כולם מדברים על אבטחת סייבר וכולם עושים אבטחת סייבר, אבל האם זה בכלל נוגע לנו ביום יום? האם זה לא רק לגיקים? אנחנו נמצאים באמצע שנת 2018, ולהלן חמשת מקרי הסייבר הגדולים ביותר של התקופה החולפת, בתוספת בונוס לכל ארגון - לקח אחד גדול שחשוב ללמוד מהם. בעוד המקרים מגוונים ומייצגים אינטרסים שונים של ההאקרים הלקח המרכזי העולה הוא יחיד וקריטי לארגון – לא משנה כמה אבטחת הסייבר שלכם משוכללת, מרגע שישנה פריצה האתגר הוא בעיקרו ניהולי. המקרים המובאים במאמר זה הם רק קצה הקרחון של אירועי הסייבר של השנה האחרונה, והם רק המקרים שפורסמו. כל העוסק בתחום יודע שרב הנסתר על הגלוי, ועל כל מקרה שמפורסם יש לפחות שניים שנותרים סמויים מעיניי התקשורת.
המקרה הראשון והמרכזי, שככל הנראה פגע בכמות המשתמשים הגדולה ביותר בהיסטוריה עד כה – 3.5 מיליארד משתמשים – הפריצה לשרתים של !Yahoo. אמנם הפריצות התרחשו ב-2013 וב-2014, אך רק השנה נחשפנו לממדי הנזק. הנהלת החברה בחרה להסתיר את דבר הפריצה, ורק כאשר ההאקרים העלו רשימות של פרטים אישיים של משתמשים למכירה ברשת הציבור גילה אודות האירוע. כמובן שההחלטה הניהולית לא ליידע את ציבור הלקוחות רק החמירה את המצב עבור Yahoo!. מעבר לנזק התדמיתי, נפגע מחיר הרכישה שלה על ידי Verizon Communications בכ-350 מיליון דולר. ההתנהלות הרשלנית של ההנהלה הובילה בין היתר גם לתו מחיר פרסונלי – עורך הדין הראשי של החברה פוטר, ונרשם קיצוץ בשכרה של המנכל?ית מאריסה מאייר, אשר מאוחר יותר התפטרה מתפקידה. אבל זהו רק קצה קצהו של הנזק לארגון. רשויות החוק בארה?ב ובאירופה פתחו בחקירה והאשימו את החברה בפעולה מאוחרת והעדר נקיטת פעולות נדרשות בכדי לסיים את האירוע. אז מה המשתמשים עשו? הצביעו ברגליים והחלו לנטוש את השירותים ש-Yahoo! מספקת.
מה ניתן היה לעשות? היה מצופה מחברה עתירת משאבים להיות מוכנה באופן מוצלח יותר לאירוע כזה. הנהלת הארגון היתה צריכה להפעיל שיקול דעת מוצלח יותר, כזה שניתן היה להפעילו לו היתה מוטמעת ההבנה שאירוע סייבר הוא בראש ובראשונה אירוע משברי שמצריך כישורים ניהוליים של משבר, ורק לאחר מכן כישורים של הגנת סייבר.
אירועי הסייבר של השנים האחרונות לא דילגו גם על ארגונים ממשלתיים. במאי 2017 התרחשה מתקפת הכופר המכונה WannaCry. מתקפה זו פגעה ב-230,000 מחשבים במעל מ-150 מדינות. בין היתר נפגעו מחשבים של שירות הבריאות הלאומי הבריטי, חברת דויטשה-באן, חברת FedEx ומשרדי ממשלה רוסיים. המתקפה פגעה במחשבים שעשו שימוש במערכת ההפעלה Windows XP. תוך 24 שעות הפיצה Microsoft עדכון אבטחה למחשבים אשר הוביל לסיום המשבר. עם זאת, באותם רגעים קריטיים, נגרם נזק משמעותי לגישה למחשבים רבים בחברות וארגונים ממשלתיים רבים מסביב לעולם. ככל שלא היה נמצא פתרון מהיר לבעיה הדבר היה יכול להוביל להחרפה משמעותית של הבעיה אשר פגעה בין היתר בבתי חולים. מדובר למעשה בקריאת השקמה לכל הגופים הממשלתיים (והפרטיים) להטמיע חשיבת ניהול משברי סייבר. הפעם אולי Microsoft הצליחו להוציא עדכון אבטחה שנטרל את הפעולה במהירות, אבל ממש לא בטוח שהיא תצליח לעשות זאת גם בפעם הבאה. מערכת הבריאות היא דוגמא למערכת ממשלתית שהיא כל כולה ממוחשבת. מבלי שיתקיים תרגול הן מהרמות הגבוהות של שר הבריאות, בכירי משרדו מנהלי בתי חולים, ועד לרופאים ולאחיות כלל לא בטוח שבפעם הבאה האירוע יעבור בכזאת קלות.
