אפשר לומר שנקודת התורפה הגדולה ביותר כיום עבור התשתיות הקריטיות במדינות השונות היא שרשרת האספקה, זאת לאחר שהקורונה חייבה ארגונים ומדינות לשנות את תפיסת מערכות המידע שלהם, ולעבור במהירות לתפיסה של שירותים דיגיטליים עם ריבוי ספקים בזמן אמת. הדבר יצר פרצות אבטחה רבות ומרחב תקיפה נרחב הרבה יותר לארגוני פשיעה ולמדינות המשתמשות בסייבר התקפי.
הפגיעות של שרשרת האספקה נובעת בעיקר מספקים צד ג' של המדינה, כאשר ההתקשרות איתם מתנהלת ללא ניהול מדוקדק של מערך אבטחת המידע שלהם, ונעשה שימוש במערכות תוכנה וניהול מיושנות. למעשה, מדובר בתשתיות קריטיות שלא תוכננו להגנת סייבר.
איראן עלתה השבוע לכותרות בעקבות סדרת תקיפות סייבר מאסיביות שחוותה בימים האחרונים, וכוונו נגד תשתיות לאומיות, בהן בהן רשת הרכבות הארצית. התקפה על תשתיות קריטיות כפי שהתרחשה בטהרן, היא משימה המשלבת מספר סוגי תקיפות, עשויה להימשך חודשים ארוכים ודורשת משאבים כלכליים לא מבוטלים. מכך עולה, כי ארגונים גדולים, ואף מדינות, הם מי שעומדים בדרך כלל מאחורי מתקפות כאלו.
ההערכה שלי היא, שבמקביל למתקפה הנראית לעין, אותו תוקף אנונימי, שמבצע נזק משמעותי לתשתיות הלאומיות של איראן, ינסה לאתר גם מידע אישי אמין על הספקים של ארגוני המדינה, וישתול נוזקה כלשהי בעדכוני התוכנה העתידיים של המערכות. כעת, נותר לו רק להמתין שהספק יבצע עדכון אוטומטי של המערכות, דבר שידביק את מערכות הליבה - במקרה הזה מערכת הרכבות האיראנית - וכך יהיה ניתן להשתלט לחלוטין על המערך שנפגע, ובהמשך גם להשביתו לחלוטין.
הדבר יתאפשר בהנחה שהמדינה המותקפת וספקיה לא יצליחו לאתר את תולעת הסייבר המתחבאת בין הנתונים שלהם. מדובר במשימה מורכבת מאוד ולפעמים כמעט בלתי אפשרית, בייחוד כאשר מערכות הגנת הסייבר הקיימות לא מתקדמות מספיק ובצד השני נראה כי יש משאבים, טכנולוגיות ומומחים רציניים.
עלות לעומת תועלת
לצערי, למרות שנושא הסייבר הפך לנושא המדובר ביותר בשנים האחרונות, חברות, ארגונים ואפילו מדינות, לא משכילים להשתמש במומחים מקצועיים ולבנות לעצמם מעטפת הגנה משמעותית שתגן עליהם. למעשה, המחיר שארגון ישלם על בנייה ותחזוקה של מערכת הגנה כזו הוא קטן עשרות מונים מהמחיר שישלם במקרה של השתלטות על המערכות, ותיקון הנזקים בהן.
ארגוני פשיעה וטרור הפועלים בשדה הסייבר העולמי, נוקטים בשיטות פשוטות למדי ומחפשים ברחבי הרשת את הארגונים עם מעטפות הגנה מעטות, והרבה אפשרויות פריצה וחדירה. הארגונים הללו עלולים, בסופו של דבר, ליפול קורבן לאותם ההאקרים.
למה? כי זה הכי פשוט ויעיל עבור פושעי הסייבר. לכן, בין אם אתם חברה קמעונאית גדולה ובין אם משרד עורכי דין או מפעל קטן – בעידן הנוכחי, אתם חייבים להגן על עצמכם.
הכותב הוא CISSP, מנהל פיתוח עסקי סייבר לאזור דרום אירופה בחברת CISCO