"זה כבר לא מדע בדיוני": איך מתמודדים עם איומי הסייבר?
חברת לדיקו, נציגת BOSCH בישראל, ערכה כנס בנושא סייבר ופרצות אבטחה דרך מצלמות ומכשירי IOT. אלה עיקרי הדברים
בכל ארגון קיימים עשרות מכשירים של מצלמות ומערכות וירטואליות של צילום, וידיאו ומיקרופונים שהוא צריך לאבטח, ולכן ככל שהארגון קטן יותר כך גדל הסיכוי שהפגיעה תהיה חזקה יותר. חברת לדיקו, נציגת BOSCH בישראל, ערכה החודש כנס מקיף בנושא סייבר ופרצות אבטחה דרך מצלמות ומכשירי IOT. בכירי התעשייה שהשתתפו בו דנו בדרכי התמודדות של הגופים השונים במשק הישראלי במצב של מתקפות הסייבר המגיעים ממקורות צפויים יותר ופחות.
את הכנס הנחתה דורית גוטרמן, CTO בלדיקו בטיחות וביטחון, והשתתפו בו אמנון כהן (מנכ"ל לדיקו מערכות בטיחות וביטחון), שמוליק אנג'ל (מנכ"ל סימנטק לשעבר- יועץ בכיר לחברות הזנק), אסף רשף (מנהל תחום סייבר ב-Deloitte), תומר נורי (CTO וסמנכ"ל טכנולוגיות במלם תים), אורי שבי (מומחה לרשתות תקשורת סימפל איי.טי בע"מ), רמי ששון (מנהל תשתיות IT סונול) ומנחת הפאנל.
"זה כבר אינו מדע בדיוני, אלא המצב שאנחנו חווים," אמר בכנס אמנון כהן. "בכל יום נפרצות מערכות וידיאו ונפרצים אביזרי ה-IOT . היום כל אחד מתקין מצלמות אבטחה אבל מבחוץ כל אחד יכול להשתלט על הפרטיות של אנשים. את הנזקים אנחנו כבר רואים. למשל האמיר של קטאר טען שרוסים השתלטו על צילומים שלו בכנס לשוטרים, שתלו דברים שהוא מעולם לא אמר ואז ערב הסעודית והאמירויות ניתקו עמו קשר. כך גם הרבה מאוד מערכות סחר הושבתו בגלל השבתה של חברת DYN שחוותה שלוש מתקפות מבוקר ועד ערב באוקטובר 2016, מתקפה שגרמה לשירותים ופלטפורמות אינטרנט שונים להפוך ללא זמינים למשתמשים באירופה וצפון אמריקה".
הסוגייה המרכזית שעלתה בדיון היא האם ניתן לשמור מערכות הוידיאו וה- IOT על רשת נפרדת או שהן יעבדו על אותה רשת כמו הרשת הארגונית.
שמוליק אנג'ל: "העולם הולך לכיוון של אינטגרציה ותכלול, כלומר התהליך האבולוציוני הוא בלתי נמנע ולבסוף מצלמות ומערכות הוידיאו יעבדו על אותן מערכות אבטחה בארגון ולכן אין טעם לבנות רשת מקבילה לרשת הביטחון הארגונית. ארגונים יצטרכו לעשות ריביזייה ולשנות את התצורה של האבטחה בכדי לשמור על רמת הנכסים שלהם שזה המידע."
במהלך שנת 2018 יכנס לישראל ארגון גידיאר ולטענת אסף רשף, "הארגונים יהיו חייבים להתייחס לאחזקת מידע באופן רציני ולהבין שגם כשעושים הפרדה, אפשר לפרוץ מסביבה אחת ולהכנס לסביבה אחרת. לכן הפוקוס צריך להיות על אבטחה פיזית אחידה בכדי לגלות מהר את פרצת האבטחה, לעכב ולחסום . החדשות הפחות טובות הן שאין בארץ שום דבר שמחייב מבחינת החוק לגבי אבטחת מידע. החדשות הטובות הן שדברים זזים לאט. בארה"ב יוצאים מסמכים והצהרות בנושא של הגנה על ערכים או ציודים שהם לא מאובטחים. יקח לנו עוד זמן אבל הכיוון חיובי".
