יותר מ־150 מדינות נפגעו השבוע ממתקפת סייברמהגדולות שראינו, ונשאלת השאלה: איך אפשר ליהנות מקדמה טכנולוגית, ממערכות מורכבות ומשירותים מתקדמים ובמקביל להתגונן מאירועים כאלה?
מנהלי אבטחת המידע מטמיעים שכבות הגנה על מידע ותשתיות קריטיות, ואילו ההאקרים מנסים למצוא חולשות ולנצלן לרעה. חולשות שמתגלות ומדווח עליהן ליצרניות התוכנה בדרך כלל מקבלות מענה מהיר, תיקון ספציפי לבעיה שאותה משתמשי הקצה מתקינים באמצעות עדכוני התוכנה.
במתקפה האחרונה דובר על תוכנה שנגנבה מה־NSA באפריל. האם לגיטימי שארגוני ביון ימצאו פרצות אבטחה ולא ידווחו על כך בזמן אמת? לו היו נדרשים הארגונים לדווח על חורי האבטחה שהם מוצאים, הרי שלא היו טורחים לחפש אחריהם, מאחר שלא הייתה בכך תועלת רבה. תפקידם הוא לרגל ולא להוות חטיבת אבטחת הסייבר של העולם. אך מרגע שדלף המידע מחוץ לארגון, היינו מצפים לדיווח בזמן אמת. סביר להניח שהדלפת המידע נעשתה על ידי גורם מתוך הארגון, ולאו דווקא כפריצה מכוונת לכלי הריגול של NSA. עובדה המטרידה לא פחות.
חודש לפני המתקפה שחררה מיקרוסופט גרסת תוכנה עדכנית שנועדה לטפל בכשל האבטחה, אולם מי שברשותו מערכות הפעלה ישנות של יצרנית התוכנה נשאר חשוף עד ליום שלאחר המתקפה, שבו שינתה מיקרוסופט את מדיניות עדכוני התוכנה שלה והחליטה להפיץ גרסה עדכנית חינמית גם עבור מערכות שאינן נתמכות על ידה משנת 2012, בהן Windows XP.
במשך שנים ייצגתי את מיקרוסופט וספגתי את התסכול מכשלי האבטחה. החברה עושה עבודה נפלאה בתחום, אבל באבטחת מידע אין 100% הגנה, ודי בכשל קוד אחד כדי לאפשר להאקרים לחדור לארגונים. כשלים בפיתוח הם לא ייחודיים לענקית התוכנה, אבל חייבים לשאול: איך ייתכן שאחרי שמונה שנים בלבד חדלה החברה לתמוך במערכות שהיא עצמה סיפקה? כיום כ־10% מכלל מערכות ההפעלה של מיקרוסופט הם מסוג WinXP. כלומר, כמאה מיליון תחנות קצה. האם ייתכן שחברה בסדר גודל כזה תחליט על סמך הרצון להגדיל רווחיות שהיא מפסיקה את התמיכה במערכות הפעלה עבור ארגונים קריטיים בתעשייה ובשירותים הציבוריים בעולם?
לא בכדי גופי בריאות הם הראשונים שנפגעים. ב־2015־2016 53% מנפגעי מתקפות הסייבר היו ארגוני בריאות. מדובר במערכות קריטיות שהדרישה לכופר בגינן יכולה להתממש. התלות של חיי אדם במערכות מחשב במקרה זה היא מוחשית ומיידית, כמו גם החשש מחשיפת מידע רפואי רגיש. בנוסף, בארגוני הבריאות ישנן מערכות יקרות כמו MRI ו־CT, שנשענות על מערכות הפעלה ישנות. לעתים הכנת המערכות הללו לעדכוני תוכנה או לשדרוג היא תהליך שאורך חודשים רבים, ולכן הן מהוות מטרה קלה למתקפות סייבר.
במגרש משחקים עם עבריין
אנחנו יכולים להמשיך ליהנות מטכנולוגיה מתקדמת, אולם מחובתנו להבין מהם צורכי התחזוקה של המערכות הללו. אנחנו מחליפים רכבים, משדרגים טלפונים ובאותו אופן גם מחשבים ומערכות ההפעלה צריכים להיות מתוחזקים ומנוהלים באופן שיפחית ככל הניתן את החשיפה למתקפות הסייבר.
