כשהיינו ילדים הרבה לפני שחשבנו על אבטחת מידע, היינו מתווכחים בלהט על תוצאותיו של דו קרב דמיוני. לו בטמן היה נלחם מול ספיידרמן או סופר מן מי היה מנצח. שנים מאוחר יותר תעשיית הקולנוע תוציא סרט המציג קרב כזה בדיוק לשמחתם של אוהדי MARVEL ו-DC ברחבי העולם. כי זהו היקום של DC ו-MARVEL, על אף כל הצבעים הבוהקים, מדובר בעולם של טוב ורע, של חזק וחלש. עולם הסייבר אינו כזה.
ילדי MARVEL ההם הפכו להיות מנמ”רים, אנשי IT ומנהלים בכירים בחברות. ומול איומים של רשע מוחלט כמו האקרים, תוכנות זדוניות, פישינג, פרמינג, גניבת מידע וכופר הם מחפשים את הפתרון הטכנולוגי, גיבור העל האולטימטיבי שיציל אותם בימים סבוכים אלו.
הם מביטים על כל פתרונות אבטחת המידע ושואלים מה יותר טוב ? אנטי וירוס או MDR, חומת אש או סינון דואר, WAF או Patch Management. במה להשקיע בגיבוי או בהגנה? אולי אני צריך תרגול או Penetration testing… ומה מכל זה תספק לי חברת ה-IT? אולי צריך ביטוח סייבר אולי חברת יעוץ או לשכור CISO.
בעולם הסייבר כמו ברבים מתחומי המחשוב והתקשורת השאלה אינה מה טוב יותר אלא מה מתאים יותר עבורך. השאלה היא לא מה הפתרון אלא מה התרחיש עליו הוא עונה. איומי הסייבר כמו התוכן של MARVEL הינם באמת עולם ומלואו:
ביקשתי מ-CHATGPT להוציא רשימה חלקית של תרחישי הסייבר מהם צריך ארגון בן ימינו לנסות להימנע ואיליהם עליו להתכונן: קיבלתי רשימה של מעל 100 תחומים
כמעט את כל התרחישים לא ניתן למנוע ב-100% וכמעט כולם דורשים הגנה של יותר משכבה אחת. אסון לרוב לא נגרם מטעות או כשלון אחד אלא הוא השילוב של תוצאותיהם של מספר כשלי תכנון. אז מה עושים? כמו בביטוח מנסים לבחון מה הם התרחישים ההרסניים ביותר, אותם תרחישים היוצרים נזק בלתי הפיך שקשה עד בלתי אפשרי להתאושש מהם. מה הם התרחישים בעלי הסבירות הגבוה, ומה האפשרות והעלות להיערך לתרחישים מבעוד מועד.
מה ספיידרמן אמר על ההתאוששות מאסון?
פיטר פארקר, הלוא הוא ספיידרמן הצהיר פעם “No matter How many times I get hit I always get back up” אבל מה קורה כאשר אין אפשרות להתאושש? כשאין מידע אין אפשרות להתאושש. 70% מהעסקים הקטנים-בינוניים לא ישרדו מצב של אסון מידע (מצב בו אין גיבוי רלוונטי לחזור אליו). גם אם המערכות אבטחה הטובות ביותר גיבוי הוא הדרך האידאלית לוודא שתרחישי הבלע
ות לא הופכים לסופניים עבור העסק. בין אם מדובר בתקיפה, בוירוס, בעובד מתוסכל או בטעות טראגית של מחיקה\פרמוט לבין אם מדובר בפגיעה בחומרה בחדר השרתים גיבוי מצמצם את רמת הפגיעה ומאפשר לשחזר ולהמשיך לעבוד. טיב הגיבוי בהתאם לרמת פתרון הגיבוי (מאמר בנושא כאן) וכאן ההמלצה היא לא לחסוך – אך עם זאת לחשוב על היחס בין זמן השחזור ועדכניות השחזור מול המחיר בהוצאות התפעול.
