אן מולינס, לוקהיד מרטין: "התעשייה מפגרת באימוץ הגנת סייבר"

"יש התעניינות גוברת והולכת בהגנת סייבר של מערכות בקרה תעשייתיות בקרב מגזרי האנרגיה, הנפט והגז, אבל התעשייה בכללותה פיגרה היסטורית ועדיין מפגרת באימוץ הגנת הסייבר לרשתות IT מסורתיות. תחומי תעשייה קריטיים אחרים, כמו בריאות, היי-טק ופיננסים, פועלים אף הם להגברת הגנת הסייבר שלהם. עם זאת, יש לארגונים עדיין כברת דרך ללכת", כך אמרה אן מולינס, סגנית נשיאה לפיתרונות גלובליים בלוקהיד מרטין (Lockheed Martin), בראיון בלעדי לאנשים ומחשבים.

לפני היותה סגנית נשיא, כיהנה מולינס כמנהלת אבטחת המידע של תאגיד הביטחון והתעופה האמריקני. לדבריה, "ההבדל בין סייבר ואבטחת מידע אינו רב, אלא שהוא התרחב. המטרה בשני המקרים היא זהה: לשתק ולפגוע בארגונים, במוסדות ובמערכות ממשל ותעשיה. מטרתנו, כמו של גורמים אחרים בשוק, היא לסייע לאותם ארגונים להגן על עצמם בצורה המיטבית. בכל מקרה, כפי שאמר אחד מעמיתיי בחברה, 'אנחנו מצויים בעסקי הסייבר זה זמן רב, הרבה לפני שמישהו השתמש בביטוי סייבר'".

"כאשר הייתי מנהלת האבטחה בארגון הבנו שעלינו ליצור תפיסת הגנה שונה", ציינה מולינס. "התפיסה כוללת לא רק הטמעת טכנולוגיות הגנה, אלא גם מתודולוגיה, חינוך למודעות מפני האיומים של עובדי הארגון ובניית מערך הגנה רב-שכבתי לסייבר. היא מקנה בנוסף משקל לאיומים הפנימיים. במובן זה, הסייבר שינה את ההתייחסות לתפיסת אבטחת המידע המסורתית, כי האיומים התרחבו ובעקבות כך, תפקידו של מנהל אבטחת המידע בארגון התרחב. ההנהלות של הלקוחות שלנו מקשיבות כיום יותר מבעבר לאיומי הסייבר ומוכנות יותר להשקיע משאבים בהתגוננות מפניהם. בנוסף, אנחנו רואים כיום, יותר מבעבר, מנהלי אבטחה שיושבים בהנהלה או מקורבים לה".

"פעם, אבטחת המידע הייתה אתגר ויעד של מנהל אבטחת המידע, ולכל היותר של מערך ה-IT הארגוני. כיום, הסייבר נתפס כאתגר תפעולי, שההשפעה שלו חוצה את כלל הארגון לרוחבו. קיימת הבנה שאיומי הסייבר גורמים נזק ומשפיעים על ההתנהלות של כלל פעילות הארגון – מהפיננסית, עבור בתשתיות הקריטיות וכלה בהגנה מפני אסון פיזי. לכן, המשמעות של הנושא כיום קריטית מבעבר", הוסיפה.

"יש להתייחס לארגון כאילו הוא כבר מותקף"

שינוי נוסף חל בתפיסת ההפעלה לקראת ותוך כדי מתקפה, אמרה מולינס. "היו זמנים בהם עמיתים ומנהלים שאלו אותי: 'כמה ימים תוכלי להגן על הארגון?' השבתי להם מספר. כיום הלך המחשבה הוא שונה ואני משיבה אחרת: 'יש להתייחס לארגון כאילו הוא כבר מותקף'. הדגש כיום הוא על Resilience , חוסן, יכולת עמידות ויכולת התאוששות מהירה. המשמעות היא שכאשר ארגון בונה את תפיסת אבטחת המידע וההגנה שלו מפני סייבר, עליו לקחת בחשבון ולתכנן כיצד הוא ממשיך לפעול תחת מתקפה, תוך מזעור נזקיה, איתורה המוקדם ככל האפשר והתאוששות מהירה. על ארגונים לקחת את המתקפה כדבר מובנה בתוך תוכנית המגננה וההיערכות שלהם".

"המלצתי למנהלי האבטחה בארגונים היא לחשוב על ההיערכות למתקפות סייבר ועל ההגנה כעל מסע ארוך, אינסופי במובנים רבים. מסע שכולל בתוכו הגנה מפני האיומים לצד היערכות להתגוננות מפני איומי הסייבר החדשים, שקשורים לתשתיות. יש הרבה איומים מתוחכמים, כגון מתקפות ממוקדות ומתמשכות (APT), וצריך להקדיש להן שימת לב מרובה".

מודיעין סייבר

היבט נוסף אותו ציינה מולינס הוא מודיעין סייבר. "הגנה לא בנויה רק מהטמעת כלים טכנולוגיים, אלא גם ממודיעין. צריך לדעת מי הם התוקפים, מה היכולות שלהם ומה יקרה בכל תרחיש לעובדי הארגון וליכולות שלו, איך העובדים יתפקדו כפרטים ואיך הארגון יתפקד בכללותו", אמרה.

היא הוסיפה כי "בניית המידע המודיעיני לא מתמקדת רק בנוזקות או בהיבטים הטכנולוגיים שלהן, אלא גם בהבנת האיום עצמו, במטרות התוקף, ביכולת ובדוקטרינה שלו, ובבניית דפוסי הפעילות הנדרשים מהארגון המותקף על מנת שייצר חוסן ויגלה שרידות".

"שרשרת ההרג לסייבר"

מולינס אמרה כי "צריך להגן באופן מקיף על רשתות התקשורת והמחשבים מפני איומים מתמשכים ומתקדמים. הגנת הרשתות באופן מבוסס מודיעין היא הכרח, לאור האיומים האלה".

היא ציינה כי לפני כמה שנים פיתחה לוקהיד מרטין תפיסה להגנת מערכי IT, ובתוכו הגתה את המינוח "שרשרת הרג לסייבר". "מדובר בהבנה שיש להגן על הרשתות באופן שונה מבעבר, להגן מפני איומים מתקדמים תוך אימוץ הגנת סייבר רב שכבתית. יש לנו מערך פתרונות מורכבים ורב שכבתיים לטובת הגנה על רשתות של ארגונים", אמרה. "ב-2011 פרסמנו את התפיסה של סיכול האיומים באמצעות שרשרת הרג לסייבר, שכוללת יכולות ניתוח, מדידה והגנה מפני איומים, כמו גם שיתוף במידע אודות האיומים".

מה נדרש לעשות כדי להביס את התוקפים המאיימים על רשתות התקשורת והמחשבים של הארגון? התשובה של מולינס היא "לעקוב אחריהם ולבחון מהם הצעדים הקריטיים שיריב מתוחכם חייב לערוך על מנת לבצע בהצלחה מתקפת סייבר. יש להעריך את מפת האיומים, לתעדף אותם ובהתאם ליישם דוקטרינת הגנה, בראש ובראשונה על המקומות הרגישים בארגון. בניית שרשרת הרג לסייבר באופן מובנה ומותאם אישית לכל ארגון עשויה להביס את הרעים התוקפים".

היא ציינה כדוגמה לקוח של לוקהיד מרטין. "עקבנו אחר התוקפים אותו שלושה חודשים לפני שהתחילה המתקפה המתוכננת. הגענו למצב שהודענו לארגון על המתקפה הצפויה שלושה ימים לפני שהיא החלה. כבר לפני עשור התחלנו לפעול בתחום ומאז אנחנו מצויים במסע ארוך להדיפת מתקפות סייבר".

"בגדול", אמרה, "כל ארגון נדרש לשלוש פעולות: לחשוב על הארגון וההגנה עליו תוך 'תזמור' החלקים השונים במענה ההגנה; ליצור מערך הגנה עמיד לטובת החוסן, עם חיזוק התשתיות ויצירת יכולות הגנה פרו-אקטיביות; לחשוב ללא הרף על דרכים חדשות ואחרות להגנה ועל בעיות שטרם נפתרו – כאלה שהתוקפים לא חשבו עליהן, ובדרך זו ליצור יתרון למגן המותקף".

"היערכות מפני מתקפות סייבר היא מסע ארוך", סיכמה מולינס. "הכי חשוב זה לחשוב אחרת על הבעיה ולבנות תכנית היערכות".