סחיטה מקוונת | צילום: שאטרסטוק
TechTalk
משחקים מלוכלך: מתקפות סייבר מכוונות לאחרונה גם לבני משפחה של מנהלים
האקרים התחילו לטווח ולסחוט קרובים של עובדים בתפקיד ניהולי כדי להגיע דרכם אל המידע המבוקש. ראובן ארונשווילי, מייסד ומנכ"ל CYE, קורא למעסיקים לעדכן את "תקנות הבטיחות" בארגון, לקחת אחריות ולהגן על העובדים גם במישור אבטחת המידע
אל החברה שלנו הגיעה הפנייה הבאה: נער גאה שעדיין לא יצא מהארון מקבל מסרים המאיימים לחשוף את נטייתו המינית אם לא יפתח ויאשר קובץ המכיל רוגלה שמתחברת לרשת ה-Wifi המשפחתית. הנער המבועת נענה לדרישה והתיר להאקר גישה למטרה האמיתית שלו: פריצה למחשב של אימו של אותו נער המשמשת בתפקיד ניהולי בכיר בחברה ציבורית.
קראו עוד בכלכליסט:
לא מדובר במקרה חריג. לאחרונה נצפתה עלייה מדאיגה בניסיונות סחטנות רשת על רקע מיני (Sextortion) הכוללים איומים בשיתוף תמונות עירום או מידע אינטימי ורגיש אחר, בין אם אמיתי ובין אם לאו, אלא אם הקורבן ייכנע ויעמוד בדרישותיו של המפגע. במקום תשלום, ההאקרים דורשים גישה לרשת האלחוטית, סיסמאות ובקשות להורדת קבצים - זאת, על מנת להגיע ליעדים אחרים ולבצע תקיפות חמורות יותר. הם כבר לא מסתפקים במנהלים עצמם ופונים לאיים גם לבני משפחה ולבני זוג.
בשנה החולפת, במסגרת עבודתנו עם ארגונים גלובליים, ראינו עלייה משמעותית בסוג כזה של מתקפות, כמו גם עליה ברמת התחכום. אמנם זו מגמה חדשה, בת שנה בלבד, אבל היא כבר רושמת לא מעט קורבנות ומתפשטת בקצב מסחרר. זו גם האסטרטגיה שבלב מתקפת שרשראות האספקה שבה התוקפים חודרים אל חברות תוכנה שנמצאת בענן כדי לתקוף את המנויים שלהן. הפורצים כבר לא מבקשים תשלום כופר, כי אם גישה לרשת או הורדת קבצים המאפשרים להם להיכנס למערכת ולחדור למידע רגיש. פוטנציאל ההרס של מהלכים כאלה הוא רב יותר: הפורצים משתמשים בגישה כדי לתקוף חברות, את ספקיהן, או את לקוחותיהן. הנזק משמעותי ויקר הרבה יותר מכל בקשת כופר.
כדי להתמודד עם התקפות מסוג זה, חברות צריכות לדאוג לאבטחת המידע ולאבטחה הפיזית סביב מנהליהן וסביב דמויות נוספות בעלות פרופיל גבוה בחברה. התוקפים יכולים בקלות להגיע למנהלים ולבכירים בארגון: זהותם ידועה, כתובת המייל שלהם ציבורית ונגישה, ודרכם ניתן להגיע למידע חסוי ולמשאבים. אבטחת מידע טובה כוללת גם זיהוי של הקשרים הפוטנציאליים בין סייבר לפרצות אבטחה פיזיות. הפורצים אינם בוחלים בשום אמצעי ומשלבים טקטיקות, לכאורה ישנות, כמו ריגול ומעקב כדי לקבל מידע על מטרות דיגיטליות. 'טיפול' במכשיר או במרחב פיזי מאפשר לפורץ גישה לנתונים, הנהוגה בעיקר כשהפריצה נתמכת על ידי גורמים ממשלתיים. כדוגמה לכך ניתן לקחת את האירוע שבו מנקה בביתו של שר הביטחון, בני גנץ, נעצר בחשד לריגול עבור קבוצת האקרים איראנית.
חברות צריכות להגן על עובדיהם, על בני משפחותיהם ועל מקורבים אחרים שנמצאים בסמיכות למנהלים שבסיכון - במיוחד כשהעובדים עובדים מהבית. אבטחת מידע איכותית מקיפה את כלל עובדי החברה, ולא רק את צוות ה-CISO. יש לחשוף את העובדים, בייחוד הבכירים שבהם, לדרכים השונות שבהן פורצים מנסים לבצע ניסיונות פישינג וסחטנות רשת. בנוסף, יש לוודא שהעובדים מרגישים בנוח לדווח על ניסיונות כאלה ולשם כך יש לבסס תהליך אנונימי ומעורר אמון. עובד שיחוש בושה ואשמה, יחשוש להיות מפוטר, או יאויים מפרסום המידע האישי שלו לא ידווח.
למעסיק יש לא מעט אחריות כלפי העובדים שלו. אם בעבר הדבר התבטא בהתקנות מעקות ושלטי "הרצפה רטובה", היום ברור כי המעסיק צריך לדאוג לעובדיו גם במישור אבטחת המידע ולוודא שהם אינם חשופים למפגעים שלא יהססו להשתמש במידע אינטימי עליהם ועל בני משפחתם כדי להפיל את החברה שהם עובדים בה. בעידן שבו גיוס ושימור עובדים הוא אתגר משמעותי בחייה של כל חברה, היכולת להגן עליהם היא מכרעת. ארגון שמסוגל להגן על עובדיו, על בכיריו, ועל הקרובים אליהם הוא ארגון שעובדיו יכולים לסמוך עליו, מרגישים מגויסים אליו, מוגנים, וסביר להניח שירצו להמשיך לעבוד בו.
ראובן ארונשווילי הוא מייסד ומנכ"ל CYE