חוויות מיום עיון בנושא ניהול משברי סייבר 26 דצמבר 2016

28 בדצמבר 2016

תגיות: , , , , ,
אין תגובות

עם כותרת מפתה כמו "יום עיון בנושא ניהול משברי סייבר Beyond Technology" כאשר ברשימת נותני החסות נמצא איגוד האינטרנט הישראלי, בנק הפועלים, חברת Deloitte וחברת Konfidas (שדווקא אותה לא הכרתי אבל הם אלה ששלחו לי את ההזמנה), מצאתי את עצמי יוצא בבוקר עם הרכב, לאזור התחנה המרכזית הישנה בתל אביב, לבניין B במבנה של בנק הפועלים לאולם של מועדון בנק הפועלים בקומה הראשונה. למרות שהייתי במרחק של 100 מטר מהמטרה רבע שעה לפני תחילת האירוע, איחרתי ב 10 דקות בגלל פניה אחת לא מוצלחת לחניון ישר לפקק תל אביב מצוי.

נכנסתי לקראת סוף דברי הפתיחה של יו"ר בנק הפועלים יאיר סרוסי שדיבר על זירת הסיבר ועל מרוץ החימוש של הסיבר בין הפורצים למגנים. קצת היה לי מוזר לשמוע יו"ר מועצת מנהלים מדבר במונחים טכניים ועל אחת כמה וכמה בנושא כמו אבטחת מערכות מידע, אבל מצד שני זה אולי הסימן הכי טוב לכך שההנהלה בבנק הפועלים מתייחסת לנושא ברצינות. אני לא הייתי היחיד ששם לב לנקודה הזו וכמה מהדוברים לאורך היום הזכירו את הנקודה הזו (ולא בגלל שבנק הפועלים תרם את האולם).clip_image002

יום העיון התנהל לפי לוח זמנים קצר ודחוס ונוהל באכזריות "יקית". עצם העובדה שנכנסתי באיחור של עשר דקות והמרצה הראשון כבר היה על הבמה באמצע ההרצאה עוררה בי תחושת נוסטלגיה לתקופה הטובה שבה אנשים התייחסו ברצינות לעמידה בזמנים. הדוברים שיתפו פעולה והקפידו על מיקוד ותמצות וזה היה רק לטובה.

לאחר יאיר עלה לבמה רם לוי מנכ"ל קונפידס. מכל הדברים הקצרים שהוא אמר ננעלתי על נקודה אחת שכבר הייתה שווה לי את כל היום וזו הייתה הפניה, שנאמרה כבדרך אגב, לפרסום חדש של NIST בנושא Guide for Cybersecurity Event Recovery, שהתחמק לי משום מה מתחת לרדאר. לקח לי זמן לאתר אותו במרחבי הרשת אבל למי שמעוניין להלן הקישור.

מילת אזהרה, הייתי חסר סבלנות וקראתי אותו עוד באותו ערב לפני השינה, מה שגרם לי לקצת נדודי שינה, כך שאני ממליץ שתקראו אותו בשעות הבוקר כדי שיהיה לכם מספיק זמן לעכל אותו.

אחריו עלה לבמה צחי שטראוס, מנהל אבטחת מידע וסיבר של בנק הפועלים. הוא גם כן שם לב לזה שיו"ר בנק מדבר במונחי סיבר וניהול משברי סיבר (אני ראיתי בזה סוג של מחמאה היפרבולית, כי הוא בין השאר האחראי לזה, אבל מצד שני כל הכבוד לו שהצליח לעשות את זה) והנקודה העיקרית שקלטתי ממנו היא שמודעות היא הבסיס להכנה של הארגון למשבר (וזו נקודה שחזרה בצורות שונות מפי חלק גדול מהדוברים בהמשך היום).

