מה עסקים יכולים ללמוד מהפריצה של SolarWinds וחיובי SEC- ISMS.online

מה עסקים יכולים ללמוד מהפריצה של SolarWinds וחיובי SEC

מאת ניקולס פירן • 12 דצמבר 2023

עברו שלוש שנים מאז שחברת התוכנה האמריקאית SolarWinds נפלה קורבן לאחת ממתקפות הסייבר המשמעותיות בהיסטוריה. התקרית, שהתגלתה לראשונה בדצמבר 2020, ראתה האקרים רוסים פרצו את רשת Orion הפופולרית של SolarWinds ואת תוכנת ניטור האפליקציות במשך שנתיים.

לאחר שנכנסו לתשתית הטכנית של SolarWinds, פושעי הסייבר יצרו ושלחו עדכוני תוכנה זדוניים לאלפי עסקים וארגונים המשתמשים בתוכנת Orion לניהול סביבות ה-IT שלהם.

18,000 משתמשי אוריון מדהימים התקינו ללא ידיעתו את העדכונים שטופי התוכנה הזדונית, ואפשרו להאקרים לגשת לרשתות ה-IT, מערכות המחשב והנתונים שלהם, כמו גם לכוון ללקוחות שלהם ולבעלי עניין אחרים.

הפריצה השפיעה על מספר סוכנויות ממשלתיות בארה"ב, כולל ביטחון המולדת, המדינה, האוצר והמסחר, ותאגידים גדולים כמו מיקרוסופט, אינטל, סיסקו, דלויט ו-FireEye, כפי שדווח על ידי TechTarget. הפרצה הייתה כה חמורה ומרחיקת לכת עד שנשיא מיקרוסופט בראד סמית' מְתוּאָר זה כ"המתקפה הגדולה והמתוחכמת ביותר שהעולם ראה אי פעם".

מהר קדימה לשנת 2023, SolarWinds עדיין מתמודדת עם ההשלכות של מתקפת הסייבר שוברת השיאים הזו. באוקטובר, הרשות לניירות ערך בארה"ב (SEC) הודיעה כי תנקוט בצעדים משפטיים נגד SolarWinds, והאשימה את חברת הטכנולוגיה בהטעיית משקיעים לגבי נוהלי אבטחת הסייבר והסיכונים שלה.

פריצה זו, יחד עם ההאשמות האחרונות של SEC נגד SolarWinds, מדגישה את הצורך של עסקים לקחת ברצינות את פשע הסייבר הגואה על ידי הבנה ואימוץ שיטות אבטחת מידע חזקות. הוא גם מציג הזדמנויות למידה עסקיות חשובות, שרבות מהן נחקור בפוסט זה בבלוג.

הבנת חיובי SEC

אחד הדברים המשמעותיים ביותר בהאשמות ה-SEC הללו הוא שהם מכוונים לא רק ל-SolarWinds אלא גם לקצין אבטחת המידע הראשי טימותי ג'י בראון.

ה-SEC טוענת כי בין ההנפקה הראשונית שלה לציבור באוקטובר 2018 להכרזה על מתקפת הסייבר שלה בדצמבר 2020, SolarWinds "הונה משקיעים" על ידי הגזמת נוהלי אבטחת הסייבר שלה, כמו גם צמצום ואי חשיפה של פגיעויות אבטחת סייבר שידעה עליהן.

בהודעה לעיתונות, הסוכנות הממשלתית האמריקאית טוענת ש-SolarWinds סיפרה למשקיעים רק על "סיכונים גנריים והיפותטיים" למרות ש-SolarWinds ובראון היו מודעים ל"ליקויים ספציפיים בפרקטיקות של אבטחת סייבר של SolarWinds" ו"סיכונים שהולכים וגדלים". ה-SEC טוענת ש-SolarWinds פרסמה הצהרות פומביות מטעות על עמדת אבטחת הסייבר שלה, הסותרות את ההערכות הפנימיות.

לדוגמה, מהנדס SolarWinds יצר והפיץ מצגת פנימית המזהירה כי הגישה מרחוק של החברה אינה "מאובטחת" וכי האקרים יכולים "בעצם לעשות כל דבר מבלי שנזהה זאת עד שיהיה מאוחר מדי". המצגת, אותה ראה בראון, הזהירה גם מפני "מוניטין גדול והפסד כספי" אם האקר ימנף את הפגיעות הזו.

בתביעות אחרות נגד SolarWinds על ידי ה-SEC, בראון כתב לכאורה במצגת כי "מצב הביטחון הנוכחי משאיר אותנו במצב פגיע מאוד עבור הנכסים הקריטיים שלנו". הוא גם נטען כי כינה גישה והרשאות למערכות קריטיות ונתונים "בלתי הולמות" במצגת אחרת, בין היתר מקרים בהם העלה לכאורה חששות פנימיים של אבטחת סייבר.

