איך שומרים על מידע בלי לדעת מי ומתי תוקפים אותך? מי החוליה הכי חלשה בארגון? ולמה הגנה יותר מעניינת מהתקפה? עמיחי, מנהל הסייבר של רפאל, מרחיב // לינוי בר-גפן
עד 2018 בתי חולים התמודדו בעיקר עם בעיית הזיהום הפיזי: חיידקים אמיתיים שקוטלים את חיי החולים דווקא במקום שבו הם אמורים להחלים. כיום הסכנה המאיימת לא פחות היא זיהום המיכשור הרפואי בפריצות של האקרים: בשנה שעברה נרשמו 148 פריצות שחשפו מידע רפואי אישי, פי שלושים מהעשור הקודם. החשש מאירועים קשים יותר הוביל בתי חולים אמריקנים לדרוש מיצרניות המכשירים הרפואיים לשפר את הגנת הסייבר של ציוד רפואי המחובר לאינטרנט, וכן לדרוש לחשוף בפניהם את התוכנה שמפעילה את המוצרים כדי לזהות נקודות חולשה. אבל האם זה מספיק?
רק לפני כמה חודשים אמר גיל שוויד, מנכל צ’ק פוינט: “לא מספיק שיהיו אלף מומחי סייבר, כי בני אדם לא יכולות להיאבק בבוטים האלקטרוניים. ברמת המדינה, צבאות ההגנה האלה לא קיימים. לאף מדינה אין כוח שמזהה התקפה, מבין מה המקור שלה, ויכול להפעיל את הכוח כדי לעצור אותה”. שוויד טוען ש”מתקפות סייבר משתמשות כיום בכלים מרשימים מהדור החמישי. לכל חברה יש מוצרים שמגנים עליה, של צ’ק פוינט ואחרים, אבל רובן מהדור השלישי”.
עמיחי, מנהל הסייבר של “רפאל”, נאלץ להסכים איתו:
“התקיפות היום מאוד מתוחכמות והרבה מהחברות שקיימות בשוק לא ערוכות לדעתי מספיק. אפשר לראות בכל מיני נקודות שחלק מהתקיפות מצליחות”.
אתה מדבר על התקפות פולימורפיות?
“תקיפה פולימורפית היא תקיפה שאין לה צורה, אתה לא יכול לזהות שהותקפת. היא תקיפה רב שלבית שכל שלב בה נראה שונה מהקודם. יש איזשהו מינוח לתקיפה מתחוכמת – APT – Advanced Persistent Threat שזה בעצם תוקף שמנסה להגיע לתוך ארגון, יושב שם ברשת בשקט לפעמים חודשים ושנים, מבסס את האחיזה שלו ואז מגיע לנכסים, לוקח מידע או מבצע השבתה.
"אנחנו הולכים לעולם של רכבים אוטונומיים. הרכב שלך מחובר לשירות ענן ונדמה לך שאת מסיעה אותו לכיוון מסוים ולמעשה הוא מוסע לכיוון אחר"
“שחקני התקיפה בעלי הרבה יותר משאבים ויכולות וטכנולוגיות. אני, למשל, עולה לארגון שלי כסף ולא מכניס לו ביזנס. לעומתי התוקף יכול להביא ערך שווה כסף לגוף שמפעיל אותו. לכן גוף תקיפה, כמו מדינה, תתן לו הרבה יותר משאבים ממה שאני מקבל כגוף הגנה. התוקפים הלא קונבנציונאליים, שאני צריך להיות יצירתי במיוחד מולם, הם לא אלה שיושבים עם לפטופ במחסן של אמא ומנסים לגנוב מידע מרפאל. דווקא בגלל שאני מבין שאני מתמודד עם מישהו עם כלים טובים יותר אני צריך להיות יותר יצירתי. הרבה יותר מתסכל להיות בצד השני שלא נדרש ליצירתיות הזו”.
מה תוקף מחפש?
“תוקף תמיד ינסה את השיטה הכי קלה ומהירה, והחוליה החלשה ביותר בכל ארגון זה העובד. בקריירה שלי בעולם הזה ראיתי מיילים שאפילו אנליסט סייבר לא יבין שהם בגדר פריצה. דברים קטנים שעובד מן המניין אין לו סיכוי לעלות עליהם בלי הכשרות. אני אישית לא נפלתי אף פעם, אבל ראיתי תקיפות במקום אחר שהמייל היה נראה אמין לחלוטין, עובד נפל בפח וזה גרר לאירוע של כמה שבועות טובים שמומחים היו עסוקים בלתקן. יש הרבה תקיפות בארץ שלא מפורסמות שאנחנו רואים בהן תוקף חכם”.
כשכמות המוסדות שמתיימרים ללמד הגנת סייבר אדירה, לוחם הסייבר שעמיחי רוצה ב”רפאל” נמדד פחות בתעודות האקדמיות שישלוף ויותר בתכונות האישיותיות שיציג.
