משקיעים מיליונים בהגנת סייבר? יש פתרון הרבה יותר פשוט וזול
איתי כהן מחדרה הוא איש פיתוח תוכנה העובד בחברת פינטק. ב-2021 הוא קיבל פנייה, יחסית שגרתית, בלינקדאין, ממתאמת משאבי אנוש בחברת היי-טק אחרת, המציעה תנאים משודרגים ומבקשת לגייס אותו לשורותיה. לאחר מספר התכתבויות ותשאולים הוא מקבל הזמנה למבחן, אשר במסגרתו יוערכו כישורי התכנות שלו ולפיו ייקבע האם הוא מתאים למשרה. התנאי לביצוע המבחן הוא שימוש במחשב 'חזק', כזה שיאפשר תנאים מיטביים ולא יכשיל אותו כמועמד, ועל כן, איתי השתכנע לבצע את המבחן על מחשבי החברה בה הוא עובד. מכאן הוא בעצם פתח את הדלת לתוקפים, אשר התחזו לחברה המגייסת, מערכות ההגנה הושבתו, החברה נפרצה, הפעילות הושבתה, המידע נגנב ונזק אדיר נגרם.
אז אמנם איתי הוא שם בדוי, אבל הסיפור אמיתי לגמרי ואכן התרחש ב-2021 והוא ממחיש את רמת התחכום ההולכת וגוברת של מתקפות סייבר, בדגש על פישינג, המנצלות את החולשה של הגורם האנושי ומפילות בפח גם את המשתמשים המנוסים ביותר.
מתקפות פישינג (דיוג בעברית) הן מסוג המתקפות היותר נפוצות ומוכרות על ידי הציבור הרחב ורובנו כבר יודעים להיזהר מההודעות המזויפות על חיוב חשבון החשמל הכפול, החבילה שמחכה לנו בדואר או פרטי החשבון שנתבקשנו לעדכן…
אבל בעיה פחות מוכרת והרבה יותר מסוכנת היא מתקפות פישינג מתוחכמות שמפעילים האקרים על ארגונים, במטרה לייצר רווח פיננסי או בשל מוטיבציות אחרות כמו ריגול תעשייתי ומניעים אידיאולוגיים. מתקפות פישינג מתוחכמות הינן מתקפות מאורגנות ומכוונות, בהן התוקפים עושים שימוש במידע אישי, ייחודי, על מנת לייצר תחושה של ביטחון אצל הנמען ובכך לגרום לו לבצע פעולות אשר יסייעו לתוקפים להשיג את מבוקשם.
למרות העובדה שמתקפות פישינג מתחכמות הופכות להיות יותר ויותר נפוצות, רוב הארגונים עדיין נוקטים בשיטות מאוד מצומצמות ומיושנות, אם בכלל, לחינוך המשתמשים שלהם ורמת המודעות של מרבית העובדים במשק לאיומי סייבר ולדרכים בהן ניתן להימנע מהם, פשוט לא גבוהה מספיק. לראייה, בתרגיל שקיים השנה מערך הסייבר הלאומי בקרב כעשרים ארגונים, לרגל שבוע הגנת הסייבר, קרוב ל-40% מהמשתתפים – בהם שוטרים, חיילי וקציני צה"ל ועובדים בחברות גדולות במשק – לחצו על קישור מתחזה. ארבעה מכל עשרה(!).
Cofense – הפלטפורמה המובילה בעולם להגברת מודעות עובדים לסייבר
"כשהחלטנו להתמודד עם הבעיה ולספק מענה ללקוחות שלנו בתחום, גילינו שקיימים מגוון כלים טכנולוגיים המציעים לארגונים היום דרכים לרכוש מיומנות באמצעות תרגול העובדים למודעות בתחום הסייבר בכלל ולהתמודדות עם איומי פישינג בפרט", סיפר נתי לרר, סמנכ"ל השירותים המקצועיים ב-Wake-up Cyber, המספקת שירותי ייעוץ וניהול פרויקט בתחום הסייבר ואבטחת המידע ומי שמייצגת את חברת Cofense בישראל.
