לאורך שנים נהוג לחשוב שבתחומים בהם ניתנת אחריות, בפרט בהיבטים טכנולוגיים ארגוניים, מידת ההערכות וטיב הפעולות הנעשות הן המפתח לרמת הביצועים והתוצאות המתקבלות. גם במקרה של הסייבר בחלק גדול מהדברים יש השפעה ישירה לבנייה והערכות שנעשות בשוטף על רמת ההגנה או על החוסן של הארגון שבונה את יכולותיו.

אם ארגון משקיע תקציב גדול, מאייש צוות חזק, בונה מתודולוגיית פעולה, ומקדיש תשומת לב ניהולית לעניין – יש בהחלט סיכוי גבוה יותר שיצליח לעמוד בסוגי מתקפות סייבר שונות וגם במידה ואחת המתקפות תפגע בו, הנזק שייגרם יהיה נמוך יותר. ארגונים וחברות בשנים האחרונות מעלים בהדרגה, מתוך הבנת האיומים והמוחשיות של מתקפות סייבר, את ההשקעה בתחום וכל צורת הטיפול מתקדמת משנה לשנה בקצב גבוה.
 

לצד שביעות הרצון מההשקעה הפנימית בארגונים ותרומתה להגנה, קיים גורם אחר שלאורך שנים לא היה מטופל, הוא איננו באחראיות ישירה של החברה ועם זאת הוא עשוי להיות הדבר שיגרום למתקפה מוצלחת עליה. הגורם הוא רמת ההגנה של השותפים או קבלני המשנה של החברה. חברת TARGET האמריקאית נפרצה בשנת 2013 לא בגלל תוקפים שנכנסו לרשת שלה אלא בזכות היכולת לתקוף קבלן משנה של הרשת וממנו להצליח להשיג את נתוני הכניסה שאיפשרו לתוקפים להיכנס לרשת. מערך ההגנה של החברה לא כשל באופן ישיר מול התוקפים, אלא חברה קטנה משמעותית אחרת שמספקת שירותים לחברת TARGET נפרצה וממנה התוקפים עברו לתאגיד הגדול.

ברור לגמרי שתוקפים יעדיפו להתעמת עם חברה קטנה שיכולות ההגנה שלה ממוצעות, תקציביה קטנים, וצוות האבטחה שלה איננו גדול מאד, לעומת הניסיון לאתגר את קבוצת האבטחה של תאגיד גדול ציבורי ועתיר משאבים. האמירה ש"קו ההגנה חזק כמו החוליה הכי חלשה בו" נכון במקרה זה בצורה מובהקת.

לאורך השנים האחרונות חברות מזהות את חשיבות האיום של צד שלישי. כשלמעשה הכוונה איננה לאיום של צד שלישי אלא לסיכון שהחיבור וההתממשקות לצד שלישי מטיל על החברה. ארגונים נוהגים בימינו לערוך ניתוח של כל גורמי הצד השלישי שיש להם פעילות איתם. הפעילות מנותחת במישור של חשיבות הקשר, סוגי המידע שיש אליהם, נגישות, ורמת הקירבה של החיבור. לדוגמא, עשויה להיות חברה שהינה הספק המרכזי ביותר של ארגון מסויים, אין ספק בחשיבותו, אולם הוא מספק מרכיב שהיא פיזי במהותו וכל האינטראקציה עם הספק הוא קבלת הצעות מחיר והוצאת הזמנות אליו.

סוג חיבור כזה לא ידורג כמאוד בעייתי מבחינה סייברית כיוון שיחסית קל להגן עליו ואין בו סיכון גדול, למרות שכספק יתכן שהוא הספק החשוב ביותר של הארגון. מנגד עשוי להיות גורם אחר שיכול להיות החברה שמטפלת במתנות לחג או יועץ פנסיוני לעובדים או אחר שמסיבה מסויימת מחובר לרשת, מקבל נתונים על כל העובדים וגם מבצע פעולות מסויימות ולמרות שאולי חשיבותו העסקית נמוכה הוא עשוי להוות סיכון סייברי מהותי.

חברות וארגונים היום, מבצעים ניתוח של שותפיהם ומחליטים על צעדים שוטפים שאמורים לוודא ששותפים אלו מתנהלים בצורה סייברית מקצועית ואחראית ובמידת האפשר מצמצמים את החשיפה אליהם ואת רמת הקישוריות המוגדרת. שינויים אלו בתפיסות, בשיטות העבודה ובטכנולוגיות התומכות הם חלק מהנושאים שיידונו בשבוע הבא בשבוע הסייבר הלאומי המתקיים באוניברסיטת תל-אביב ואליו צפויים להגיע אלפי אנשים מישראל וממדינות אחרות להשמיע, להחליף דעות וללמוד.

עוד ב-

מתקפת הסייבר על פקטורי 54: החנויות חזרו לעבוד רגיל

לכתבה המלאה

הכותב הוא ראש תחום אסטרטגיה (CSO) במרכז למחקר סייבר באוניברסיטת ת"א, אשר יערוך בין 26-29.6 את שבוע הסייבר השנתי באוניברסיטת ת"א בשיתוף מערך הסייבר הלאומי, משרד הכלכלה ומשרד החוץ