הגנת סייבר כגורם מאפשר לפעילויות בזמן מלחמה

18 אוקטובר, 2023

כיצד מתאימים את המערכות הארגוניות לצרכים של שעת מלחמה מבלי ליצור חשיפה מסוכנת לאיומי סייבר? [מאמר אורח]

מאת עו"ד גלי סלע וולפמן, ראש תחום הגנת הפרטיות ב-BDO
יהוד מרסיאנו, ראש תחום חוסן וסייבר התקפי ב-BDO

בזמן מלחמה מתעוררים צרכים רבים אשר המכנה המשותף להם הוא המיידיות. ארגונים נאלצים לייצר תהליכים חדשים אשר לא מוקמים בשגרה, בכדי לתת מענה לבעיות שונות של לקוחות ועובדים שנוצרו בעקבות מצב החרום.

בימים האחרונים ראינו מספר דוגמאות לתהליכים חדשים שמתפתחים לנוכח צורך השעה. כך לדוגמא ניתן לראות הצלבה של מאגרי מידע הכוללים צרכים של מפוני עוטף עזה (אוכל, בגדים וכיוצ"ב) עם חיבור למאגרי המידע של עובדי הארגון לצרכי התנדבות. 

דוגמא נוספת היא שארגונים רבים מסייעים לעובדיהם בעקבות המלחמה ובעקבות כך יוצרים מאגרי מידע חדשים אודות עובדיהם ובני משפחתם. בהתאם לאמור ארגונים אוספים מידע "חדש" אשר לא נאסף בשגרה. בין סוגי המידע החדשים שנאספים, אנו עדים לאיסוף סוגי מידע אודות מצב נפשי, מצב רפואי, מצב כלכלי ומידע התנהגותי עבור אוכלוסיות אלו.

אין ספק שמצבי חירום דורשים מארגונים לבצע התאמות בצורה זריזה וגמישה, בין אם בתמיכה והתאמה של סביבת העבודה לעובדים, ובין אם בשינויים בליבת העשייה.

יחד עם זאת, גם במהלך תקופת המלחמה, ארגונים נדרשים לפתח גישה פרגמטית לחוסן ארגוני ולעבוד בהתאם לתוכניות ההמשכיות העסקית שלהן. חשוב מאוד להקפיד לא לייצר סיכונים חדשים או להרחיב את קיימים. 

ביצוע שינוים במערכות קיימות והקמת שירותים חדשים במהירות עלולים לייצר סיכוני סייבר משמעותיים לארגון. בשגרה בקרות סייבר מוגדרות עוד בשלב התכנון ומשולבות בהתאם לתוכניות ארוכות טווח.

כיוון שהטמעה של בקרות אלו גוזלות זמן, בזמנים אלה ארגונים נוטים לדלג או לצמצם את הזמן ביישום ותכנון בקרות אלו כדי "לעלות לאוויר" כמה שיותר מהר. לצערנו מפת האיומים והסיכונים עדיין קיימת גם בזמן מלחמה והיא כוללת התקפות סייבר כנגד מדינות, קבוצות תקיפה ויחידים, שמטרתן גניבת מידע רגיש, שיבוש פעולות עסקיות, הרס והשחתה (defacement), הפצת מידע כוזב, התחזות ועוד. 

מטרות הפגיעה הן מרכזי נתונים, מערכות מידע, בקרים תעשייתיים, תשתיות IOT, חשבונות עסקיים ופרטיים, חדירה לקבוצות עבודה ועוד. 

איך ארגונים יכולים להתמודד?

שלב א' – הגדרת התשתית בה יאכסן המידע הנדרש לתהליך בזמן המלחמה 

  • שימוש בענן: בעוד שבזמן שגרה קיימת גישה שתשתית הענן פחות מאובטחת מתשתית הארגון דווקא בזמן חירום אנו מוצאים יתרונות רבים לתשתית הענן כיון שהיא תוכננה במקור לעמידה בפני איומי סייבר ומוטמעות בה שכבות הגנה שנדרש להגדיר ולהפעיל. הדגש במערכות אלו הוא בקשר למנגנון ההזדהות של מורשי הגישה, מידור ואכיפה, ניטור סינון ובקרה. בזמן שגרה, הקמה של בקרות מעין אלו מחייבת משאבים שונים כגון: התמחות של אנשים, ניהול רכש וזמן ביצוע. שימוש בענן בזמן המלחמה מאפשר לצמצם את משך התהליך.  
  • הוספת מערכת חדשה: גם במקרה זה עדיף לבחור במערכת המבוססת תשתית מוכרת בענן (SAAS). הוספת יישומים על גבי תשתיות זו מבוצעת לרוב באופן מאוד מבוקר מצד התשתית כך שהסיכונים למתקפות סייבר אפליקטיביות קטנות משמעותית. למשל שימוש בתשתית של sales force לשירות חדש עדיף מאשר פיתוח מקומי של שירות כזה. כמובן זאת בהנחה ולארגון כבר יש יכולות והיכרות עם הפלטפורמה.  
  • הוספת פונקציונאליות לשירות דיגיטלי חשוף לעולם, לדוגמה: הוספת טופס באתר אינטרנט של חברה קמעונאית למימוש הטבה לחיילים מילואים המשתתפים במלחמה. מרחב הסייבר הינו זירה נוספת של האויב וכדי להטביע את חותמו הוא משתמש ביכולותיו בעיקר מול חברות וארגונים. שירות דיגיטלי שחשוף לאינטרנט הוא שירות בעל סיכון גבוה. ולכן גיבשנו מספר המלצות חשובות מאוד שניתן ליישם לא במאמץ רב:
  • מומלץ להעביר את האתר/ שירות לסביבה מבוססת ענן שבה מיושמת הגנות ברמת DNS ומתקפות אפליקטיביות מתקדמות נוספות. גם אם זה באופן זמני.
  • ראשית יש לבחון אם באמת כל לקוחות הקצה של השירות נדרשים  ולהגביל גישה על בסיס מיקום גאוגרפי, בנוסף יש להגביל את השימוש רק לפרוטוקול מאובטח ולהקפיד על הצפנת התעבורה.
  • ממשק הניהול של המערכת חייב להיות מוקשח, ההזדהות לממשק צריכה להתבסס על מספר אמצעי זיהוי (Multi Factor Authentication) , הגבלת גישה ברמת כתובת IP וניטור מוקפד של פעולות המבוצעות במערכת.
  • יש לוודא שגרסאות התשתית ומערכת ההפעלה הן המעודכנות ביותר.
  • בשגרה נהוג לבצע מבדקי חדירות, יחד עם זאת ולנוכח אילוצי המלחמה, ארגו נים אשר עקב מחסור במשאבים לא יכולים לבצע מבדקים אלו בצורה מעמיקה ויסודית, יכולים לבצע סריקות לקוד ולאתר עם כלים אוטומטיים בכדי לצמצם במידה מסוימת את הסיכון.  

שלב ב' – הגדרת המידע שייאסף הנדרש לתהליך בזמן המלחמה

ארגונים יצטרכו לבצע התאמות לאיסוף סוגי המידע, אשר לא נאספים בעת שגרה, ולכן מומלץ לתכנן את איסוף והשימוש במידע זה בשיטה של "עיצוב לפרטיות".

  • מטרות: הגדירו את צרכי החירום ואספו מידע שתואם את הצורך שנוצר. בין היתר הקפידו לבחון ולוודא כי מטרות איסוף המידע ברורות וידועות לארגון ולנושאי המידע, פרטו את סוגי המידע שיאספו., הגדירו באופן מפורש את מורשי הגישה למידע, בחנו האם נדרשת הסכמה לאיסוף ושימוש במידע, קבעו את מיקום שמירת המידע ואת משך הזמן שנדרש לשמור מידע זה והגדירו את אמצעי אבטחת המידע שיגנו על המידע.
  • סוגי מידע: וודאו שהמידע שנאסף תואם למטרות שהוגדרו. לרוב בעתות חירום אנו עדים לאיסוף מידע של ארגונים שונים, אשר לא נאסף בשגרה כדוגמת מידע אודת מצב נפשי, מצב רפואי, מצב כללי ומידע על התנהגות.
  • הטמעה: וודאו שהמידע שנאסף והשימוש שיעשו בו מוטמעים בתשתית שנבחרה. בנוסף עדכנו נהלים, מסמכים ומדיניות רלוונטיות (מדיניות פרטיות, מסמך הגדרות מאגר, נוהל מורשי גישה, מדינות אבטחת מידע וכיוצ"ב).
  • העלאת מודעות: קיימו הדרכה ייעודית למורשי גישה בקשר לשימושים המותרים בקשר לתהליכים שנוצרו עקב המלחמה.  
  • בקרה: בחנו מעת לעת את הגדרות שקבעתם וודאו שהם עדיין רלוונטיות, כך למשל בחנו במרוצת הזמן האם שמירת המידע עדיין משרתת את המטרה שהוגדרה או לחילופים האם יש לצורך לעדכן את מורשי הגישה למידע.

