דורון דוידסון בועידת הסייבר: "ההאקרים משתפים מידע, למה אנחנו לא?"

"אם בעבר מערכות ששלטו על מערך ייצור ואספקה של החשמל היו איזוטריות מאוד, היום אנחנו הולכים לעולם סטנדרטי, בו המערכות הן סטנדרטיות ומבוססות אינטרנט ופרוטוקולים פתוחים ופרוצים לחלוטין. האיום הוא אמיתי. בפעולות זולות מאוד ניתן לבצע פגיעה משמעותית", כך אמר יוסי שנק, סמנכ"ל תקשוב בחברת החשמל בתשובה על השאלה האם מפחידים אותנו סתם.

הדברים נאמרו אתמול (ג') במסגרת ועידת הסייבר של מידע כנסים, אשר הציגה פאנל מומחי אבטחת מידע שבחן את הנזקים הפוטנציאליים של איום הסייבר, בהנחיתו המצוינת של נמרוד קוזלובסקי, שותף ב- JVP Cyber Labs.

שנק גם סיפק הצצה לדרך בה השתנה תהליך קבלת החלטות הרכש לאור האיומים הקיימים: "קודם כל אני מאמין בדבר פשוט, צריך לצאת ממה  שהיה מקובל באבטחת המידע  ובשלבים הראשונים של הסייבר – קניה של כמות אינסופית של כלים  שכל אחד מטפל בנישה צרה, עד שבסוף אי אפשר לחבר ביניהם. הגישה החדשה היא לבצע ניהול סיכונים אמיתי, מקצועי ודינמי.  אני לא מאמין שניתן להגן על כל דבר, ניתן להגן על מה שאני מחליט. זה נובע מניתוח אמיתי של נזקים וסיכונים, ולאפשר קבלת החלטות מושכלות. אנו בסופו של דבר בוחרים את הכלים מבחינת יכולת להשתלב בהגנה האינטגרטיבית".

לא עוצרים על כל דבר

נקודה שחזרה על עצמה לאורך הפאנל הייתה עסקה ביכולת של ארגונים להמשיך ולפעול גם לאור פגיעה במערכות הארגון. דורון דוידסון, יזם SecBi, שיתף: "אחד האירועים שיצא לי לחקור היה חברה שמפתחת חומרים ביו רפואיים.  אם הם היו מפסיקים את תהליך הייצור בגלל חדירה של קוד זדוני הם הורסים מחקר של 3 חודשים שהושקעו בו מיליוני דולרים. לעצור רק את התקשורת הרלוונטית זה קריטי לארגון, ובלעדי כך הוא לא מסוגל להתקיים".

לדבריו הנזק מעצירת פעילות לעיתים הרבה יותר גבוה מהנזק של ההתקפה עצמה, וכי המטרה של ארגון היא לקצר הזמן של הנזק הישיר – הזמן בין זיהוי לעצירה של האיום.

"מה שחשוב, ושנים אני דוגל בזה, זה למצוא את ה-DNA של ההתקפה עצמה. ברגע  שמזהים אותו, מה הוא מנסה לעשות, ולא רק את הדרך שהתוקף עשה לתוך הארגון , קל יותר לסנתז את החוקים. זה לא קל לעשות את החוקים האלה, זה ניתן רק מערכת אוטומטית שתוכל ליצור שילוב בין כל החוקים של כל ההתקנים,  שיקחו בחשבון את המתקפות שהיו ויהיו".

דוידסון גם טוען כי לא מספיק להבין מה התוקף רוצה לעשות אלא גם מה ההשפעה העסקית של המתקפה. כדי להתמודד בצורה אמיתית עם איומי הסייבר יש צורך במערכת שתסמן לאנליסטים בחברה מה ההשפעה העסקית של האירוע אותו הם חוקרים, וכך הים ידעו לתעדף אותם ולהחליט איזה פתרון להפעיל ללא צורך לעצור את כל הפעילות העסקית.

הדילמה האם לעצור את פעילות הארגון גם משתפקת בנקודת המבט על הדברים של מאיר חיון, ראש יחידת הסייבר להב 443 במשטרת ישראל. חיון התייחס לשאלת קוזלובסקי לגבי הנוהג החקירתי לבקש מארגונים שנפרצו להשאיר את הפריצה פתוחה כדי לאפשר חקירה יעילה: " בעידן הטכנולוגיה תמיד יש מתח בין הרצון שלנו כחברה להגיע למיצוי הדין המקסימלי עם התוקף, דבר שיוצר הרתעה, לבין טיפול בקורבן הספציפי הנמצא במצב של חשיפה. באופן די ברור הנטייה שלנו היא לגידור הנזקים, וזה גובר על הרתעה".

חיון קרא לחברות לפנות למשטרה בשלב מוקדם ככל הניתן כדי לאפשר חקירה פלילית. אך בתשובה לשאלה לגבי הצורך לחייב חברות לחשוף פרצות סייבר, בעיקר אל מול הרתיעה הקיימת אצל מנכ"לים שעלולים לשלם על כך במשרתם, כמו באירועי סוני וטארגט, הוא אמר: "קודם כל, חייבים לשקול את הדברים לעומק. אני אגיד דבר אחד, כשמנכ"ל טארגט מחליט האם לחשוף או לא, יש לכך השלכות עליי. האם יש להשאיר בידי המנכ"ל את ההחלטה הזאת לגבי האם לעדכן את מאיר חיון אם המידע שלי נפרץ?".

"האקרים משתפים במידע, אנחנו לא"

נקודה משותפת שעלתה מכיוון כל המשתתפים בפאנל היה צורך חזק בשיתוף יותר מידע בתחום.

דוידסון סיפר כי הזדמן לו לפגוש הרבה מנהלי אבטחת מידע שרוצים לשתף הרבה יותר ידע ומידע: "כולם היו שמחים אם היה גוף שיכול לשתף נטוורקינג שכזה, בו אתה לא משתף אם נפרצת, אך איך ניתן להתמודד עם אירוע מסוים. בעת פריצה אפשר להשתמש בידע שהאחרים כבר פיתחו, ולקצר את הזמן בין הזיהוי למיתיגציה, בדרך זו ניתן לקצר את הזמן משעות וימים אפילו לדקות. ההאקרים בצד השני משתפים מידע, איך זה שאנחנו לא".

באדיבות מידע כנסים

"הבעיה העיקרית הוא חוסר שיתוף המידע בין גופים ובין מדינות ובתוך התעשיה. לא מצליחים להתגבר עליו, מחשש לפגיעה בסודות וכו'", אמר יוסי שנק. " אחד מהדברים החשובים הוא היכולת לרכז את הידע הקולקטיבי. אפשר לעשות את זה בצורה חכמה, ולהביא את כולנו לרמה מאוד גבוהה. זה כלי חשוב מאוד מול איום ממשי".