אנחנו אמנם עסוקים במשימות שוטפות ומאזינים במקביל לעדכוני חדשות, אבל עד כמה שזה מפתיע, עדיין נופלים קורבן למתקפות סייבר עקב טעויות בסיסיות.
אצלנו ב MadSec אנו מטפלים במספר אירועי כופרה/פריצה מדי חודש, ויישנן מספר תובנות שחשבנו שכדאי לשתף אותן.
ראשית, ההנהלה בחברות רבות לא מבינה בכלל מדוע תקפו אותן.
“אין פה כלום, מה יש לתוקפים לחפש כאן?” היא אמירה שנשמעת כמעט בכל פעם.
זה המקום להזכיר לכולנו את הנושא של שרשרת האספקה, לא תמיד הקורבן הוא היעד הסופי.
ייתכן שהארגון שלכם הותקף מאחר ודרכו ניתן להגיע ליעד האמיתי. במילים אחרות, זה שהארגון שלכם לא נתפס כמקום מהותי בעיניכם לתקיפה, לא אומר שהוא לא יותקף. חלק גדול מהארגונים שטיפלנו בהם לא היו שמות נוצצים מבחינת כספים או פעילות, אבל הם היו ספק של לקוח חשוב.
שנית, ישנו מוטיב שחוזר על עצמו, התוקף נרשם ל Trial בשירות של התחברות מרחוק. הוא מוריד Client לגיטימי ומתקין אותו במחשב של הקורבן. מאחר ומדובר בתוכנה לגיטימית, מערכות ההגנה אינן מתריעות, כך התוקף מוציא מידע מהארגון מבלי שהארגון מודע לכך.
נקודה שלישית ואחרונה עוסקת בהבדל בין ISO 27001 לחוק הגנת הפרטיות. ISO הוא בגדר המלצה, קביעת Baseline לארגון ובחלק מהמכרזים הוא נדרש. אבל חוק הגנת הפרטיות כשמו כן הוא חוק, ארגון שהותקף וזולג ממנו מידע אישי של עובדים ולקוחות, עלול למצוא עצמו בתסבוכת משפטית. כלומר בעוד הנהלת הארגון לא מבינה מדוע הותקפה, הרי בשטח מידע רגיש זולג מהארגון, לקוחות החברה חוסמים את הקישורים לחברה וגורמים לקשיים חוזיים וכספיים, וסוגיות משפטיות מגיעות על סף הדלת.
לסיכום: הקפידו על רישום מאגרים, תוודאו ב Policy שלא ניתן להתקין תוכנת השתלטות מרחוק שמאפשרת קישור אוטומטי ללא אישור המשתמש, אפילו שהיא לגיטימית, ותציפו את חשיבות הנושא בפני ההנהלה.
