עתה כשאנחנו עם הפנים קדימה לקראת שנת 2023, מוחשי יותר מאי פעם עד כמה התקפות סייבר מעלות הילוך. בחינה מעמיקה מגלה שלצד המורכבות בתחום, השחקנים הראשיים מחזיקים במספר קווי דמיון, עובדה שמאפשרת להסיק מסקנות ולנקוט אמצעי הגנה יעילים, ואכן מדובר בצעד הכרחי, במיוחד לנוכח העובדה שנוף האיומים ממשיך להתרחב והשימוש הנרחב ביישומי ענן מוסיף קשיים משלו.
לאור כל זאת המחשבה של בעל עסק צריכה להיות "אלו איומי סייבר עלולים לפגוע?".
לכאורה, שאלה מתבקשת. בפרקטיקה, מסובך להחליט כיצד להגן על עסק בעל פוטנציאל היקפי, דינאמי ומגוון. אי לכך במאמר הנוכחי נתמקד בשלושה טרנדים שנחשבים הכי הנפוצים. מוזמנים לערוך היכרות אישית עם שלושת האיומים הבאים:
פישינג
פישינג, או בעברית תקנית "דיוג", מתאר מצב של הונאת אינטרנט, ע"י התחזות ברשת. מטרת ההתחזות לנסות לגנוב מידע רגיש, כגון פרטים פיננסיים, או סיסמאות ושמות משתמש. פישינג ניתן לבצע ע"י מגוון תחבולות, כגון שליחת הודעה אלקטרונית, תוך כדי התחזות למקור אמין. מחקרים בתחום מצביעים על כך שבשנת 2021 ארגונים רבים חוו יותר מתקפות דיוג ע"י שימוש במייל, לעומת שנת 2020, משמע השיטה תופסת תאוצה.
תוכנה זדונית
תוכנות זדוניות מראש נכתבות כדי להזיק. חלק כוללות וירוסים, חלק הן תוכנות כופר וחלק הן תוכנות ריגול. תוכנות זדוניות עשויות לפגוע במערכת המחשבים, בשרת ואף ברשת הארגונית. נוסף לכך, תוכנה זדונית עשויה להדליף מידע פרטי, לאפשר לתוקפים להשיג גישה לא מורשית, לשלול גישה של משתמשים חוקיים מטעם הארגון, ואף לא פעם משולב כופר. כאשר מעורבת מתקפת כופר נדרש לשלם סכום משמעותי לגוף התוקף, וזאת כדי שתחודש הגישה לנתונים, או כדי שהמידע ישוחזר. כאן יש לקחת בחשבון שלצד הפגיעה הכלכלית, גם יש פגיעה במוניטין, במיוחד כאשר מאיימים לפרסם נתונים אישיים של לקוחות.
התקפת שרשרת אספקה לצד איום של צד שלישי
חברות רבות השקיעו זמן וכסף באבטחת מערכות, אך התעלמו מאבטחת צד שלישי, כלומר מכל אותם אנשים בעל גישה לנתונים פרטיים. נתונים שנוגעים לארגון, ללקוחות, למערכות, למידע חסוי וכדומה. אם כן מי מוגדר כצד שלישי? אלו יכולים להיות ספקים, שותפים עסקיים, קבלנים וכמובן שגם נותני שירותים.
במקביל, ישנה תקיפה בשרשרת האספקה. הרעיון הוא לבצע תקיפה (למשל ע"י שינוי קוד תוכנה) של רכיבים שנחשבים חשופים בשרשרת האספקה, כך שנוצרת פגיעה שמוציאה את העסק מאיפוס. כאן נהוג לפעול באופן דו שלבי. ראשית מאתרים רכיב שנחשב פגיע מבחינת אבטחה, כאשר נהוג לחדור למערכת המחשוב ולמפות רכיבים במערכת הסייבר. בשלב השני תוכנת APT תוקפת את אותו רכיב שנמצא חשוף ופגיע.
דרכי תגובה
מה אם כן בעלי עסקים יכולים לעשות כדי להבטיח שהעסק אינו חשוף לאיומי סייבר?
ובכן אין פתרון קסמים, אלא נדרש להשקיע באבטחה ממוקדת שמתייחסת לסך תהליכי העבודה, האנשים הרלוונטיים והטכנולוגיה שעומדת על הפרק. בנוסף, חשוב שהמנהלים הבכירים יעברו הכשרת סייבר, משמע רק מודעות אינה מספיקה. המטרה היא שההכשרה תחשוף תהליכי ושיטות התמודדות מול התקפות סייבר. כמו כן, מומלץ שההכשרה תכלול התייחסות פרטנית למגוון מודלים בתחום ההגנה, כאלו שפותחו ע"י גופים שעוסקים באבטחת מערכות, כגון מודל האבטחה NIST, COBITוכדומה, אם כי כמובן שהכרחית התאמה מלאה לתהליך העסקי.
לבסוף נסכם שפתרונות ושירותים טכנולוגיים בהחלט עשויים למנוע מתקפות סייבר, אם כי טכנולוגיה שנפרסת ללא אסטרטגיית סייבר ממוקדת עלולה לפספס את המטרה, ולכן פתרונות ושירותים טכנולוגיים תמיד נדרשים להיות ממוקדים.