“אני חושב שמה שמייצר את היצירתיות זה כוח האדם, לא הטכנולוגיה. סייבר הפך להיות באזז. צצו מכללות סייבר על ימין ועל שמאל ופתאום כולם עושים הסבת מקצוע עם קורס של 3 חודשים. הביקוש לעולם הסייבר כל כך גדול, שמנצלים את זה לרעה: עומד מולך אדם שלכאורה הוא מומחה, אבל למעשה הוא הצליח לדלג מתפקיד לתפקיד והצליח להרשים בראיון ובקורות החיים, אבל אין לאיש הזה את היוזמה והחדשנות והיצירתיות הנדרשת. כשאנחנו מכשירים עובד אנחנו נותנים דגש לא רק על הנושאים היבשים, אלא על חיזוק השריר של החדשנות והיצירתיות. יש היום אמירה “האם צריך לעשות תואר בעולם הסייבר?” כי המוסדות האקדמיים לא כל כך יודעים לאכול סייבר. בטכניון יש היום 3-2 קורסים על אבטחת מידע, וזהו. אני יכול להגיד שאני מכיר עובדים מבריקים שלא עשו תואר והמציאו שיטות חדשות ולמדו לבד, אבל יש גם הרבה כאלה שאולי בגלל שהם לא למדו עושים משהו מינימלי לחלוטין. זה סוג של אופי של אנשים שאוהבים אתגרים לעומת כאלה שלא”.
איזה סוג של אדם הולך להיות בעולם ההגנה? מה מבנה האישיות שלו?
“זה צריך להיות אדם מאוד סקרן עם תפיסה שיוצאת מהקופסא. הוא צריך כל הזמן לחקור מה הוא לא יודע, כל הזמן לבקר בכנסים, באתרים שמדברים על תקיפות. לדעתי להיות מגן מאוד דומה ללהיות תוקף ברמת החשיבה: אני צריך כל הזמן לרדוף אחרי מה שהתוקף חושב ולעשות אותו דבר, כשיש פה הרבה אלמנטים של פסיכולוגיה”.
איך לומדים להכיר את האויב?
“כולנו ברפאל חנונים ואנחנו לא עושים שום דבר תקיפתי. כקבוצה אנחנו רק עושים הגנה כדי לשמור על נכסי החברה. אבל אנחנו מתרגלים תקיפה – מביאים לארגון אדם שחושב ומתנהג כמו תוקף, ונותנים לו לבצע תקיפה. אנחנו לא מביאים עבריינים, חלילה, אבל כיום יש בארץ מספר רב של חברות שמעסיקות עובדים שעושים קורסים באיך לתקוף. אותן חברות סייבר יודעות להביא לי מומחה שיתקוף אותי ויתרגל איתי את זה. אנחנו נותנים לו לשחק בצורה מבוקרת אצלנו ברשת ורואים מה הוא מחפש כדי לראות שאנחנו מגנים על הנכסים הנכונים עם הכלים הנכונים ובשיטות הנכונות”.
אין לך אף פעם את החשש שאחד העובדים יעבור צד?
“בדרך כלל אנשים שעובדים בתחום ההגנה לא מחפשים לתקוף. אני מכיר אנשים שהתנסו בשני הצדדים, גם ההגנה וגם התקיפה, ובסוף באו ואמרו “עולם ההגנה יותר מעניין”.
ככל שמתרבים המכשירים המחוברים לרשת ו/או פועלים אוטונומית, כך גדל החשש של עמיחי מהשילוב הנפיץ של רצונות זדוניים ובורות. קצת לפני שהחלו מסעי הרכישות של “בלאק פריידי” האחרון, לדוגמא, ה FBI הזהיר את רוכשי הטלויזיות החכמות מאפשרויות הריגול שטמונות בהן. זה לא ממש עשה את העבודה.
“כל הרכיבים שמחוברים לאינטרנט הם נגישים ואם אני מתקין מצלמה בחדר של הילד כדי לראות שהכל בסדר איתו אני צריך להבין שאותה מצלמה מגיעה עם הגדרות שהן ברירת מחדל. לכן סביר להניח שמישהו שיושב בצד השני של כדור הארץ יכול להכנס אלי למצלמה ולראות את הילד שלי ויכול לרגל בתוך הבית שלי. אבל ניחא זה, יש תרחישים הרבה יותר מורכבים. זה יכול להיות מתקיפות של הונאה כספית שמתחילות ממייל תמים: נראה לך שאת מדברת עם מישהו שאת מכירה והוא לא. גרוע לא פחות: אנחנו הולכים לעולם של רכבים אוטונומיים.הרכב שלך מחובר לשירות ענן ונדמה לך שאת מסיעה אותו לכיוון מסוים ולמעשה הוא מוסע לכיוון אחר”.
איך זה השפיע על הבית שלך?
“אני לא פרנואיד, אני לא משאיר את האלקטרוניקה מחוץ לבית, אבל כשאני קונה משהו מאתר אינטרנט אני מוודא שפרטי האשראי שלי מוגנים. כשאני קונה מצלמה אני נכנס להגדרות ומגדיר ססמאות חזקות, וגם בטלויזיה. היכולות של ההגנה קיימות – יצרני הטלויזיה והמצלמות מאפשרים לעשות חליפות הגנה בהגדרות. הבעיה היא שהמודעות והידע כדי לפתוח את אותן יכולות לא קיימות אצל רוב הצרכנים”.
אז אני צריכה לחשוש מהיום שבו המקרר החכם שלי יקום עלי לכלותי?
” אני לא חושב שמחר בבוקר המקרר יתחיל לזרוק עלינו קוביות קרח, זו כנראה תהיה המתקפה הטפשית ביותר בעולם”.
This website uses cookies to ensure you get the best experience possible קרא עוד