שליש ממשתמשי המחשב בעולם נפלו קורבן לתרמיות פישינג ב-2006 - מספר כפול מאשר 2005, כך אומר בראיון ל-The Peopleגרג קרייזמן, אנליסט בכיר לתחום אבטחת מידע וניהול זהויות בגרטנר העולמית. לדבריו, בשלוש השנים הקרובות, התקפות מסוג פישינג תמשכנה להיות סוג ההתקפה המועדף על פושעים ברשת, בשל התועלות הכספיות הרבות הגלומות בהן.

קרייזמן, שהיה חבר במשלחת של מומחי גרטנר שביקרו בארץ לפני שבועיים בכנס השנתי שערכה החברה, אומר כי "ההתקפות של מבצעי הפישינג גדלו בשנתיים האחרונות, והן צפויות להמשיך ולגדול. כמות מקבלי הדואר שחושבים – או בטוחים – שהמדובר במייל שהיה פישינג – הוכפלה מאז שנת 2004. עדיין, החדשות הטובות הן שבסופו של תהליך הפישינג – פחות אנשים הפסידו את כספם בשל ניסיונות ההונאה הללו. למרות זאת, כאשר אנשים הפסידו כספים בנופלם קורבן להונאה - הנתון המעציב הוא שהם הפסידו יותר כסף מבעבר: סכום הכסף הממוצע שאבד בשל הונאת פישינג הוכפל פי חמישה מ-2005 ל-2006. הנוכלים ממשיכים לשים להם ליעד, אנשים בעלי הכנסה ממוצעת גבוהה, שנוטים להשתמש יותר ברשת מאשר כלל האוכלוסיה. למרבה ההפתעה – הם גם מצליחים".

מה נדרש לעשות על מנת לצמצם את התופעה?

"פתרונות למניעת התופעה, צמצומה וניטורה – המסופקים על ידי הבנקים ונותני השירותים ברשת – לא מצליחים מספיק. מצד שני, פתרונות מעולם האותנטיקציה מוטמעים באיטיות רבה מדי וגם הם אינם מצליחים לבלום את התופעה.

בתוך עולם הפישינג, אנו מבחינים במגמה של פחות פניה ללקוחות בנקים, ויותר ל-PayPal ול-eBay. בשל כך, כמות ההחזרים שנדרשים הבנקים וחברות האשראי להשיב ללקוחות שאיבדו את כספם – קטנה באופן יחסי, ובמקביל – ההחזרים שנדרשו חברות קמעונאות להשיב ללקוחות שרומו – גדלו. כל הנתונים הללו מצביעים על הנקודה, לפיה הנוכלים רק משתכללים בשיטות ההונאה שלהם, וכל הזמן יוזמים פניות פישינג בלתי קונבנציונליות".

מהן המגמות העיקריות בעולם אבטחת המידע?

"אנו ממשיכים להעריך כי אובדן מידע רגיש, יהווה את הנטל המשמעותי עבור מנהלי ה-IT ומנהלי האבטחה בארגונים, גם בשנתיים הקרובות. הנזק המשוער הצפוי לארגונים בשל גניבת המידע – יצמח בשיעור של 20% עד שנת 2009.

הסיבה לכך, היא ההתחזקות של המיחשוב בתוך הארגונים. המיחשוב הפך להיות חלק אינטגרלי מהארגון, ובהכרח – גם השימוש בו. משתמשים חשופים כיום, יותר מבעבר, לחומרים בעלי משמעות חשובה עסקית וכלכלית, מסמכים ונתונים קריטיים – ואובדנם הופך להיות כמעט דבר שבשגרה. האובדן יכול להיות בשל גניבה, או היעלמות של מחשב נייד שבו נמצאו הנתונים, או בשל פריצה למערך ה-IT הארגוני, שלעיתים ייקח זמן עד שהיא תתגלה. נוצרו מערכי IT בארגונים, שבשל חוסר מודעות - רכיבי אבטחת המידע לא שולבו בהם מלכתחילה. כך, היכולות של הנוזקות השונות לגרום נזקים – היא רבה יותר כיום. והארגונים ממשיכים וימשיכו לשלם את המחיר, על חטאים שנעשו בסוף שנות ה-90'.

אנו נמצאים כיום באחת מאותן תקופות של 'שברים טקטוניים' – רכיבי מיחשוב של לקוחות, ווב 2.0, ווי'יקיס, אתרים לשיתוף קבצים – כל אלו הם חלק ממגמת ה'ההצטרכנות של ה-IT', אשר מתייחסת להשפעה שיש לטכנולוגיות, למוצרים ולגישות שאומצו על ידי הצרכנים, או תוכננו לשימוש הצרכן. טכנולוגיה מונחית צרכנים כבר כאן, היא לא תיעלם. הבעיה היא שהיא טומנת בחובה סכנות אבטחה חדשות, שלא חשבו עליהן בעבר.

טכנולוגיות רבות הוצגו והתקבלו בתחילת דרכן בשוק הצרכני - בהן הודעות מיידיות, יישומים חינמיים, כמו חיפוש בשולחן העבודה והאינטרנט עצמו. טכנולוגיה מונחית צרכן תמשיך להכשיר את הקרקע לכלי ה-IT המשמעותיים ביותר. סוכן עיקרי של תופעה זאת הוא מהפכת האינטרנט השנייה, שבה משמש האינטרנט כזירת מבחן לטכנולוגיות חדשות. קלות השימוש באינטרנט גרמה לאנשים להתייחס אחרת לטכנולוגיה, בפחות הססנות. הטכנולוגיה תמצא בעצמה את דרכה לארגון, בין אם ירצו בכך מנהלי האבטחה הארגוניים, ובין אם לאו".

"המידע חשוף מבעבר"

"מה שנותר למנהלי האבטחה לעשות, הוא ליצור אזורים ניסיוניים, בהם צוותי ה-IT ומשתמשים אחרים ילמדו את הטכנולוגיות ויזהו יישומים, בהם הטכנולוגיה יכולה לשפר את השיתוף במידע, את התקשורת והיעילות או היבטים אחרים בפעילות הארגון. האבטחה צריכה להיות 'מאפשרת', ולא 'מונעת'. כאשר מנהלי ה-IT מחפשים את הדרכים בהן IT צרכני, יכול לחסוך כסף בהשקעה טכנולוגית ולספק יתרונות בתחומים בלתי צפויים כמו תפוקת עובדים, יצירתיות ושביעות רצון – על מנהל האבטחה לעמוד לצידו, ולראות כיצד לשלב את רכיבי האבטחה כבר בתחילת הדרך.

יש לוודא את אבטחת הרשת הארגונית שנפתחה על ידי טכנולוגיות הצרכן, על ידי תכנון הרשת הארגונית ליותר מאשר צרכים פנימיים. יש לצאת מנקודת הנחה שקיימות כוונות זדוניות ב'ממלכה רחבה' זו, ולהתייחס לכל הגישות לרשת, ככאלו שהן בעלות פוטנציאל עוין. עסקים חייבים להבין שמגמת ההצטרכנות של ה-IT תמשיך לצבור תאוצה, ועל מנהלי האבטחה לפעול בהתאם.

המשתמשים בארגונים פועלים באופן בלתי בטוח יותר מבעבר, הם משלבים תכנים מאתרים, יוצרים לינקים, עובדים מהבית – כל מיני פעולות, שבהכרח גורמות לחשיפה פוטנציאלית לנזק, מבחינת המידע הארגוני.

בקיצור, למנהל האבטחה יש זירה חדשה שבו עליו לפעול, וזהו העולם של השיתופיות. על מנהל האבטחה למצוא פתרונות יצירתיים, הוא לא יכול, כבעבר – להמשיך ולדרוש עוד משאבים ותקציבים על הטמעת עוד רכיבי אבטחה. עליו לעבור לאבטחה 3.0".

אבטחה 3.0

מה המשמעות של אבטחה 3.0?

"אני מחלק את האופן בו ארגונים פעלו לאבטחת המידע שלהם, לשלוש תקופות. הראשונה, עידן המיינפריים, שהתאפיין בהגבלה הדוקה על פעולות המשתמש. השני, אבטחה 2.0, עם הפופולריות של השימוש באינטרנט. בתקופה זו הנוזקות הפכו להיות נפוצות, במקביל לתהליך נרחב של גניבת זהויות. זו היתה התקופה, בה לראשונה הבחנו בביטוי 'טרור קיברנטי', וב'הצלחות' שלו בעולם. הנוזקות שהגיעו ליותר מדי מערכי IT ארגוניים, הביאו לנזקים כספיים ממשיים. החיים לא היו טובים אז, במחצית הראשונה של העשור, כי משתמשים ולקוחות הבחינו שפרטיהם האישיים נגנבו, ההוצאות על אבטחה היו רבות – ולא תמיד נעשו בצורה יעילה. התקופה התאפיינה ככלל – בפגיעה במהלכים העסקיים של ארגונים.

התקופה הנוכחית מתאפיינת בשכלול האיומים הקיימים מבחינת הנוזקות ואופני ההתנהגות של ההאקרים. מבחינת ההגנה, הרי שזו נדרשת להיות משולבת בכל הרמות – בתהליכים הארגוניים, בארכיטקטורה, בפיתוח, בהטמעה, ובמערכות שו"ב על רכיבי האבטחה.

