערים במעטפת ההגנה והתבוננות פנימה בעיני התוקף אם מתוך הארגון ואם מחוצה לו. כל זאת במקביל לתהליך סדור ושוטף של עדכון מערכות ההגנה, טיפול בנקודות התורפה ושדרוג מרכיבי הרשת.
מיפוי התהליכים העסקיים, גישת המשתמשים וההרשאות בתהליכים
לכל תהליך עסקי חייבת להיות מעטפת אבטחה, הן ברמה התשתיתית והן ברמה האפליקטיבית תוך שימת דגש על בקרת מעורבת מיכונית או אנושית. מכאן, נושא בקרת הגישה וההרשאה מקבלים משנה תוקף, המחייב אותנו בהבניית זהויות והרשאות תוך בקרה שוטפת במחזור החיים של המשתמש למניעת ניצול גניבת זהות בהמשך וזאת תוך כדי אימוץ מודל ההרשאות המינימלי המקטין את החשיפה למחיקה, שיבוש או דלף מידע.
תהליך זה חייב להיות מעוגן בנהלי עבודה סדורים, הכולל חלוקת סמכויות ואחריות של כל השותפים בתהליך, כאשר לאחראי אבטחת המידע הארגוני יש סמכות ואחריות כוללת על ביצוע עקבי של התהליך.
אבטחת מידע “מאפשרת” לצד בקרה הדוקה
הטרנספורמציה הדיגיטלית בה אנו חיים ושקיבלה זריקת מרץ בשנה האחרונה, כתוצאה ממשבר הקורונה, מחייבת התאמת פתרונות טכנולוגיים לכל צורך תפעולי שנדרש וזאת מבלי להתפשר על רמת אבטחה נאותה בשילוב בקרה שוטפת.
המציאות בה אנו חיים מחייבת הצטיידות בארסנל פתרונות טכנולוגיים מתקדמים הנותנים מענה אוטומטי ככל האפשר בהגנה מפני השבתת שירות, שיבוש מידע וזליגת מידע אם ברמת הממשקים לעולם כולל סינון דוא”ל וגלישה לאינטרנט, נראות רשתית המאפשרת זיהוי אנומליות, הגנה על תחנות הקצה והשרתים שהם היעד הסופי של כל מתקפה, מערך מרכזי של בקרה, ניטור ומניעת מתקפות על בסיס קורלציה של כלל מערכות ההגנה הארגוניות וזאת בהתבסס על יכולות Machine Learning (ML) ו-Artificial Intelligence (AI) המתמודדים עם סוגי תקיפות שונים אם ע”י מכונה ואם ע”י תוקף אנושי.
החוליה האנושית: נקודת תורפה מהותית בניסיונות תקיפת מערכות ורשתות
- מודעות והדרכה
יש למסד תכנית הדרכה ומודעות בקרב כלל העובדים לאיומים הנפוצים, לזיהוי, לאחריותם במניעת האיומים ולדיווח. - מדד חוסן סייבר ארגוני
מדד חוסן המשקלל ציון איכותי לחסינות מערך האבטחה הארגוני בכל עולמות התוכן הרלוונטיים על בסיס מיפוי וזיהוי הפערים בתהליכים העסקיים הקריטיים ובכלל, מאפשר למקבלי ההחלטות אף ברמת דירקטוריון ומנכ”ל לקבל תמונה כוללת של מערך האבטחה הארגוני ולטפל בחולשות ואיומים משמעותיים בו במקום עם משאבים מוגברים.
מוכנות ותגובה לאירוע
ניסיונות לביצוע התקפות סייבר מתרחשים בכל עת. לכן, על ארגונים לבצע בתדירות גבוהה ככל האפשר תרגילים בהם מדמים מגוון תרחישי קיצון של אירועי סייבר ותוצאותיהם מביאים לידי ביטוי את המוכנות הארגונית טכנולוגית וניהולית.
מיפוי הפערים והפקת לקחים חייבים להיות מעוגנים בנהלי העבודה הארגוניים. לא ניתן בעת גילוי של פריצה משמעותית, לארגן ולקבוע נהלים יש מאין. הארגון חייב להיות מוכן מראש ולדעת, כיצד ואיך הוא פועל בשעת משבר כדי להביא לצמצום הפגיעה עד כמה שנית ולאפשר חזרה לשגרה מהר ככל האפשר.
הכותב הוא מנהל חטיבת אבטחת מידע וסייבר בבינת תקשורת מחשבים
