"ארגונים רבים לוקים בעיוורון באבטחה – והם ישלמו על כך חוב טכני"

"ארגונים רבים לוקים בעיוורון בכל הנוגע לאבטחה, וזה עלול לגרור להם לנזקים קשים, לעתים בלתי הפיכים. כל מנהל הגנת סייבר צריך לדאוג שהעיוורון באבטחה לא יביא לחוב טכני של הארגון שלו", כך אמר ריק פרגוסון, סגן נשיא למודיעין איומים בפורסקאוט.

בראיון לאנשים ומחשבים ציין פרגוסון מקרה של חוב טכני שהוא עצמו חווה: "בעבר, עבדתי באבטחת מידע ב-EDS. כשהצטרפתי לחברה יצרתי לעצמי סיסמה, ובכל פעם קיבלתי חיווי שהיא שגויה. הסתבר שמישהו החליט שכל הסיסמאות תהיינה בנות שמונה ספרות, וזהו. לא שבע, לא תשע, ולא עוד אות. זה חוב טכני. יש לחוב הזה פנים רבות ושלל גורמים שיוצרים אותו. למשל, כאשר מטמיעים מוצרי אבטחה תוך מענה לטווח הקצר, ו-'על הדרך' יוצרים בעיות אבטחה חמורות יותר לטווח הארוך. חוב טכני אחר נוצר בשל היעדר הנראות של נכסי ה-IT ונכסי האבטחה, עקב מגפת הקורונה והעבודה מהבית".

פרגוסון הצטרף באחרונה לפורסקאוט, הישראלית במקורה. הוא פעיל בעולם אבטחת המידע והגנת הסייבר יותר מרבע מאה, ובכלל זה היה במשך 15 שנים סגן נשיא מחקר איומי סייבר בטרנד מיקרו. פרגוסון הוא אחד ממייסדי מרכז פשיעת הסייבר (EC3) של היורופול ויועץ מיוחד לארגון. כמו כן, הוא חוקר, מרצה בעל שם ועתידן – שמסייע לממשלות, רשויות אכיפת חוק, ארגונים ואנשים פרטיים להבין את המורכבות הטכנולוגית וכיצד היא חושפת אותם לאיומים מצד פושעי סייבר. בנוסף, הוא מייסד שותף של תוכנית Respect in Security – לעזרה לקורבנות הטרדה ברשת ובמקום העבודה.

"מעולם לא ראיתי שינוי מואץ בעולם הסייבר כמו מאז 2020"

"האתגרים של מנהלי האבטחה עצומים", אמר פרגוסון. "משטח התקיפה הפוטנציאלי התרחב לאין שיעור בשל המגפה והעבודה מהבית. לכך נוספו אתגרי האבטחה שנובעים מהגידול בשימוש בענן. המשאבים של צוותי האבטחה לא גדלו, אבל האיומים ממשיכים לצמוח – ובעקביות".

"אני עובד במרתף ביתי כבר 13 שנים, והקורונה גרמה לארגונים לאמץ במהירות את העבודה מרחוק כ-'נורמלי החדש'. אולם, מערכי האבטחה לא גדלו בהתאם. הקורונה ובעקבותיה העבודה מרחוק, לצד צמיחת הענן, יצרו אתגר עצום: איך מגדילים את הנראות? בכמה ובאילו שירותי ענן משתמש הארגון? היכן ממוקם המידע? והאם הוא מאובטח? על אלה נוספו הסיכונים מעולם הטכנולוגיה התפעולית (OT). חוויתי שינויים רבים בעולמות אבטחת המידע והגנת הסייבר, אך מעולם לא ראיתי כזה שינוי מואץ כמו זה שקרה מאז 2020".

"כשהתחלתי את דרכי בענף", ציין, "מניעי התוקפים היו פרסום או שיבוש. המניע הכספי לא עמד על הפרק. אלא שהקישוריות הגלובלית הביאה להעצמת האיומים, בין השאר עם תופעות הכופרה כשירות והפריצה כשירות. בדרך זו הרעים מבדלים את עצמם מהפשע, כי הם לא קשורים אליו במישרין. זה גם מוריד את רף הכניסה לתחום הפשע הדיגיטלי – כבר לא צריך להיות האקר מומחה ומיומן, אלא רק לדעת לרכוש שירותים של רעים. גם הכופרות, שאני לא מזלזל בהן, הן ממש לא דבר חדש. הכופרה הראשונה אי פעם הופיעה ב-1989, סוס טרויאני ושמו איידס, כשם המחלה, שהפעיל ד"ר ג'וזף פופ. קונפיקר היא תולעת בת 14 שנים, ועדיין פעילה".

איך מנהלי האבטחה יכולים לבחון את מידת הפגיעות של הארגון שלהם?
פרגוסון: "הם יכולים לעשות זאת בבחינה של כמה מדדים: מהם האיומים הרלוונטיים? מיהם שחקני האיום ומה המניע שלהם? מהם הנכסים הנדרשים להגנה? ומהן טכנולוגיות ההגנה שברשות הארגון? רק כך ניתן לערוך ניהול סיכונים מושכל ויעיל, כשמעל הכול מרחפת הנראות. היא הבסיס".

נוהגים לחלק את הרעים להאקרים שלוחי מדינה ולפושעים שפועלים ממניע כספי. האם יש חפיפה ביניהם?
"יש חפיפה רבה ביניהם. ככלל, רוסיה, סין וצפון קוריאה 'עושות את העבודה' בסייבר – הן בהיבט הפשיעה הביטחונית-מדינתית והן בהיבט הפשיעה הכלכלית".

האם שיתוף מידע אודות איומים יפתור את הבעיה?
"זה דבר נפלא, אבל לוקה בחסר. ראינו זאת פעמים רבות. אני עובד במו"פ איומים במשך שנים, ותמיד עורך שיתופי מידע ושיתופי פעולה. המתחרים שלנו הם הרעים ורק הרעים – ולא ספקיות האבטחה האחרות".

למה עזבת את טרנד מיקרו ועברת לפורסקאוט?
"הייתי בטרנד מיקרו שנים רבות. זו חברה טובה ולא עזבתי אותה בזעם. רציתי עוד אתגרים. הסיבה היחידה שעברתי לפורסקאוט היא בשל חשיבות הנראות. זו החברה הראשונה שהפכה את מודל האבטחה המסורתי על פיו: היא לקחה פלטפורמה שמספקת תמונת מצב מלאה על המתרחש ברשת הארגון ובנתה עליה את מוצר אבטחת הסייבר, במקום להתחיל עם מוצר האבטחה ורק אז לנסות לפתור את בעיית הנראות. עם היכולות שלה בסייבר, של הערכת הסיכונים וזיהוי האיומים, פורסקאוט מסייעת לארגונים לקחת את גורלם בידיהם ולהתגונן מפני איומי סייבר – ולעשות זאת באופן יזום".

מה צופן העתיד?
"בתוך עולם הסחיטות, התופעה שתצמח ובהרבה היא הפצת המידע הגנוב, ללא הצפנה. הרעים הפנימו שהשוט של האיום בהדלפת המידע הוא הכוח שלהם. הגיבוי לא יסייע למידע החסוי, אם הוא פורסם".