אחריו עלה לבמה יורם הכהן מנכ"ל איגוד האינטרנט הישראלי. זה גוף התנדבותי בעיקרו והוא דיבר על זה שהגדולים ידאגו כבר לעצמם איכשהו אבל מי ידאג ל 8 מליון תושבי המדינה שמשום מה מתיחסים אליהם כ Peripheral damage בשעה שהאמת היא שאם הם נפגעים ממלחמת הסייבר זו הצלחה לתוקף ופגיעה משמעותית בעורף הרך שלנו. WP_20161226_013A

יורם הציג את הפעילות שארגון האינטרנט הישראלי מקדם בתחום הכנת מסמכי מדיניות ודיבר על היוזמה שלהם להנגיש את הידע, להגביר את המודעות, ולתת איזה שהוא סיוע לאזרח הקטן שאין לו בדרך כלל מושג ירוק על מלחמות עולם הסיבר ובטח שאינו יודע מספיק מה לעשות כדי להתגונן. יורם העלה את הטענה הפרובוקטיבית משהו, שכל ארוע סיבר מתחיל בסופו של דבר במחשב אישי של אזרח. אני לא יודע עד כמה זה נכון, אבל זה נשמע מספיק נכון כדי להצדיק בצורה מלאה את הפעילות שלהם בתחום.

הפנל הראשון עסק בהיבט המשפטי, החוקי ועבודה מול הרשויות. את הפנל הנחתה דבי האוסן קוריאל מקונפידס כשבפנל משתתפים אילן שדי מלשכת עורכי הדין, ליאת קילנר מלהב 433, דנית ליבוביץ שטי מ CERT ישראל ושרון שחם מבטח תורן. כל משתתף קיבל חמש דקות להציג את הנושא שלו ודבי דאגה שאף נקודת מבט לא תחרוג מהזמן שהוקצב ושאף נקודה חשובה לא תישכח או תלך לאיבוד בלחץ הזמן.

WP_20161226_020A

אילן הציג מה אומר החוק וטען שהמחוקק עשה עבודה די טובה מבחינת החוק, כי מי שנכנס למחשב שלך ללא אישורך זה כבר עבירה פלילית, ליאת הדגישה את הנקודה שארוע סיבר זה ארוע פלילי. פניה למשטרה זה לא הדבר הראשון שעולה על דעתו של מי שנתקל בבעיית סיבר ולא כל כך ברור לציבור שזה משהו שצריך לפנות למשטרה בקשר אליו וזו שאלה של מודעות.

המשטרה היום מקושרת בינלאומית ולמעשה כמעט כל ארוע סיבר יש לו אספקטים בינלאומיים. הוזכרה בהקשר הזה אמנת בודפשט וליאת גם סיפרה על היוזמה הבינלאומית של No More Ransom. דנית הציגה את ארגון CERT הישראלי ותיאמה ציפיות. שרון דיברה על האספקטים הביטוחים ושחברת הביטוח אמורה להיות בארוע כבר מתחילתו.

הפנל השני עסק באספקט היחצנות של ארוע הסיבר ועבודה מול התקשורת. את הפנל הנחה לאור כלב ראש תחום סיבר בדלויט ואליו הצטרפו אביבית קוטלר מנהלת ענף סיבר והמשכיות עיסקית בכלל ביטוח, גור צלליכין חוקר ויועץ בענייני ביטחון ואסטרטגיה, רותם טוני בעלת משרד אסטרטגיה יח"צ וניהול משברים ועודד ירון עורך המדור הוותיק קפיטן אינטרנט בעתון הארץ.

מסר שחזר אצל כל המשתתפים הוא שניהול האספקט היחצני חשוב לא פחות ואפילו לפעמים יותר מניהול הצד הטכני שלו וששקיפות ומידע אמין עדיפים בכל צורה שהיא מהתעלמות ותקווה שהרעש התקשורתי יפסיק מעצמו. בסיבוב הראשון אביבית העלתה את אספקט המודיעין, רותם את הצורך בהבנה של המנהלים על מה מדובר פה, גור את נושא התרגול ואת הצורך בגישה הוליסטית לניהול המשבר ומשום מה על עודד, כנציג התקשורת, הוטל להסביר למה התקשורת עוסקת רק בחברות הזנק בעולם הסיבר ולא בהגברת המודעות של האזרח הפשוט לנושא (רמז, זה נורא לא מעניין עד שזה פוגע בך אישית, וגם אז לא בטוח שזה מספיק סקסי כדי שזה יופיע בעיתון).

