האינטליגנציה המלאכותית הופכת לשחקן מפתח גם בעולם הסייבר. מה שעד לפני מספר שנים נעשה באופן ידני על-ידי חוקרים ומתכנתים מתבצע כיום על-ידי מודלים מנבאים שנבנו על בסיס דפוסי אירועים ותובנות עבר. חברה שמתמחה בכיוון הזה היא CYE, המשתמשת במודלים מתמטיים שבכוחם לחזות מתקפות סייבר על ארגונים. מודלים אלו חוזים לא רק את אפשרות ההתקפה, אלא גם את הנתיבים שבהם סביר להניח שישתמש התוקף וגם את הנזק הכלכלי שיגרם לאותו ארגון. כך, למעשה, בכוחה של CYE להתריע ללקוחותיה על פרצות במערכת שקיים סיכוי גבוה שהתוקפים יעשו בהן שימוש.
את המודל פיתחה החברה על-ידי למידה ממאות הערכות סייבר ותקיפות אמיתיות שבוצעו במהלך השנים. המידע הרב שהצטבר איפשר בניית עץ קבלת החלטות של התוקף, המציג את כל תרחישי התקיפה והסיכוי של כל אחד מהם לקרות. אלגוריתמים וגרפים המשולבים במודל מפיקים את תוכנית האינטגרציה למניעת התקפות באופן המדויק והיעיל ביותר אליו ניתן להגיע כיום.
"במובן מסוים העבודה שלנו היא לצפות את הלא נודע", אומר ד"ר נמרוד פרטוש, סמנכ"ל מערכות מידע ב-CYE. "זה נשמע קצת בלתי אפשרי אבל זה משהו שקורה. ביכולתנו להבין את הדפוסים ועל בסיסם לייצר חוקים שיתפסו את ההתקפות הבאות. היתרון שלנו נובע מהדרך בה אנחנו עובדים כל השנים. הידע והניסיון של החוקרים שלנו, יחד עם כל המידע שאספנו, מאפשרים לנו לייצר את כמויות הדאטה הדרושות כדי לבנות את המודלים המדויקים הללו, שמוכיחים את עצמם בכל פעם מחדש. השגת המידע האיכותי היא האתגר הגדול, כי אם הוא לא איכותי דיו - המכונה לא תלמד טוב מספיק ולא תנצל את פוטנציאל היכולת הענק שלה. ניתן לראות המחשה של כך בחברות אחרות, המייצרות מודלים לא בשלים ולא נכונים שלא עובדים. אין להן מספיק דאטה, ועולם הסייבר הוא כזה שקשה להשיג בו דאטה איכותי ומתויג. כשארגונים רואים את תוצאות המודל שלנו - הם מבינים את המשמעות הכלכלית המלאה והנרחבת של אבטחת סייבר ומה זה אומר להזניח אותו - ופועלים בהתאם. זה כלי בעל ערך רב לארגונים וקיבלנו עליו פידבקים מצוינים".
חידוש משמעותי בהערכת נזקי סייבר
ד"ר פרטוש מעריך שאם אותה חברת ביטוח שנפגעה ממתקפת כופר הייתה משתמשת בכלי שלהם - היא הייתה יכולה לדעת מראש שרמות החשיפה והסיכון שלה גבוהות מאוד בגלל הצורה בה פרוסה הרשת שלה והאופן בה היא פתוחה לעולם החיצוני. "המשמעות של פריצה כזאת היא למעשה אובדן החברה. לאחר מכן אי אפשר יותר להתקיים עצמאית. הרווחים אופסו והחברה עומדת בפני תביעות ענקיות", הוא מדגיש. "מודל הסיכון והאימפקט שלנו מאפשר להנהלת חברה כזאת לדעת מהו הסיכוי להתרחשות של כל סוג תקיפה וכן מספק את ההשלכות הכלכליות הממשיות שיהיו לכל אירוע כזה. כך יכולה החברה לדעת עד כמה היא חשופה וכמה תעלה לה החשיפה הזאת. למנכ"ל יש בכל רגע נתון את היכולת להעריך את הנזק. כך הוא יכול לבוא למועצת המנהלים ולדרוש תקציב עבור הגנה המבוסס על סכומים נכונים".
