נזקי סייבר יכולים לעלות גם בחיי אדם; האם אנחנו ערוכים?

בכיר במערך הסייבר התריע שמגזר הבריאות לא מוכן מספיק למתקפות, שחלקן עלולות לסכן חיים ● זה לא פלא, בהתחשב בכך שאין למערך הסייבר סמכויות פיקוח ● לתשומת לב נתניהו, לפיד ושאר המבקשים את קולותינו בבחירות

"כל ארגון חייב לראות את עצמו כיעד אפשרי למתקפת סייבר, והוא נדרש לאבטח את נכסיו בהתאם"- נדיר יזראל, ארמיס.

השבוע פורסם מחקר של יבמ שעסק בנזקים שמתקפות סייבר גורמות לארגונים ובעלויות שנגרמות להם עקב הצורך לתקן אותם. על פי המחקר, העלות הממוצעת של תיקון נזקי מתקפת סייבר לארגון עמדה בשנה שעברה על 4.35 מיליון דולר – זינוק של 13% לעומת הנתון ב-2020.

בדרך כלל, כאשר עוסקים בנזק לארגון כתוצאה ממתקפת סייבר, מכל סוג שהוא, מדברים על הנזק הישיר, בדמות שיבוש המערכות, ולא לוקחים בחשבון את הנזקים העקיפים שנגרמים – החל מפגיעה במוניטין ועד, בארגונים מסוימים ובמקרים מסוימים, לשיבוש חיים ואפילו לסכנת חיים. וזה חבל, ואפילו מסוכן, כי זה משאיר את האפשרות לפגיעות אלה על כנן.

ואמנם, נתון מעניין אחר בסקר מראה שהאימוץ של ארגונים בארצות הברית את אסטרטגיית אפס האמון (Zero trust) עודנו נמוך מאוד – על אף צו נשיאותי שהוציא הנשיא, ג'ו ביידן, ומורה על אימוצה.

האמריקנים לא לבד

אלא שהאמריקנים לא לבד בסיפור הזה, והתופעות האלה קיימות גם פה, בישראל. זה מעלה את השאלה: האם, למרות המאמצים למניעת מתקפות סייבר, אנחנו באמת מוגנים מפניהן?

אליאב נורי, ראש מחלקת הכוונת המשק במערך הסייבר הלאומי.

אליאב נורי, ראש מחלקת הכוונת המשק במערך הסייבר הלאומי. צילום: ניב קנטור

הנושא הזה עלה באחרונה בהקשר של אחת המערכות הקריטיות לחיינו, זאת שמצילה חיים – מערכת הבריאות. אליאב נורי, ראש מחלקת הכוונת המשק במערך הסייבר הלאומי, אמר בכנס שאירחה מיקרוסופט, שבו השתתפו מנהלי אבטחת מידע ומנמ"רים ממגזר הבריאות, שארגונים מהמגזר הקריטי הזה חשופים למתקפות סייבר בהיקף נרחב ביותר. הוא קרא להם להגביר ערנות, תוך שהזכיר את המתקפה המפורסמת על בית החולים הלל יפה, שממחישה היטב את דבריו ואת המחקר של יבמ. המתקפה ההיא שיבשה את מערכות המידע של בית החולים ובכך שיבשה את כלל פעילותו, אילצה את הרופאים והאחיות לעבור לעבודה בניירות במקום במחשב ובעצם פגעה בטיפול שלהם.

חשיבותו של הגיבוי

המתקפה על הלל יפה, כמו מתקפות אחרות שאירעו בשנים האחרונות בישראל – דוגמת זו שממנה סבלה חברת אירוח האתרים סייברסרב, שאירחה את אפליקציית ההיכרויות הגאה אטרף, המחישו עד כמה חשוב לעשות גיבוי למערכות המידע הארגוניות. כדי שימשיך לתפקד, הארגון – כל ארגון – צריך להיות מוכן להתאוששות מהירה של המערכות. זה יכול לקרות רק אם הארגון עשה את הפעולות הנדרשות כדי להיות מוכן ליום פקודה: הטמעת מערכות גיבוי ושחזור, ומערכות שיודעות להחזיר את המידע שנתפס על ידי האקרים והוצפן – מהזמן המדויק שבו הם חדרו אליו. קיימות מערכות כאלה – הן של חברות זרות והן של סטארט-אפים ישראליים.

במתקפה על הלל יפה זה לא קרה. העובדה שלבית החולים לקח חודש וחצי לחזור לפעילות מעידה שלא נעשו כל הפעולות שניתן לעשות כדי למנוע השבתה מוחלטת של השירותים. ניתן היה לקצר את זמן החזרה לשגרה אם בבית החולים היו נוקטים בצעדים הנכונים.

מכאן המסקנה שאפס האמון של הארגונים באסטרטגיית ה-Zero trust דומה – בישראל כמו בארצות הברית. אלא שבארץ, התמונה קצת יותר מורכבת ומסוכנת, בהתחשב בשכונה שבה אנחנו חיים והאיומים מהגורמים העוינים שמקיפים אותנו, ובמיוחד מאיראן.

כל עוד זה לא יעבור לפסים של סמכויות, וכל עוד האמון בהמלצות של גורמי המקצוע יישאר נמוך, ההתקפות על הלל יפה וסייברסרב עלולות להיות רק הפרומו למה שצפוי לקרות כאן בשנים הקרובות

כאן חוזרת העובדה שהארגון שאמון על הסיוע לארגונים להגן על עצמם – מערך הסייבר – הוא רק גוף יועץ, ואין לו סמכויות אכיפה. זה נכון בכל מקרה, אבל נכון שבעתיים במקרים שבהם אינטרסים לאומיים נמצאים בסכנה או שיש סיכון לחיי אדם, כמו במתקפות על מגזר הבריאות. יתרה מזאת, חוק הסייבר, שבין היתר אמור להגדיר את סמכויות המערך, תקוע עוד מ-2018 בוועדות השונות של הכנסת, כאשר אחת הסיבות המרכזיות לכך היא הסחרור הפוליטי שבו אנחנו נמצאים בשנים האחרונות. יש לקוות שלאחר הבחירות תקום ממשלה יציבה, שתציב את נושא הסייבר בסדר עדיפות עליון, תקדם את החוק ותסדיר את סמכויות מערך הסייבר, כולל סמכויות אכיפה.

השורה התחתונה: הסייבר הפך להיות פקטור משמעותי בהתנהלות של ארגונים. אבל כל עוד זה לא יעבור לפסים של סמכויות, וכל עוד האמון בהמלצות של גורמי המקצוע יישאר נמוך, ההתקפות על הלל יפה וסייברסרב עלולות להיות רק הפרומו למה שצפוי לקרות כאן בשנים הקרובות.

 

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים