מה הקשר בין אחד ממועדוני הכדורגל המפוארים בעולם לסייבר? במאמר זה תוכלו לקרוא על ההשלכות הקריטיות והמרתקות של אירוע הסייבר בו נפרצו חלק ממחשבי מועדון הפאר האנגלי.
דמיינו מצב בו אנו מתעוררים הבוקר לכותרת הבאה: ״מועדון מכבי תל אביב סרב לשלם כופר וכתוצאה מכך הסכמים רגישים דלפו לרשתות״. תארו גם שבשבוע שלאחר הכותרת הזו נקבל הצצה לקרביו של הארגון – חוזים, הסכמים, חסויות והכי מעניין התכתבויות המיילים בין בכירי המועדון. תחשבו שברגע אחד, תוכניות המועדון לחלון העברות הקרוב (ואלו שאחריו) יחשפו ביחד עם דו״חות משמעת והסכמים פנימיים יקבלו חשיפה בכל פלטפורמה קיימת.
נשמע מופרך? הדבר לא כך!
בסוף השבוע האחרון פורסם כי מאז יום שישי מועדון הפאר מנצ׳סטר יונייטד מתמודד עם אירוע סייבר ״מתוחכם״ (ככל הנראה כופרה). עדיין לא ידועות תוצאות האירוע ודרכי ההתמודדות של המועדון. מה שבטוח שזה לא ״עוד יום בהיסטוריה הארוכה של מנצ׳סטר יונייטד״ במילותיו של המנג׳ר האגדי סר אלכס פרגוסון.
בשנה האחרונה, ובמיוחד מאז פרוץ מגיפת הקורונה, העולם מתמודד עם עלייה משמעותית בכמות מתקפות הסייבר, בדגש על אירועי כופרה שאף הן משתכללות. האירועים נהיים מורכבים יותר ובסופו של דבר יקרים יותר להתמודדות וטיפול. בשנה הנוכחית לבדה, שילמו בעולם כ-10 מיליארד דולר לדמי כופר ויש לציין כי ככל הנראה הסכום גבוהה משמעותית מכך (היות ולא כל הארגונים מדווחים, ובמיוחד לא את עלות הכופר ששולמה).
לאירוע כופרה בארגון עסקי גדול השלכות גדולות ומגוונות. אלו גרמו לכך שבשנים האחרונות ישנה עלייה במודעות של ארגונים עסקיים בכל הגדלים לסיכוני הסייבר. המודעות מיתרגמת על פי רוב לגידול בהשקעות המשאבים לניהול הסיכון. אולם, יש לזכור כי התוקפים לעולם נמצאים צעד לפני המגנים וקו המגע הראשון (במקרה זה הטכנולוגי) לעולם ייפרץ.
אחת ההתפתחויות המדאיגות במתקפות הכופרה היא המעבר למודל ״סחיטה כפולה״ (Double extortion). במסגרת זו התוקפים מבקשים להבטיח את תשלום הסחיטה באמצעות נעילת מערכות מחשוב מחד ואיום בפרסום מידע אותו גנבו במהלך התקיפה מאידך. פתיחת ההצפנה מסייעת לשמירת ההמשכיות העסקית והרציפות התפקודית של הארגון – גישה לכלל המידע במידה ואין לו גיבויים שיכולים לתת מענה וחזרה לשגרת פעילות מלאה. סוגיית הדלף לעומת זאת מורכבת ומאתגרת. איום דלף המידע מציב את הארגון בחשיפה אפשרית הן של המידע הארגוני הפנימי ברשתות השונות והן בחשיפה משפטית למול רגולטורים, גופי הגנת המידע ואינדיבידואלים. כל זאת לצד, הפגיעה האפשרית במוניטין ובאמון הלקוחות והשותפים העסקיים.
אם כך, להבדיל מכדורגל שעם שריקת הפתיחה יש 3 אפשרויות לסיומו: ניצחון, הפסד או תיקו, במשחק הכופרה הארגון מתחיל בהפסד והשאלה עד לסיום האירוע היה - אם מדובר ב״הפסד מכובד״ או בתבוסה כואבת, הרחקת המאמן, ירידה מתחת לקו האדום ורדיוס בבית הדין של ההתאחדות.
איפה זה פוגש אותנו? האם רמת ההגנה של מועדוני ספורט בישראל (וההתאחדויות) טובה יותר מאשר מועדונים גדולים ומפוארים באירופה – לא בהכרח.
