מוכנות הארגון לאירועי סייבר מדור טכנולוגיות מידע וסייבר

מאת: דרור בר משה רו"ח, LLM, CIA, CISA, CFE, F–CSX, CRISC, CRMA – סגן המבקר הפנימי, אמדוקס

גיליון זה של כתב העת עוסק בפן הטכנולוגי של עבודת המבקר הפנימי, וכעורך מדור טכנולוגיות מידע וסייבר אני מבקש לחזור על חלק מהדגשים שבהם עסקנו בגיליונות שפורסמו עד כה.

בחירת הנושאים לכתיבה במדור נשענה כמובן על הערכת הסיכון. זו מבוססת בין היתר על פרקטיקות ופרסומים מובילים בעולם, ונושאים אלו יכולים לשמש כחלק מתוכנית ביקורת מקיפה בנושא אבטחת מידע וסייבר.

1. מודעוּת עובדים

"הנדסה חברתית" (Social Engineering) היא פעילות מרכזית לחדירה עוינת שבאמצעותה מושגת "דריסת רגל" במערכות וברשתות הארגוניות. מאמצים אלה נעשים למשל באמצעות פישינג (Phishing) – ניסיון להשיג מידע רגיש באמצעות התחזות, בדרך כלל בדואר אלקטרוני; באמצעות Spear Phishing – ניסיון להשיג מידע רגיש מאדם מסוים תוך שימוש במידע פרטי כדי להגביר את הסיכוי להצלחת המתקפה; או באמצעות מתקפות מתוחכמות יותר המכוונות לדרג ההנהלה בארגון ועושות שימוש בהודעות הכוללות נוזקה (Malware). בשנים האחרונות פעילות ההנדסה החברתית של התוקפים עברה לאינטרנט באמצעות אתרים, רשתות חברתיות ואפליקציות להתקנים ניידים (טלפונים חכמים, טאבלטים).

מומחים מסכימים כי הגורם האנושי הוא נקודת תורפה מהותית בניסיונות תקיפה של מערכות ורשתות בהנדסה חברתית. הבנה זו חיונית כדי לספק מידה רצויה של אבטחת מידע. פעולה, התעלמות, חוסר ידיעה או אי ציות של עובדים יכולים להוביל לאירוע אבטחת מידע – למשל על ידי גילוי מידע רגיש (סיסמאות וכדומה) לגורם שאינו מורשה, התעלמות מפעילות חריגה, או שימוש במידע רגיש על ידי עובד שלא לצורך ביצוע תפקידו תוך אי ציות לנהלים.

לתוכנית מודעות והדרכת עובדים יש חשיבות רבה כחלק מאסטרטגיית אבטחת המידע הארגונית, והיא המפתח לטיפול באיומי הנדסה חברתית. על העובדים להיות מודעים לאיומים הנפוצים, לאחריותם במניעת איומים אלה, לזיהויים ולדיווח עליהם.

דגשים בביקורת פנימית בנושא מודעות עובדים:

• הירתמות של ההנהלה היא חיונית להצלחתה. מומלץ לבחון את מידת המעורבות והאחריות של ההנהלה.
• יש לבדוק את מידת מעורבותם של גורמים מקצועיים בתהליך הבנייה והיישום של תוכנית המודעות וההדרכה.
• יש לבחון כיצד נבנתה התוכנית והאם קיים קשר מובהק למטרות הארגון, לתהליך ניהול הסיכונים, לתהליך ניהול אירועי אבטחת המידע (Incident Management) ולמגמות עולמיות.
• יש לבדוק את אופן תקשור התוכנית לעובדים – האם המסר הרלוונטי הועבר לגורם הרלוונטי? מהם ערוצי התקשורת שנבחרו לשם כך?
• מומלץ לבדוק את אפקטיביות התוכנית להשגת מטרותיה. ניתן לבדוק אפקטיביות באמצעות בדיקות פתע (שיחות טלפון המדמות תקיפה להשגת מידע רגיש, תרגילי התחזות ברשתות חברתיות, שליחת דוא"ל ממקור לא ידוע למייל הפנימי של העובדים כדי לבחון את ערנותם למיילים זדוניים ובדיקה האם יפתחו את הקישורים הללו, וכו'), קביעת יעדים מדידים ובחינת עמידה בהם (למשל הורדת כמות המשתמשים שהקליקו על דואר אלקטרוני זדוני שנשלח אליהם, בחינת כמות הדיווחים על אירוע חריג, וכו'), שימוש בסקרים, סריקת הרשת החיצונית לארגון והפנימית של הארגון כדי לבדוק האם דלף מידע רגיש מהארגון ומאיזה מקור בארגון, ועוד.
• יש לבחון האם פעילות המודעות וההדרכה תוקצבה בצורה מספקת. תקציב זה יכול להיקבע כאחוז מתקציב ההדרכה הכללי, אחוז מתוך תקציב ה-IT הכללי, הקצאה תקציבית לעובד, ועוד.
• יש לבדוק האם מופו קהלי יעד בקרב העובדים ולדרגם על פי סיכון. בהתאם לסיכון יש לתעדף ולהדגיש נושאים ספציפיים (דוגמאות לאוכלוסיות רגישות: אנשי מערכות מידע ורשתות, הנהלה, אנשי כספים, עוזרות אישיות, עובדי קבלן, עובדים חדשים או עובדים ששינו תפקיד בארגון, וכו').
• יש לבדוק האם ניתן דגש להגברת המודעות לדרכי הדיווח של העובדים בנוגע לחשד להתקפה. דיווח מיידי הוא קריטי לעצירת ההתקפה ולהפחתת הנזק.

נושאי בדיקה נוספים מופיעים בתדריך שפרסם ה-NIST (המכון הלאומי לתקנים וטכנולוגיה בארה"ב). מומלץ לעיין בו בהרחבה.

2. איום הכופרה (Ransomware)

תוכנת כופר או "כופרה" היא נוזקה שמגבילה גישה למערכות המחשב הנגוע, ומשמשת לסחיטת תשלום דמי כופר מהמותקף עבור הסרת מגבלת הגישה. לרוב, תוכנות הכופר מבצעות הצפנה או נעילה של הקבצים תוך שימוש בשיטות הצפנה מורכבות, כך שקשה מאוד להסיר את ההצפנה בלי לשלם כופר עבור מפתח ההצפנה. ישנו סוג נוסף של כופרה, החוסם שימוש במחשב או בהתקן נייד כלשהו.

קיימת נטייה לתקוף את אלה שיש ברשותם חומר רגיש או בעל ערך, מפני שהסיכוי לקבל כסף גבוה יותר. בדרך כלל התוקפים דורשים תשלום שיבוצע באמצעות מערכת תשלומים שלא ניתנת למעקב )מטבעות דיגיטליים כדוגמת ביטקוין).

דגשים בביקורת פנימית בנושא מתקפות כופרה:

• האם מקפידים על התקנת עדכוני תוכנה (הכוללים עדכוני אבטחת מידע)?
• האם מופרדים רכיבים שאינם יכולים לעבור עדכוני תוכנה לאזורים נפרדים של הרשת הארגונית?
• האם הוכנה תוכנית פעולה למקרה של התקפה? בכלל זה, האם מיפו את המידע הקריטי של הארגון ואת הגישה למידע?
• האם הגנו על נקודות הממשק בין הרשת הארגונית ל"עולם החיצון"? ודאו כי הגדרות ברירת המחדל ברכיבים אלה שונו.
• האם בוצעו תרגילים כדי לוודא שהתוכנית אפקטיבית?
• האם הופעלו כלי "אנטי-ספאם" היעילים בדרך כלל במתקפות כופרה?
• יש לוודא כי הגיבויים תקינים ומתבצעים בצורה שוטפת.
• יש לבדוק סגמנטציה של הרשת הארגונית.