בסיבוב השני עלו עוד כמה תובנות כמו למשל שרוב הכתבים יעדיפו לכתוב על נושאים שהם (חושבים שהם) מבינים ולא להתמודד עם הקושי של הנגשה של מונח טכני, שהוא חשוב וקריטי להגנת הצרכן הפשוט, אבל ידרוש מהם להבין על מה הם כותבים. אביבית לא סומכת על הכתבים ומתרגמת מאמרים מהעתונות המקצועית בחו"ל ומפיצה לגורמים הרלוונטיים בארגון שלה (הי אביבית, למה שלא תפתחי בלוג שבו תפרסמי את התרגומים האלה כתרומה לציבור ? אני בטוח שיורם ישמח לתת לך במה).

דובר על הצורך והחשיבות של תכנון מראש והתכוננות למשבר (הרבה) לפני שהוא מגיע. הייתה ביקורת על יחצנים ודוברים שזורקים מידע לא נכון (שקרי) ולא בדוק, רק כדי להגיב מהר ולנסות לנהל את התקשורת וגורמים בכך נזק הרבה יותר רציני ללקוח (השם יוניליבר לא הוזכר כמובן במפורש) ומישהו (אני לא אחשוף מי) אמר שבכלל לא בטוח שניתן לנהל את התקשורת (מעניין לשמוע משפט כזה מיחצן שכנראה יודע יותר טוב מכולם על מה הוא מדבר). היה גם קיטור על הנהלה שלא מבינה ומנחיתה על היחצן כיצד עליו להגיב (אני הייתי מתפטר באותה שנייה בגלל מה שאני רואה כאחריות המקצועית שלי, אבל מצד שני, לא לכל אחד יש את החופש לבחור את הלקוחות שלו). הוזכר גם מונח שהיה חדש לי "לקונה תקשורתית" אבל מאחר והיה קונצנזוס שלא ניתן לסמוך עליה ולא מצאתי עליה שום דבר באינטרנט, בחרתי שלא להכנס לעומק הנושא.

אהבתי את המשפט שכדי לפרסם פאשלות לא צריך להבין בטכנולוגיה וזה בטח יותר קל מלהטמיע מודעות, אבל זה לא באמת תרוץ טוב לחפות על חוסר מקצוענות של המדיה. הועלה שוב הנושא של חובת הדיווח ועלתה שאלה מהקהל על סטטיסטיקה של ארועים בארץ וליאת נקראה בחזרה למיקרופון כדי להודות שאין בארץ עדיין סטטיסטיקה טובה של הנושא בגלל שלא כולם מקפידים על חובת הדיווח וגם בגלל שזה Work in progress ושמקווים שבקרוב המצב יהיה יותר טוב (אני סקפטי).

הגברת המודעות של הציבור, ההנהלה, ובכלל, לפי מה שאמרו הפנליסטים וגם מהדעה האישית שלי, זה הדבר החשוב ביותר שצריך לעשות בתחום. זה גדול מדי לשוק הפרטי והפילנטרופי ונמצא בזירה של המדינה. וכמו תמיד, המדינה לא עושה מספיק בתחום הזה ובדיוק כמו בתחום הסעד, הנושא נופל על "הקהילה".  דרך אגב, אם כבר מדברים על מודעות, משפט שכמעט ונאמר במפורש היה: "תודה לכל אלה שפיתחו את ה Ransomware כי זה מקדם המכירות הטוב ביותר להגברת המודעות של הציבור לנושא" (ואני בכלל לא ציני).

המרצה הבא היה מוטי קריסטל מייסד ומנכ"ל קבוצת Nest, Negotiation strategies, שדיבר על תהליך ניהול משא ומתן בזמן משבר כשהוא מתבל את ההסברים בציטטות מארוע אמיתי (ללא ציון פרטים מזהים כמובן). מוטי שפך קצת מים קרים על חברי הפנל הקודם והסביר שלמרות הרושם שהתקבל יש עוד כמה דברים בעולם הסייבר פרט ליחצנות ומישהו גם צריך לפתור את הבעיה ולא רק ליחצן אותה. אבל למען ההגינות חייבים לציין שמוטי די מהר, כבר בתחילת ההרצאה שלו, שפך מספיק מים קרים על עצמו והסביר בצורה מאד חדה וברורה שלא בכל אירוע ניתן בכלל להגיע למשא ומתן (רוב המקרים) וחידד בצורה ברורה מאד באיזה סוג ארועים כן ניתן.