"חלק מהאימפקט של המודל - הערכת נזקי התקיפה האפשריים - הוא חידוש משמעותי ואמיתי לכל עולם הערכת הנזק עקב פריצת סייבר", ממשיכה את פרטוש שרון ארגוב, סמנכ"לית השיווק של CYE. "עד היום כל ההערכה הזאת הייתה בידיהן של חברות הביטוח. כשארגונים רכשו ביטוח סייבר הם קיבלו הצעות מחיר וגובה כיסוי שהתבססו על פרמטרים מאוד מצומצמים, כמו תשלומים רגולטוריים ותביעות. אנחנו לקחנו את זה הרבה מעבר לכך ובנוסף כימתנו גם נזקים חבויים כמו אובדן יכולת הכנסה של החברה, אובדן פרודוקטיביות, נזק למותג - דברים שלא עלו בעולם האקטוארי. יש לנו את היכולת להסתכל קדימה ולאחר סדרת בדיקות שהיא מעין MRI אבטחתי להגיד לארגון: 'זה מה שעומד לקרות לך וזה יעלה כך וכך'. סבירות החיזוי שלנו היא גבוהה מאוד ומתבססת על גורמים רבים שעוזרים לנו כל הזמן לתקף את זה, לא על דו"ח הערכה או תחושת בטן".
איך, בעצם, אפשר להעריך את המסלול שיעשה האקר?
פרטוש: "בסוף גם האקר הוא ישות שמסתכלת על ROI - החזר השקעה. התוקף הוא אופורטוניסטי ותמיד מתנהל בצורה הכי כדאית וקלה לו. כמו כולם, גם הוא רוצה להרוויח הכי הרבה בהכי פחות מאמץ. אז אנחנו מנתחים את שורת הדרכים האפשריות לפריצה, מזהים מה קל יותר ומה מאתגר יותר ולבסוף בונים עבור הלקוח נוסחה מתמטית, שאומרת לו שרמת הסיכון תרד כך וכך אם יעשה דברים כאלו ואחרים במערכת. אנחנו גם יכולים להציג לו את רמת ההשפעה על האבטחה בהתאם לתקציב שהוא מתכוון להוציא עליה. מנתחים סיכון סייברי כמו שמנתחים כל סיכון אחר. כך אנחנו לוקחים את הדבר הטכנולוגי והופכים אותו לכלי עסקי".
התקפה רגע לפני ההנפקה
מגמה שעלתה מאוד בשנים האחרונות היא תקיפת סייבר ברמת המדינה. תוקפים חזקים, מיומנים ולעתים ממומנים תוקפים מסיבות פוליטיות חברות מסחריות וממשלות כאחד. לכן הפכו חברות מסחריות המזוהות עם מדינתן למטרה משמעותית. ב-CYE מודעים לכך היטב ובוחנים מקרוב גם את הזווית הזאת. גם חברות שנמצאות בנקודה קריטית במפת הדרכים שלהן נחשבות לטרף אטרקטיבי, שכן מתקפת סייבר רגע לפני הנפקה או רגע אחריה תעולל נזק אסטרטגי גדול במיוחד לחברה. "יש להן הרבה מה להפסיד וההאקרים מתבייתים על זה", מציין פרטוש. "דווקא בשבועות הכי עמוסים ולחוצים בארגון הם מסמנים אותם ומכוונים עליהם. מתקפת סייבר היא תמיד הפתעה, אבל כשהיא מכה בנקודת תורפה - זו מכה שיכולה להיות כואבת ומזיקה יותר. לארגון כזה אנחנו אומרים: 'יש לנו את היכולת לצפות את העתיד ואף להעריך מה יהיה הערך המוסף של הנזק למוניטין ולהכנסות שלכם'. המודל שלנו מסוגל לקבוע דברים כמו: ארגון מסוג בנק שפועל במגזר הציבורי במדינה מסוג גרמניה יחווה מתקפה. חלק נוסף בחיזוי הוא מאיפה תגיע המתקפה. ארגונים רבים אינם ערים לכך שגם אם הרשת שלהם מאובטחת היטב - אצל הספקים שלהם יש פגיעויות שיכולות לחלחל אליהם פנימה. פשוט שוכחים את וקטור תקיפת הספקים, שנהיה מאוד רלוונטי ואקטואלי וכולל אחוזים גדולים מכלל התקיפות. שקללנו אותו פנימה במודל הסיכון שלנו, שזה משהו שלא עשו בכלל עד היום, למיטב ידיעתנו, ומרחיב מאוד את היריעה".
וכיצד אתם מסייעים ללקוח לאחר אבחנת הפגיעויות אצלו?
ארגוב: "גם בשלב הזה אנחנו לא עוזבים אותו, אלא מסייעים לו לבנות תוכנית המתאימה לצרכיו, שלוקחת בחשבון את סיכוניו ועוזרת לו להשתפר בטווח של כמה חודשים קדימה. התהליך הנכון הוא שהארגון ילמד וידע לתקן את החורים האבטחתיים בעצמו, בהדרכתנו. זה כמו חולה שמקבל תוכנית טיפול מהרופא - האחריות היא עליו ליטול את התרופה ולשנות הרגלים, אחרת זה לא מחזיק".
