ביום חמישי בצהריים, מתן (שם בדוי) ממחלקת כספים קיבל חשבונית בדוא"ל, הוא פתח את הקובץ אשר הכיל קוד זדוני, ומאותו הרגע נפתחה דלת אחורית למערכות של הארגון בדגש על מערכות הכספים. התוקף קינן ולמד את המערכות מפנים, תוך שדרוג הרשאותיו בנכסי הארגון עד הצפנה מוחלטת של כל מערכות המידע, ומחיקת הגיבויים.
על אף שהארגון השקיע מיליוני שקלים על הגנת סייבר, הארגון חדל מלתפקד?
"כל זה קורה במציאות. תרחישים כאלה הינם חלק מהיום יום של צוות ההתאוששות שלנו וגם אחד מתרחישי הייחוס שהלקוחות שלנו מתרגלים בקביעות אל מול מומחי הסייבר שלנו", אומר אלי מטרה, מנהל העסקים הראשי (CCO) של MedOne, מהחברות הוותיקות והמובילות בתעשיית חוות השרתים בישראל, שמארחת במתקניה לקוחות מהגדולים בישראל ובעולם, ומפעילת הענן הציבורי הישראלי.
"העולם בו אנו חיים הופך למאתגר יותר ויותר, לכן, כבר ממבצע 'צוק איתן' אנחנו מתרגלים אירועי אבטחה שונים, פיזיים ווירטואליים, כדי להיערך לכל תרחישי הייחוס של מדינת ישראל", אומר מטרה.
"למעשה, עוד לפני 'צוק איתן', ב-2013, החלטנו להוסיף לרשימת התקנים בהם אנו עומדים את תקן 22301 ISO, של ניהול המשכיות עסקית", הוא מוסיף. "תקן זה מתייחס לסיכונים הנשקפים לכל תשתיות הארגון: מידע, תקשורת, ספקי שירותים שונים, אתרים תפעוליים ועוד".
אשר למלחמה הנוכחית בעזה, מטרה מבהיר שהיא מתנהלת בשתי חזיתות: החזית הפיזית, המוכרת לכולנו ממסכי הטלוויזיה, והחזית הדיגיטלית, של מתקפות סייבר בהיקפים עצומים על חברות וארגונים ישראלים. "התוקפים אינם אינדיבידואלים שרוכשים נוזקה בדארקנט, אלא מדינות עתירות משאבים וכוונות רעות", הוא אומר.
"בשגרה, מתקפת סייבר אמנם עלולה לגרום לנזקים גדולים, אך אפשר לחזור תוך כמה שבועות לפעילות רגילה. בתקופת מלחמה המצב מסובך הרבה יותר והיא הרבה יותר הרסנית, בין היתר משום שחלק מכוח האדם של הארגון מגויס וההמשכיות העסקית היא הרבה יותר קריטית".
להבין איך התוקפים עובדים
המלחמה בעזה והכשל המודיעיני שקדם לה, החזירו למילון המושגים הלאומי את "כישלון הקונספציה" מ-1973. מטרה מזהה כיום קונספציה שגויה גם בכל הקשור להמשכיות עסקית לאחר מתקפת סייבר. "כל התפיסה של המשכיות עסקית כיום היא מיושנת ומתאימה אולי למצב שהיה לפני עשר שנים. היא לחלוטין לא מתואמת למצב הסייברי הנוכחי", הוא טוען בלהט. "היום, אם לא יצרת עותק שלא ניתן לפגוע בו, מסונכרן לזמן אמת, שמנותק מהאינטרנט ומחכה ליום פקודה - לא יצרת המשכיות עסקית אמיתית ויכולת ההתאוששות שלך תהיה נמוכה עד לא קיימת".
מדוע בעצם?
"צריך להבין איך התוקפים עובדים. הם תוקפים קודם את כל האתר הראשי, מצפינים את המידע ומוחקים את כל הגיבויים. אם אין לך יכולת לחזור אחורה לנקודה שלפני המתקפה, איבוד המידע יהיה משמעותי ביותר. כידוע, ההנחיה הרגולטורית היא להקים שלושה אתרים: אתר ראשי, אתר המשכיות עסקית ואתר גיבוי. אבל הצרה שארגונים לא רוצים לנתק את הקשר בין האתרים ואומרים לעצמם: 'אם אתר אחד ייפול - נעבוד על השני', מה שמוכר בתור תפיסת Active-Active. זה כבר לא מתאים לעידן הסייבר הנוכחי, כי אם האתרים מחוברים הם יוצפנו. החיבור בין האתר הראשי למשני מאפשר יתירות אתרים פיזית אבל לצורך המשכיות עסקית תומכת סייבר, יידרש עותק שלישי להמשכיות עסקית, ועותק נוסף עבור גיבוי".