שלב ג' – שרשרת אספקה

הרבה מהשינויים שתיארנו לעיל, יכללו הסתייעות בספקים חיצוניים ואפילו העברה של תהליכים קריטיים למיקור חוץ בשל היעדרות עובדים, גיוסים וכדומה. נקודות חשובות אשר יש לשים עליהן דגש, כאשר מתקשרים עם ספק חיצוני בעת חירום:

  • האם הספק יחזיק מידע רגיש של הארגון (כגון מידע על עובדים, מידע עסקי רגיש ועוד)?
  • האם הספק יהיה נגיש למערכות ותשתיות של הארגון?
  • האם הספק יחזיק תהליך קריטי עבור הארגון ובשל כך בעצם נכנס כמרכיב בתכנית ההמשכיות העסקית של הארגון?

אם התשובה לאחת מהשאלות הללו היא חיובית, על הארגון לוודא שהיבטי אבטחת מידע והגנת הפרטיות נלקחים בחשבון ושהספק עומד בסטנדרטים שהארגון הגדיר. מידע רגיש של הארגון שנאסף או מטופל על ידי גורם חיצוני צריך לקבל תשומת לב מיוחדת מצד הארגון, היות שהוא לא נמצא בשליטתו.

ישנן מגוון דרכים לוודא שספקים חיצוניים עומדים בסטנדרט אבטחת מידע והגנת הפרטיות של הארגון, בהתאם לאופי השירות וההתקשרות העסקית. בכל מקרה של התקשרות עסקית יש להקפיד להחתים את הספקים על נספחים הכוללים התחייבות לשמירה על אבטחת המידע והגנת הפרטיות. בנוסף, אנו ממליצים לארגונים לוודא באופן אקטיבי שלכל הפחות הבקרות המרכזיות מטופלות כראוי בצד הספק.

לסיכום

הסיוע והעזרה ההדדית של ארגונים ללקוחותיהם, עובדיהם ולכלל האוכלוסייה הוא כמובן מבורך ואנו מעודדים ארגונים להמשיך לעשות כן.

אנו ממליצים לא להקל ראש בטיפול במידע ובתהליכים עסקיים רגישים, על אף שהמציאות דורשת פעולות זריזות ושינויים תכופים. כל שינוי שאתם מבצעים כעת יישאר בתוקף לאורך זמן. 

יחד עם זאת, שינויים והוספה של תהליכים מחייבים הטמעה של בקרות סייבר כמפורט לעיל. בשל הדחיפות תמיד מומלץ לבדוק איזה תשתיות ושירותים כבר יש בענן ולהעדיף ברוב המקרים את האופציה הזו. כמו כן, יש להגדיר ולוודא את מטרות התהליך ולפעול בהתאם לשיטה של עיצוב לפרטיות מראש. בנוסף יש לבחון האם התווספו ספקים אשר אינן מוכרים לארגון בגין תהליכים חדשים אלו ולעבוד בהתאם למתודולוגיה סדורה.

צוות הייעוץ של BDO Cyber עומד לרשותכם כדי לסייע ולעזור.

 

 

Share via Whatsapp

פורסם בקטגוריות: אבטחת סייבר , חדשות

פורסם בתגיות: BDO

כתבות נוספות העשויות לעניין אותך

הטעויות הנפוצות באבטחת שירותי ענן בעסקים קטנים-בינוניים

אוטוטוקס תטמיע בשבביה את פתרון האבטחה של Secure-IC הצרפתית

דוח מדאיג: שני שליש מחולשות האבטחה הידועות - במכשור רפואי