|
|
להתגונן מפני מתקפת סייבר [צילום: AP]
|
|
|
|
|
נראה שיש היום הכרה בסכנה הנשקפת מתקיפות סייבר על כל אחד ממגזרי המדינה. החל ברמת הממשל הבכירה, דרך זרועות הצבא והביטחון וכלה במגזר העסקי והפרטי. הנזק שעלול להיגרם עקב תקיפה שכזאת עלול להיות קטסטרופלי לעוצמתו ואף לשרידותו של כל אחד מהגופים הללו. הדוגמאות מאירועי הסייבר שהתרחשו בעבר, אלה שהתגלו ושלא היה אפשר להסתירן, המחישו מה עלול להיגרם לגופים מקבילים בעולם.
אם נציין רק את הנזק שנאמד בעשרות מיליוני דולרים בתקיפת הסייבר כנגדJP Morgan בשנת 2014, הרי הנזק מפשעי סייבר פיננסיים הסתכמו באותה שנה ביותר מסך כל הכספים שנגנבו ונשדדו בארצות הברית בדרכים האלימות "המקובלות".
למרות ההשקעות הגדולות שהשקיע המגזר העסקי באמצעי הגנה במרוצת השנים, לרוב הייתה ידו של התוקף על העליונה. לכך שתי סיבות עיקריות:
הראשונה, היעדר ממד הרתעתי כלפי תוקפי הסייבר נוכח הקושי לזהות שהייתה תקיפה, הקושי לאתר את מקור התקיפה ובסופו של דבר הקושי להביא את התוקפים לדין.
הסיבה השנייה היא "האשליה המרגיעה" של "לי זה לא יקרה", ולאור זאת האם בכלל, ואם כן, איך ובאיזו עלות אפקטיבית למגן. הקושי הגדול ביותר לעסקים הוא היכולת לתמחר סיכוני סייבר ולאמוד את היקף הנזק הפוטנציאלי.
אם נשווה את המגזר העסקי, ששרידותו קריטית לכל מדינה, למגזרי הממשל, הצבא, הביטחון והביון, הרי "חייהם" של אלה האחרונים קלים לאין ערוך. בכל אחד מהמגזרים הללו יש תשתיות אבטחה בסיסיות, גם אם מקצתם רחוקות מלהיות אופטימליות, הן בציוד הן בכוח אדם הן בנוהלי Security כאלו ואחרים. גם הרגולציה הפנימית והחיצונית קלה יותר לאכיפה. מלבד זאת מגזרים אלה זוכים לתקצוב מדינתי שמקבל עדיפות נוכח ההכרה של גורמי ההחלטה בחשיבות מיגון הסייבר, וכיום גם הודות ליוקרה לוקלית וגלובלית המתלווה לעצם אמירת "העיסוק בסייבר". במדינות עתירות ידע טכנולוגי כמדינת ישראל רואים בהשקעה בסייבר ההגנתי מנוע צמיחה כלכלי רב-חשיבות, והשאיפה היא להיות לא רקStart-up Nation, אלא גם Cyber Nation.
חרף מורכבות ממד ההרתעה, כמתואר לעיל, עדיין הוא מתקיים הרבה יותר ברמה המדינתית מאשר כלפי המגזר העסקי, כל שכן מגזרי הצבא, הביטחון והביון אינם יעדים אטרקטיביים לגורמי הפשיעה הקלסיים שעיקר פעילותם נועדה למניפולציות כספיות. ועל כן ובהכללה מדויקת הרי בקרב כל המגזרים החוליה החלשה ביותר היא המגזר העסקי.
חולשתו נובעת כאמור מהיותו אטרקטיבי לגורמי פשיעה שהם כיום הדומיננטיים ביותר בתקיפות הסייבר ושעליהם אפקט ההרתעה כמעט ולא קיים. העולם העסקי ברובו אינו מוגן עקב העדר ידע מספק הן על האיום הספציפי הנשקף לו הן על מה נכון לעשות, איך לעשות ובאיזה היקף. בניגוד למגזרים המדינתיים ההשקעה בסייבר לא ממומנת על-ידי משלם המיסים, אלא באה משורת הרווח החודשית.
ואולם השוני המהותי הגדול ביותר בין גופי הממשל והביטחון למגזר העסקי נעוץ במוטיבציות המנוגדות הנובעות מעצם יעד הפעילות וההשלכות על איום הסייבר. בעוד הסקטורים הממשלתיים והביטחוניים פועלים במסגרות סגורות, ואף נכשלים כאשר מידע רגיש מתפרסם (כדוגמת אירוע סנודן), קל להם להחיל נוהלי עבודה נוקשים ברשתות אינטרנט סגורות כמעט ללא אינטראקציה עם העולם החיצון. בעולם העסקי יש מידע רגיש גם כן, אך לחברות אין את הפריבילגיה להתקיים ברשתות סגורות, כ"משק אוטרקי", שכן ללא פרסום ואינטראקציה שוטפת עם הלקוחות לשם שיווק וקבלת משוב הן חדלות מלהתקיים.
האתגר בתחום הסייבר גדל כאשר הטכנולוגיות כיום מאפשרות להגדיל את ממשקי הפעולה וצירי התקשורת בין רשת הארגון ובין הלקוחות. בעצם, ככל שהטכנולוגיה מתקדמת לא זו בלבד שאין "סוגרים" את הארגון, אלא להפך - פותחים צירי תקשורת ואינטראקציה נוספים.
אשר לאינטראקציות הטכנולוגיות שבין עסק ללקוח הרי בעבר דובר בגלישה פשוטה לאתר האינטרנט של החברה או בחילופי מיילים. היום על בסיס רכיבי שידור פיזיים, כגון News1 או שן-כחולה, אפשר לקיים תקשורת מורכבת יותר עם הלקוח, ובעתיד הקרוב יהיה אפשר להתמקד בפרסום ואינטראקציה מבוססי מיקום ורשתות Wi-Fi.
לקשר טכנולוגי מבוסס Wi-Fi מול הלקוחות שני יתרונות גדולים לחברה העסקית:
האחד הוא האפשרות לנהל באופן כמעט מלא את התעבורה הנכנסת והיוצאת מהמשתמשים הנמצאים על אותה הרשת ולקבל מידע חכם על הרגלי השימוש, הצריכה, הפרסום וכדומה. והיתרון השני הוא האפשרות למקד את האינטראקציה העסקית המבוקשת עם קבוצת האנשים המשתמשת ברגע נתון באותה רשת Wi-Fi ולייצר תקשורת דו-כיוונית בין הלקוח ובין בית העסק.
ערוצי השידור החדשים הללו מאפשרים אינטראקציות חדשות ומגוונות בין העסקים ובין הלקוחות, אך בד-בבד העסקים נחשפים למגוון איומי סייבר חדשים. "הדבקת" הסייבר השכיחה והנוחה ביותר לתוקף נעשית דרך דף פרסומי שנשלח ליעד המותקף ונראה רלוונטי לעולמו ותחום עיסוקו. הגולש חושב כי הגיע לדף תמים, בין אם נותב לדף זה דרך נתיב מודבק ובין אם הגיע לדף "מזויף", וכך בעצם מותקן על מכשירו כלי שמסב לו נזק או גונב ממנו מידע. הדבקה זו דורשת לרוב "אישור" או פעולה אקטיבית כלשהי מצד המשתמש. ככל שהאינטראקציה עם הלקוח הופכת למורכבת יותר, אפשר לבצע מניפולציות סייבר מורכבות יותר ולתקוף מכשירים ומחשבים ללא מעורבות המשתמש כלל.
קושי נוסף בדרכי התקשורת החדשים מקורו בכל רכיב או שירות חדש שנוסף לתשתית IT קיימת, שמייצר קורלציות עם המערכות הקיימות ויכול להיות "חוליה חלשה" או פתח לפריצה. כלומר, הקושי הגדול הוא לא רק להבטיח כי ערוץ השידור החדש מאובטח ובטוח, אלא גם לוודא שאינטראקציה כזאת לא מייצרת חולשות נוספות. הדבר דומה לערבוב בין שתי תרופות, שכל אחת מהן חיובית כשהיא לעצמה, אך ערבובן גורם לתופעת לוואי בלתי רצויה או החלשה של אחת מהתרופות בתמהיל.
לאחר שחברות הצליחו להגיע לרמת אבטחה סבירה של אתרי הגלישה, תקשורת המיילים והשימוש באפליקציות, נפתח כעת עולם חדש של דרכי התקשרות חדשות שכל אחת מהן מכילה בחובה הזדמנויות רבות ליצירת ערך בעבור החברה ועם זאת גם הזדמנויות חדשות בעבור התוקפים לניצול פרצות אבטחה.
מכל זה עולה שאחד האתגרים החשובים לעולם הטכנולוגי הוא כיצד להרחיב ולשכלל את יכולת הפרסום והאינטראקציה המקוונת בעולם העסקי, יכולת שמאפשרת למַקְסֵם רווחים, ובד בבד להבטיח שבדרך זו לא יתרחש נזקי סייבר לארגון.