לעומתם סבור רמי ששון כי בצד כל היכולות שיש היום, קיימים מספר חששות בתחום אבטחת המידע וכל פגיעה במערך אבטחת ה IP יוכל להשבית את העסק, לכן היום צריכים לבנות את המערך שיתן לנו הפרדה בין כל המכשירים.
אורי שבי מצדד בעמדה הזאת וטוען כי כשלקוח בונה שכבת הגנה חדשה, קיימות לפניה עוד שכבות ולכן השכבה החדשה תהיה כזאת שלקוחות יכולים להוסיף כדי להגיע לרמה הנדרשת. בשנים האחרונות מנהלי IT הם האחראים על נושא בטיחות ואבטחת מידע ולכן מערכות ביטחון הופכות לחלק מזה ובעיקר בארגונים גדולים יש קב"ט שאחראי על הנושא הזה. לכן צריך להפריד את המחלקות ואנשי ה- IT צריכים להיות אחראים על תפעול ותחזוקה.
מה עושים כאשר איומי הסייבר מגיעים ממקור בלתי צפוי?
שמוליק אנג'ל: רוב האיומים הם כאלה שהארגונים לא יודעים שקיים איום על הרשת שלהם. ככל שהארגון קטן יותר, כך הסיכוי שהפגיעה בו תהיה יותר חזקה. אין ארגון שאי אפשר לפרוץ לתוכו וזה תלוי בנחישות הפורץ ובמה שקיים בתוך הארגון. בכל ארגון קיימים עשרות מכשירים של מצלמות ומערכות וירטואליות של צילום, וידיאו, מיקרופונים שהוא צריך לאבטח ולכן כל ארגון מהקטן ביותר ועד הגדול יצטרך להטמיע את התפיסה שבכדי לשמר את המידע, קיים צורך באבטחת מידע מתוחכמת. דוגמא בולטת לכך היא חברת לוקהיד מרטין שנפרצה דרך ספק מיזוג האוויר. הפורצים הגיעו למסמכים של הספק, משם הגיעו למערכת ניהול מיזוג האוויר ומשם הדרך למחשבי החברה היתה קצרה. לכן המסקנה היא שלמנהלים יש אחריות מפני גורמים עוינים וגם הארגונים הקטנים ביותר יקנו חבילה של אבטחת מידע כי לכל ארגון יש נכסים שצריך לשמור.
כמו כן, ארגונים יצטרכו לעשות רביזיה לגבי אופן שמירת רמת הנכסים ולשנות דברים בסיסיים כמו התצורה. צריך לזכור שאסור להשאיר פתחים כדוגמת עובד שעזב ארגון ושם המשתמש שלו לא נמחק עד הסוף. בסוף השאלה היא מי אחראי בארגון ולמי באים בטענות ואם הארגון לא יודע להגיד כמה מהמערכות שהותקנו אצלו אכן מאובטחות, הארגון בבעיה. בכל ארגון קיימים עשרות מכשירים פשוטים ומערכות וירטואליות של צילום וידיאו ומיקרופונים שצריך לאבטח אותם. לכן, קודם יש לוודא שהמכשירים הבסיסיים מאובטחים ולאחר מכן לאבטח את השאר.
טרנד העלייה לענן והשפעתו על אבטחת מצלמות כאשר קיימים הרבה שירותים שמתווספים לשירותי הוידיאו שמגיעים בצורת ענן והאם השיקול המרכזי הוא רמת האמון בספק וברמות אבטחה?
אורי שבי: "האחסון של מצלמות אבטחה מתאים לפלחים מסוימים של לקוחות וכשחברות מחברות מצלמות אבטחה לספק הם בבעיה. כך גם רשתות LAN ו - WIFI מתנהלות באופן פרוץ והיצרניות שמייצרות את מצלמות האבטחה יודעות זאת. לכן, אין שום סיבה שמערכות ביטחון יהפכו לסרוויס. החברות הן אלה שמחליטות איזו מצלמה להעלות לענן ואיזו לא.
