"התוקפים התנהגו בסייבר כמו מפיצים אגרסיביים של נגיף הקורונה"

"נגיף הקורונה לא פסח בהשפעתו על עולם הסייבר. לצד המירוץ העולמי לפיתוח חיסון לווירוס הקורונה, שהוביל לעלייה משמעותית בפעילות סייבר התקפית למטרות איסוף, ולמצב בו במירוץ הזה נלחמים 'כולם נגד כולם' על מנת להיות הראשונים לפתח ולייצר את החיסון – כך היה הדבר גם בפעילות הרעים לסוגיהם. בשל המעבר לעבודה מהבית ראינו גם גידול במתקפות על המשתמשים בביתם, לצורך השגת גישה דרכם לרשת החברה מרחוק. עוד היה ריבוי של קמפייני דיוג, שנועדו לאסוף מידע של משתמשים מזדמנים, כגון פרטי כרטיסי אשראי, ואף להשתלט על חשבונות מדיה חברתית, בעיקר ווטסאפ (WhatsApp). ההאקרים התנהגו בסייבר כמו מפיצים אגרסיביים של נגיף הקורונה", כך אמר איציק זילברברג, יועץ אבטחה בכיר וסמנכ"ל התפעול של חטיבת הסייבר ואבטחת המידע של וואן טכנולוגיות (ONE).

זילברברג שירת בצבא במערך אבטחת המידע של חיל האוויר, וסיים את שירותו בדרגת רב-סרן במחצית העשור הקודם. הוא נמצא ב-וואן כשנה וחצי. "אתגרי מנהלי אבטחת המידע תפחו פלאים בשנה החולפת", אמר. "לצד הצורך המתמיד לשלב בין העולם העסקי מחד, ודרישות הגנת הסייבר והמענה הטכנולוגי מאידך, נוסף להם משטח תקיפה אופציונלי חדש: המעבר של שימוש במערכות ה-IT הארגוניות מחוץ לעבודה, בשל העבודה מרחוק ומהבית. ברגע שהמידע החל להיות יותר נגיש מחוץ לארגון, המתקפות על עובדים בבית עלו בצורה משמעותית. ההאקרים היטיבו להבין שהבית הוא החוליה החלשה החדשה, הוא המהווה את הכניסה המהירה לתוך הארגון".

"לאפשר עבודה מאובטחת – לאו דווקא בסביבה הארגונית"

"ככל שארגונים איפשרו לגשת ליישומים ולרשת הארגונית מחוצה לו", אמר, "כך הם הבינו א הגידול הפוטנציאלי של האיומים והחלו להטמיע יותר בקרות והגנות, ואנו חווינו את הגידול בדרישות החל ממרץ-אפריל. אני מאמין שזה יהיה דפוס העבודה העיקרי בשנים הבאות – עבודה מרחוק. ארגונים יבינו שאפשר לשלב עבודה מהבית, ומנהל האבטחה והארגון של מחר נדרשים לאפשר עבודה מאובטחת – לאו דווקא בסביבה הארגונית".

"אתגר נוסף", אמר זילברברג, "קשור למשך השהות של התוקפים בשקט בתוך מערכות ה-IT הארגוניות זמן רב. ניתן היה לראות זאת באופן מובהק בפריצת הענק לארגונים שהיו לקוחות של סולאר-ווינדס (SolarWinds). נתוני חברות המחקר על שהות נסתרת של ההאקרים לזמן רב – נותרים יציבים, ולעתים נאמדים בתשעה חודשים. ארגונים הבינו, בדיעבד, שהתוקף ישב אצלם לאורך זמן, המתין להוציא מידע ורק לאחר מכן איים לפרסמו, או פרסם אותו. זהו אתגר לא פשוט – לזהות שדבר כזה קורה אצלך. מגמה זו תגדיל את השימוש במערכות מניעת דליפה, DLP, ובמערכות שמזהות אנומליות בהתנהגות המשתמשים".

2020: מתקפות שיצאו אל האור ותקיפת הסייבר החמורה בארה"ב

"מימד נוסף במאבק", ציין זילברברג, "הוא הפומביות של המתקפה. עד היום עבודת מנהלי האבטחה בארגון, וגם זו של ההאקרים – נעשתה מאחורי הקלעים, בצורה מינורית – פה וירוס, שם כופרה, אבל בלי חשיפה. היום ארגונים מתמודדים עם אירועים בעלי תהודה ציבורית-תקשורתית, ראה מקרה שירביט. מנהלי האבטחה נדרשים לעסוק באירועים בעצימות גבוהה, תקשורתית ורגולטיבית. הם כבר לא עוסקים רק באבטחת המעטפת הארגונית, אלא הם חלק מאירוע משברי. עליהם לדעת להתנהל בתוך התהליך הלא פשוט הזה, ולעשות זאת עם גורמים נוספים – יועצי תקשורת, אנשי משפט, גורמים טכנולוגיים ועסקיים, אלה שדות שמנהלי האבטחה לא הכירו עד לפני כמה שנים".

תקיפות מתוחכמות שכנראה החלו עוד לפני 2020. מתקפת הסייבר בארצות הברית. אילוסטרציה: BigStock

"העניין המרכזי בתחום הסייבר העולמי בשנה החולפת היה, לדעתי, מספר תקיפות מתוחכמות שכנראה החלו עוד לפני 2020", ציין זילברברג. "מתקפות אלו השתמשו בשרשרת האספקה של ארגונים כדי לתקוף אותם. התוקפים השתמשו ב-אוריון, כלי ניהול הרשתות של סולאר-ווינדס, הנפוץ בשימוש בארגונים רבים בעולם – על מנת לתקוף ולהשתלט על נכסי מידע של גופים רציניים מאוד, דוגמת מיקרוסופט, כמו גם על רשתות של גופי ממשל בארה"ב וככל הנראה גם של גופים בארץ. ארגונים צריכים להבין שתקיפת סייבר בוא תבוא, ולכן מומלץ מאוד לבצע סקרי סיכונים ומבדקי חוסן, ולהתייעץ עם גורמי מקצוע על מנת להיערך ליום שבו ינסו לתקוף אותם".

"מדובר במגמה המגלמת תפישה חדשה", סיכם זילברברג, "מנהל האבטחה הארגוני מתחיל להבין שעליו לנוע מהעולם הטכני גרידא לעבר העולם העסקי. עליו להבין את חוקי המשחק של הארגון. CISO שלא יהיה מחובר לתהליך העסקי – יתקשה לשרת את הארגון. הוא כבר לא במקום של לומר רק 'לא' ולמנוע – אלא להיכנס לתפקיד המאפשר עסקית, אבל עם מעטפת אבטחה ועם תהליך של ניהול סיכונים".