WP_20161226_032Aבמקרה שהוא הציג, הסחטן פרץ את ההגנות של הארגון, גנב נתונים רגישים ודרש כסף כדי לא לפרסם אותם. במשא ומתן שנוהל נכון, הארוע הפך בסופו של דבר מארוע של סחיטה, לארוע של בדיקת Pen-Test, שממנו המערכת למדה כיצד בוצעה הפריצה ואפילו קיבלה חשבונית על הוצאה מוכרת (לא לצחוק).

מעבר לקוריוזים של הארוע, שהיו בו הרבה אספקטים קומיים (בדיעבד כמובן) היו כמה נקודות שרשמתי לעצמי. צריך להיות מנהל אחד ברור ומוגדר מראש למשבר, מאד רצוי שזה לא יהיה מנהל ה IT (ואם יורשה לי לצטט כאן נוסח מאד פוליטיקלי קורקט לסיבה, “זה בגלל שהתחת שלו נמצא על הגריל”). כמו בכל משא ומתן, הצד האנושי חשוב הרבה יותר מהצד הטכנולוגי. וכפי שהדגיש מוטי עצמו, מנהל המשא ומתן אינו בהכרח מנהל הארוע, אבל הוא קלט חשוב מאד לקבלת ההחלטות של ההנהלה.

הפאנל השלישי עסק בנושא תפקיד המודיעין במשברי סייבר וניהל אותו שי שבתאי מקונפידס, בפנל השתתפו שי ארבל מנכ"ל טרוג'נס, מוטי בנמוחא ראש אגף הסייבר והבטחון בבנק לאומי, גיא מזרחי מנכ"ל סיברייה וגיא דגן מנהל תחום מודעות סייבר בבנק הפועלים. על ההתחלה הייתה לי בעיה עם הפנל הזה, כי כל המשתתפים בו הגיעו כנראה מאותו רקע מודיעיני והשתמשו במונחים מקצועיים של התחום שלהם, כמו למשל ציח ואנומליה, שגרם לכך ששאר בני התמותה בקהל איבדו חלק מהדקויות של השיח.

כמה נקודות מעניינות שרשמתי לעצמי. קודם כל (וזה חזר הרבה לאורך כל היום), אם לא התכוננת מראש (בכלל ולא רק בתחום המודיעין) היכולת שלך להגיב בזמן הארוע מוגבלת משמעותית. גוף המודיעין (כמו בצבא) חשוב בזמן רגיעה ולא רק בזמן לחימה. מודיעין מוקדם יכול לתת לך אזהרה על תקיפה צפויה. מודיעין ממוקד מטרה (מצויח) בזמן אמת יכול לעזור מאד, אבל יש לקחת אותו עם הרבה מלח, כי לא תמיד ניתן להשיג אותו בזמן ולפעמים הוא גם לא נכון, בגלל רעשים ועיוותים במערכת האיסוף. צריכה להיות זרימת מידע פתוחה קדימה ואחורה אל ומהמודיעין (כי אם למשל מזהים את וקטור החדירה, המודיעין יכול לחפש מי התעניין בו בזמן האחרון ולהגיע ממנו אל התוקף). דרך אגב, אם זה לא ברור, חיפוש בגוגל לא עוזר במקרים האלה. ואם התוקף הוא גוף מדינתי, לא תמצא את זה מוזכר בשום מנוע חיפוש אפל או בהיר.

עולם המודיעין בסייבר אינו מוגבל על ידי קירות וגבולות הגוף העיסקי, בנושא הזה שיתוף פעולה הוא שם המשחק וכמה שיותר גופים משתפים ביניהם פעולה התוצר טוב יותר. זה לא דורש רק שיתוף פעולה בין חברות מתחרות, אלא גם חוצה את גבולות המדינה לתחום הבינלאומי. הצורך הזה בשיתוף פעולה הדוק, נתקל בהרבה מכשולים שמציבים הרשויות, המחוקק, ואפילו הדיפלומטיה ולא רק הארץ שלנו אלא העולם כולו נמצא בפיגור משמעותי בתחום הזה. אבל מאחר והצורך חזק מכל אילוץ, יש כאן הרבה שיתופי פעולה לא פורמליים, לפעמים תוך חצייה לתחום האפור של החקיקה, למען טובת הכלל. אבל ברור לכולם שזו לא הדרך הנכונה, ממשקים כאלה צריכים להיבנות על ידי המדינה ולא מתחת לשולחן.

