מק'אפי: כ-54% מספקי תשתיות קריטיות נפגעו ממתקפה קיברנטית; 40% צופים כי יפגעו השנה
מדו"ח חדש של ענקית אבטחת המידע, שנחשף בסוף השבוע האחרון בפורום הכלכלי העולמי שהתקיים בדאבוס, עולה, כי למרות העלייה בכמות הגופים העוסקים במניעת מתקפות קיברנטיות, בהיבט החוקי והרגולטורי, גובר הסיכון שבהתקפות שכאלו ● מהדו"ח עולה, כי העלות המוערכת הממוצעת, כתוצאה מהשבתת מערכות בעקבות התקפה קיברנטית חמורה, עומדת על 6.3 מיליון דולרים ליום
54% מהמנמ"רים בארגוני תשתיות קריטיות כבר נפגעו מהתקפה קיברנטית, או מחדירה למערך המיחשוב שלהם, על ידי ארגון פשיעה, טרוריסטים או מדינות – כך עולה מדו"ח חדש של ענקית אבטחת המידע מק'אפי (McAfee), שחשף בסוף השבוע האחרון דייב דה-וולט, נשיא ומנכ"ל החברה, בפורום הכלכלי העולמי שהתקיים בדאבוס, שווייץ. בדו"ח נכתב, כי יותר מ-40% מארגוני התשתיות הקריטיות בעולם צופים התקפות קיברנטיות חמורות בשנה הקרובה.
הדו"ח של מק'אפי בחן את השפעת הלוחמה הקיברנטית על תשתיות קריטיות, כגון רשתות חשמל, הפקת שמן וגז, תקשורת ותחבורה. הדו"ח נכתב על בסיס ניתוח תשובות של 600 מנמ"רים ומנהלי אבטחה בארגוני תשתיות קריטיות, ב-14 מדינות ברחבי העולם. מהדו"ח עולה, כי העלות המוערכת הממוצעת, כתוצאה מהשבתת מערכות בעקבות התקפה קיברנטית חמורה, עומדת על 6.3 מיליון דולרים ליום.
עוד עולה מהדו"ח, כי למרות העלייה בכמות הגופים העוסקים במניעת מתקפות קיברנטיות, בהיבט החוקי והרגולטורי, גובר הסיכון שבהתקפות שכאלו: יותר משליש (37%) מהמשיבים לסקר אמרו, כי רמת הפגיעות של ארגוני תשתיות קריטיות עלתה במהלך השנה האחרונה, וכאמור, 40% צופים אירוע חמור של אבטחת מידע בתחומם, במהלך השנה הקרובה. רק 20% מהנשאלים אמרו, כי הם סבורים, שתחום התשתיות הקריטיות בטוח מפני התקפות קיברנטיות בחמש השנים הקרובות.
כותבי הדו"ח מסבירים, כי רבים מארגוני התשתיות הקריטיות בעולם, עונים לדרישות של מהימנות וזמינות במערכות ה-IT, אולם לא לצורכי אבטחה. בעבר, נכתב, לארגוני התשתיות הקריטיות, הייתה רמת הגנה נמוכה מאוד, אם בכלל, מפני התקפות קיברנטיות והם הגנו על עצמם באמצעות מאבטחים, שערים ונשק. כיום, לעומת זאת, רשתות המיחשוב מקושרות לרשתות IT ארגוניות ולרשתות תשתית אחרות – ואלה נגישות מכל מקום בעולם.
יותר משליש מהנסקרים, סבורים שתחום ארגוני התשתיות הקריטיות אינו ערוך להתמודדות עם מרבית ההתקפות הקיברנטיות, או עם פריצות חשאיות, למערכי המיחשוב, על ידי יריבים. המדינות בהן רמת הביטחון היא הנמוכה ביותר הן ערב הסעודית, הודו ומקסיקו.
