"מגני הסייבר בצרפת לא עשו שיעורי בית"
לדברי עדי נאה גמליאל, CTO ב-2BSecure מקבוצת מטריקס, "ניתן לתקוף כל ארגון שמפעיל מערכות מידע, מחשבים אישיים ותקשורת אינטרנט - כך, נותרו רק שתי שאלות: כמה משאבים נדרשים למשימת התקיפה - ולמתי לתזמן את התקיפה"?
"מה עוד צריך לקרות כדי שמנהלים בארגונים יפנימו כי הארגונים בעולם מתחלקים לשלושה: אלה שכבר חוו תקיפת סייבר, אלה שכבר הותקפו אבל עדיין לא יודעים זאת – ואלה שעלולים להיות מותקפים בכל רגע? נראה כי מגני הסייבר במטה הקמפיין של עמנואל מקרון לא עשו שיעורי בית", כך אמר עדי נאה גמליאל, CTO ב-2BSecure מקבוצת מטריקס.
נאה גמליאל, מומחה אבטחת סייבר, התראיין בעקבות הפריצה שאירעה לפני כמה שבועות ואשר פורסמה בסוף השבוע למטה הבחירות של מקרון, המתמודד על נשיאות צרפת.
לדבריו, "קשה להאמין שמנהלי מערכות מידע בארצות הברית, וגם בצרפת – לא מבינים את זה ולא התכוננו כמיטב יכולתם. מומחים בתחום יודעים כי ניתן לתקוף כל ארגון שמפעיל מערכות מידע, מחשבים אישיים ותקשורת אינטרנט. כך, נותרו רק שתי שאלות: כמה משאבים נדרשים למשימת התקיפה – ולמתי לתזמן את התקיפה"?
על פי הפרסומים, אמר נאה גמליאל, "צוות הקמפיין של מקרון ציין כי השרתים במקום היו מוגנים היטב, על ידי מסנני תוכנה מתוחכמים. הם גם המליצו על שימוש בכמה רשתות מוצפנות של הודעות ומסרים סלולריים, ודרשו אימות כפול כדי לגשת לדוא"ל".
לדבריו, "תקיפות סייבר מתחילות בדרך כלל בהתחזות. בתהליך זה מקובל לשלוח מספר גדול של הודעות מזויפות, המכילות לעתים קרובות קבצים נגועים, בתקווה שהנמען, שמקבל כמות גדולה של הודעות, ילחץ על קישור זדוני – וכך תיווצר הפרה בהגנה על המערכת".
למזער את הנזק שעלול להיגרם לארגון
נאה גמליאל ציין כי "כמובן שיצטרכו לחקור האם המשתמשים במערכת הקפידו על נהלי אבטחה כפי שהוגדרו, ואם כן – האם הקפידו על יישום אותם נהלים. מומחים יודעים כי מרבית התקיפות שגרמו נזק ופגיעה בקרבנות, התרחשו בגלל כשל של אנשים שלא הקפידו על יישום הנהלים".
השאלה שעולה תמיד, ציין נאה גמליאל, "היא האם ניתן היה להגן טוב יותר על מערכות המחשוב ולמנוע אירוע מסוג זה. התשובה היא כמובן כן. למרות הנאמר על ידי מומחים, כי אין הגנה מוחלטת על מערכות מידע, ניתן להפעיל אמצעים טכנולוגיים ונהלים קפדניים, שיזהו את התקיפה מיד עם תחילתה – ובאופן ממוחשב יחסמו את העברת הנתונים, יתריעו מיידית לגורמים מוסמכים וכך ימזערו את הנזק שעלול להיגרם לארגון".
נאה גמליאל סיים בציינו כי "אמצעי מיגון סייבר שיוכנו מראש, רענון נהלים אחת לכמה חודשים והקפדה על יישומם – יקטינו הפסדים כספיים, ימנעו מבוכה למנהלים ויאפשרו מתן שירות רציף ואמין עבור מערכות תקשורת, בנקאות, חשמל, מים ועוד".
חוכמה גדולה להגיד בדיעבד ,אמירה שנראתה כמו ניסיון להשגת לקוחות ובפרסום הלא מתאים (אנשים ומחשבים זה לא כלל הציבור) ובכלל יש הרבה ארגונים שאין להם מנהל מחשוב ומסתפקים בטכנאי פשוט וזול שיפעיל את המערכות שלהם וכל בגלל גם עלויות וגם חוסר הבנה. עד שלא יכללו בלימודי ניהול את נושא המחשוב והאיומים וההשלכות איש מהמנהלים לא מבין את הסיכון ורמת הפגיעה עד שהוא חווה זאת אישית על בשרו. ככה הדברים מתנהלים בארצנו וכנראה גם במדינות אחרות אפילו שהן ידועות בקפדנותן המקצועית (ארה"ב) אצל הצרפתים לא יודע אבל חושש שגם שם יש חוסר מודעות שנובעת גם מהאופי האירופאי הסבלן שחושב שלי כאן באירופה השקטה לא יקרה כלום.