ניהול מידע מבוזר בענן כדרך התמודדות עם תוכנות כופר

רהב רוזנטל - יח"צ IsraelDefense

בשנה האחרונה חלה החמרה בכמות ובאיכות של מתקפות הכופר (Ransomware) בארץ ובעולם, הן כנגד אנשים פרטיים והן כנגד ארגונים מכל גודל ומגזר. בישראל הותקפו בין היתר מחשבים של רשות החשמל, בית חולים באזור המרכז ושל חברת הנדל"ן אזורים. לפי דו"ח של קספרסקי, בשנת 2016 מתקפות כופר היוו איום אבטחה מוביל, עם מתקפה אחת ל-40 שניות בממוצע.

נראה כי מגמה זו צפויה להימשך גם בשנה הקרובה. על פי דו"ח של חברת Trend Micro מתקפות הכופר יהיו אחד משמונת איומי האבטחה הגדולים של 2017. מחברי הדו"ח מעריכים כי במהלך השנה תתרחב פגיעתן של תוכנות כופר לתחומי ה-IoT, לכספומטים ולהתקני מחשוב בנקודות מכירה, מה שצפוי להגדיל משמעותית את הנזק שלהן בעיקר בקרב ארגונים.

כשארגון נופל קרבן למתקפת כופר, הנזק עלול להיות גדול מאוד - החל מפגיעה בעסקי הארגון, דרך פגיעה במוניטין, ועד לאבדן מידע חיוני בחלק מן המקרים. כל עוד זה קורה למישהו אחר, כולנו רוצים להאמין שאפשר להיות "גיבורים" ולא להיכנע לסחטנות של דורשי הכופר, אבל האמת העצובה היא שבחלק גדול מהמקרים הקרבנות משלמים את הכופר. החשש לאבד את המידע החיוני של הארגון, ולעתים אף מידע קריטי, הוא גדול מדי. 

לפני כשנה פורסם בארה"ב מקרה של בית החולים בהוליווד שנפל קורבן למתקפת כופר קשה, שאילצה את הצוות הרפואי לעבוד עם דף ועט במקום מחשבים. לבסוף מנהלי המוסד נכנעו ושילמו לתוקפים כ-17 אלף דולר במטבעות ביטקוין. מנהל בית החולים הסביר את ההחלטה לשלם לתוקפים באומרו כי "תשלום הכופר היה הדרך היעילה והמהירה ביותר להשיב לבית החולים את השליטה במערכת המחשוב".

כיצד להתגונן מפני מתקפות כופר?

ארגונים רבים מלקקים עתה את הפצעים אחרי שנפלו קרבן למתקפת כופר ונאלצו לשלם לתוקפים. במאמר זה לא אתמקד בפתרונות אבטחת מידע, אלא דווקא בחשיבות הגיבוי להמשכיות העסקית, והיכולת של פתרונות ענן להעניק שקט וביטחון למנהל ה-IT אל מול האיום של מתקפות כופר.

לכולנו ברור שככול שיהיו לארגון יותר שכבות אבטחה הוא יהיה מוגן יותר מפני פריצות, אבל האם זה מבטיח לו שלא ייפגע בוודאות של מאה אחוז? ממש לא, לכן מומלץ להתגונן בכמה רמות שונות - החל במניעת הידבקות ועד להגנה על המידע הארגוני במקרה שכבר הותקפנו. מנהלי אבטחת מידע וספקים של פתרונות אבטחה עשויים לחשוב אחרת ממני. יתכן שחלקם מעדיפים שהכול יהיה מרוכז בשכבות של פתרונות הגנה. אני לא מתיימר להציג אנטיתזה, אלא פשוט נקודת מבט משלימה - כזו שמתאימה גם לארגון הממוצע שלא מסוגל להשקיע סכומים גבוהים בפתרונות אבטחת מידע, אך עדיין רוצה ליהנות מביטחון ומהגנה על המידע הקריטי. לשם כך צריך לדאוג מבעוד יום שלמידע הארגוני יש בכל עת גיבוי. רק כך נהיה מוגנים במקרה שהתוקפים הצליחו לחדור למחשבי הארגון.

השאלה הראשונה שמנהל IT בארגון צריך לשאול את עצמו בהקשר זה היא: איך אני מצמצם את הנזק למינימום במקרה שכבר נפגעתי? כדי למזער את הנזק, חשוב לבזר את הסיכון ולבנות את רשת המחשוב הארגונית כך שתהיה מופרדת לכמה ישויות מובחנות ושונות.  כך, במקרה של פגיעה הארגון לא יושבת, וחלקים רבים ימשיכו לעבוד כרגיל.

אחת הדרכים לניהול מבוזר היא להשתמש בפתרונות ענן ממספר ספקים שונים. זה עדיין לא מבטיח שהנוזקה לא תחדור לארגון, אך ברור לכולם שספק של שרות מסוים יגן עליו בכמה וכמה שכבות של הגנה ולבטח יעשה זאת טוב יותר מכל מנהל IT. החיסרון עלול להיות בכך שלעתים קשה למנהל ה-IT לנהל באופן מבוזר מספר רב של מערכות מספקים שונים. כמו כן, תמיד נזכור שאין הגנה הרמטית ועדיין הנוזקה יכולה לחדור דרך ערוץ מסוים ולפגוע בסביבת המחשוב. וזה מביא אותנו לנקודה של ההמשכיות העסקית.

במידה והארגון כבר נפגע, ובהנחה שכבר צמצמתי את הפגיעה למינימום על ידי ביזור מערכות והקמת מספר ישויות, השאלה השנייה שצריכה להישאל היא: תוך כמה זמן אני מתאושש מהמתקפה וחוזר לפעילות נורמלית?

מנהל ה-IT בארגון צריך לנהל מערך גיבויים ולתת מענה של גיבוי לכל ישות שנמצאת באחריותו. למשל, אם הוא צורך שרותי מייל בענן אז שיהיה לו פתרון גיבוי, אשר מעניק לארגון יכולת לשחזר את המידע ולא להיות "בן ערובה" של ההאקר התוקף. ישנם פתרונות רבים וטובים בעולמות הענן שהשימוש בהם פשוט ויעיל, וביכולתם לעשות את כל ההבדל בין הצלחה לכישלון במקרה של מתקפת כופר וניסיון סחיטה. פתרונות אלה שומרים על כל המידע הארגוני זמין בענן, ומאפשרים לארגון להמשיך לעבוד - לעתים אף מבלי שכל העובדים ירגישו שהארגון חווה ניסיון סחיטה.

לסיכום, ניהול סיכונים הוא לא עניין של מזל אלא עניין של דיוק ומקצוענות. עם ניהול נכון ושימוש מושכל בפתרונות ענן של חברות שונות, מקומיות או בינלאומיות, יכולים ארגוני SMB וגם אנטרפרייז ליהנות מהגנה על המידע, המשכיות עסקית, ומרמת אבטחה של התקנים המחמירים ביותר. צריך לזכור כי חברות הענן עסוקות אך ורק בלהגן ו"לרפד" את המידע שלך בשכבות אבטחה. בסופו של יום, זה העסק העיקרי שלהם.

מומלץ לדאוג שגם אם תיפגע הנזק יהיה מינימלי וזמן ההתאוששות יהיה קצר ככול שניתן. והכי חשוב - שאף אחד לא יצליח לסחוט אותך, מפני שאם שילמת פעם אחת זה בהחלט עלול לגרום לכך שתהפוך יעד לסחיטה נוספת בעתיד.

רהב רוזנטל הוא מנהל תחום פתרונות ענן One1Cloud בחברת One1.