3. ניהול עדכוני תוכנה (Patch Management)

את רוב התקפות הכופרה אפשר למנוע! חשוב לחזור לרגע אל היסודות. ניהול עדכוני תוכנה הוא תהליך של וידוא שכל פיסת תוכנה וקושחה (Firmware) שנמצאות בשימוש בחברה מעודכנות בגרסאות הרצויות (בדרך כלל העדכניות ביותר שפורסמו על ידי היצרן) ושכל טלאי האבטחה הרלוונטיים הותקנו. עדכון (ובמונחים המקצועיים "טלאי תוכנה") הוא למעשה תיקון פגיעויות מערכת (תיקוני קוד) המתגלות לאחר שתוכנה או רכיב שוחררו לשוק ודורשות תיקון מיידי. טלאי תוכנה חלים על חלקים שונים של מערכת מידע, בהם מערכות הפעלה, שרתים, נתבים, מחשבים אישיים, אפליקציות שונות (דואר אלקטרוני למשל), מכשירים ניידים, firewalls ורכיבים רבים אחרים הקיימים בתשתית הרשת.

ידוע כי אחד מווקטורי התקיפה הפשוטים ביותר עבור פצחנים המחפשים גישה לרשת הארגונית הוא מערכות שלא עברו עדכון תוכנה. פצחנים וחוקרי אבטחה מגלים כל הזמן פגיעויות חדשות, וחברות תוכנה מפרסמות בתדירות גבוהה עדכונים כדי לטפל בהן. אם עדכונים אלה אינם מוחלים, לפושעי הסייבר יש נקודת כניסה קלה לתוך הרשת הארגונית. אם רכיב אחד ברשת לא עבר עדכון, הוא עלול לאיים על היציבות של הרשת כולה ואף למנוע את הפונקציונליות הנדרשת.

דגשים בביקורת הפנימית  בנושא עדכוני תוכנה:

• שיקול המפתח העיקרי הוא סדר עדיפויות של עדכוני התוכנה. יש ליישם טלאי אבטחה קריטיים בהקדם האפשרי, אך מעבר לכך יש לקחת בחשבון גורמים נוספים. מנהלי IT צריכים לשקול באיזו תכיפות נעשה שימוש בתוכנה וכמה היא קריטית לארגון לפני ההחלטה להחיל עדכון.
• חשוב לוודא כי לפני ההתקנה בסביבת הייצור העדכונים נבדקים כיאות בסביבת המעבדה וכי נעשה גיבוי לתצורתה הנוכחית של המערכת. כמו כן חשוב להכין תוכנית נסיגה מפורטת למקרה של כשל.
• סימן ההיכר של ניהול עדכוני תוכנה יעיל הוא בחירת הזמן הטוב ביותר לתזמן אותם. יש לוודא כי עדכונים מותקנים מחוץ לשעות העבודה כדי למזער את ההפרעה לעובדים ולתהליכים האוטומטיים.
• ניהול עדכוני תוכנה הוא קריטי לפעולות העסקיות, אולם נוטים לחשוב כי תהליך זה הוא באחריות מחלקת ה-IT. קשה ליישם בהצלחה תהליך זה ללא הבנה ותמיכה של ההנהלה הבכירה.
• לבסוף, מנהלי עדכוני תוכנה יכולים לייעץ בנוגע להחלטות רכישה נבונות להשקעה עתידית. במקרה שספק מסוים מנפיק עדכוני תוכנה תכופים, ייתכן שמוצריו מהווים סיכון אבטחה וכי נרצה לבחון אפשרויות חלופיות.

בבואנו לבחון את התהליך, מומלץ לוודא כי הפעולות הבאות מבוצעות:

• האם הארגון יודע מהן הגרסאות המותקנות ומהן הגרסאות הזמינות להתקנה (הגרסאות החדשות ביותר)?
• האם הארגון יודע אילו עדכוני תוכנה מתאימים למערכות שונות?
• האם כל העדכונים מותקנים כראוי?
• האם קיימות בקרות לבדיקת התקנת העדכון לאחר התקנתו?
• האם קיימים נהלים לתיעוד פעולות ההתקנה, כולל קונפיגורציה שיושמה?
• האם מיושמת מערכת אוטומטית לניהול העדכונים? בהיעדר מערכת כזו נוודא האם קיימות בקרות מפצות.
• האם נעשים גיבויים ובדיקת עדכונים טרם ההתקנה על מערכות קריטיות?

4. מניעת דלף מידע

בעידן שבו המידע נדרש לנוע באופן דינמי בתוך הארגון ומחוצה לו בערוצים רבים ומגוונים, הסיכון שמידע רגיש יזלוג מתוך מערכות הארגון השונות למקורות שאינם מורשים גדל ומתעצם.

