דעה | אין טעם לתת למערך הסייבר עוד סמכויות בחוק - אפשר לעשות יותר עם מה שיש
עינת מירון, יועצת להתמודדות עם סיכוני סייבר, טוענת שטרם מתן עוד סמכויות בחוק למערך הסייבר, יש לבחון מדוע מערך הסייבר לא עושה יותר עם הסמכויות והכלים שכבר עומדים לרשותו
עינת מירון
| 20/10/2021
עינת מירון. צילום באדיבות הכותבת
יום אחרי הראיון שסיפק יגאל אונא לאתר בידיעות אחרונות (ראש מערך הסייבר: "זקוקים לעוד סמכויות" - אודי עציון)ֿ, התעקש אונא כי המערך זקוק לעוד סמכויות בחוק. זאת, בניגוד לדעת קולות אחרים בתחום הסייבר שמתנגדים לעוד רגולציה על המגזר הפרטי. את הדברים של אונא ארצה להציג על רקע אירוע מתגלגל בחברת ACER.
למי שלא מכיר, בחודש מאי השנה יצרנית המחשבים הותקפה במתקפת כופר ונדרשה לשלם על ידי קבוצת התקיפה REvil כ-50 מיליון דולר כדי לקבל את מפתח ההצפנה. כידוע, תשלום הכופר לא רק שלא מבטיח טיפול נכון באירוע, אלא שהוא אפילו עלול לגרור מתקפת כופר נוספת בתוך 6-12 חודשים. זאת, בין היתר גם בגלל שיטת מצליח שמעוררת תאבון אצל קבוצות תקיפה - שילמת פעם אחת, תשלם פעם נוספת. פעם קורבן, תמיד קורבן.
בעוד ב-Acer ממשיכים להתמודד עם גלי המתקפה ממאי, הנה הגענו לחודש אוקטובר ובחברה אישרו לפני חמישה ימים שהם מתמודדים עם מתקפת כופר חדשה, אבל הדגישו שהיא מקומית, על השרתים שלהם בהודו. קבוצת התקיפה Desorden, שקיבלה על עצמה את האחריות למתקפה הנוכחית, העדיפה להעביר מסר שמדובר בקצת יותר מזה ומימשה מתקפה נוספת - הפעם על שרתי החברה בטאוויאן לאחר שלושה ימים בלבד.
אייסר מתמודדת היום עם שלוש מתקפות כופר בפחות משנה. ולא, אין מדובר בחברה בלי משאבים או עם דירקטוריון שלא אכפת לו. טענה שגורה בפי בכירים במערך הסייבר הישראלי שמלינים על חוסר המשמעת של מנהלים במגזר העסקי בישראל. טענה נכונה בחלקה, אך אינה אליבי מספיק לעוד סמכויות למערך הסייבר.
נחזור על זה כי זה חשוב: מתקפת סייבר בפעם השלישית בתוך שנה. אם ננתח לעומק את האירוע, נמצא בו לא מעט כשלים. מאחר ואין דרך אמיתית להבטיח הגנה מושלמת בסייבר, הגיע הזמן לדבר על הפיל הענק בחדר - הכשל הראשון במעלה, שלכם רשויות החוק בישראל. ומערך הסייבר בראשן.
מערך הסייבר נועד לא רק לכתוב רגולציה, אלא לעסוק גם במניעה אקטיבית. אזכיר כי המערך הוא שילוב רשות הסייבר עם מערך הסייבר. גוף אחד היה אמור לספק מניעה אקטיבית (רשות) והשני לכתוב רגולציה. המערך מעסיק כיום כשבעה אנשי IR. אך במקום להתמקד במניעה, הוא מבקש מידע על ״שריפות מתלקחות״ מארגונים עסקיים בישראל.
אם במקום לבקש לעצמך עוד סמכויות, תאחד כוחות עם גופי הסייבר המקצועיים המצויינים שיש בשוק העסקי, כדי לרדוף את התוקפים, אפשר יהיה להגיע לתוצאות כמו בארה״ב. שם, מעבר לאוקיאנוס, הבינו זאת והבולשת (ה- FBI) התחילה לעשות זאת בחצי שנה האחרונה. ועם הישגים מרשימים. אחד מהם הוא השבתת קבוצת התקיפה הידועה לשמצה REvil. אותה קבוצת תקיפה שפגעה ב-Acer במאי השנה.
שיתוף פעולה ממשלתי-עסקי כזה, יתרום תרומה אמיתית למשק בכך שהוא יגדיל את יכולת ההתמודדות של החברות הישראליות עם סיכון הסייבר. כאשר חברות מותקפות, אסור להן להגיב בתקיפה משלהן - הן ברווז במטווח.
במקום לדבר ולשדר לציבור כאילו יש לך יכולת לשלוח זרועות לכל מקום, תאפשר את החכה שהמשק באמת זקוק לה. תפעל בחוק לתת יותר סמכויות למנהלי אבטחת המידע, לפני שאתה מבקש יותר סמכויות למערך.
תפעל בחוק לאכוף מימוש בקרות וענישה כמו שכבר כתוב ברגולציות השונות הקיימות, לפני שאתה מבקש עוד סמכויות בחוק. אפשר לעשות זאת באמצעות הקצאת משאבים אחרת של מערך הסייבר. למקום שבו הם באמת נדרשים. אחרת, נשמע בעתיד הקרוב על עוד ״הלל יפה״.