ובישראל? רק לפני פחות משנה נעצר חשוד שניסה לסחוט את בנק יהב במיליון ש?ח. אמנם לא ברור אם היו בידיו רשימות פרטיות של לקוחות הבנק או שמדובר היה באיום סרק, אך הוא ללא ספק ממחיש את האיום על המערכת הבנקאית בישראל שהופכת משנה לשנה ליותר דיגיטלית. העובדה שהנהלת הבנק פעלה באופן מהיר ובתיאום עם המשטרה, עם הפיקוח על הבנקים ועם הרשות הלאומית להגנת הסייבר יכולה להעיד כי לפחות בתחום רגיש זה נעשית עבודה רצינית מאחורי הקלעים. האופן שבו האירוע טופל ברמה הניהולית יכול רק להצביע לארגונים זרים כיצד ראוי להתמודד עם איומים מסוג זה.
ואיך אפשר בלי לקנח בפריצה למאגר הנתונים של חברת HBO אשר הובילו להדלפת פרקים בסדרה זוכת הפרסים משחקי הכס. עם זאת, אירועי הסייבר של חברות הפקה הוליוודיות ממש לא מסתיימות עם הפירצה הזו ונרשמו גם פירצות ערב עלייתה לעבר של הסדרה ?כתום הוא השחור החדש? ובמאגרי הנתונים של Netflix. מעבר לעובדה שחברות אלו זקוקות ככל הנראה לשדרוג במערך הגנת הסייבר שלהן, הן זקוקות גם לתוכנית ניהול משברים להתמודד עם מצב שבו הן מפסידות סכומי עתק כתוצאה מדליפה מוקדמת של פרקים לרשת וירידה באחוזי הרייטינג בזמן אמת.
לסיכום, אירועי סייבר הם מגוונים ושונים. חלקם מבוצעים כתוצאה של אירוע כופרה ובצע כסף, אחרים הם תוצאה של התערבות ממשלתית או ארגונים אחרים. בפועל, מסתמן כי החשיבה בתחום אמנם מתקדמת מבחינה טכנולוגית אך מצויה בחיתוליה מבחינה מתודולוגית. חשיבה של אבטחת סייבר איננה מסתיימת בהתקנת מערך הגנה מתקדם, אלא רק מתחילה שם. חשוב לזכור כי אירוע של כופרה או פריצה לשרתים הוא אירוע משברי המצריך התמודדות ניהולית ממש כמו כל אירוע משברי אחר. ללא תוכנית פעולה סדורה, רמת מיומנות וכשירות גבוהה של מנהלים ועובדים כאחד, ככל הנראה גם תוכנת אבטחת הסייבר המתקדמת ביותר לא תצליח למנוע התדרדרות של משבר מהרגע שהוא מתרחש. הסוד, כמו תמיד, נותר טמון בגורם האנושי.
עו"ד ארז הינו מומחה בתחום ניהול משברים עסקיים בדגש על עולם הסייבר, משא ומתן וכופרה. בעל עשרים שנות נסיון בתחום. מהבעלים ומייסד חברת Critical Impact אשר עוסקת בתחומים אלו. www.crt-imp.com.
