עוד יום בהיסטוריה הארוכה של מנצ׳סטר יונייטד?
המועדון האנגלי סובל מהתקפת סייבר חסרת תקדים. האם רמת ההגנה של מועדוני הספורט וההתאחדויות בישראל טובה יותר?
נשמע מופרך? תחשבו שוב.
- מנצ'סטר יונייטד: הקורונה תגרום לאובדן הכנסות של יותר מ-28 מיליון ליש"ט
- מרקוס רשפורד הצליח להפוך החלטת ממשלה בבריטניה
- האם ליברפול ומנצ'סטר יונייטד יהיו סוף סוף יריבות אמיתיות?
בסוף השבוע האחרון פורסם כי מאז יום שישי מועדון הפאר מנצ'סטר יונייטד מתמודד עם אירוע סייבר "מתוחכם" (ככל הנראה כופרה). עדיין לא ידועות תוצאות האירוע ודרכי ההתמודדות של המועדון. מה שבטוח, שזה לא "עוד יום בהיסטוריה הארוכה של מנצ׳סטר יונייטד", במילותיו של המנג׳ר האגדי סר אלכס פרגוסון.
בשנה האחרונה, ובמיוחד מאז פרוץ מגיפת הקורונה, העולם מתמודד עם עלייה משמעותית במספר מתקפות הסייבר, בדגש על אירועי כופרה שאף הם משתכללים. האירועים נהפכו למורכבים יותר ובסופו של דבר יקרים יותר להתמודדות וטיפול. בשנה הנוכחית לבדה, שילמו בעולם כ-10 מיליארד דולר לדמי כופר, וככל הנראה הסכום גבוהה משמעותית מכך (היות ולא כל הארגונים מדווחים, ובמיוחד לא את עלות הכופר ששולמה).
לאירוע כופרה בארגון עסקי גדול השלכות גדולות ומגוונות. אלו גרמו לכך שבשנים האחרונות ישנה עלייה במודעות של ארגונים עסקיים בכל הגדלים לסיכוני הסייבר. המודעות מתרגמת על פי רוב לגידול בהשקעות המשאבים לניהול הסיכון. אולם, יש לזכור כי התוקפים לעולם נמצאים צעד לפני המגנים וקו המגע הראשון (במקרה זה הטכנולוגי) לעולם ייפרץ.
אחת ההתפתחויות המדאיגות במתקפות הכופרה היא המעבר למודל ״סחיטה כפולה״ (Double extortion). במסגרת זו התוקפים מבקשים להבטיח את תשלום הסחיטה באמצעות נעילת מערכות מחשוב מחד גיסא ואיום בפרסום מידע אותו גנבו במהלך התקיפה מאידך גיסא.
פתיחת ההצפנה מסייעת לשמירת ההמשכיות העסקית והרציפות התפקודית של הארגון - גישה לכלל המידע במידה שאין לו גיבויים שיכולים לתת מענה וחזרה לשגרת פעילות מלאה. סוגיית דליפת המידע לעומת זאת מורכבת ומאתגרת; מדובר באיום המציב את הארגון בחשיפה אפשרית הן של המידע הארגוני הפנימי ברשתות השונות והן בחשיפה משפטית למול רגולטורים, גופי הגנת המידע ואינדיבידואלים. כל זאת, לצד הפגיעה האפשרית במוניטין ובאמון הלקוחות והשותפים העסקיים.
אם כך, להבדיל מכדורגל שעם שריקת הפתיחה יש 3 אפשרויות לסיומו: ניצחון, הפסד או תיקו, במשחק הכופרה הארגון מתחיל בהפסד והשאלה עד לסיום האירוע היה - אם מדובר ב"הפסד מכובד" או בתבוסה כואבת, הרחקת המאמן, ירידה מתחת לקו האדום ורדיוס בבית הדין של ההתאחדות.
ובישראל? חשופים בשער
איפה זה פוגש אותנו? האם רמת ההגנה של מועדוני ספורט בישראל (וההתאחדויות) טובה יותר מאשר מועדונים גדולים ומפוארים באירופה? לא בהכרח.
"ככה לא בונים חומה", זעק יורם ארבל בשידור המשחק בין ישראל ואוסטרליה (מרץ 1989), החובה להעמיד יכולות הגנת סייבר ברמה הגבוהה ביותר ולא להתבסס על מנהלי מערכות מחשוב (IT) הינה חובה קריטית. מהסיבה הפשוטה שכדורגל זה לא רק ספורט – מועדון מחזיק מידע רק הכולל הסכמים מול כלל הגורמים (ספקים, חסויות...) חוזים והסכמים פנימיים, תיעוד של אירועים חריגים, וכמובן האוהדים (אתרים, אפליקציות, מועדוני חברים וכו׳).
