ישראלים לא פראיירים – אז למה הם ממתינים לתקיפת סייבר לפני שרוכשים מערכת הגנה?
מנהלים רבים מודעים לעובדה שיש פושעי רשת והאקרים ושהנזק לעסקיהם עלול להיות כבד, אבל כל עוד לא נפגעו – הסכנה אינה נראית להם ברורה ומיידית ● על רקע העלייה במתקפות "פישינג" (דיוג) - איך להנחיל תרבות ארגונית של מודעות לסיכוני סייבר?
לא פעם שמענו את המשפט – "הישראלים לא פראיירים". זה אולי נכון, אבל כשמדובר באבטחת סייבר אנחנו שאננים לא פחות ממשתמשי אינטרנט ברחבי העולם. כמו במדינות אחרות, גם בישראל ארגונים רבים מותקפים על ידי פושעי רשת ולעתים סובלים נזקים כספיים כבדים ופגיעה במוניטין – אבל רק אחרי ההתקפה משפרים את מערכות אבטחת המידע, בדרך כלל בעלות נמוכה יותר מהכסף שהרגע איבדו.
עסקים פועלים כדי לצמוח – להוציא כמה שפחות ולהרוויח כמה שיותר. מנהלים מנסים באופן קבוע לאתר את ההוצאות הפחות הכרחיות לעסק, וניכר כי רבים מקילים ראש דווקא בתחום אבטחת המידע. הם יודעים שיש פושעי רשת והאקרים ושהנזק עלול להיות כבד, אבל כל עוד לא נפגעו – הסכנה אינה נראית להם ברורה ומיידית. ייתכן שהיו חושבים אחרת אם היו יודעים שעלות האבטחה ברבעון הזה תהיה נמוכה לאין שיעור מהנזק שהם עלולים לספוג אם יותקפו מחר.
שיטות התקיפה רבות ומגוונות, אבל בדרך כלל יש בהן תפקיד מרכזי למרכיב האנושי. התקפות פישינג, למשל, דיוג בעברית, הפכו בשנים האחרונות לשיטה הפופולאריות ביותר של פושעי רשת לקבל את מבוקשם – גישה למאגרי מידע, העברת כספים או חדירה לחברות רגישות (כדי למכור את היכולת הזאת לפושעים אחרים). התקשורת מדווחת באופן קבוע על ארגונים שנופלים בפח נוכח התקפות כאלה, שמתחילות בהודעת דוא"ל שנראית תמימה אך מסתירה מאחוריה ניצול מתוחכם של חולשות אנושיות.
אותה הודעת דוא"ל תמימה שמפילה אותנו בפח יכולה להגיע ממקור שנראה לנו אמין לגמרי – הודעת דוא"ל ממחלקת כוח אדם שמבקשת מילוי טופס כלשהו, למשל. העובד מתבקש ללחוץ על קישור שמוביל לעמוד שעוצב באופן בסיסי מאוד – בדיוק כמו טופס שנבנה רק לצרכים פנימיים. הוא מתבקש להתחבר למערכת עם כתובת הדוא"ל שלו, שם המשתמש והסיסמה כדי לוודא את זהותו. מרגע שהוא מקיש "התחבר" – הפרטים הללו כבר דלפו לידי הפושעים.
השיטה תעבוד מצוין גם עם הודעה ממחלקת הרכב או הודעה הנחזית להודעה ממערכת הדוא"ל או שירות גנרי כלשהו – מיקרוסופט, גוגל וכד'. למשל, הודעה שאומרת "תיבת הדוא"ל שלך מלאה – אנא מלא את הפרטים כדי לקבל עוד מקום אחסון". הן יעבדו כמובן גם עם הודעות מזויפות שמזמינות לצפות בתמונות נועזות או בסיפורים סנסציוניים, הבטחה לקוד לצפייה בפרקים חדשים של סדרה פופולארית שטרם שודרו, הגרלות, הנחות, פרסים ושאר מלכודות.
דו"ח "הכלכלה של אבטחת מידע ארגונית לשנת 2019" של חברת קספרסקי מלמד, שמחצית מהעסקים הקטנים והבינוניים הותקפו על ידי תוכנה זדונית כתוצאה משימוש לא נכון במשאבי החברה – הגדרות לא נכונות או טעויות של עובדים. המשמעות היא, שעסקים יכולים לצמצם באופן ניכר את דליפות המידע שלהם ולהגביר את אבטחת המידע על ידי הדרכה של העובדים והגברת המודעות לסיכוני הסייבר. על פי הדו"ח, התקפות ממוקדות על עסק קטן-בינוני עלו בממוצע 138 אלף דולר.
ייתכן, אגב, שהעובד או החברה שהותקפו כלל אינם ה"פרס" שהפושעים מחפשים. הם חדרו לספק רק כדי להגיע דרכו לתאגיד שמצוי איתו בקשר. היכולת להתחזות לעובד של הספק תאפשר להם לפנות לעובד של התאגיד בדרך אמינה, להפיל גם אותו בפח – ולחדור לרשת הארגונית של התאגיד.
ברבעון הראשון והשני של השנה מערכות אנטי-פישינג של חברת קספרסקי מנעו 111 ו-129 מיליון (בהתאמה) ניסיונות להוביל משתמשים לעמודים מזויפים. ארגונים פיננסיים כמו בנקים, ספקי אשראי, חברות ביטוח וכ"ד הם עדיין היעדים הפופולריים ביותר על פושעים. מנתוני קספרסקי עולה גם, שמספר המשתמשים שהיו יעד לניסיון חדירה של סוג כלשהו של תוכנת מעקב או ריגול (stalkware) עמד על 37 אלף בשמונת החודשים הראשונים של 2019 – עלייה של 35% ביחס לתקופה המקבילה אשתקד, וחוקרי החברה איתרו ברשת 380 גירסאות של כלי ריגול שונים.
כאשר בוחרים להשקיע במניה בבורסה, לרוב התשואות אינן מגיעות מיד. צריך לקרוא היטב את התחזיות, לתת אמון בשווי המניה, לדעת להתנהל בחוכמה – ולהמתין; כך גם עם אבטחת מידע. השקעה בשירותי אבטחה טובים, קביעת כללי עשה ואל-תעשה ברורים, ובעיקר הנחלת תרבות ארגונית של מודעות לסיכוני סייבר לא בהכרח יחזירו את ההשקעה מיד. אבל ביום שבו תגיע הודעת דוא"ל מזויפת והעובד יחשוד בה, או ביום שהחברה תותקף על ידי תוכנת כופר, והמערכת תעצור את כדור השלג המתגלגל – הנזק שייחסך יהיה גדול לאין שיעור מההשקעה הראשונית. כשהסטטיסטיקה כה גבוהה, התפיסה של "אצלי זה לא יקרה" כבר מזמן לא נכונה.
הכותב הוא מנכ"ל חברת קקדו-טק, שותפות אזורית של קספרסקי ישראל.
תגובות
(0)