"עקב השמיים והגבולות הסגורים – גם הפושעים הקלאסיים עברו לסייבר"

"משבר הקורונה, הגבולות הסגורים והשמיים הסגורים הביאו לכך שארגוני פשיעה לא יכולים להעביר סמים, לבצע סחר בנשים ועוד פעולות שהם עושים. הם מתקשים לבצע סחיטה פיזית. אז כדי לא להיפגע כלכלית, הפשע עבר למרחב הסייבר. הקורונה, שריתקה מאות מיליונים לביתם, מקשה עליהם לבצע פשיעה קלאסית, ולכן ראינו עד כה במחצית השנייה של השנה יותר סחיטות במרחב הסייבר, מתקפות כופרה ומחיקות נתונים. לאויבים וליריבים קל להגדיל את יכולותיהם באמצעות ארגוני פשיעה", כך אמר רפאל פרנקו, סגן ראש מערך הסייבר הלאומי ומנהל מכלול עמידות במערך.

פרנקו דיבר בכנס IT & Security של אנשים ומחשבים, שנערך היום (ג') בהנחיית יהודה קונפורטס, העורך הראשי של הקבוצה. לדבריו, "מגמה נוספת שהבחנו בה היא קיצור זמן התגובה של היריבים לכל אחת מהחולשות. בעבר התרגלנו שלוקח להאקרים להשמיש חולשה בתוך חודשים. כיום זה נמשך ימים, כי יש יותר קבוצות תקיפה שמבינות שהמהירות היא שם משחק. הזמן מפרסום החולשה ועד למתקפה המתבססת על ניצול שלה התקצר בגלל הקורונה. המגן, שיושב בבית, נמצא בנחיתות, וכך לתוקף יש יתרון יחסי מולו – והרי לכם מציאות משובשת".

"עלייה אקספוננציאלית בהיקף המתקפות"

"אנחנו רואים עלייה אקספוננציאלית בהיקף המתקפות – נגד משרד האוצר בארצות הברית, פייראיי, סולארווינדס, בארץ נגד שירביט, ועוד", הדגיש. הוא התייחס גם לאירוע המתקפה על שרשרת האספקה של עמיטל דטה ואמר כי "מדובר באירוע בלימה. לפני שהוא פורסם, המערך יצר קשר עם כל החברות העלולות להיות בסיכון, והתריע בפניהן. אנחנו נמצאים בשיתופי פעולה עם חברות האבטחה ועם מאות ארגונים שפועלים עם ה-CERT הלאומי".

"כמעט מיד, בכל מקום שהותקף ושהגענו אליו, ראינו שהיריב שהה ברשת ימים ושבועות לפני שהוא תקף", ציין פרנקו. "אילו היו לארגון המותקף מערכות סורקות רשת – כמעט תמיד ניתן היה לגלות את התוקף עוסק באיסוף מודיעין זדוני טרם תקיפה. עוד נקודה היא שלכל החולשות היה מענה הגנתי בהטלאות, לא ראינו מתקפות יום אפס. אילו ארגונים היו עובדים עם כלים אוטומטיים, אפשר היה לצמצם את היקף הפגיעה במשק".

"ממד נוסף הוא מתקפות על שרשרת האספקה, זה ציר חדירה מרכזי: כמעט בכל האירועים השנה, ראינו נסיונות תקיפה דרך שרשרת האספקה. לכן, נדרש לאמץ מתודולוגיה כחול-לבן לניהול ההגנה על עליהן", הוסיף.

"כמעט בכל האירועים היה ניסיון לנצל את הגורם האנושי"

עוד ציין פרנקו כי "כמעט בכל האירועים היה ניסיון לנצל את הגורם האנושי, עם עובד נטול ערנות, או כזה שלא סגר את המחשב או שלא היה לו אימות דו-שלבי. אנחנו החוליה החלשה, יש להעלות את המודעות ולעשות תרגולים. העלאת המודעות היא תהליך סיזיפי, אבל היא מניבה את החזר ההשקעה הכי גבוה שניתן לקבל".

פרנקו סיים בכמה עצות למנהלי אבטחת מידע בארגונים: "הביטו על ראיית היריב. יש לעבור מהגנה מבוססת שכבות אבטחה להגנה בראיית היריב. הטמיעו מערכות הגנה לטכנולוגיות תפעוליות (OT). פרסמנו את תורת ההגנה שלנו גרסה 2 והעלינו אותה לאתר מערך הסייבר הלאומי להערות הציבור – היעזרו בה. יש לממש הגנה רציפה ולא לזמן מסוים, עם מבדקי חדירה אוטומטיים, בקרות אוטומטיות ותרגולים אוטומטיים. כמו כן, התמקדו בשרשרת האספקה. בתורת ההגנה יש רעיון מסדר של תחבולה והונאה. עשו זאת, אתם יכולים להונות יריבים. לגבי התאוששות – לארגונים רבים יש גיבויים, אולם הם מעולם לא תרגלו את הנושא. עובדים ומנהלים נדרשים להיות מעורבים בתחום – היכן שההנהלה הייתה מעורבת, אירוע הסייבר נוהל טוב יותר. לסיכום אני יכול לומר שארגוני פשיעה מתאהבים, ויתאהבו, בקלות הבלתי נסבלת שבה ארגונים לא מגנים על עצמם".