מידע רגיש עשוי לכלול מידע רפואי, מידע אישי ומידע עסקי ארגוני, נתוני כרטיסי אשראי, תשלומי לקוחות ועוד.

ישנן אינספור דוגמאות של זליגת מידע רגיש, הן מחברות ענק עוצמתיות והן מארגונים בסדר גודל בינוני, המדגישות את הצורך של כל ארגון לשמור על שלמות, סודיות וזמינות המידע שברשותו בכל זמן נתון. מידע הוא אחד הנכסים החשובים ביותר של כל ארגון, ולכן על הארגון לפעול במיטב האמצעים העומדים לרשותו על מנת למנוע אירועי דלף מידע, בין היתר כדי למזער את הסיכונים לפגיעה במוניטין ואי עמידה בהוראות החוק והרגולציה.

הסיכונים להתרחשות אירוע דלף מידע מושפעים ממספר רב של גורמים שניתן לחלקם לקטגוריות הבאות: גניבת מידע מהארגון על ידי גורם חיצוני, זליגת מידע מהארגון בשוגג, וזליגת מידע מהארגון בזדון – על  ידי גורם פנימי. אירוע אבטחת מידע שבו מבוצעת פעולה כגון העתקה, העברה או צפייה במידע רגיש או מסווג ללא הרשאה או בשגגה, מכונה גם הוא אירוע דלף מידע.

על הארגון לענות על שורה של שאלות מהותיות ובהן:

• האם וכיצד הארגון מגדיר מידע רגיש ומהן רמות הרגישות השונות? על הארגון למפות ולהגדיר מהו הסיכון של מידע אישי לסוגיו; מהו הסיכון של מידע עסקי לסוגיו; מהו הסיכון של מידע פיננסי ומסחרי לסוגיו; מהו הסיכון של מידע טכנולוגי, כולל קניין רוחני, וכדומה.
• היכן המידע מאוחסן?
• מהם הערוצים שדרכם המידע עלול לדלוף?
• ולבסוף – כיצד למזער את הנזקים אם וכאשר יתרחש אירוע של דלף מידע?

דגשים ביקורת פנימית בנושא מניעת דלף מידע:

• מדיניות ונהלים – האם הוגדרו ומיושמים בארגון מדיניות ונוהלי אבטחת מידע בנושאי סיווג מידע, הפרדת סמכויות, זיהוי עובדים שחשופים למידע רגיש, גילוי וניהול אירועי דלף מידע, הדרכות, החלפת סיסמאות, בקרה שוטפת על הרשאות גישה תוך עדכונים עקב מעבר תפקיד או פרישה, נוהל בנוגע לעובדים העומדים בפני פיטורין, וכן נוהל בדבר אובדן/גניבת סלולרי או מחשב נייד המאפשר גישה.
• סקר דלף מידע – מומלץ לבצע סקר דלף מידע מקיף על ידי גורם מומחה חיצוני ובלתי תלוי, במטרה לסקור את כלי אבטחת המידע שבהם הארגון עושה שימוש ולבחון את התאמתם לצורכי האבטחה העסקיים בארגון ושיטת העבודה הנהוגה בו. הסקר יאפשר לזהות את רמת התאימות בין כלי אבטחת המידע השונים ואופן הפעלתם אל מול הסיכונים לדלף מידע.
• מערך הרשאות – יש לבחון כיצד מיושם מערך הרשאות וסמכויות במערכות המידע בארגון והאם הוא עומד בעקרון "הצורך לדעת" (Need to Know), תוך הגבלת הגישה למידע לבעלי התפקידים הזקוקים לו בלבד. כמו כן יש לבחון עמידה בעקרון הפרדת התפקידים. בנוסף, יש לבחון אילו בקרות מפצות יושמו על מערך ההרשאות, כגון הפצת דוחות חריגים על פעילות המשתמשים במערכות ובדיקתם.
• טכנולוגיה – יש לבחון את הכלים הטכנולוגיים שהוטמעו בארגון לשליטה ומניעת דלף מידע בכל פעילות הארגון. פתרונותDLP – Data Leakage Prevention מאפשרים לשלוט ולהגביל את הוצאת הנתונים בנקודות הקצה בארגון.
• מודעות עובדים – יש לבחון האם התוכנית להגברת המודעות של העובדים כוללת הסברה מספקת בנושאי אבטחת המידע הארגוני וחשיבות מניעת דלף המידע.
• שילוב אבטחת מידע בתהליכי משאבי אנוש – יש לבחון האם בקרות אבטחת מידע שולבו גם בתהליכי משאבי אנוש, למשל: החתמת עובד חדש על נספח שמירת סודיות והנחיות אבטחת מידע.

