2016 – שנת הכופר
במהלך השנה האחרונה נרשמה עלייה חדה במתקפות הכופר, כאשר בכל 40 שניות מתבצעת מתקפה שכזו ● איך ארגונים יכולים להתגונן? ומה תפקידה של המדינה?
מתקפות הכופר (Ransomware) נתנו את הטון ויצרו באזזז תקשורתי רחב מאוד ב-2016. בשנה האחרונה נרשמה עלייה חדה במספרן של מתקפות הכופר, ורבים נפגעו או לפחות מכירים מישהו שהצפינו לו את הקבצים וביקשו כסף עבור התרתם.
על פי דו"ח של מעבדות קספרסקי (Kaspersky), מתקפות הכופר היו האיום המרכזי של השנה החולפת, כאשר בכל 40 שניות בממוצע התרחשה אחת כזו. אמנם, נראה שבישראל מודעים יותר למפגעים מסוג זה, אבל מדובר בתופעה גלובלית: אחד מחמישה עסקים ברחבי העולם סבל השנה מאירוע אבטחת IT כתוצאת ממתקפת כופר. אין כיום עסק שיכול להניח שהוא מוגן בצורה מלאה ממתקפות מסוג זה. כל ארגון עלול להיפגע.
כיצד מתבצעת מתקפת כופר?
במהלך התקיפה, הפושע, או בשמו האחר פוגען הכופר, מנטרל חלקים מפעילות הארגון עד לכדי השבתה מלאה, מאחר שהמתקפה מונעת ממנו מלהשתמש בקבציו. על מנת שהארגון יוכל לחזור לפעילות, הוא נאלץ לשלם סכום כסף מסוים אותו דורש התוקף.
במקרה של מתקפה, לארגון יש שלוש אפשרויות: לנסות ולפצח את ההצפנה, לבד או בעזרת מומחים, מה שלרוב לא מצליח; לשלם את הכופר אותו דורש ההאקר, עם תפילה שמדובר בהאקר הוגן, שאכן יתיר את ההצפנה; או, מה שלרוב קורה – להעלות נתונים מהגיבוי, במקרה שקיים כזה.
ארגונים רבים שחוו מתקפות כאלה השתמשו בגיבוי, אבל ישנם מקרים שבהם איכות הגיבוי או מידת עדכניותו נמוכה ולכן נאלץ הארגון לשלם את הכופר אותו דורש ההאקר. בכל מקרה ובכל דרך שיבחר הארגון להתמודד עם הבעיה, נדרשות בדיקות פנימיות – הן לצורך ניתוח והבנה של דרך החדירה של המתקפה והטיפול בה, והן בכדי לוודא שאין בארגון כלי תקיפה זהה או דומה "רדום", מה שיאפשר להאקר לפעול ולפגוע שוב.
מה הפתרון?
למרות תמונת המצב הקשה וההיקף העולמי של הבעיה, המצב לא אבוד. עסקים יכולים לבצע מספר פעולות שיכינו אותם ליום שבו ינסו להתקיף אותם.
הדבר הראשון שניתן לעשות הוא הגברת המודעות של עובדי הארגון למתקפות הכופר. רוב המתקפות מגיעות לארגון דרך מייל זדוני, שנראה כתמים ומפתה. דרך נוספת לחדור לארגון היא בעזרת התקנים חיצוניים שמחוברים למחשבים שלו – הן במשרדים והן במחשבים ניידים.
אחת הבעיות היותר גדולות היא שהעדר המודעות מונעת לרוב הן גילוי בשלבים הראשונים של המתקפה והן ביצוע פעולות נכונות, שיכולות להקטין את השפעתה. התוצאה היא לרוב שאנשי מערכות המידע לא ידעו שהחדירה קרתה עד שיהיה כבר מאוחר מדי. הגברת מודעות וחינוך לפעולה נכונה של העובדים מקטינים באופן משמעותי את הסיכון מפני מפגעים.
יחד עם זאת, טעויות קורות, ויכולות המניפולציה והתחכום של התוקפים הולכות ומשתכללות. אין מנוס משילובן של מערכות לסינון ובחינה של קבצים המגיעים לארגון הן במייל והן בדרכים אחרות, כמו גם מערכות בקרה וכוח אדם זמין ומקצועי לזיהוי מיידי של פגיעה. סריקה ובקרה של מידע שנכנס במכלול המסלולים, כמו גם אמצעי זיהוי התנהגות חריגה בתחנות העבודה ובשרתים, יקטינו משמעותית את הסיכוי לפגיעה.
גיבוי, גיבוי, גיבוי…
היה ונפגעתם, קיימת חשיבות גבוהה לגיבוי איכותי, מקיף ואמין המתבצע בתדירות גבוהה, כך שיהיה ניתן לשחזר את המידע בצורה הטובה ביותר ולאבד כמה שפחות מידע בין זמן הגיבוי לזמן הפגיעה.
נושא הגיבוי נמצא בפתחם של ארגונים רבים מזה שנים רבות, אולם עד כה ארגונים לא מעטים נמנעו מהשקעות בגיבוי, בעקבות חישובי הסתברות שונים של תרחישי אסון. מאחר שבשנה האחרונה עלו משמעותית מספר מתקפות הכופר, כדאי ואף נחוץ שכל ארגון יחזיק פתרון גיבוי ברמה הגבוהה ביותר. מתקפות סייבר בכלל וכופר בפרט משנות את הפרדיגמה של ההסתברות לנזק והשבתה של מערכות המידע בארגון, ומעלות את הנחיצות ביישומם של תהליכי גיבוי.
לא רק הארגונים יכולים לעזור לעצמם במלחמה נגד ההאקרים ומתקפות הסייבר. המדינה צריכה לעודד עסקים להגן על עצמם. קיימים לא מעט עסקים קטנים או בינוניים שעובדים עם גופי ממשל ומוסדות שונים, כשהממשק אל מול גורמי מדינה הוא חלק מעבודתם השוטפת. המדינה צריכה לייצר תקן שיחייב עסקים בדרישות מינימום של אבטחת מידע וגיבוי, בדיוק כפי שעסקים נדרשים להוציא רישיון עסק ולהתקין אזעקה ומערכות כיבוי אש על מנת לבטח ולאבטח את העסק. ניתן ואף אפשר להימנע ממתקפות הכופר. מה שצריך זה לפקוח עיניים ולשים לב לפעילות חריגה.
הכותב הינו מנכ"ל סקיורנט סולושנס מקבוצת אמן.
לסיכום השנה באבטחת מידע וסייבר לחצו כאן.
תגובות
(0)