שני שלישים מהמשיבים לסקר ציינו כי האקלים הכלכלי הנוכחי הוביל לקיצוץ במשאבי האבטחה הזמינים. אחד מכל ארבעה מנהלים, דיווח על צמצום של 15% ויותר בתקציב אבטחת המידע הארגוני. הקיצוץ בעיקרו הובחן בענף האנרגיה ובענפי השמן והגז.
60% מהנשאלים בסקר אמרו, כי הם מאמינים שנציגי ממשלות זרות היו מעורבים בפריצות לתשתיות. בחלוקה לפי מדינות, המדינות הרואות במעורבות ממשלתית את האיום הגבוה ביותר על תשתיות קריטיות, הן ארה"ב (36%) וסין (33%).
יותר ממחצית מהנשאלים (55%), אמרו כי לטעמם, החוקים במדינתם אינם יעילים בהרתעת מתקיפים קיברנטיים פוטנציאליים. בשלוש מדינות – ברוסיה, מקסיקו וברזיל – המגמה הובחנה בתשובות הנשאלים באופן הגבוה ביותר. 45% מהנשאלים אמרו כי אינם מאמינים שלרשויות יש את היכולת במניעת התקפות או בהרתעה של התוקפים.
יותר ממחצית מהנשאלים אמרו, כי הם מצפים שהביטוח יכסה את העלויות שבעקבות תקיפה קיברנטית. רק אחד מכל חמישה נשאלים העריך, כי ההוצאות יפלו על משלמי עמלות, או על לקוחות. רק כרבע מהנשאלים אמרו, כי הם מצפים מהממשלה להציל את החברות שנפגעו כתוצאה מהתקפות קיברנטיות.
דה-וולט אמר, כי "באקלים הכלכלי היום, על ארגונים להיערך לחוסר היציבות, שעשוי להיגרם בעקבות התקפות קיברנטיות על תשתיות קריטיות". הוא הוסיף, כי "המדובר במערכות שאנו תלויים בהם במסגרת השימוש היומיומי: החל מתחבורה ציבורית וכלה בתקשורת ואנרגיה. פגיעה בכל אחד מתחומים אלו, עשויה לגרום לנזקים כלכליים רחבי היקף, נזקים סביבתיים, אובדן רכוש ואף פגיעה בחיי אדם".
בהתייחסו למתקפה הקיברנטית על שרתי גוגל (Google) בסין לפני כמה שבועות, אמר דה-וולט, כי "ההתקפה האחרונה, Operation Aurora, אשר כוונה כנגד גוגל וחברות נוספות, הייתה ההתקפה הקיברנטית הגדולה והמתוחכמת ביותר. מתקפה כזו יכולה לפגוע גם בתשתיות קריטיות. התקפה זו זוהתה על ידי מק'אפי, והיא היוותה את האיום המתוחכם ביותר זה שנים. היא בפירוש הייתה רגע מכונן באבטחת מידע, בשל האופי המתואם ומכוון המטרה של ההתקפה".
הדו"ח בנושא מצב התשתיות הקריטיות בעידן הלוחמה הקיברנטית הוזמן על ידי מק'אפי ונכתב על ידי המרכז ללימודים אסטרטגיים ובינלאומיים – CSIS (ר"ת The Center for Strategic and International Studies). סטיוארט בייקר, עו"ד בחברת Steptoe and Johnson, שהשתתף בכתיבת הדו"ח מטעם CSIS, אמר, כי "ההקשר הממשלתי נמצא במרכזו של הדיון באבטחת תשתיות קריטיות. היחסים בין הממשלות וארגוני המגזר הפרטי מורכבים, אולם למרות זאת הכרחי שהמגזרים יאמינו כל אחד ביכולותיו של השני. תעשיית האבטחה תמיד חותרת להוביל בנושאים האלו, אך בהעדר תרופת פלא טכנולוגית, הרגולציה משחקת תפקיד חשוב בהגנת תשתיות קריטיות בעולם".
תגובות
(0)