כיום, מנהלי האבטחה הארגוניים לא יכולים לחזור אחורה בזמן, לעבר אבטחה 1.0 - ההצטרכנות הפכה למגמה קיימת, הניידות של העובדים גם היא נפוצה, והופעה של ווב 2.0 – כל אלו מובילים לכך שלמשתמשים וללקוחות הארגון, יש יותר שליטה על התכנים בהם הם מטפלים. לכן, מה שנדרש ממנהלי אבטחת המידע, הוא לבנות מערכי אבטחה כך שיענו גם על צרכי האבטחה הארגוניים, וגם על הדרישות של המשתמשים והלקוחות לאבטחת המידע שברשותם".

איך יש לעשות זאת?

"יש לבנות את מערך אבטחת המידע מההתחלה, לא ברמה של פיירוול ואנטי-וירוס, אלא ברמה הארגונית. יש לבדוק שבכל פרויקט פיתוח, בכל פרוטיט שיש לו היבטים עסקיים – היבט אבטחת המידע ישולב מההתחלה. המשפט הנפוץ – 'מה שבזול – ביוקר' – יש לו משמעויות חשובות בהיבט האבטחה. כל רכיב אבטחתי שמטמיעים בתחילת הדרך – עלותו זולה יותר מאשר תיקונים והטלאות שנעשים לאחר מכן. המלצה זו עונה גם על הדרישה של המנכ"לים ממנהלי האבטחה - לצמצם את הוצאותיהם בתחום.

הרגולציות, אשר ממשיכות להטריד את המנהלים, צריכות להיות משולבות גם הן בתהליך האבטחתי והעסקי הכולל. אין לתת מענה נפרד לדרישות הרגולטוריות, אלא כחלק ממבנה אבטחה כולל".

מיזוגי ספקיות האבטחה – טובים ללקוחות

מה לגבי המיזוגים של חברות בעולם האבטחה, דוגמת סימנטק ו-וריטאס, EMC ו-RSA, ויבמ ו-ISS?

"מגמת הקונסולידציה בעולם האבטחה טובה למנהלי האבטחה הארגוניים. היא עונה על אותו צורך שדיברתי עליו קודם – מתן מענה אבטחתי כולל ולא פתרון של רכיבים. אסור שלמנהלי האבטחה יהיה מערך אבטחתי של 'ספגטי' - בכך שהם הולכים לספקים רבים ומקבלים פתרונות שונים, שחלקם לעיתים לא 'מדברים' זה עם זה. הדרך של פתרון מוכלל, היא המגמה אליה הולך העולם, וזו גם המלצת גרטנר לארגונים".

מה חשיבות נושא האבטחה, מנקודת ראותם של מנהלי ה-IT בארגונים?

"אבטחת המידע היא נושא חשוב עבור המנמ"רים לכל אורך העשור הנוכחי. למרות זאת, בסקר שערכנו בקרב אלפי מנהלי אבטחה בארה"ב, עולה כי תחום האבטחה הוא רק הששי בחשיבותו מבין הנושאים שבהם הם מתמקדים – לאחר בינה עסקית במקום הראשון ובסדר יורד – יישומים, חידוש מערכות מורשת, מערכות תקשורת, שרתים וטכנולוגיות איחסון. זאת, למרות שבשנים 2005-2006, מנהלי IT בארגונים השקיעו כספים רבים על רכיבי אבטחה, בעיקר על מנת לענות על דרישות הרגולציות.

למרות זאת, תמיד יש לזכור את השורה מהסרט הישן – "די שקט שם בחוץ. האין זה שקט מדי?'. העובדה שאינך שומע על אירועי אבטחה רבים, אינה אומרת שהם לא קורים, ורק לאחר חודשים, או שנים – נודע עליהם.

מחקרים שערכנו הצביעו כי ארגוני IT משקיעים כ-5% מהתקציב על אבטחת מידע, ואם הם כוללים בתוכם גם תכניות להתאוששות מאסון, DRP – אזי הם צורכים 12% מתקציב ה-IT. למרות זאת, לא נמצא כמעט קשר בין כמות ההשקעה באבטחה – לבין רמת האבטחה שבה נמצא הארגון. המסקנה מנתון זה היא מה שאמרתי קודם – הכי חשוב לשלב את התכנון של האבטחה מוקדם - בכל פיתוח תוכנה או יצירת תהליך עסקי מבוסס IT. כך, גם ניתן לקצץ בתקציבי האבטחה, תוך כדי יצירת תהליכים משולבים אלו".