היקף ביטחון פנים: חברות מתמקדות בתשתיות והדרכות

חוק הגזירה האחרון בנושא היקף אבטחת הסייבר הנו תוצאה של הרהורים חדשים על התפתחות איום הסייבר, על ההקשר הטכנולוגי ושל המסגרת הרגולטורית הלאומית והבינלאומית והעובדה שהוא מורכב משחקנים שונים, ציבוריים ופרטיים, מייצגת בפני עצמה אלמנט חיובי. אפילו הקריטריונים לזיהוי השחקנים הם מרכיב לטובת הגזירה מכיוון שהם קובעים כי:

• הנושא ממלא תפקיד חיוני של המדינה, כלומר הוא מבטיח שירות חיוני לקיום פעילויות אזרחיות, חברתיות או כלכליות הבסיסיות לאינטרסים של המדינה;
• הפעלת פונקציה זו או מתן שירות זה תלויה ברשתות, מערכות מידע ושירותי IT ואשר כישלונם, הפרעה, אפילו שימוש חלקי או לא ראוי, עלול לגרום לפגיעה בביטחון הלאומי.

מצד שני, עדיין קיים ספק חזק לגבי העיתוי להגדיר מי יהפוך לחלק מההיקף, בהתחשב בכך שב- DL מזהים את זהותם לגזירה שלאחר מכן (תוך 4 חודשים מרגע כניסתו לתוקף של חוק ההמרה) של נשיא המועצה (סעיף 1 פסקה 2 אות א). מכיוון, כברירת מחדל, צו דחייה נדחה כולו להוראות שלאחריהן יש להוציא מספר חודשים שלא פורטו לאחר כניסתו של חוק המרת ה- DL לתוקף. לכן חשוב שהזמנים הללו יכובדו בפועל.

יתרה מזאת, מדובר בגזירה לא מאוזנת מאוד כלפי שני מרכיבים:

1. רשתות התקשורת ונושא ה- 5G
2. ה- CVCN ש:
   • הוא סופג מחצית מהמשאבים הכספיים המועטים שכבר היו;
   • הוא מסתכן להפוך לצוואר בקבוק, ומעל לכל, לא ברור כיצד הוא מתעורר, מנקודת מבט של הערכות כלפי ספקי ענן. בפרט, בסעיף 7 נקודה ג נאמרת "תכנון ואימוץ של תוכניות הסמכה קיברנטיות, כאשר מסיבות הביטחון הלאומיות ומסכמי ה- CISR הטכני, תוכניות ההסמכה הקיימות אינן נחשבות כמתאימות לדרישות ההגנה של היקף הביטחון הלאומי של הסייבר." מה זה אומר? שגם אם הפתרונות, בין אם הם HW או SW, יעמדו בסטנדרטים בינלאומיים, האם הם עדיין חייבים לעבור את האישור והאימות של CVCN? זהו מקור לדאגה מכיוון שזו תהיה התקשחות נוספת כמו גם הארכת זמנים לאין שיעור.

תוך הערכת המאמץ להגדרת מבנה ארגוני משמעותי, אנו לא עוברים לשורש הבעיות שמטרידות את ארצנו ועולות משאלה ספציפית מאוד "איך המדינה שלנו היא בין הראשונות בעולם בכל הקשור לתקיפות שלא היו מעולם לפני שחברות שלנו סובלות מתקפות בטכניקות שאינן בהכרח מודרניות אך יכולות לפגוע באותה מידה?"

הנתונים של דוח Clusit האחרון הם חסרי רחמים. המחקר מבוסס על מדגם ש- 31 בדצמבר 2018 מורכב ממנו 8.417 התקפות ידועות בעלות כוח משיכה מסוים, או שהשפיעו משמעותית על הקורבנות מבחינת הפסדים כלכליים, פגיעה במוניטין, הפצת נתונים רגישים (אישיים או אחרים), או שבכל מקרה התרחישו תסריטים מדאיגים במיוחד, התרחשו בעולם ( כולל איטליה ולכן) החל מה -1 בינואר ה- 2011, מתוכם 1.552 ב- 2018 (+% 77,8 בהשוואה ל- 2014, +% 37,7 לעומת 2017) ה 5.614 רשום בין ה- 2014 ל- 2018.

בסך הכל, בהשוואה ל- 2017, מספר ההתקפות החמורות שאספנו ממקורות ציבוריים עבור ה- 2018 גדל פי 37,7%. במונחים מוחלטים, ב- 2018 הקטגוריות "פשעי רשת" ו"סייבר ריגול "רושמות את המספר הגבוה ביותר של התקפות של 8 השנים האחרונות. מתוך המדגם עולה בבירור כי למעט הפעילויות המתייחסות לתקיפות בקטגוריה "הקטיביזם" שעדיין פוחתת משמעותית (-22,8%) בהשוואה ל- 2017, ב- 2018 יש התקפות חמורות הולכות וגוברות למטרת "פשעי אינטרנט"(+% 43,8), כמו גם פעילויות המתייחסות לפעילויות של "ריגול באינטרנט"(+% 57,4). יודגש כי בהשוואה לעבר, היום קשה יותר להבחין בבירור בין "ריגול סייבר" לבין "לוחמת מידע": הוספת התקפות של שתי הקטגוריות, ב- 2018 יש עלייה ב 35,6% לעומת השנה הקודמת (259 מול 191)

לפיכך, לאור כל זאת, אנו חושבים שהגזירה צריכה לכסות גם את תחומי הסבל בארצנו אותם הייתי מסכם בנקודות אלה:

• פתרונות לשיפור אבטחה המבוססים על פתרונות מונעי ענן. התקפות מתקדמות, ממוקדות ומתחמקות בעלות אופי אחר מקשות על חברות למנוע בצורה יעילה הפרות מחשב:

1. פושעי רשת משתמשים בהתקפות מתקדמות כדי לעקוף חומות אש אנטי-וירוס, IPS ודור הבא ולהסתתר בחברות במשך חודשים (320 ימים בממוצע ב- 2015, כשהודעות חיצוניות)
2. מעבר ל- 68% מהתוכנה הזדונית ספציפית לחברה ו- 80% מאותה תוכנה זדונית משמשת רק פעם אחת, כך שההגנות מבוססות החתימה אינן יעילות נגד התקפות ממוקדות.
3. מעבר ל- 80% מההתראות הנוצרות על ידי מערכות אבטחה על סמך קריטריונים וחתימות אינן מהימנות ומחסכות משאבים מניתוח דוחות קריטיים.

טרנספורמציית עסקי ה- IT כיום, המרחיבה את משטח ההתקפה של החברה, הופכת אתגר זה למורכב עוד יותר:

1. עד ה- 2020, יישומי ענן ציבוריים יהוו למעלה משני שליש מההוצאות העסקיות. פעולות מבוססות ענן מגדילות פנימה והחוצה את התעבורה באינטרנט של החברה (ואיומים פוטנציאליים) של 40%. יש לשלוט על כל התנועה הזו
2. כיום, מכשירים שאינם חלונות הנתמכים על ידי 96% מהחברות בדרך כלל לא היו מוגנים היטב
3. אימוץ קשרים ישירים לאינטרנט על ידי 40% מהסניפים מגדיל את חשיפתם להתקפות מחוץ להגנה הגבוהה של המשרד המרכזי

כדי למזער את הסיכון להפרות IT יקרות, חברות בכל הגדלים צריכים להגן על עצמן מפני התקפות. את מה שצריך לעשות ניתן לסכם בארבע הנקודות הללו:

1. איתור וחסימה של איומים שמוצרי אבטחה מסורתיים לא מגלים
2. הגיב במהירות והכיל את ההשפעה של תאונות
3. הסתגלות מתמדת להתפתחות האיומים
4. קנה מידה והישאר גמיש כאשר החברה גדלה או מצב משלוח שירותי IT משתנה

הטכנולוגיות שיכולות להבטיח את רמת האבטחה הנדרשת, מבחינה הגיונית, אינן יכולות להיות מבוססות על ארכיטקטורות מקומיות בסגנון ישן אלא על מערכות למידת מכונה ואלגוריתמים של בינה מלאכותית וכבר אינן מבוססות על חתימות הבוחנות את חפצים חשודים לזיהוי איומים ממוקדים, מתחמקים ולא ידועים.

• השקעות להכשרה. ב- 2015 הרחוק כתב פרופ 'בלדוני בספר הלבן לביטחון הסייבר את הדברים הבאים: "לאישים המקצועיים הקשורים לביטחון יש שוק עולמי ולעיתים קרובות באיטליה אנו מוצאים את עצמנו מתמודדים עם מציאויות, שמצד שני, מציעים תנאי שכר טובים בהרבה. מספר הדמויות המקצועיות שקשורות לאבטחת סייבר שמייצרות האוניברסיטאות שלנו עדיין נמוך מדי, גם בגלל מעט המורים שנמצאים באיטליה במגזר הספציפי הזה. זו אחת הסיבות שלמעשה מונעת הפעלה של קורסים חדשים לשלוש שנים ותואר שני באוניברסיטאות רבות באיטליה: קורסים לתואר שכרגע לרוע המזל נספרים על קצות האצבעות. בשל המטרה המשולבת של בריחה מאיטליה כדי לנצל הזדמנויות שכר חשובות ויצירה נדירה של דמויות מקצועיות המתאימות לצורך, יש צורך ודחוף לפתח אסטרטגיות לשמירת מוח שהופכות את העבודה בנושאי ביטחון לאטרקטיבית יותר. IT במדינה שלנו. ישראל, למשל, הצליחה לבלום את הדימום באמצעות יצירת מערכת אקולוגית ממשלתית של תעשיה ואוניברסיטה המבוססת על פארקי טכנולוגיה ומדיניות תמריץ לספינים, והצליחה בדרך זו להפוך חולשה אנדמית לגורם צמיחה. . בנוסף לתוכניות הללו, עלינו ליצור את התנאים בכדי להחזיר את מיטב המוח שלנו למדע וליזמות במגזר הביטחוני לאיטליה. הניידות של שוק העבודה היא בעיה אנדמית במגזר זה שאינה תופסת רק את איטליה: כמה מדינות גדולות עוברות, מצד אחד לרשותן, בעוד כמה שנים, את כוח העבודה הנדרש ומצד שני, ליצור תנאים לשמירה על גבולם. זה נוגע, למשל, למדיניות של הלוואות לכבוד לסטודנטים: לדוגמה, מדיניות שכבר ניהלה צרפת וגרמניה ואשר ניתן היה לקחת בחשבון גם בארצנו בכדי להחזיק בוגרים חדשים במבנים הממשלתיים שלנו, ברשות הפלסטינית ובמערכת התעשייה הלאומית. אם לא נקבע מדיניות נאותה, המצב יתדרדר משמעותית בשנים הקרובות. שים לב בעניין זה, שמדינות כמו גרמניה נוקטות מדיניות אגרסיבית מאוד כדי למשוך לא רק מדענים ויזמים, אלא גם סטודנטים זרים פשוטים לקורסי תארים באוניברסיטאות שלהם.". ארבע שנים חלפו ומעט השתנה אך העובדה שבכמה אוניברסיטאות כמו פוליטניקניקו די מילאנו, לה ספיאנצה, טור וגטאטה, קליארי, הוקמו קורסים לתואר שני בביטחון סייבר אך אין תוכנית לאומית ליצור דמויות מקצועיות נאותות כתוצאה מכך, היא ממשיכה להיעדר בתרבות הנחוצה כדי לשנות את הרגישות כלפי בעיה שהפכה לאחת החשובות בעולם.

• השקעות להסרת התיישנות טכנולוגית. ההתקפות שאיטליה עוברת תלויות לא כל כך ביכולתם של התוקפים להשתמש בטכניקות חדשות, דבר שקורה במקרים מדויקים ועם קמפיינים ממוקדים (APT), אלא מתשתיות ויישומים מיושנים, שדווקא בגלל היעדר הקלות מס עבור חברות פרטיות, לרוב חברות קטנות ובינוניות, והשקעות עבור חברות ציבוריות, אינן מסוגלות לעדכן ולאבטח את הפלטפורמות שלהן.

• חיזוק ה- CERT. אם אנו מסתכלים על הסצינה הבינלאומית מבחינת ארגון יחידות אבטחה, ישנם כמה דגמים שאנו מוצאים. בדיוק בגלל הניסיון שלנו ושיתוף הפעולה שלנו עם ממשלות מדינות אחרות (בריטניה, דנמרק, צרפת, גרמניה, צ'כיה, רק אם נזכיר כמה), אנו מאמינים כי יש צורך להקים יחידת משבר קבועה ב- CERT נשיאות ארצית או מועצה, המורכבת מטכנאים מהמגזר הפרטי והציבורי העובדים לטובת המדינה. יחידת אבטחת סייבר מרכזית הפועלת כתא פעיל תמיד להגיב באופן אחיד להתקפות על מינהל ציבורי ותשתיות קריטיות בעלות עניין לאומי, המופקדות על הכשרה ומודעות במדינה ולבסוף, המסוגלות להגיב מייד ל איום קיברנטי בסינרגיה מוחלטת עם המחלקה המחלקתית והמשטרה והדואר המופקדים על ניגודיות ודיכוי התופעה. למעשה, תא מרכזי שעוצמתו טמונה במערך כישורי החקירה המגיעים מהמשטרה ואלה הממוחשבים בצורה קפדנית יותר, שהם מאפיינים של אלו העובדים בחברות שהופכות אבטחה לאלמנט ייחודי. יוזמה זו תואמת את תחושת החירום והתגובה היעילה הנדרשת על ידי הנחיית האיחוד האירופי בנושא אבטחת סייבר (ש"ח) שתאושר בקרוב על ידי הפרלמנט האירופי, וכתוצאה מכך, כמו איטליה, נצטרך ליישם בקהילה האירופית שלנו מערכת החקיקה. כל זה חייב בהכרח לעבור עליית הידע והכישורים היחסיים של יחידת הבטיחות ברשת, כאמור, באמצעות שילוב של מומחים שבאמת יש להם חוויה ישירה יותר של השוק ויכולים לעבוד לצד אלה שיש להם את הידע. והחוויה "הצבאית / ממשלתית" יותר.

אני מאמין שאם מקבלי ההחלטות שלנו היו עוברים בדרך זו נוכל סוף סוף לצאת ממצב החול הטוב הזה ולהביט בהתלהבות מחודשת במהפכה דיגיטלית אמיתית.