הגיבוי חשוב לציין מושפע גם הוא מאבטחת המידע מפני שיש איומים, כמו וריאנטים של וירוס כופר, המבקשים לשם למטרה את אמצעי הגיבוי ומאיימים על שלמות המידע דווקא בעת בו נדרש לשחזר. שימוש באמצעי גיבוי רשתיים, הרשאות ומידור, ניטור ובקרה ונהלים הינם חלק מהדרכים בהם ניתן לשמור על הגיבוי מוגן.
מה קלארק קנט לא סיפר ללואיס ליין?
שכבות הגנה רבות אינן דורשות הוצאה כספית, למעט העבודה והידע להטמיע אותם. מידור והרשאות מצמצמים לרוב את הנזק או את האפשרות לגניבת המידע – מפני שפריצה מגיעה לרוב ממכשיר או משתמש בעל הרשאות מצומצמות ברשת. בנג’מין פרנקלין כתב ששלושה אנשים יכולים לשמור סוד, רק אם שניים מהם מתים וזו כנראה גם הסיבה שסופרמן לא רץ לספר ללואיס על זהותו הבדויה. מדיניות הרשאות, מדיניות סיסמה אחידה בארגון וניהול זהויות הם רכיבים קריטיים בשמירה על מידע ולרוב קשור יותר בנהלים פנימיים ולא בהצאה כספית.
היערך בהתאם לסבירות בישראל כמו בגות’ם סיטי.
בגות’ם סיטים, עירו של באטמן, ארגוני פשע השתלטו על העיר ואיימו על תושביה. במצב זה תקיפה אינה עניין של “אם” אלא של “מתי”. ישראל מוקפת אויבים ויעד קבוע לתקיפות, ארגוני הפשיעה שלנו אינה מונהגת ע”י ג’וקר חייכן או איש פינגווין מבעית אלא ע”י מדיניות חורשות רע, וארגוני פשיעה במדינות חסרות חוק.
רמת הסבירות לתקיפה זדונית בישראל או לניסיון גניבת מידע היא גבוה באופן כללי, אך אנו יכולים להבחין בין רמת סבירות של תרחישים שונים בהתאם ליוקרה של המידע ברשותינו ואזהרות רשות הסייבר הלאומית שיוצאות חדשות לבקרים.
ה-Avengers ושכבות ההגנה של ה-CISO.
בסדרת סרטי האוונג’רס איירון מן הוא המוח, הולק דואג לכוח הזרוע וניהול כעסים, וקפטן אמריקה הינו המנוע המוסרי ובונה המורל הקבוצתי. כל אחד מצוין במענה על תרחישים המתאימים לכישורים שלו. היותם צוות החושב יחד על אסטרטגיית הגנה לגלקסיה מאפשרת לאפקטיביות להיות גבוה מסך חלקיה.
כל CISO (מנהל אבטחת מידע) מתחיל לומד כי התפישה המוכחת באבטחת מידע הינה מעגלי אבטחה שונים שלכל אחד היכולות למנוע פריצות ותרחישים. המרכיב האנושי, הגנה על המרחב, הגנה רשתית, הגנה על עמדות הקצה, אבטחה אפליקטיבית, הגנה על המידע ועל הליבה הקריטית של הארגון. ברוח זו ארגון נדרש להתאים תרחישים סבירים, לתקציב סביר לפתרונות מנע בכל אחת מהשכבות השונות בכדי למנוע מצב שבו התאוששות מאסון תהיה בלתי אפשרית או לא כדאית. את האסטרטגיה שתיגזר מתוכנית זו עליו לאכוף באופן אקטיבי ע”י מדיניות ונהלים ובאופן אקטיבי באמצעות ניטור ובקרה. מבחינה זאת אין גיבור חזק יותר או טוב יותר שמייתר את שאר אמצעי האבטחה, אך יש פתרונות המשתלבים היטב באסטרטגיית אבטחת המידע הארגונית. רק כך הטוב מנצח את הרע.