"חייבים לשנות קונספציה ולעבור לתפיסה חדשה של 'התאוששות עסקית תומכת סייבר', שמבטיחה שרידות ארגונית ורציפות תפקודית. ארגון נדרש להגן על עצמו מצד אחד, ולאבטח את המידע שלו, מצד שני, חייב לשאול את עצמו במקרה של תקיפת סייבר שפרצה את כל ההגנות שלו, מה יחזיר את הארגון לעבודה במהירות, ויאפשר לו התאוששות עסקית בזמן הקצר ביותר?"
איזה שירות מציעה חברת MedOne?
"השירות שלנו מבוסס על שילוב בין ענן ציבורי ישראלי מקומי MedOneCloud לבין טכנולוגיה שפותחה על ידי חברה ישראלית בשם Zerto (כיום HPE). הפתרון מהווה ספינת דגל בעולם ההמשכיות העסקית, המאפשר לארגונים עסקיים לבצע מעבר בין האתרים, תוך כדי שכפול של כלל השירותים והאפליקציות הארגוניות ושל המידע השמור בהן".
איך זה עובד?
"המערכת משכפלת את כל המידע מהאתר הראשי לאתר המשני (DR) בזמן אמת וכל כמה שניות היא שומרת עותק חדש. בכך היא מאפשרת למנהל ה-IT יכולת לדלג מהאתר הראשי לאתר ההמשכיות העסקית, עם מנעד רחב של אפשרויות בחירה: העברה כוללת של האתר, שרת בודד, אפליקציה, תיקייה וכו'. התכונה המשמעותית ביותר בשירות מאפשרת חזרה לאחור בזמן לכל נקודה - שעה אחורה, שעתיים או מועד אחר - עד לשניות בודדות שלפני הפגיעה ובטרם התוקף הצפין את המידע. בנקודה זו אנו מעלים את מערכות המידע לסביבה סגורה, לא אינטרנטית, סטרילית, מנקים אותה, מאבטחים אותה והופכים אותה מחדש לסביבה עבודה פעילה ובטוחה. במקביל מאתרים את התוקף ומדווחים למטה הסייבר הלאומי על המקרה. זהו פתרון איכותי שבתפיסת המחשוב הישנה - לא קיים".
המשכיות עסקית היא קריטית להישרדות
אלי מטרה יודע לספר על ארגון גדול בארץ מבין לקוחותיו, שהצליח לחזור במהירות לשגרת עבודה הודות ליישום המוצלח של הפתרון שמציעה MedOne. ההתקפה התרחשה בלילה, אך הארגון לא ידע זאת. הארגון קיבל התראה מה-NOC של MedOne ומייד החל הטיפול באירוע, בהתאם ל-Playbook שנכתב מראש. "בזכות היכולת לחזור בזמן, סייענו גם ללקוח לייצר פורנזיקה ולהבין את שרשרת האירועים על פני הזמן. זאת במקביל להעלאת מערכות המידע, בנקודת הזמן של שניות לפני השיבוש. התוצאה: החזרה בזמן קצר של הארגון לעבודה", מסביר מטרה.
מהו הלקח שאתה מפיק מאירועי הסייבר שהתעצמו לאחרונה ומהו המסר שלך לארגונים בעקבותיו?
"יש כמה לקחים. ראשית, גזרת הסייבר היא היום הגזרה החמה ביותר. כולם חשופים למתקפות סייבר, כולל רשתות IT, מערכות מידע, אתרי אינטרנט, מפעלים ותשתיות קריטיות.
"שנית, עלינו להכיר בכך שכולנו נותקף, כפי שמזהירים מיטב המומחים בתחום, והשאלה היא לא האם נתקוף אלא מתי. יתרה מזאת, כולם מותקפים - ההבדל הוא בין כאלה שיודעים על כך לבין כאלה שעוד לא גילו זאת. לכן, אסור לחסוך באמצעי הגנה. אנחנו רואים לא פעם ארגונים שמתלבטים ברכישת טכנולוגיות ולא מבינים שצריך להתייחס לכך כאל השקעה ולא כאל הוצאה. הרי הנזקים שייגרמו יהיו פי כמה וכמה יותר יקרים - לשווי, למוניטין - כאשר במקרים מסוימים הם אף עשויים להביא לסגירת החברה. לשמחתנו, מנהלי הכספים בארגונים, אותם אנחנו מלווים, הבינו מיידית את התרומה העצומה של השירות שלנו לעומת העלות.
"שלישית, צריך להקפיד על אמצעים שיבטיחו המשכיות עסקית. ולבסוף, הענן הוא המקום המאובטח ביותר כיום. המסר ללקוחות הוא פשוט: ארגון חייב להפנים, שתקיפות סייבר הן עובדה מוגמרת, הוא תחת איום! תוכנית המשכיות עסקית תומכת סייבר היא קריטית להישרדותו".
בשיתוף MedOne