בעיה נוספת היא איך מעבירים את המידע המודיעיני לגוף הטכני שאין לו מושג במודיעין ולצד העיסקי שגם לו אין בדרך כלל מושג ירוק במה מדובר. תוסיף לזה שמנהלים שונאים לעבוד בתנאים של אי וודאות, ותקיפת סייבר חזקה מאד בהזרקת אי וודאות לארגון, בעיקר בשלבים הראשונים שלה. מאחר שמשבר סייבר הוא תמיד משבר עיסקי ולא טכנולוגי, מודעות ההנהלה לנושא הזה והכנה מוקדמת (כולל תרגול) היא קריטית לשרידות הארגון בעולם כיום.

דרך אגב, סטטיסטיקה מעניינת שהציג שי, היא ש 60 אחוז מהתקיפות באו מבפנים ומאלה שבאו מבפנים 20 אחוז היו במזיד והשאר בעיקר מחוסר מודעות של המשתמש הפשוט (ואני כולל תחת הכותרת משתמש פשוט גם מנכ"לים שמכריחים את מנהלי המערכת שלהם לתת להם סמכויות מנהל מערכת על המחשב שלהם).

לאחר הפנל הציג אלי זילברמן כספי מקונפידס את תוצאות הסקר שערכה חברת קונפידס על מוכנות הארגונים בארץ לתקיפות סייבר. התוצאות בסקר היו מעניינות אבל מבחינה סטטיסטית יש לי המון בעיות עם קבוצת המדגם. קודם כל קבוצת הדגימה קטנה מדי (כ 150 ובחלק מהתשובות אפילו פחות מ 100), ויש לי חשש שהייתה הטיה מסויימת לטובה בסוג החברות שקיבלו את השאלונים, ולמעשה, המשמעויות של הסקר הרבה יותר חריפות ממה שתואר בו, בעיקר אם ננסה לנרמל אותו לכלל החברות במשק.

WP_20161226_077A

בעולם שאני מסתובב בו 90 אחוז מהלקוחות לא יודעים בכלל מה זה איום סייבר ואין להם בארגון אפילו עובד אחד שהאחריות שלו היא בטיחות סייבר ואילו ברשימת המשיבים של הסקר ל 70 אחוז מהארגונים שנשאלו הייתה פונקציה כזו. אז אם לפי הסקר ל 70 אחוז מהמשתתפים יש תכנית למודעות והדרכה בנושא סיכוני הסייבר בהסתכלות שלי המספר האמיתי בשוק בכלל החברות כולל העסקים הקטנים הוא הרבה פחות מ 10 אחוז.

צריך להזהר כאן לא לשפוך את התינוק עם המים, עדיין חלק גדול מהתובנות של הסקר מעניינות, בעיקר זה שיותר מדי מנהלים חושבים שסייבר זו בעייה של מחלקת ה IT ולא בעיה של הארגון כולו. מבחינתי, הדגל האדום ביותר בממצאי הסקר היה ש 25 אחוז מהמשיבים חוו אירוע סיבר משמעותי בארגון שלהם. מה שאומר שהמצב בכלל האוכלוסייה בארץ הרבה יותר גרוע.

לצער כולנו, בגלל שאין מנגנוני דיווח ואיסוף מסודרים ובגלל שהמדינה אינה חוקרת את התחום הזה, ואינה יוזמת איסוף מידע מסודר על הבעיה. כל נושא הסבל האמיתי של האזרחים ממתקפות הסייבר נמצא מתחת לסף הרעש ובאיזה שהוא שלב יתפוצץ לנו בפרצוף בארוע רב נפגעים ואז יהיה מאוחר מדי לעשות משהו. אני מתכוון כאן למודעות וטיפול ברמת האזרח הפשוט והעסקים הקטנים, שתפקידה של המדינה להגן עליהם, ולא ברמת הארגונים הגדולים, שיש להם יותר מודעות, תקציבים ומוטיבציה לטפל בנושא הזה.

