הערכת סיכוני סייבר בארגונים – תפיסת ניהול הסיכון חייבת להשתנות
סיון דרור, מנהלת ה- Delivery  ב- SECOZ, מרכז הגנת הסייבר, BDO Consulting Group
 

בשנים האחרונות איומי הסייבר הולכים וגוברים ואין יום בו אנו לא שומעים על ארגון כזה או אחר שהותקף. איומים אלו מתאפיינים, בין היתר, בהתקפות מתוחכמות יותר, בעוצמה גבוהה של נזק פוטנציאלי כתוצאה מהתקפות, בקושי לזהותן ובשיפור יכולות התוקפים.         
איומי הסייבר השונים פותחים קשת רחבה של סיכונים לארגונים ונשאלת השאלה - האם הדרך שבה הערכנו את הסיכונים עד היום, מתאימה להערכת סיכוני הסייבר?
אז מהו בעצם סיכון סייבר?
סיכון סייבר הוא סיכון המתממש באמצעות אירוע תקיפה של מערכות מחשב ו/או מערכות ותשתיות משובצות מחשב (חלק מתוך הגדרת הרגולטור של המגזר הבנקאי). מדובר בהגדרה רחבה אשר דורשת התמודדות עם קשת גדולה של סיכונים, מאחר ורוב הפעולות שאנו מבצעים משלבות מערכות וטכנולוגיות.
על מנת להתמקד בסיכוני הסייבר המהותיים לארגון ועל מנת לבנות מערך הגנה יעיל ובזמן קצר יחסית, אנו ממליצים לצמצם את ההגדרה, כך שסיכון סייבר מתממש באמצעות תקיפה בזדון אשר מובילה לנזק מהותי לארגון עד לכדי קיצון, ומעורבות בה, בין היתר, מערכות מחשב או מערכות ותשתיות משובצות מחשב.
למעשה, סיכון הסייבר אינו יוצר סוג חדש של נזק וכבר מנוהל במוקדי הסיכון השונים בארגונים. לדוגמה, דלף מידע הוא אינו סיכון חדש. הונאה, גם היא אינה סיכון חדש. אלו הם סיכונים קיימים אשר ארגונים מטפלים בהם מזו תקופה ארוכה. האבחנה בין סיכון סייבר לבין סיכון שאינו סייבר, נעוצה בתרחיש אשר מממש את הסיכון. אם הדרך למימוש הסיכון בוצעה על ידי תקיפה של מערכות מחשב או מערכות ותשתיות משובצות מחשב, אזי מדובר בסיכון סייבר. ניקח לדוגמה סיכון מסוג הונאה. גניבת כסף יכולה להתבצע על ידי שוד של סניף בנק וזהו אינו סיכון סייבר. לעומת זאת, גניבת כסף יכולה להתבצע על ידי שליחת מייל מתחזה בשם סמנכ"ל הכספים, בו תתבקש ממנהלת החשבונות להעביר סכום כסף לחשבון מסוים. כאן כן מדובר בסיכון סייבר – בוצעה תקיפה בזדון שמעורבת בה מערכת מחשב.
מאפיין נוסף של סיכוני הסייבר הוא מורכבות ורמת התחכום של תרחיש התקיפה, אשר עלול לנצל חולשות קיימות במוקדי סיכון שונים. לדוגמה, התרחיש יכול להתחיל בניצול חולשה אנושית כאשר תוקף מתחזה לאיש תמיכה ומבקש מעובד את שם המשתמש והסיסמא שלו למערכת הכספים. התרחיש ימשיך בניצול חולשה טכנולוגית שבאמצעותה התוקף פרץ למערכת, הזדהה בשם העובד וביצע העברת כספים לאיזה חשבון שהוא רוצה.

 
עתה נבחן את מאפייני השיטה של הערכת הסיכונים המסורתית:

• אוריינטציה של חולשות – הערכת הסיכון מתחילה בבחינה של החולשות הקיימות בארגון ועוברת לבחינת הבקרות השונות לצמצום החולשות;
• התעסקות בפרטים – ירידה לפרטים של חולשות, תהליכים ותרחישים;
• ראייה נפרדת לכל קבוצת סיכון – קיימת הפרדה בין עולמות התוכן השונים. הערכת הסיכון מתבצעת בנפרד לעולם הסיכונים התפעוליים, עולם סיכוני אבטחת המידע, עולם סיכוני IT, עולם סיכונים פיזיים וכדומה;
• רזולוציית הסיכון – בעקבות מיפוי כל הסיכונים קיימת התעסקות עם המון פרטים ועם רמות סיכון נמוכות וישנו פחות דגש על הסיכונים המהותיים לארגון.

הבעיות בשיטה המסורתית:

• אין התייחסות לראיית תוקף – חלק מאנשי אבטחת המידע בארגונים אינם מבינים לעומק את דרך החשיבה והפעולה של תוקפים. גם הסוקרים המבצעים סקרי סיכוני אבטחת מידע בארגון, מתמחים באבטחת מערכות, תשתיות ואפליקציות ואינם מתמחים בתקיפה. כך, אין התייחסות לראיית התוקף בבניית מערך ההגנה של הארגון;
• אין ראייה אינטגרטיבית – סיכון הסייבר יכול להתממש דרך תרחיש מורכב שעובר דרך מספר מוקדי סיכון. אין ראייה הוליסטית להערכת הסיכונים הקיימים ובחינה כיצד איום הסייבר יכול להתממש באמצעות מספר מוקדים. בדוגמה שציינתי לעיל בנושא ההונאה, בעצם בוצעה תקיפה ששילבה בין סיכון אבטחת מידע – זיוף דוא"ל, וסיכון תפעולי – ניצול חולשה בתהליך העברת הכספים, בוצעה העברה ללא גורם מאשר נוסף, ובנוסף לא הייתה הנחייה שלא מבצעים העברות כספים באמצעות בקשה במייל בלבד;
• אין התייחסות למכלול הנכסים - סקרי הסיכונים התפעוליים ממפים נכסים מסוג תהליכים. סקרי אבטחת מידע ממפים נכסי מידע. נכסי הסייבר הנם אוסף של נכסים בהם אפשר לפגוע: כסף, מוניטין, מערכות, שירותים, מידע, אנשים ואפילו משאבים פיזיים כמו מבנים;
• אוריינטציית חולשות - בסיס החולשות לצורך הערכת הסיכון אינו אפקטיבי, קיימות אינספור חולשות טכנולוגיות, חולשות אנושיות, חולשות בתהליכים. אי אפשר באמת למדוד ולהעריך את כולם וגם אין צורך;
• העבודה לא יכולה להיות בפרטים:
  • סביבת ה-IT  והסביבה העסקית כל כך גדולות;
  • קיימים אינסוף תרחישי תקיפה, וקטורי תקיפה לארגון וחולשות מסוגים שונים;
  • הסביבה דינמית – מהר מאד התמונה שמתקבלת אינה רלוונטית. עד שנסיים מיפוי אחד של סיכונים כבר יהיו דברים שלא לקחנו בחשבון.
• ציות - תהליכי ניהול הסיכונים התמקדו בעיקר במענה לדרישות רגולטוריות ולציות ולא בניהול אפקטיבי של הסיכונים המהותיים.

הפרקטיקה הקיימת להערכת סיכונים מאד ותיקה וגובשה מלפני למעלה מ- 10 שנים. איום הסייבר הנוכחי מחייב אותנו לחשוב מחוץ לקופסה ולגבש פרקטיקה חדשנית שתוכל להתמודד עם המציאות החדשה שנוצרה.
למעשה, תפיסת ניהול הסיכונים הקיימת חייבת להשתנות!
המאפיינים הנדרשים לביצוע הערכת סיכוני הסייבר:

• ראייה הוליסטית – ראייה כוללת של ניהול הסיכונים אשר תבחן כיצד איום הסייבר יכול להתממש באמצעות מספר מוקדי סיכון. מנהל אבטחת המידע צריך להמשיך לנהל את סיכוני אבטחת המידע ומנהל ה- IT צריך להמשיך לנהל את סיכוני ה- IT. הגורמים העסקיים צריכים להמשיך לנהל את הסיכונים התפעוליים בתהליכים, אולם נדרשת ראייה אינטגרטיבית של כולם לניהול סיכוני הסייבר.
• אוריינטציה של איומים – הערכת הסיכון מתחילה בניתוח של גורמי האיום. מיהם התוקפים המאיימים על הארגון? מהם יעדי התקיפה שמעניינים אותם? מהי המוטיבציה שלהם לתקוף את הארגון? מהן היכולות של התוקפים כדי להוציא לפועל את ההתקפה ולהשיג את היעד? התשובות לשאלות האלה בונות את רמת איום ייחוס הסייבר לארגון. עד כמה הארגון שלי חשוף להתקפות סייבר. חשוב לציין כי התשובות לשאלות האלה שונות מארגון לארגון. ארגון צריך לנתח באופן פרטני את רמת איום הייחוס שלו ועל בסיס ניתוח זה לבנות את מערך הגנת הסייבר.
• ניתוח בראיית תוקף – נדרש לשלב בתהליך הערכת הסיכונים מומחה סייבר שיש לו הבנה מעמיקה של צורת החשיבה ודרך הפעולה של תוקף פוטנציאלי לזיהוי יעדי תקיפה על הארגון, לזיהוי חולשות המנוצלות לפעילות עוינת ולהערכת הסבירות והנזק העלולים להיגרם כתוצאה מהתממשות של תקיפת סייבר.
• בחינה של מכלול הנכסים – נדרש לבחון את מכלול הנכסים שעלולים להוות מטרה לתקיפות סייבר: כסף, מוניטין, מערכות, שירותים, מידע, אנשים ומשאבים פיזיים, ולגבש רשימה של  הנכסים האסטרטגיים עליהם נרצה להגן. על מנת לבצע בחינה זו, ניתן להיעזר בסקרי הסיכונים הקיימים, בתהליך ה- BIA (תהליך ניתוח השלכות עסקיות לחברה כתוצאה מפגיעה משמעותית או השבתה של השירות העסקי), מניתוח תרחישי קיצון ועוד.
• בחינה של הסביבה הטכנולוגית – נדרש לבחון עד כמה מורכב ליישם תקיפה על הסביבה הטכנולוגית של הארגון? לצורך כך קיימים פרמטרים רבים שניתן לבחון, לדוגמה: כמות הממשקים בין המערכות, האם יש גישה פתוחה או מוגבלת לאינטרנט, עד כמה גרסאות מערכות הפעלה וציוד התקשורת מעודכנות וכדומה.
• בחינה של רמת האפקטיביות של בקרות הסייבר העיקריות – בחינה של רמת האפקטיביות של בקרות סייבר עיקריות למניעה, גילוי וטיפול באירועי סייבר. כבר לא לבחון רק אם הבקרה קיימת או לא וגם לא ניתן להשתמש בטבלת פרמטרים אחידה לבחינת רמת האפקטיביות של הבקרות. הפרמטרים לבחינת אפקטיביות בקרה מסוג מודיעין, שונים מהפרמטרים לבחינת בקרה מסוג ניטור או מודעות עובדים. לכן, נדרש לגבש טבלת פרמטרים ייעודית לכל בקרת סייבר.
• בקרות על בקרות - בחינה כי קיימות בקרות אשר תפקידן לוודא כי הבקרות הקיימות במערכות אכן פעילות ו/או פועלות כנדרש. במערכות המידע בארגון קיימות בקרות מובנות בתוך המערכת שתפקידן להקטין את רמת הסיכון. עד היום, לא בדקנו באופן יזום, האם הבקרות האלה אכן פועלות או שאולי תוקף שפרץ למערכות שלנו לא "כיבה" אותן. ניקח לדוגמה את עולם הבנקאות הדיגיטלית. במידה ולקוח רוצה לבצע העברת כספים בערוץ דיגיטלי (אתר או אפליקציה), הוא מוגבל לבצע העברה עד סכום מסוים. נניח שתוקף פורץ למערכות הבנק ומבטל בקרה זו. כך, ניתן יהיה לבצע העברות כספים ללא כל בקרה של הבנק. ניקח דוגמה נוספת מעולם אבטחת המידע. קיימת בקרה מסוג Firewall אשר מהווה מן דלת חכמה המאפשרת כניסה לרשת הארגון לגורמים מורשים בלבד. לאחרונה גילו שיש Firewalls סטנדרטיים מסחריים אשר יש להם BackDoor. הכוונה היא שמצאו מן דלת אחורית שבאמצעותה ניתן לפרוץ לתוך התוכנה ולשבש אותה. כולנו מסכימים שה- Firewall היא בקרה מאד חשובה לארגון ובמידה והיא לא אפקטיבית רמת החשיפה של הארגון לתקיפה עולה באופן משמעותי.

ניקח דוגמה נוספת מעולם ההרשאות והפרדת התפקידים. נניח שבחברה מסוימת למנהלת החשבונות יש הרשאה לבצע בקשה להעברת כספים ואילו מנהל הכספים צריך לאשר אותה כדי שהיא תתבצע בפועל. מה יקרה אם תוקף פורץ למנגנון ההרשאות של המערכת ומכבה את הצורך באישור ההעברה של מנהל הכספים? ניתן יהיה לבצע העברות כספים בשם מנהלת החשבונות ללא כל גורם מבקר.
הדוגמאות עוד רבות. עד היום רוב הארגונים עסקו בבניית בקרות לצמצום הסיכונים ובשיפור מתמיד של רמת הבשלות של הבקרות, אולם לא נעשתה חשיבה יזומה ומעמיקה איך בעצם אנחנו מגנים על הבקרות האלו? איך אנחנו מוודאים שהבקרות אכן פעילות ואף גורם עוין שמעוניין לתקוף את החברה לא "כיבה" אותן? לכן, יש צורך להכניס שיקולי "בקרות על בקרות" לתהליך הערכת הסיכונים בארגון ולקחת בחשבון כי בקרות חשובות מאד לארגון עלולות להיות לא אפקטיביות בתקיפת סייבר, ולהותיר את הארגון חשוף לנזקים גדולים יותר ממה שהעריכו.
 
לסיכום, ניכר כי עולם סיכוני הסייבר מתנהג שונה מעולמות הסיכון האחרים. הערכת סיכוני הסייבר היא תהליך מאד מקצועי ונדרש להפעיל בו חשיבה שונה. כדי לקבל תמונה טובה על מוכנות הארגון להתמודדות עם סיכוני הסייבר, נדרש צוות מקצועי שמבין את עולם הסייבר לעומק ומבין תקיפה. חשוב שהצוות המקצועי יהיה בעל ניסיון בביצוע תהליך של הערכת סיכוני סייבר וייבחן לעומק האם הבקרות הקיימות אכן אפקטיביות כדי למנוע את המתקפה הבאה.