תרגול אירוע התקפת סייבר – תכנון, מימוש והסקת מסקנות

סימולציה המדמה תקיפת סייבר יעילה הן לארגון והן לביקורת הפנימית. סימולציית תקיפה מאפשרת למפות את הפערים בין המצוי לרצוי, בין התכנון לביצוע.

בשלב התכנון של התרגיל יש לקבוע מי ישתתף בו, מה התרחיש שייבדק, אילו הזרמות מידע (תת-תרחישים) יימסרו תוך כדי תרגיל ואת סדר האירועים בתרגיל.

מטרות ברורות לתרגיל הן אבן יסוד בביצוע תרגיל משמעותי ואפקטיבי. מטרות מוגדרות היטב מסייעות לתכנון מדויק וריאלי יותר של התרחיש במרחב האיומים.

דוגמאות לתרחישים:

• התקפת פישינג (Phishing/Spear Phishing) על עובד הארגון שבאמצעותה מוחדר וירוס לרשת הארגונית.
• הורדת תוכנה "מודבקת" מהאינטרנט על ידי עובד בארגון.
• התקפת DoS (Denial of Service) – הזרמת תנועה רבה לרשת הארגונית הגורמת לקריסתה.
• גניבה פיזית של מחשב ארגוני והשגת גישה למידע או למערכות.
• חדירה לרשת הארגונית על ידי חיבור פיזי של התקן לא מורשה.

דוגמאות לאירועים ופעולות שיש לתת עליהם את הדעת במהלך סימולציה המדמה התקפת סייבר:

• כוננות לאירוע סייבר (מאפייני מצב שגרה, קיום נהלים עדכניים ורלוונטיים).
• שלבים בזיהוי וחקירת האירוע.
• מתי וכיצד מכריזים על אירוע סייבר/מצב חירום סייבר.
• מתי מאיישים חדרי מצב.
• שלבים לבלימת האירוע.
• תדירות ביצוע הערכות מצב ודיווחים.
• תקשורת לגורמי פנים וחוץ (עובדים, הנהלה, לקוחות, תקשורת, מדיה חברתית וכו').
• מעורבות גופים שונים בארגון, כגון מחלקה משפטית, יחסי ציבור ודוברות, הנהלה וגורמים עסקיים, ושיתוף הפעולה ביניהם.
• שלבים בתהליך הערכת הנזק.
• הפעלת תוכנית המשכיות עסקית והתאוששות מאסון.

חשוב מאוד לתעד בפירוט את מהלך התרגיל מפני שהתיעוד יעזור בהסקת מסקנות. מומלץ כי המתורגלים יתעדו את האירועים וההחלטות ביומן אירועים, כולל תזמון של כל אירוע, פעולה או החלטה. מרכיב הזמן בתרגיל חשוב מאוד ויכול בהחלט לשחק תפקיד מכריע בהתאוששות מאירוע סייבר.

בנוסף, מומלץ לקיים בסוף התרגיל דיון פתוח בהשתתפות המתורגלים והמתרגלים במטרה לשמוע את דעתם על התרגיל ומסקנות שעלו ממנו. דיון כזה מסייע לזהות הצלחות ונקודות לשיפור.

לסיכום, ביצוע תרגיל סייבר הוא הזדמנות לארגון לשפר את המענה לאיום סייבר או לאשרר את אפקטיביות הבקרות הקיימות. על המשתתפים בתרגיל (המתרגלים, המתורגלים והצופים בו) לעבוד בשיתוף פעולה על מנת להשיג את המרב – שיפור מוכנות הארגון להתקפת סייבר.

אודות הכותב/ת

דרור בר משה

רו"ח, CRISC ,CISA ,CRMA ,LLM ,CIA
סגן מבקר ראשי, אמדוקס

[email protected]