״ככה לא בונים חומה״ זעק יורם ארבל בשידור המשחק בין ישראל ואוסטרליה (מרץ 1989), החובה להעמיד יכולות הגנת סייבר ברמה הגבוהה ביותר ולא להתבסס על מנהלי מערכות מחשוב (IT) הינה חובה קריטית. מהסיבה הפשוטה שכדורגל זה לא רק ספורט – מועדון מחזיק מידע רק הכולל הסכמים למול כלל הגורמים (ספקים, חסויות...) חוזים והסכמים פנימיים, תיעוד של אירועים חריגים, וכמובן האוהדים (אתרים, אפליקציות, מועדוני חברים וכו׳).
אז מה קרה במנצ׳סטר? מתגובת המועדון הראשונית אנו למדים שהאירוע עדיין נמצא בעיצומו ותוצאותיו טרם התבררו במלואן. כמו כן, כי להערכת המועדון מדובר במערכת פשע יריבה ״מתוחכמת״. המועדון מציין שבשלב זה אין פגיעה בנכסי המדיה שלו (אתר ואפליקציה) וכן מדגיש שנכון לטווח הזמן ה״נוכחי״ אינו יודע על ״פריצה״ במאגרי המידע של האוהדים והלקוחות. בנוסף, בחר לציין שהאירוע לא יפגע בהכנות למשחק מול ברומיץ׳ אלביון (בו מנצ׳סטר ניצחה 1-0 – יש!).
למה מנצ׳סטר? התשובה נחלקת לשתי תשובות עיקריות: תקיפה ממוקדת – במסגרתה מערכת יריבה בוחרת מטרה, מבצעת תהליך איסוף מודיעין ולבסוף מוציאה לפועל מתקפה המותאמת לחולשות הקורבן. מתקפה זו, מבטאת מנעד של מוטיבציות החל מבצע כסף לשמו ועד למטרות שמהותן פוליטיות ו/או אידיאולוגיות. מנגד, קיימת האפשרות שמדובר במתקפת ״רסס״ – מתקפה בה המערכת התוקפת בוחרת חולשה או פרצה ידועה ומפיצה בצורה רחבה נוזקה הפוגעת בה. לעיתים קרובות, המתקפות האלו נעשות באופן רוחבי, בסוגי לקוחות (למשל: מתקפה על מערכות בריאות, מוסדות לימוד, משרדי עו״ד וכיו״ב).
מה לא מצאתי בתגובה של המועדון לאירוע? התייחסות למידע הפנימי של המועדון ופגיעה אפשרית בו. התייחסות לדלף מידע כלשהו או איום עליו. התייחסות לדרישת הכופר, אולטימטום (כן או לא) וכמובן מי הגוף התוקף. אירוע כופרה הוא אירוע בוחן לחוזק המותג ונאמנות הלקוחות. זה לא אירוע נקודתי, זהו לא אירוע פנימי. זהו אירוע שבמהלכו המועדון עשוי לפגוע באנשים שאוהבים אותו יותר מכל – האוהדים.
אירוע סייבר מורכב, דוגמת כופרה, מתאפיין בתחושה אצל מרבית המנהלים של אובדן שליטה וחוסר וודאות. זהו מצב בו תוקף מחזיק בארגון או נכסיו כבני ערובה, זהותו ידועה באופן חלקי אך המוטיבציות, הכוונות והתוכניות שלו עדיין צריכות להתברר. מתוקף כך, לארגון המתמודד עם אירוע כזה יש שני שחקנים מרכזיים – טכנולוגיית הגנת סייבר וניהול משא ומתן עם התוקפים.
זה הזמן להפריך שני מיתוסים מן העבר: הראשון, יש זהות בין ניהול מו״מ ותשלום כופרה. השני, עצם ניהול המו״מ הינו כניעה לתוקף. לא הראשון נכון ולא השני – ניהול מו״מ הוא אמצעי לרכישת שליטה על האירוע, להבנתו ואם צריך לקניית זמן או הגנה על העסקה. השני, לא רק שאינו נכון אלא גם תשלום בפועל לתוקף אינו מהווה כניעה. על כפות המאזניים לא מונחות באמת קניה למול אי קנייה אלא הדרך המקצועית והעסקית להציל את הארגון.
הלקח שניתן ללמוד כבר עכשיו הוא שסוד ההצלחה של קבוצות מצליחות הוא כל חוסן ולכידות קבוצתית, המתבססים על סגל רחב ועמוק. סגל כזה חייב לכלול בעלי תפקידים (מנהלי אבטחת מידע לדוגמא), מערכות, נהלים ותרגול חוזר ונשנה הן של העובדים אך בעיקר של ההנהלה.
הכותב הינו שותף מייסד בחברת קריטיקל אימקפט המתחמה בניהול משברים ואוהד מנצ׳סטר יונייטד.
コメント