הכותבת היא יועצת מומחית למנהלים להערכות והתמודדות עם סיכוני הסייבר בהיבטים העסקיים.
עינת מירון, יועצת להתמודדות עם סיכוני סייבר, טוענת שטרם מתן עוד סמכויות בחוק למערך הסייבר, יש לבחון מדוע מערך הסייבר לא עושה יותר עם הסמכויות והכלים שכבר עומדים לרשותו
עינת מירון. צילום באדיבות הכותבת
יום אחרי הראיון שסיפק יגאל אונא לאתר בידיעות אחרונות (ראש מערך הסייבר: "זקוקים לעוד סמכויות" - אודי עציון)ֿ, התעקש אונא כי המערך זקוק לעוד סמכויות בחוק. זאת, בניגוד לדעת קולות אחרים בתחום הסייבר שמתנגדים לעוד רגולציה על המגזר הפרטי. את הדברים של אונא ארצה להציג על רקע אירוע מתגלגל בחברת ACER.
למי שלא מכיר, בחודש מאי השנה יצרנית המחשבים הותקפה במתקפת כופר ונדרשה לשלם על ידי קבוצת התקיפה REvil כ-50 מיליון דולר כדי לקבל את מפתח ההצפנה. כידוע, תשלום הכופר לא רק שלא מבטיח טיפול נכון באירוע, אלא שהוא אפילו עלול לגרור מתקפת כופר נוספת בתוך 6-12 חודשים. זאת, בין היתר גם בגלל שיטת מצליח שמעוררת תאבון אצל קבוצות תקיפה - שילמת פעם אחת, תשלם פעם נוספת. פעם קורבן, תמיד קורבן.
בעוד ב-Acer ממשיכים להתמודד עם גלי המתקפה ממאי, הנה הגענו לחודש אוקטובר ובחברה אישרו לפני חמישה ימים שהם מתמודדים עם מתקפת כופר חדשה, אבל הדגישו שהיא מקומית, על השרתים שלהם בהודו. קבוצת התקיפה Desorden, שקיבלה על עצמה את האחריות למתקפה הנוכחית, העדיפה להעביר מסר שמדובר בקצת יותר מזה ומימשה מתקפה נוספת - הפעם על שרתי החברה בטאוויאן לאחר שלושה ימים בלבד.
אייסר מתמודדת היום עם שלוש מתקפות כופר בפחות משנה. ולא, אין מדובר בחברה בלי משאבים או עם דירקטוריון שלא אכפת לו. טענה שגורה בפי בכירים במערך הסייבר הישראלי שמלינים על חוסר המשמעת של מנהלים במגזר העסקי בישראל. טענה נכונה בחלקה, אך אינה אליבי מספיק לעוד סמכויות למערך הסייבר.
נחזור על זה כי זה חשוב: מתקפת סייבר בפעם השלישית בתוך שנה. אם ננתח לעומק את האירוע, נמצא בו לא מעט כשלים. מאחר ואין דרך אמיתית להבטיח הגנה מושלמת בסייבר, הגיע הזמן לדבר על הפיל הענק בחדר - הכשל הראשון במעלה, שלכם רשויות החוק בישראל. ומערך הסייבר בראשן.
מערך הסייבר נועד לא רק לכתוב רגולציה, אלא לעסוק גם במניעה אקטיבית. אזכיר כי המערך הוא שילוב רשות הסייבר עם מערך הסייבר. גוף אחד היה אמור לספק מניעה אקטיבית (רשות) והשני לכתוב רגולציה. המערך מעסיק כיום כשבעה אנשי IR. אך במקום להתמקד במניעה, הוא מבקש מידע על ״שריפות מתלקחות״ מארגונים עסקיים בישראל.
אם במקום לבקש לעצמך עוד סמכויות, תאחד כוחות עם גופי הסייבר המקצועיים המצויינים שיש בשוק העסקי, כדי לרדוף את התוקפים, אפשר יהיה להגיע לתוצאות כמו בארה״ב. שם, מעבר לאוקיאנוס, הבינו זאת והבולשת (ה- FBI) התחילה לעשות זאת בחצי שנה האחרונה. ועם הישגים מרשימים. אחד מהם הוא השבתת קבוצת התקיפה הידועה לשמצה REvil. אותה קבוצת תקיפה שפגעה ב-Acer במאי השנה.
שיתוף פעולה ממשלתי-עסקי כזה, יתרום תרומה אמיתית למשק בכך שהוא יגדיל את יכולת ההתמודדות של החברות הישראליות עם סיכון הסייבר. כאשר חברות מותקפות, אסור להן להגיב בתקיפה משלהן - הן ברווז במטווח.
במקום לדבר ולשדר לציבור כאילו יש לך יכולת לשלוח זרועות לכל מקום, תאפשר את החכה שהמשק באמת זקוק לה. תפעל בחוק לתת יותר סמכויות למנהלי אבטחת המידע, לפני שאתה מבקש יותר סמכויות למערך.
תפעל בחוק לאכוף מימוש בקרות וענישה כמו שכבר כתוב ברגולציות השונות הקיימות, לפני שאתה מבקש עוד סמכויות בחוק. אפשר לעשות זאת באמצעות הקצאת משאבים אחרת של מערך הסייבר. למקום שבו הם באמת נדרשים. אחרת, נשמע בעתיד הקרוב על עוד ״הלל יפה״.
הכותבת היא יועצת מומחית למנהלים להערכות והתמודדות עם סיכוני הסייבר בהיבטים העסקיים.
