פושעי הסייבר מפתחים ללא הרף את שיטות התקיפה שלהם, מה שדורש ממנהלים במגזר הציבורי לבצע הערכות קבועות של יעילות מדיניות האבטחה שלהם. בנוסף לכך, סביבת האיומים השתנתה במהלך השנה האחרונה בעקבות העלייה בפעילות של מתקפות משבשות והרסניות יותר והותירה גם תחושת דאגה גוברת ברחבי העולם הנובעת מהמתיחות הפוליטית המתקיימת מזה תקופה באזורים מסוימים.
שוחחנו עם ג'ים ריצ'ברג, מנהל אבטחת המידע למגזר הציבורי בחברת אבטחת הסייבר Fortinet, אודות סביבת האיומים הנוכחית וקיבלנו תובנות בנוגע לאסטרטגיות הנחוצות כדי להילחם באיומי הסייבר המתפתחים.
מהם סיכוני האבטחה המרכזיים כיום עבור ארגונים במגזר הציבורי?
"הסיכון הכי גדול הוא לא להתבונן על סביבת האיום בצורה הוליסטית. אף ארגון לא מבודד לחלוטין ויש צורך בשיתוף פעולה. יש נושא אחד שחוזר בכל דיון עם מנהלי ארגונים בנוגע לסביבת האיום, שגורם לי לתהות האם מדובר למעשה בתסמין לבעיה גדולה יותר של הארגונים, במובן של מודיעין איומי סייבר. נראה שיש שני מצבים – או שהם לא מקבלים את כל המודיעין הדרוש להם, או שהם לא יודעים מה לעשות איתו.
"מבחינת איומים, תוכנות הכופר עדיין נמצאות בראש, במיוחד במגזר הציבורי. מדובר במשהו שיכול לשבש את פעילות הארגון בצורה פתאומית ופומבית. בעוד כי אף ארגון לא מעוניין לשלם דמי כופר, אם הם לא יעשו זאת, הם מסתכנים בשיתוק הפעילות לתקופה ארוכה.
"בנוסף לכך, בהתחשב במה שהתרחש בשנה החולפת בהקשר הגיאו-פוליטי, ארגונים במגזר הציבורי תוהים האם הם עלולים למצוא את עצמם על הכוונת של סכסוך בין מדינות או להיות נזק משני", הוא מוסיף. "המציאות היא כי סביבת האיום הגבוהה היא לא רק זמנית, כאשר פושעי סייבר והאקרים בחסות מדינות משתמשים בהרבה שיטות תקיפה ותוכנות זדוניות דומות".
לשקול הטמעה של טכנולוגיית הטעיה
השאלה העולה מניתוח המצב היא כמובן אילו אסטרטגיות אבטחת סייבר יזומות מנהלי ה-IT צריכים ליישם? "האסטרטגיה הראשונה היא לתרגל מתקפות בצורה יזומה. אתם לא רוצים שהפעם הראשונה שבה תחשבו על בעיה תהיה בזמן שאתם מתמודדים עם איום אמיתי והזמן שלכם הולך ואוזל", משיב ריצ'ברג. "כשאנחנו חושבים על תרגילי סייבר, אנחנו חושבים לרוב על סימולציות מתוחכמות, המערבות מחשבים ותרחישים מסובכים המנוהלים על-ידי מומחים, אבל המציאות היא כי גם תרגיל פשוט או דיון יכולים להיות בעלי ערך רב. במגזר הממשלתי, למשל, ניהול דיון מובנה או תרגיל פשוט יכולים להוביל לגילויים ותובנות אודות הנחיצות והערך של שיתוף פעולה עם שותפים במגזר הפרטי והציבורי.
"אסטרטגיה נוספת היא תקשורת. הגורמים הרלוונטיים בארגונים הממשלתיים צריכים לדעת עם מי לדבר במערך הסייבר הלאומי. אתם לא רוצים שהשיחה הראשונה שלכם עם מישהו תהיה כשתספרו להם על בעיה בארגון או תבקשו מהם עזרה", הוא מוסיף. "היכולת להכיר את העמיתים שלכם היא דבר מאוד חשוב. אמון קיים בין אנשים והוא נבנה באמצעות פעולות שגרתיות. הצורך המרכזי שאני שומע מבכירים הוא הערך ביועץ מהימן, מישהו שיכול לספר להם אודות מגמות, בעיות, שיטות העבודה הטובות ביותר ואפילו מלכודות שהם גילו במקומות אחרים – ואולי אף דרכים להימנע מהן. כיצד לאתר את האנשים הללו? ובכן, גוגל לא יעזור כאן. הדרך לעשות זאת היא באמצעות תקשורת ושיתוף פעולה. יצירת אינטראקציה עם קבוצות רלוונטיות תאפשר לכם לזהות את האנשים הנכונים שאומרים את הדברים הנכונים.
"לבסוף, אם אתם ארגון בעל יכולות מתוחכמות למדי ומשאבים טובים, האסטרטגיה הסופית היא לשקול הטמעה של טכנולוגיית הטעיה (Deception). שימוש בטכנולוגיית הטעיה משפיע על ההתנהגות של הפולש. זה דומה לשלט על דלת הכניסה שאומר "בית זה מוגן באמצעות...". זה לא משנה אם באמת יש לכם מערכת אזעקה או לא, השלט עדיין ירתיע אנשים רבים. מי שכן יחליט לפרוץ פנימה, יתנהג בצורה שונה ואיטית יותר מאשר אם הם היו חושבים שמדובר בבית ללא הגנה.
"במרחב הסייבר, פולשים שחושבים שהם עלולים להיתקל בטכנולוגיית הטעיה, מתחילים לפקפק במה שהם עושים ואפילו להימנע מהחלק של הרשת ששכחתם להגן במלואו. הם מניחים שאם זה נראה פשוט מידי – מדובר במלכודת. מדובר באפקט פלצבו שמתחיל כשתוקף יודע שלארגון יש אמצעי הטעיה, אפילו אם הם לא בשימוש".
שימו לב להצפנת נתונים
אז אילו אסטרטגיות הגנה ארגונים צריכים להטמיע כדי לסכל את איומי הסייבר החדשים? "הייתי מתחיל עם הצעד הרב-שנתי של גיבויים לא מקוונים מתוזמנים ועדכון תוכנות באופן שגרתי", משיב ריצ'ברג. "הצעד השני הוא שימוש באימות דו-שלבי (MFA), שהפך לחשוב עבור ארגונים במהלך המעבר לעבודה מרחוק בזמן הקורונה והוא רלוונטי באותה המידה כיום, כשאנחנו נמצאים במצב של עבודה היברידית או עבודה מכל מקום. הצעד השלישי שאני ממליץ עליו הוא לשקול לאמץ ארכיטקטורת Zero Trust. אם אתם חלק מארגון ממשלתי, אסטרטגיית Zero Trust הופכת לדרך טובה למזער את הסבירות להיפגע מפרצת אבטחה וגם למזער את ההשלכות אם הדבר כבר קרה.
"היות וראינו את הצמיחה של תוכנות הכופר, ראינו גם את השינויים שחלו בהן. תוכנות הכופר לא רק מצפינות את הנתונים שלכם, אלא גם גונבות אותן. לכן, שימו לב להצפנת נתונים. פעמים רבות קיימת דרישה לעשות זאת בארגונים ממשלתיים, אך מעטים בלבד עשו זאת בפועל. מדובר בצדק פואטי כשמישהו מתכנן לגנוב את הנתונים שלכם כחלק ממתקפת כופר, רק כדי לגלות שהם כבר הוצפנו ואי אפשר לעשות דבר בנוגע לזה. קיימים פתרונות רבים בשוק שיכולים לסייע לארגונים להטמיע יכולת זו".
בשיתוף פורטינט