החלק האחרון של היום, שרק בשבילו היה שווה לי כל היום, היה תאור וניתוח של ארוע אמיתי שזכה לשם העיתונאי "ההאקר הסעודי", שארע בארצנו לפני כמה שנים. משתתפי הכנס קיבלו את הסיפור האמיתי, במבט מבפנים, מהעיניים של מי שישב על כיסא המנכ"ל בחברת ישראכארד באותה תקופה , דב קוטלר. זה היה תיאור משבר סיבר משלבי ההתחלה שלו (ב 10 בלילה עם הפרסום הראשון באתר חדשותי וב 10:30 בחדשות הלילה של ערוץ 10) דרך הפתרון הטכני המלא של הבעיה ב 2:00 בלילה של אותו ערב (טכנית המשבר הסתיים תוך פחות מארבע שעות) וכלה בימים נוספים של עבודה יחצנית מהבוקר שלמחרת, כדי למזער את הנזק התדמיתי שנגרם מהפירסומים הסנסציוניים, הרחוקים מהאמת, של העיתונות הצהובה, שפעלה ללא שום הבנה טכנית של הנושא. WP_20161226_098A

דב תאר את המשבר בצורה מדוייקת, עם לוחות זמנים, פעולות שניתבצעו, שיקולי הנהלה, ותוצרים מבלי לנסות לייפות טעויות שנעשו לאורך הדרך. למעשה, בהסתכלות שלי, הייתה רק טעות אחת משמעותית בתהליך, והיא שהם חשבו שהמשבר הסתיים ב 2:00 בלילה (מה שטכנית היה נכון) בעוד שחיכתה להם פצצת זמן שהם לא העריכו נכון את ההשפעה שלה, בעיתונות ובמהדורות החדשות של הבוקר. די ברור בדיעבד שאם הם היו מתחילים כבר ב 2:00 בלילה את מתקפת היחצנות על כל רשתות השידור והעיתונים בארץ, הנזק היה (כנראה) קטן יותר. 

דרך אגב, אם זה בכלל מעניין מישהו כיום, לא 400,000, אלא בקושי 15,000 מפוזרים בין חברות האשראי השונות (שעבדו בשיתוף פעולה לאורך כל המשבר), הכרטיסים נחסמו לפני שמישהו בכלל ניסה להשתמש בהם, כך ששום נזק כלכלי לא נגרם בסופו של דבר לבעלי אותם כרטיסי האשראי.

כל העסק התחיל מאתר לאירוח אתרים אי שם בדרום הארץ, שמסד נתוני כרטיסי האשראי של הלקוחות שלו נפרץ. הבעלים חטף על הראש בבת אחת את המשטרה ואת הרגולטור וזה הגיע לו בעיקר בגלל הרשלנות העצומה בה התייחס למידע כרטיסי האשראי ושאר הפרטים האישיים של הלקוחות שלו. אחד מתוצאי הלואי של הארוע היה שלרגולטור נפל האסימון והוא (בין השאר) כפה את תקן PCI על תשלומים בכרטיסי אשראי באתרים ובכך שיפר לכולנו את הביטחון. מה שאומר שאם הרגולטור רוצה הוא יכול להזיז את התחת שלו וכל מה שצריך זו בעיטה מספיק חזקה.

את האירוע חתם ליאור כלב ראש תחום סייבר בדלויט, שהודה לכולם ושחרר אותנו הביתה. הארוע הסתיים באיחור קטן מאד יחסית ללוחות הזמנים ונוהל לאורך כל היום ביעילות רבה. זה היה מרשים, בעיקר בהתחשב בכמות הדוברים המגוונת מארגונים שחלקם מתחרים אחד בשני, שנדחסה לפרק זמן כה קצר. אם הבנתי נכון, ליאור היה הרוח החיה בארגון ובניהול השוטף של היום, אז מגיע גם לו קודוס, ואם פיספסתי וזה מגיע למישהו אחר, הוא מתבקש לפזר את המחמאה שלי הלאה. מבחינתי הארוע היה יעיל ולא הצטערתי לרגע שבאתי.

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *