לסייע לתוקף מבלי לדעת – Insider
כ500 מיליארד דולר. זה הנזק הכלכלי שנגרם לעסקים ברחבי העולם בעקבות התקפות סייבר בשנה שעברה כך לפי חברת הביטוח הבריטית Lloyds, כאשר הצפי הוא שעלות זו תוכפל פי 4 עד שנגיע לשנת 2021, כך לפי חברת המחקר Juniper. שנת 2016 התבלטה כשנת הRansomware בה ארגונים רבים, אנשים פרטיים ואף גופים ממשלתיים ברחבי העולם נפלו קורבן להתקפות מסוג זה ונאלצו לשלם כסף רב בכדי לשחזר את הקבצים הרגישים שלהם שהוצפנו ונחטפו. בינתיים, על סמך אירועים רבים נוספים שקרו, נראה כי 2017 לא תהיה שונה מקודמתה והסיבה היא פשוטה: כסף. ברחבי העולם יושבים אנשים המרוויחים כסף רב מפשעי והתקפות סייבר ולכן כל עוד שהם יוכלו להמשיך ולהרוויח כסף מהתקפות אלו, תהיה להם המוטיבציה להמשיך ולמצוא דרכים לעקוף את מנגנוני האבטחה הקיימים ולעיתים קרובות יעשו זאת בעזרת הגורם האנושי היושב בתוך הארגון המותקף הקרוי Insider. כך זה נמשך כבר שנים רבות וכך זה ימשיך להיות בעתיד הנראה לעין – סוג של מירוץ חימוש בין התוקפים לבין אותם אנשים שמנסים להגן עלינו מפניהם.
הצרה היא שבעוד שמנגנוני ההגנה הופכים מתוחכמים ומורכבים יותר לעקיפה, קיים מנגנון מרכזי אחד שקשה מאוד לשדרג אותו ולעדכן אותו באופן שוטף כך שידע להתמודד עם האיומים החדשים ביותר וזהו הגורם האנושי. נהוג לומר שקיימים שלושה סוגים של גורמים אנושיים בתוך ארגון העלולים להביא לפגיעה בנכסי הארגון המכונים בשפה המקצועית Insider: הזדוני (זה שרוצה לגנוב מידע או לגרום נזק למשל מתוך מרמור ורצון לנקמה), זה שאדיש ולא אכפת לו ממה שקורה בארגון ולכן ילחץ על כל לינק שיקבל אם יסקרן אותו ולא יחשוש או יעצור לחשוב על נזקים שעלולים להגרם, אך בעיקר זה שכלל איננו מודע לסכנות הסייבר (או חמור מכך, חושב שהוא יודע ממה צריך להזהר אך בפועל הידע שלו איננו מדוייק ועדכני). כיום במקרים רבים התוקפים כלל לא צריכים לנסות להתמודד מול מערכות ההגנה המרובות והמורכבות, כל שהם צריכים לעשות זה לשכנע גורם בתוך הארגון לבצע פעולה מסויימת שתאפשר להם להריץ את הקוד הזדוני שלהם מאחורי הגב של מערכות ההגנה. מספיק עובד אחד שאיננו ערני או מודע ומידע רגיש של הארגון עלול לדלוף לידי התוקף. הצרה היא שלתוקפים יש ארסנל שלם של דרכים לשכנע עובדים תמימים לבצע פעולות שיסייעו לתוקפים והארסנל הזה מתעדכן כל הזמן ולכן חשוב מאוד שארגונים יקפידו לרענן מדי שנה את הידע של כלל העובדים שלהם – בדוגמאות, מקרים וטכניקות של אותן התקפות עדכניות בכדי להגן על הארגון. למשל בשנה שעברה ראינו קאמבק של קבצי אופיס נגועים בקוד מאקרו זדוני (למשל קובץ אקסל שלכאורה מכיל נתוני הערכת עובדים לקראת בונוסים וכמובן שכמעט כל עובד יפתח ברצון את הקובץ כדי לבדוק האם הוא עתיד לקבל בונוס, ואף יאשר הרצת קוד מתוך הקובץ בכדי להצליח לראות את הנתונים), לינקים לתמונות אישיות ורגישות מודלפות לכאורה של מפורסמות המנצלים פרצות בדפדפן להרצת קוד זדוני מבלי אישור המשתמש, שליחת לינקים המוסווים כתמונות בהודעה פרטית בפייסבוק, הפצת תוכנות חינמיות נפוצות (כגון VLC) שנארזו מחדש וכוללות כעת גם קוד זדוני, שתילת קוד זדוני באפליקציות מובייל פרוצות, בניית אתרים המתחזים לאתרים מוכרים (כגון יוטיוב) ומציעים הורדה של עדכון תוכנה לנגני המדיה כאשר בפועל הקובץ המורץ מדביק את מחשב המשתמש ועוד.
קיים פתגם מוכר המתאר באופן מדוייק את הבעיה הזאת: “שרשרת חזקה בדיוק כמו החוליה החלשה ביותר שלה”. במקרה זה העובדים מייצגים את החוליה החלשה כיוון שבפעולה אחת שגויה הם עלולים לנפץ ולעקוף את כל מנגנוני ההגנה של הארגון ולהביא לנזקים עצומים, כך למשל במקרה שהיה לפני מספר חודשים של התקפת הRansomware שנעלה מחשבים רבים בבתי חולים בבריטניה ולמעשה השביתה אותם מפעילות משך שעות ארוכות וכל זה התחיל מהרצה לא נבונה של קובץ מסוכן והתפשט באופן אוטומטי לקנה מידה מפלצתי. ייתכן שאי שם בעתיד תפותח מערכת ההגנה האולטימטיבית שתדע להגן על הארגון מפני כל טעות של המשתמש האנושי, אך עד שנגיע לאותו עתיד ורוד, חשוב להקפיד לרענן ולעדכן את הידע של כלל העובדים בארגון על סכנות ודרכי התקפות הסייבר הנפוצות על בסיס קבוע.
הכותב הוא אחד המייסדים ואחראי ההדרכות בחברת פרקטיס המספקת הכשרות מעשיות וממוקדות בשלל תחומי ההי-טק – מעולם הסייבר, פיתוח, ועד לעולם בדיקות התוכנה.
