מאמרים:

הערכת סיכונים בתחום הסייבר בארגונים – תפיסת ניהול הסיכון חייבת להשתנות

08 אוקטובר 2018

סיון דרור, מנהלת ה- Delivery ב- SECOZ, מרכז הגנת הסייבר, BDO Consulting Group |
בקצרה

בשנים האחרונות הולכות וגוברות מתקפות הסייבר על הארגונים, עובדה שמשפיעה על הערכת הסיכונים של אותם הארגונים.

סיכון סייבר הינו מתקפה אשר מבוצעת על ידי מערכות ממוחשבות על הארגון. מתקפות אלו מתוחכמות יותר ועל כן על הארגון להקים מערך הגנה בהתאם לטכנולוגיות אלו. יש לדייק ולומר כי סיכון סייבר איננו סוג חדש של נזק אלא דרך חדשה לתקוף את הארגון, הלא סיכונים כגון דליפת מידע והונאות הינם סיכונים אשר היו קיימים קודם לכן.

בין מאפייני השיטה של הערכת סיכונים מסורתית נמנים חיזוי ומניעת סיכונים על בסיס מציאת חולשות קיימות בארגון, ירידה לפרטים וראייה נפרדת לכל קבוצת סיכון, ובין היתר חוסר מיקוד בסיכונים המהותיים לארגון עקב ההתעסקות בפרטים.

הקשיים בשיטה המסורתית באים לידי ביטוי בחוסר הבנת זווית התוקפים ועל כן אין התייחסות לראיית התוקף באבטחת הארגון, חוסר ראייה כוללת על מתקפות סייבר מרובות מוקדים וחוסר התייחסות למכלול הנכסים החשופים לפגיעה. בנוסף לקשיים אלו, יש חוסר ירידה לפרטים בנושא חולשות הקיימות בארגון, סיכונים מרובים ודינמיים המקשים על מיפויים, ושימוש בטכניקות ישנות ואי התאמתן למגבלות הרגולציה.

על מנת להתאים את הערכת הסיכונים לתחום הסייבר יש צורך בשינוי של מספר גורמים: ראייה כוללת של ניהול הסיכונים אשר תבחן כיצד איום הסייבר יכול להתממש באמצעות מספר מוקדי סיכון, זיהוי חשיפת האיומים ויכולת זיהוי התוקפים המאיימים, הבנה מעמיקה של צורת החשיבה ודרך הפעולה של תוקף פוטנציאלי של הארגון, זיהוי מקיף של כל הנכסים שעלולים להיפגע, ניתוח מורכבות התקיפה מבחינה טכנולוגית, בחינה של רמת האפקטיביות של בקרות סייבר עיקריות למניעה, גילוי וטיפול באירועי סייבר, ופיקוח על הבקרות הקיימות.

השורה התחתונה הינה כי הערכת סיכונים בתחום הסייבר היא תהליך שונה מהערכת הסיכונים המסורתית וישנו צורך בהתאמת הארגון במספר רבדים להתמודדות ספציפית עם סיכוני הסייבר.  

 

הערכת סיכונים בארגונים כיום

בשנים האחרונות איומי הסייבר הולכים וגוברים ואין יום בו אנו לא שומעים על ארגון כזה או אחר שהותקף. איומים אלו מתאפיינים, בין היתר, בהתקפות מתוחכמות יותר, בעוצמה גבוהה של נזק פוטנציאלי כתוצאה מהתקפות, בקושי לזהותן ובשיפור יכולות התוקפים. 

איומי הסייבר השונים פותחים קשת רחבה של סיכונים לארגונים ונשאלת השאלה - האם הדרך שבה ביצענו הערכת סיכונים עד היום, מתאימה להערכת סיכוני הסייבר?



מהו סיכון סייבר?

סיכון סייבר הוא סיכון המתממש באמצעות אירוע תקיפה של מערכות מחשב ו/או מערכות ותשתיות משובצות מחשב (חלק מתוך הגדרת הרגולטור של המגזר הבנקאי). מדובר בהגדרה רחבה אשר דורשת התמודדות עם קשת גדולה של סיכונים, מאחר ורוב הפעולות שאנו מבצעים משלבות מערכות וטכנולוגיות.

על מנת להתמקד בסיכוני הסייבר המהותיים לארגון ועל מנת לבנות מערך הגנה יעיל ובזמן קצר יחסית, אנו ממליצים לצמצם את ההגדרה, כך שסיכון סייבר מתממש באמצעות תקיפה בזדון אשר מובילה לנזק מהותי לארגון עד לכדי קיצון, ומעורבות בה, בין היתר, מערכות מחשב או מערכות ותשתיות משובצות מחשב.

 

סיכוני סייבר כחלק מעולם הסיכונים העסקי

למעשה, סיכון הסייבר אינו יוצר סוג חדש של נזק וכבר מנוהל במוקדי הסיכון השונים בארגונים. לדוגמה, דלף מידע הוא אינו סיכון חדש. הונאה, גם היא אינה סיכון חדש. אלו הם סיכונים קיימים אשר ארגונים מטפלים בהם מזו תקופה ארוכה. האבחנה בין סיכון סייבר לבין סיכון שאינו סייבר, נעוצה בתרחיש אשר מממש את הסיכון. אם הדרך למימוש הסיכון בוצעה על ידי תקיפה של מערכות מחשב או מערכות ותשתיות משובצות מחשב, אזי מדובר בסיכון סייבר. ניקח לדוגמה סיכון מסוג הונאה. גניבת כסף יכולה להתבצע על ידי שוד של סניף בנק וזהו אינו סיכון סייבר. לעומת זאת, גניבת כסף יכולה להתבצע על ידי שליחת מייל מתחזה בשם סמנכ"ל הכספים, בו תתבקש ממנהלת החשבונות להעביר סכום כסף לחשבון מסוים. כאן כן מדובר בסיכון סייבר – בוצעה תקיפה בזדון שמעורבת בה מערכת מחשב.

מאפיין נוסף של סיכוני הסייבר הוא מורכבות ורמת התחכום של תרחיש התקיפה, אשר עלול לנצל חולשות קיימות במוקדי סיכון שונים. לדוגמה, התרחיש יכול להתחיל בניצול חולשה אנושית כאשר תוקף מתחזה לאיש תמיכה ומבקש מעובד את שם המשתמש והסיסמא שלו למערכת הכספים. התרחיש ימשיך בניצול חולשה טכנולוגית שבאמצעותה התוקף פרץ למערכת, הזדהה בשם העובד וביצע העברת כספים לאיזה חשבון שהוא רוצה. 


הערכת סיכונים מסורתית – מאפייני השיטה

  • אוריינטציה של חולשות – הערכת סיכונים מתחילה בבחינה של החולשות הקיימות בארגון ועוברת לבחינת הבקרות השונות לצמצום החולשות.
  • התעסקות בפרטים – ירידה לפרטים של חולשות, תהליכים ותרחישים.
  • ראייה נפרדת לכל קבוצת סיכון – קיימת הפרדה בין עולמות התוכן השונים. הערכת סיכונים מתבצעת בנפרד לעולם הסיכונים התפעוליים, עולם סיכוני אבטחת המידע, עולם סיכוני IT, עולם סיכונים פיזיים וכדומה.
  • רזולוציית הסיכון – בעקבות מיפוי כל הסיכונים קיימת התעסקות עם המון פרטים ועם רמות סיכון נמוכות וישנו פחות דגש על הסיכונים המהותיים לארגון.

 

הבעיות בשיטה המסורתית בהערכת סיכוני סייבר

  • אין התייחסות לראיית תוקף
    חלק מאנשי אבטחת המידע בארגונים אינם מבינים לעומק את דרך החשיבה והפעולה של תוקפים. גם הסוקרים המבצעים סקרי סיכוני אבטחת מידע בארגון, מתמחים באבטחת מערכות, תשתיות ואפליקציות ואינם מתמחים בתקיפה. כך, אין התייחסות לראיית התוקף בבניית מערך ההגנה של הארגון.
  • הערכת סיכונים חסרת ראייה אינטגרטיבית
    סיכון הסייבר יכול להתממש דרך תרחיש מורכב שעובר דרך מספר מוקדי סיכון. אין ראייה הוליסטית להערכת הסיכונים הקיימים ובחינה כיצד איום הסייבר יכול להתממש באמצעות מספר מוקדים. בדוגמה שציינתי לעיל בנושא ההונאה, בעצם בוצעה תקיפה ששילבה בין סיכון אבטחת מידע – זיוף דוא"ל, וסיכון תפעולי – ניצול חולשה בתהליך העברת הכספים, בוצעה העברה ללא גורם מאשר נוסף, ובנוסף לא הייתה הנחייה שלא מבצעים העברות כספים באמצעות בקשה במייל בלבד. 
  • הערכת סיכונים נטולת התייחסות למכלול הנכסים
    סקרי הסיכונים התפעוליים ממפים נכסים מסוג תהליכים. סקרי אבטחת מידע ממפים נכסי מידע. נכסי הסייבר הנם אוסף של נכסים בהם אפשר לפגוע: כסף, מוניטין, מערכות, שירותים, מידע, אנשים ואפילו משאבים פיזיים כמו מבנים. 
  • אוריינטציית חולשות
    בסיס החולשות לצורך הערכת סיכונים אינו אפקטיבי, קיימות אינספור חולשות טכנולוגיות, חולשות אנושיות, חולשות בתהליכים. אי אפשר באמת למדוד ולהעריך את כולם וגם אין צורך 
  •  הערכת סיכונים שלא מתמקד בפרטים
    1. סביבת ה-IT  והסביבה העסקית כל כך גדולות. 
    2. קיימים אינסוף תרחישי תקיפה, וקטורי תקיפה לארגון וחולשות מסוגים שונים. 
    3. הסביבה דינמית – מהר מאד התמונה שמתקבלת אינה רלוונטית. עד שנסיים מיפוי אחד של סיכונים כבר יהיו דברים שלא לקחנו בחשבון.
  • הערכת סיכונים בהתאמה למגבלות רגולטוריות
    תהליכי ניהול הסיכונים התמקדו בעיקר במענה לדרישות רגולטוריות ולציות ולא בניהול אפקטיבי של הסיכונים המהותיים.
    פרקטיקת הערכת סיכונים הקיימת כיום מאד ותיקה וגובשה מלפני למעלה מ- 10 שנים. איום הסייבר הנוכחי מחייב אותנו לחשוב מחוץ לקופסה ולגבש פרקטיקה חדשנית שתוכל להתמודד עם המציאות החדשה שנוצרה. 
    למעשה, תפיסת ניהול הסיכונים הקיימת חייבת להשתנות! 

 

מאפייני הערכת סיכונים בתחום הסייבר

  • הערכת סיכונים בעלת ראייה הוליסטית
    ראייה כוללת של ניהול הסיכונים אשר תבחן כיצד איום הסייבר יכול להתממש באמצעות מספר מוקדי סיכון. מנהל אבטחת המידע צריך להמשיך לנהל את סיכוני אבטחת המידע ומנהל ה- IT צריך להמשיך לנהל את סיכוני ה- IT. הגורמים העסקיים צריכים להמשיך לנהל את הסיכונים התפעוליים בתהליכים, אולם נדרשת ראייה אינטגרטיבית של כולם לניהול סיכוני הסייבר.
  • אוריינטציה של איומים
    הערכת סיכונים מתחילה בניתוח של גורמי האיום. מיהם התוקפים המאיימים על הארגון, מהם יעדי התקיפה שמעניינים אותם, מהי המוטיבציה שלהם לתקוף את הארגון, ומהן היכולות של התוקפים כדי להוציא לפועל את ההתקפה ולהשיג את היעד? התשובות לשאלות האלה בונות את רמת איום ייחוס הסייבר לארגון. עד כמה הארגון שלי חשוף להתקפות סייבר. חשוב לציין כי התשובות לשאלות האלה שונות מארגון לארגון. ארגון צריך לנתח באופן פרטני את רמת איום הייחוס שלו ועל בסיס ניתוח זה לבנות את מערך הגנת הסייבר. 
  • ניתוח בראיית תוקף
    נדרש לשלב בתהליך הערכת סיכונים מיטבי מומחה סייבר שיש לו הבנה מעמיקה של צורת החשיבה ודרך הפעולה של תוקף פוטנציאלי לזיהוי יעדי תקיפה על הארגון, לזיהוי חולשות המנוצלות לפעילות עוינת ולהערכת הסבירות והנזק העלולים להיגרם כתוצאה מהתממשות של תקיפת סייבר. 
  • הערכת סיכונים תחת בחינה של מכלול הנכסים
    נדרש לבחון את מכלול הנכסים שעלולים להוות מטרה לתקיפות סייבר: כסף, מוניטין, מערכות, שירותים, מידע, אנשים ומשאבים פיזיים, ולגבש רשימה של הנכסים האסטרטגיים עליהם נרצה להגן. על מנת לבצע בחינה זו, ניתן להיעזר בסקרי הסיכונים הקיימים, בתהליך ה- BIA (תהליך ניתוח השלכות עסקיות לחברה כתוצאה מפגיעה משמעותית או השבתה של השירות העסקי), מניתוח תרחישי קיצון ועוד.
  • הערכת סיכונים תחת בחינה של הסביבה הטכנולוגית
    נדרש לבחון עד כמה מורכב ליישם תקיפה על הסביבה הטכנולוגית של הארגון? לצורך כך קיימים פרמטרים רבים שניתן לבחון, לדוגמה: כמות הממשקים בין המערכות, האם יש גישה פתוחה או מוגבלת לאינטרנט, עד כמה גרסאות מערכות הפעלה וציוד התקשורת מעודכנות וכדומה.
  • הערכת סיכונים תחת בחינה של רמת האפקטיביות של בקרות הסייבר העיקריות
    בחינה של רמת האפקטיביות של בקרות סייבר עיקריות למניעה, גילוי וטיפול באירועי סייבר. כבר לא לבחון רק אם הבקרה קיימת או לא וגם לא ניתן להשתמש בטבלת פרמטרים אחידה לבחינת רמת האפקטיביות של הבקרות. הפרמטרים לבחינת אפקטיביות בקרה מסוג מודיעין, שונים מהפרמטרים לבחינת בקרה מסוג ניטור או מודעות עובדים. לכן, נדרש לגבש טבלת פרמטרים ייעודית לכל בקרת סייבר. 
  • שילוב בקרות על בקרות בתהליך הערכת סיכונים
    בחינה כי קיימות בקרות אשר תפקידן לוודא כי הבקרות הקיימות במערכות אכן פעילות ו/או פועלות כנדרש. במערכות המידע בארגון קיימות בקרות מובנות בתוך המערכת שתפקידן להקטין את רמת הסיכון. עד היום, לא בדקנו באופן יזום, האם הבקרות האלה אכן פועלות או שאולי תוקף שפרץ למערכות שלנו לא "כיבה" אותן.

 

דוגמאות לבקרות בתהליך הערכת סיכונים

ניקח לדוגמה את עולם הבנקאות הדיגיטלית. במידה ולקוח רוצה לבצע העברת כספים בערוץ דיגיטלי (אתר או אפליקציה), הוא מוגבל לבצע העברה עד סכום מסוים. נניח שתוקף פורץ למערכות הבנק ומבטל בקרה זו. כך, ניתן יהיה לבצע העברות כספים ללא כל בקרה של הבנק.

ניקח דוגמה נוספת מעולם אבטחת המידע. קיימת בקרה מסוג Firewall אשר מהווה מן דלת חכמה המאפשרת כניסה לרשת הארגון לגורמים מורשים בלבד. לאחרונה גילו שיש Firewalls סטנדרטיים מסחריים אשר יש להם BackDoor. הכוונה היא שמצאו מן דלת אחורית שבאמצעותה ניתן לפרוץ לתוך התוכנה ולשבש אותה. כולנו מסכימים שה- Firewall היא בקרה מאד חשובה לארגון ובמידה והיא לא אפקטיבית רמת החשיפה של הארגון לתקיפה עולה באופן משמעותי. 

ניקח דוגמה נוספת מעולם ההרשאות והפרדת התפקידים. נניח שבחברה מסוימת למנהלת החשבונות יש הרשאה לבצע בקשה להעברת כספים ואילו מנהל הכספים צריך לאשר אותה כדי שהיא תתבצע בפועל. מה יקרה אם תוקף פורץ למנגנון ההרשאות של המערכת ומכבה את הצורך באישור ההעברה של מנהל הכספים? ניתן יהיה לבצע העברות כספים בשם מנהלת החשבונות ללא כל גורם מבקר.

הדוגמאות עוד רבות. עד היום רוב הארגונים עסקו בבניית בקרות לצמצום הסיכונים ובשיפור מתמיד של רמת הבשלות של הבקרות, אולם לא נעשתה חשיבה יזומה ומעמיקה איך בעצם אנחנו מגנים על הבקרות האלו? איך אנחנו מוודאים שהבקרות אכן פעילות ואף גורם עוין שמעוניין לתקוף את החברה לא "כיבה" אותן? לכן, יש צורך להכניס שיקולי "בקרות על בקרות" לתהליך הערכת סיכונים אופטימלי בארגון ולקחת בחשבון כי בקרות חשובות מאד לארגון עלולות להיות לא אפקטיביות בתקיפת סייבר, ולהותיר את הארגון חשוף לנזקים גדולים יותר ממה שהעריכו.

 

הערכת סיכונים בתחום הסייבר – שינוי הגישה הקיימת

לסיכום, ניכר כי עולם סיכוני הסייבר מתנהג שונה מעולמות הסיכון האחרים. הערכת סיכונים בתחום הסייבר היא תהליך מאד מקצועי ונדרש להפעיל בו חשיבה שונה. כדי לקבל תמונה טובה על מוכנות הארגון להתמודדות עם סיכוני הסייבר, נדרש צוות מקצועי שמבין את עולם הסייבר לעומק ומבין תקיפה. חשוב שהצוות המקצועי יהיה בעל ניסיון בביצוע תהליך של הערכת סיכונים בתחום הסייבר וייבחן לעומק האם הבקרות הקיימות אכן אפקטיביות כדי למנוע את המתקפה הבאה. 


 

צור קשר עם המומחים שלנו