הגנה על ארגונים מורכבת יותר מהגנה על המחשב הביתי שלנו, ויכולה להימשך חודשים. לרוב הכל מסתכם במודעות ובהקצאת משאבים כספיים לטובת הבנת הסכנה והטמעת פתרונות הגנה. אבל בכל פריצה הגורם האנושי הינו האחראי לפתיחת הדלת עבור הפורץ. רוב הפורצים לא ינסרו סורגים כדי להיכנס לבית ספציפי, אלא יסרקו שכונה שלמה ויחפשו דלת או חלון פתוחים שמהם ייכנסו בחופשיות. כך גם במתקפות הסייבר: התוקף בדרך כלל יפיץ מיילים משכנעים שיעודדו אתכם ללחוץ על לינק או לפתוח קובץ, ובכך תהפכו למשתפי פעולה עם התוקף בהפצת התולעת או הווירוס העוינים. במתקפה האחרונה התוקפים הפיצו מיילים ברחבי העולם, וברגע שאדם מתוך ארגון כלשהו פתח את הקובץ, הפוגען ידע טוב מאוד להפיץ עצמו בתוך הרשת הפנימית.
מתקפות סייבר מגיעות בדרך כלל עם דרישה לתשלום כופר עבור שחרור ההצפנה של המידע שלכם. האם כדאי להיענות לדרישות התוקפים? לדעתי, באופן כללי זה לא מומלץ, בטח שלא במתקפה הנוכחית. במתקפה בהיקף כזה יש להניח שהתוקף יחשוש לחשוף עצמו ולכן לא יאסוף את הכסף, כך שאתם יכולים לשכוח משחרור המידע שלכם.
אני מאמינה שלא צריך להיכנס למגרש המשחקים עם גורם עברייני. אני לא מעוניינת לממן גוף כזה ובטח לא סומכת על כך שגם אם אבצע את חלקי בעסקה, הצד השני יבצע את חלקו. חשבו כיצד הייתם פועלים בעולם האמיתי אם מישהו היה גונב את רכבכם ודורש כסף בתמורה להחזרתו. לא הייתי נכנסת למשא ומתן מהסוג הזה, אלא מנתבת את יגוני על אובדן הרכב למציאת דרכים להתגוננות מפני גניבה נוספת.
אם המידע קריטי עבורכם ואתם שוקלים לשלם כופר, הביאו בחשבון שלא תמיד ניתן לשחרר את הקבצים מבחינה טכנית, ושאין לכם באמת מושג אם ההאקר הסחטן לא שתל קבצים נוספים שיאפשרו לסחוט אתכם בעתיד, ושהוא לא סוחר במידע הפרטי שלכם בדארקנט אחרי ששחרר לכם את הקבצים בחזרה.
אז איך אפשר להתגונן מפני פריצה עתידית? גבו את המידע החשוב בדיסק חיצוני שמנותק מהרשת שלכם. לא מומלץ להשתמש ב־HD שמחובר כל הזמן לרשת הפנימית שלכם באמצעות WiFi. הריצו עדכוני תוכנה למערכות ההפעלה באופן סדיר. ניתן לבחור בהגדרות המערכת באפשרות לבצע בדיקת עדכוני תוכנה שוטפים ולהתקין אותם באופן אוטומטי ותדיר. התקינו גרסאות תוכנה עדכניות גם של תוכנת האנטי־וירוס. אפשר להיעזר בתוכנה חינמית כמו זו של מיקרוסופט. אל תפתחו קבצים שאתם לא מצפים להם, גם אם התקבלו ממישהו שאתם מכירים. באותו אופן אל תלחצו על לינקים לאתרים שאינכם מכירים.
גם אם קיבלתם מייל מחבר או מספק שירותים שאיתו אתם עובדים, תעמדו על הלינק של כתובת המייל שלו ותוודאו ששם הדומיין אמיתי. אם למשל קיבלתם מייל מפייסבוק שדורש מכם לאפס את הססמה, ודאו שהמייל אכן יצא מהדומיין [email protected]. בכל מקרה ולמשנה זהירות, היכנסו בעצמכם לפייסבוק ישירות דרך הדפדפן במקום ללחוץ על הלינק שסופק לכם. עדיף.
ותעברו למק. אני מזמן שם.
הכותבת הקימה את תחום הסייבר ואבטחת המידע במיקרוסופט ישראל ובמטה החברה בארה"ב ופרסמה ספרים בנושא