משוואת הסכנה החדשה: מוטיבים – אמצעים – הזדמנות

אחת ההגדרות הפשוטות ביותר לסיכון שמצאתי במהלך הקריירה שלי מבוטאת בצורת משוואה, עם -, הפעולות והתוצאות שלה. המשוואה הזו אומרת (או אמרה) שכדי שסיכון יתקיים חייב להיות איום המשתמש בפגיעות, עם הסתברות שזה יקרה, ושחייבת להיות השפעה. קרי, איום – פגיעות – הסתברות – השפעה.

חייב להיות מישהו, או משהו, שרוצה להזיק לנו, במערכות שלנו חייב להיות חור (ככל שהחשיפה ו/או החורים גדולים יותר, כך ההסתברות גדולה יותר), וכמובן, חייבים להיות לכך השפעה, נזק או אובדן – אחרת אנחנו יכולים לדבר על סיכון שיורי או אפילו סיכון קיים בלי תוצאות של ממש.

אם לוקחים בחשבון את המשוואה הקודמת, כשהמטרה היא למזער עד לאפס את הסיכון, אנחנו יכולים לעבוד למעשה רק על שלושה מבין ארבעת המשתנים שמרכיבים אותה. אנחנו יכולים להקטין את משתנה החשיפה על יד הקטנת מספר הפגיעויות הקיימות, וזאת על ידי סגירת החורים הללו. אם נעשה זאת, באופן טבעי נקטין את ההסתברות להתרחשות מתקפה ובמקביל נפעל בממד מזעור הסיכון. ההגנה על הנכסים שלנו באמצעות אמצעי הנגד המתאימים – כשאנחנו יודעים כל הזמן מה הערך של מה שאנחנו רוצים להגין עליו – גם תעזור לנו להקטין את ההשפעה. נהדר. עם זאת, אנחנו לא יכולים להימנע מגורמים שרוצים להפיץ רשע, שרוצים לגנוב מידע תאגידי ו/או פשוט רוצים לגרום למצבים שמשבשים את קיומה של הישות. אנחנו לא יכולים להתחמק מכך שיש גורמים זדוניים. מכיוון שכך, עלינו להבין כי גורם האיום של האלמנט החיצוני – שבדרך כלל רוצה לפגוע במוניטין או במצבו הכלכלי-פיננסי של ארגון – תמיד יהיה קיים, ואנחנו לא יכולים לעשות שום דבר נגד זה.

בהתחשב בכך שאין לנו שליטה על משוואת הסיכון, עולה במוחי "משוואה" אחרת שיכולה לספק הסבר לקיום האיומים הללו ולכך שהחברה שבה אנחנו חיים חווה עלייה מדהימה בחלק מהם – 1,500%, ולא, זו לא שגיאת הקלדה. אחת הדוגמאות לכך היא גניבת טופס (Formjacking), אבל יש עוד סוגים רבים של מתקפות חדשניות. המשוואה החדשה בנויה סביב מוטיבים – אמצעים – הזדמנות.

דמוקרטיזציה של פיגועי הסייבר

תוקף דיגיטלי, בדיוק כמו בעולם הפיזי, זקוק לסיבה כדי לגרום פגיעה, מטרה עילאית שמקנה לו "אישור" לבצע את הפעולה. אפשר לציין בהקשר זה שתי סיבות עקרוניות: כסף ושיבוש חברתי או פוליטי. אלה הן הסיבות העיקריות שמניעות פושעי רשת לבצע את מעשיהם. עם זאת, אם האמצעים המתאימים אינם זמינים, הרצון לבצע את המתקפה יישאר בשלב התכנון בלבד. לרוע המזל, עומדים לרשותם אמצעים מתקדמים ביותר עם עלויות שהקטינו באופן דרמטי את ה-ARPA (הכנסה ממוצעת להתקפה), ואפשר אפילו להבחין בתופעה שבה קבוצות גדולות של תוקפים "משאילות" את הכלים הללו לקבוצות קטנות יותר בתמורה לחלק מהרווחים. הגענו למצב שבו אנחנו רואים דמוקרטיזציה של הפיגועים. אנחנו עדים למימוש של מושג שנלמד בשנה הראשונה במדעי העסקים והכלכלה: קרטל – ארגון שחותם על הסכמים עם החברות הפחות טובות בתחום ומחסל את התחרות עם החברות הטובות.

בסופו של דבר, עם גישת הסיכונים החדשה הזו, התוקפים זקוקים לחלון הזדמנויות ששורשיו נמצאים במשוואת הסיכון "הישנה" בדמות משתנה החשיפה, הנראות של החברה וניהול הפגיעויות. האינטרנט מאפשר לתוקפים להיות בלתי נראים, ואם יש נראות, מערכת המשפט הבינלאומית לא תמיד מקלה על העמדת הפושעים לדין. מכיוון שכך, היבט ההזדמנות רלוונטי כמו שני המשתנים האחרים.

אם אנחנו מוסיפים טקטיקות, טכניקות ונהלים (TTP) מתוחכמים לתערובת הזו, שלפעמים אפילו משתמשים במנגנונים שמיועדים להגנה בפניהם (ואל נשכח שהסיבה העיקרית למתקפות כופרה היא הצפנת המידע), אנחנו עומדים בפני מצב של חולשה בהתמודדות עם התוקפים ומזימותיהם.

הצד הוורוד של המטבע

אני לא רוצה לסיים מבלי להתייחס לנקודת מבט חיובית: אותם מוטיבים – אמצעים – הזדמנות זמינים גם לטובת אלה שרוצים להגן ולשמור. החברות יודעות מהן הסיבות לשמור על המידע – ולא רק בגלל החוק: גם ההיגיון צריך להיות כלי מפתח. יש להן את האמצעים לעשות זאת – ערפול לגבי השימוש בענן, תאי בידוד, ניווט בטוח, הצפנת תקשורת וכדומה – ומעל לכל, יש להן את ההזדמנות. אף פעם לא היו יותר מידע או טכנולוגיה לביצוע השמירה וההגנה באופן יעיל כמו בימינו. אף פעם לא עמד לרשות החברות יותר מודיעין איומי, שנלכד באמצעות מיליוני נקודות מידע בנקודות הקצה, ברשת, במצבורי האחסון, בשערים ובהתקנים הניידים.

מכיוון שכך, יש הגדרה "חדשה" לסיכון עם משתנים אחרים שצריך להתייחס אליהם: מוטיבים – אמצעים – הזדמנות. עבור החבר'ה הרעים, אבל גם בהישג ידינו, אלה שצריכים להגן. אנחנו, הטובים.

הכותב הינו מנהל אבטחה, סיכון ומשילות גלובלי במיקרו פוקוס, בעל הסמכות CISM, CGEIT, CISSP, SCPM, CCSK, ITIL, COBIT ו-Six Sigma Black Belt.