אז מה קרה במנצ׳סטר? מתגובת המועדון הראשונית אנו למדים שהאירוע עדיין נמצא בעיצומו ותוצאותיו טרם התבררו במלואן. כמו כן, כי להערכת המועדון מדובר במערכת פשע יריבה "מתוחכמת". המועדון מציין שבשלב זה אין פגיעה בנכסי המדיה שלו (אתר ואפליקציה) וכן מדגיש שנכון לטווח הזמן הנוכחי אינו יודע על פריצה למאגרי המידע של האוהדים והלקוחות. בנוסף, במועדון ציינו שהאירוע לא יפגע בהכנות למשחק מול ברומיץ׳ אלביון (בו מנצ׳סטר ניצחה 1-0).
למה מנצ׳סטר? התשובה נחלקת לשניים: תקיפה ממוקדת, במסגרתה מערכת יריבה בוחרת מטרה, מבצעת תהליך איסוף מודיעין ולבסוף מוציאה לפועל מתקפה המותאמת לחולשות הקורבן. מתקפה זו מבטאת מנעד של מוטיבציות החל מבצע כסף לשמו ועד למטרות שמהותן פוליטיות ו/או אידיאולוגיות. מנגד, קיימת האפשרות שמדובר במתקפת "רסס" – מתקפה בה המערכת התוקפת בוחרת חולשה או פרצה ידועה ומפיצה בצורה רחבה נוזקה הפוגעת בה. לעיתים קרובות, המתקפות האלו נעשות באופן רוחבי, בסוגי לקוחות (למשל: מתקפה על מערכות בריאות, מוסדות לימוד, משרדי עו״ד וכיו״ב).
מה לא מצאתי בתגובה של המועדון לאירוע? התייחסות למידע הפנימי של המועדון ופגיעה אפשרית בו. התייחסות לדלף מידע כלשהו או איום עליו. התייחסות לדרישת הכופר, אולטימטום (כן או לא) וכמובן מי הגוף התוקף. אירוע כופרה הוא אירוע בוחן לחוזק המותג ונאמנות הלקוחות. זה לא אירוע נקודתי, זהו לא אירוע פנימי. זהו אירוע שבמהלכו המועדון עשוי לפגוע באנשים שאוהבים אותו יותר מכל – האוהדים.
שני מיתוסים שצריך להפריך
אירוע סייבר מורכב, דוגמת כופרה, מתאפיין בתחושה אצל מרבית המנהלים של אובדן שליטה וחוסר וודאות. זהו מצב בו תוקף מחזיק בארגון או נכסיו כבני ערובה, זהותו ידועה באופן חלקי אך המוטיבציות, הכוונות והתוכניות שלו עדיין צריכות להתברר. מתוקף כך, לארגון המתמודד עם אירוע כזה יש שני שחקנים מרכזיים - טכנולוגיית הגנת סייבר וניהול משא ומתן עם התוקפים.
זה הזמן להפריך שני מיתוסים מן העבר: הראשון, יש זהות בין ניהול מו״מ ותשלום כופרה. השני, עצם ניהול המו״מ הינו כניעה לתוקף. לא הראשון נכון ולא השני – ניהול מו״מ הוא אמצעי לרכישת שליטה על האירוע, להבנתו ואם צריך לקניית זמן או הגנה על העסקה. השני, לא רק שאינו נכון אלא גם תשלום בפועל לתוקף אינו מהווה כניעה. על כפות המאזניים לא מונחות באמת קניה למול אי קנייה אלא הדרך המקצועית והעסקית להציל את הארגון.
הלקח שניתן ללמוד כבר עכשיו הוא שסוד ההצלחה של קבוצות מצליחות הוא כל חוסן ולכידות קבוצתית, המתבססים על סגל רחב ועמוק. סגל כזה חייב לכלול בעלי תפקידים (מנהלי אבטחת מידע לדוגמא), מערכות, נהלים ותרגול חוזר ונשנה הן של העובדים אך בעיקר של ההנהלה.
הכותב הינו שותף מייסד בחברת קריטיקל אימקפט המתחמה בניהול משברים ואוהד מנצ׳סטר יונייטד.