"הבעיה הראשונה בחינוך למודעות ארגונית לסייבר בקרב העובדים היא מי יפתח ויוציא לפועל את התוכנית. הרי את הילדים שלנו אנחנו לא שולחים לבית ספר עם לומדות ומצפים שהם יסתדרו לבד נכון?" המשיך לרר. "לכן קיבלנו החלטה שלצד ההסתמכות על אמצעים טכנולוגיים נדרש גורם מקצועי ומנוסה, אשר יבצע את ההדרכות והשיחות האישיות, ימפה את האיומים המרכזיים ותהליכי הליבה, יפלח את סוגי האוכלוסייה בארגון, יחליט על אופי הקמפיין, דרכי הפצתו והמסרים העיקריים, והכי חשוב – יבקר ויפקח על ההתקדמות לאורך כל השנה".
אליפז טנצמן, סמנכ"ל הפיתוח העסקי ב-Wake-up Cyber, ומומחה אבטחת סייבר בפני עצמו, הוסיף: הבעיה השנייה היא שרוב הכלים הטכנולוגיים מציעים מענה לבעיה נקודתית, אם זה סימולציות פישינג או לומדות בנפרד, ללא פתרון טכנולוגי משולב וב-Cofense מצאנו בדיוק את זה: עם LMS – מערכת להפצת תכנים לימודיים מצד אחד, המופעלת בתיאום עם מערכת להפעלת סימולציות פישינג לצורך זיהוי ואימון משתמשים 'חלשים' מצד שני, ובשילוב פונקציונליות מתקדמת לדוגמת, בין השאר, כפתור דיווח על מיילים חשודים. וכמובן, מערכת שתרכז את כל המידע ולמעשה תאפשר ויזביליות וניהול של כל כל האירוע הזה מקצה לקצה".
Cofense היא חברה אמריקנית הנחשבת לחלוצת תחום ה-Cyber Awareness והפלטפורמה שהיא מספקת מוגדרת על ידי גרטנר כמובילת שוק. יש לה למעלה מ-30 מיליון משתמשים ברחבי העולם, המדווחים לה יום יום על מתקפות פישינג שונות ורוב חברות ה-Fortune 500, בין השאר, מיקרוסופט, פייסבוק ואמריקן איירליינס הן לקוחות שלה.
לרר: "האתגר הגדול מבחינתנו היה לייצר שירות שנשען על פלטפורמה טכנולוגית, שיספק ערך מוסף גדול מספיק לארגונים כדי לעשות שינוי מהפתרונות הקיימים שלהם, ויחד עם זאת יהיה במחיר תחרותי שמתאים לשוק הישראלי. היה לנו קצת מזל מבחינת התזמון, כי Cofense בדיוק רכשה חברה ישראלית בשם Cyberfish והכוכבים הסתדרו…"
כיום, Wake-up מספקת לארגונים חליפה מלאה, מצד אחד את הפתרון הטכנולוגי המתקדם בשוק, מצד שני CISO מוסמך שמנהל את האופרציה, כותב את תוכנית העבודה ומציג להנהלה את הממצאים וגם פועל במרחב הפיזי, במסגרת מבדקים טלפוניים וביקור באתרים.
מה הלאה? מלבד תחום מודעות העובדים, Wake-up ממשיכה לפעול במטרה לפתח ולהרחיב את שירותי הסייבר שהיא מספקת ללקוחותיה, החל מניהול רוחבי של כל מערך הסייבר בארגון (CISO as a Service) וכלה בהתמחויות קטגוריאליות המשלימות את פעילות ה-CISO, לדוגמת: ניהול סיכוני שרשרת אספקה והתעדת ספקים, תכנון ויישום תוכנית המשכיות עסקית, עמידה בתקינה ורגולציה (GRC), סייבר התקפי (PT, Red & Purple Team) סקרי סיכונים, הגנה בענן ועוד.