כנס הסייבר
נמרוד קוזלובסקי: "רוב הארגונים לא מוכנים לאירוע סייבר"
קוזלובסקי, שותף ב-HNF ויוזם המסלול ללימודי סייבר באוניברסיטת ת"א, אמר בכנס הסייבר 2020 של כלכליסט כי "חברות פארמה גדולות, תשתיות, בנקים לא שומרים מידע וזה מקשה על הטיפול באירוע סייבר"
"רוב הארגונים שאנחנו מגיעים אליהם פשוט לא מוכנים. חברות פארמה גדולות, תשתיות, בנקים – בכל כל פעם נדהמים לגלות שהם לא שומרים מידע, שאין מערכות סקיוריטי שמביאות מידע שאפשר לתשאל, ושאין נוהל סדור להוצאת מידע ממערכות באופן שיאפשר לחקור את האירוע". כך אמר היום (ב') נמרוד קוזלובסקי, שותף ב-HNF ויוזם המסלול ללימודי סייבר באוניברסיטת תל אביב, בכנס סייבר 2020 של כלכליסט.
קוזלובסקי סיפר על שני מקרים שנתקל בהם. האחד, חברה פיננסית גדולה שקיבלה תצלום עם 50 לקוחות משמעותיים שלה, כולל חשבונות הבנק, סכומים מופקדים ופרטים אישיים, בצד איום שהרשימה הזו תופץ. במקרה אחר, רופא ששילם 500 דולר לתוקפים שחסמו לו את המחשב עם המידע הרפואי, מבלי שסיפר לממונים. אבל אז אירע השלב הבא - בעת טיפול במטופלת בת 5, הבחין שהרשומות הרפואיות שלה משובשות ומתאימות לגבר כבן 70, מטופל בדיאליזה. מכיוון שהבין כי עשוי להיות קשר בין המקרים, הפעם הוא דיווח.
"פה אנחנו נכנסים לתמונה - מגיעים למשרד ושואלים מאיפה זה הגיע", אמר קוזלובסקי. "לאותו מוסד פיננסי שקיבל איום עם רשימת הלקוחות שלו, אנחנו צריכים לעשות פעולה שנקראת 'פורנזיקה', כלומר להבין מה היקף האירוע, האם סתם רשימת לקוחות אחת שדלפה מתדפיס שמישהו לא גרס וזרק, דלף נקודתי ממחשב, או שמישהו גנב את כל מעגל הלקוחות של אותה חברה פיננסית, ואז צריך לערב את השב"כ והמשטרה.
במקרה של בית החולים, סיפר, ניסו להבין אם יש קשר בין המקרים ותחקרו את הרופאים, שאמרו כי מדי פעם יכול להיות נתון לא נכון בגלל טעות אנוש. "אם מישהו הצליח להיכנס לרשומות, הוא יכול לא רק להצפין את המידע אלא גם לשנות אותו, וייתכן שחולים שיגיעו יקבלו טיפול על בסיס מידע טיפולי שגוי. אין רופא שיעז לטפל בחולה אם הוא חושד שהמידע הרפואי זוהם".
כדי לבדוק את מקור הבעיה, הסביר, עליהם להיכנס למערכות הקצה כדי להבין אילו תוכנות הופעלו. "אנחנו צריכים לבנות את הסיפור, האם היה תוקף, האם נכנס, איזה קוד הפעיל, איזה עוד מחשבים נדבקו, מניין הגיע ומה היקף הנזק, אם זה אירוע נקודתי או גדול, כדי לדעת כיצד לטפל בו".
אולם היעדרו של מידע זמין בארגונים, מקשה על הטיפול בבעיה. "מבזבזים זמן יקר", אמר. "אם זה לא אירוע טכני אלא אירוע של ההנהלה, המוסד מבין שהולכים לקראת פיאסקו, המנהלים בלחץ, ואין לי תשובות. אם המידע לא קיים, לעתים לוקח ימים ושבועות להגיע לתשובה. אז מה עושים? מתדרכים ארגונים להיות מוכנים לאירוע סייבר, שמערכות הסקיורטי ייצרו מידע בשפה זהה ומודיעין שאפשר להצליב. כי אם יהיה אירוע סייבר – אתם חייבים לספק לנו כלים לעזור לכם לדעת מה היקפו וכיצד מטפלים בו".