תומר נורי: "היום ניתן לפרוץ למערכות וידיאו ברמה הפשוטה ביותר שזה שימוש במנוע חיפוש ופריצה למצלמה. הסייבר מייצר המון תעבורה ובמקביל קיימות הרבה טכנולוגיות שנשארות ברמה של אבטחה. אחד הדברים המסוכנים בארגון זה VPN , שעובד יכול לשתול דברים. לכן הדבר מצריך תפיסה מתודולוגית ארגונית ע"מ לזהות איומים לגבי כל דבר שיכול לדבר דיגיטלית IP".
שינוי תפיסת אבטחה והגנה מפני סייבר מצריך תקציבים כאמצעי הגנה, נהלים ופתרונות. כיצד ארגונים נערכים לזה?
רמי ששון: "אם הארגון יודע שמדובר באבטחת המידע שלו, אז הוא ישקיע את הכסף. קיימים כאן סדרי עדיפויות אבל יש גם את נושא הרגולציה. בסופו של דבר, הארגון צריך להבין שזה לטובתו לעשות את מה שהרגולטור אמר."
תומר נורי: "מערכת סייבר אנליטית היא דבר משמעותי ולכן כשאנו מגיעים לארגונים, צריך לגייס את כוח האדם הנכון. יש פה עלות תפעול, שירותים אבל זה חלק מהמשוואה."
אמנון כהן: "כשדירקטורים יבינו שקיים סיכון אדיר בהפקרת המכשירים, ההשקעה תהיה מתבקשת."
דורית גוטרמן, מומחית בנושא מצלמות אבטחה, סייבר מסכמת: מדובר למעשה במעגלים של פתרונות. אחד המעגלים הוא הציוד שהחברה בוחרת, לכן צריכים לבוא כאן שני שיקולים. האחד הוא זהות היצרן שניתן לסמוך עליו. השני הוא יכולת הארגון להתגונן מפני מתקפת סייבר ולהקים מערך אבטחת מידע. בכל הנושא של אבטחת וביטחון מצלמות אבטחה, במצלמות של חברת בוש יש צ׳יפ שפעילויות ההצפנה והקרטוגרפיה נמצאות בתוכן ולא קיימת בכלל אפשרות שניתן לפנות אליהם בעזרת גורם שלישי המגיע מבחוץ, כך שקוד ההצפנה של החברה לא נחשף, מכיוון שמצלמות האבטחה מגיעות יחד עם הצפנה מקצה לקצה.
למעשה, במערכת מצלמות אבטחה של בוש קיימים ארבעה גורמים: האחד הוא שמערכת ההקלטה לא מקבלת הזרמה משום מערכת וידיאו וגם הלקוח אינו יכול להתחבר למערכת. השני הוא שהמצלמות והמערכות תומכים בווידאו דאטה. נושא שלישי הוא הרשאות משתמש במערכות של הספק ובמערכות הניהול והרביעי הוא מפתחות ציבוריים או כל סטנדרט אחר אינם יכולים להגיע לחוליה החלשה ולשבור את השרשרת. ברמת המצלמות: המערכת מאפשרת להחליף סיסמאות ל- 50 משתמשים ולהתקין קובץ קושחה. החותמת היא ברמת המפעל כך שלאחר מכן לא ניתן לטעון חותמת אחרת. קיימת הצפנה של קובץ - כדי שגורמים מבחוץ לא יכניסו למצלמה דברים שהארגון אינו מעוניין בהם והקשחות מכל מיני סוגים. הצ׳יפ הוא טכנולוגיה של כרטיסים חכמים ומעבד המשותף למצלמה עצמה.
ברמת השרתים - הם תומכים בניהול הרשאות משתמש, דבר המאפשר עדכונים שותפים של הארגון. ברמת הרשת- יש פאיירוול פנימי של מצלמה.
לסיכום- אם אנו מסתכלים על רמת האיומים- בחברת בוש זה אינו מתאפשר כיוון ששורת תוכנה נכתבת עי בוש ורק ככה ניתן להפעיל את המצלמה. כך גם הקושחה, כל התוכנות שלנו מאפשרות ניתוק של מצלמה כך שזה לא יגיע למצב של גניבת הרשאות משתמש והפרת פרטיות. התקפות דידוס- נמנע באמצעות פאייוול מובנה ושימוש בהרשאות.