ה-SEC האשימה את בראון בכך שלא הצליח "לפתור את הבעיות" ו"להעלות אותן בצורה מספקת יותר בתוך החברה" במהלכים שגרמו לכך ש-SolarWinds לא הייתה מסוגלת "לספק הבטחות סבירות שהנכסים היקרים ביותר שלה, כולל מוצר הדגל שלה אוריון, היו מוגן כראוי". כעת היא דוחקת ל"סעד של צו מניעה קבוע, ביטול עם ריבית של שיקול דעת מוקדם, עונשים אזרחיים, וחוק קצין ומנהל נגד בראון".

למידה עסקית

עסקים רבים יכולים לקחת מהם למידה מרכזית כדי לשפר את עמדת אבטחת הסייבר שלהם על ידי הערכת הפריצה הידועה לשמצה של SolarWinds והאשמות האחרונות של SEC.

אולי הלמידה המשמעותית ביותר היא שהפריצה של SolarWinds מראה ש"אפילו הישויות המתוחכמות והמבוססות ביותר אינן חסינות בפני איומי סייבר", לפי סם פיטרס, סמנכ"ל ISMS.online.

ככל שאיומי הסייבר הופכים מורכבים ושכיחים יותר בעקבות הפרת SolarWinds, עסקים חייבים להבטיח שיש להם את האמצעים לזהות, להעריך ולנהל אותם. זה צריך לכלול "ערנות מתמשכת, הערכות קבועות ואימוץ חשיבה יזומה של אבטחת סייבר", אומר פיטרס.

הדרך הטובה ביותר לנהל איומי אבטחת סייבר חדשים ומתפתחים היא על ידי ביצוע שיטות עבודה מומלצות בתעשייה, דרישות רגולטוריות ו מסגרות מוכרות כמו ISO/IEC 27001 ו NIST Cybersecurity מסגרת כחלק מ"תרבות של מודעות לביטחון".

פיטרס מסביר: "הם צרכים עסקיים בנוף הדיגיטלי-ראשון של היום. כמובילי טכנולוגיה, עלינו לראות באבטחת סייבר לא פונקציה עצמאית אלא כהיבט משולב ובסיסי של האסטרטגיה העסקית הכוללת שלנו".

על ידי מעקב אחר מסגרות כמו ISO/IEC 27001, עסקים חייבים לדבוק בבקרות טכניות שונות כדי לאבטח את הרשתות, המערכות והנתונים שלהם. פיטרס מסביר שהם חייבים להגדיר, לפקח ולסקור ניהול גישת משתמשים, בקרות ואחריות בנוסף לשימוש בפרוטוקולים חזקים של הצפנה וניהול מפתחות. נקיטת צעדים אלה היא המפתח ל"הבטחת סודיות הנתונים גם במהלך הפרות".

פיטרס גם ממליץ לעסקים לבצע הערכות פגיעות באופן קבוע, מה שיאפשר להם לזהות ולתקן פגמי תוכנה שעלולים לספק דלת אחורית למערכות רגישות עבור האקרים. יישום מתועד היטב ניהול אירועי אבטחת מידע התהליך גם יאפשר לעסקים לזהות, לדווח ולנהל הפרות בזמן שהן מתרחשות.

לצד הדגשת החשיבות של מעקב אחר שיטות עבודה ומסגרות מומלצות בתעשייה, אירוע SolarWinds מראה גם שבדיקת נאותות של ספקים היא חיונית לצמצום התקפות סייבר. פיטרס ממליץ לעסקים "לבדוק תמיד תוכנות של צד שלישי באותה קפדנות כמו מערכות פנימיות".

לוק דאש, מנכ"ל ISMS.online, מאמין שהלקח המשמעותי ביותר שעסקים יכולים ללמוד מהפרת SolarWinds הוא שאבטחת סייבר היא "מסע מתמשך, לא יעד". בעוד שהשקעה בטכנולוגיה יכולה לעזור להילחם בפשעי סייבר, דאש אומר שארגונים חייבים גם להשקיע באנשים שלהם על ידי הכשרתם מתמדת באיומי אבטחת סייבר ושיטות עבודה מומלצות.

הוא גם ממליץ ליצור תוכנית תגובה לאירועים כדי להתכונן לאיומים עתידיים וטיפוח תרבות מקום עבודה המבוססת על תקשורת פתוחה. זה יבטיח ש"עובדים ירגישו בנוח לדווח על פעילויות חשודות ללא חשש לגמול". דאש מוסיף: "באבטחת סייבר, כל התראה חשובה. זה מאמץ קולקטיבי ולהיות פרואקטיבית היא המפתח".

קארל לנפורד, מנהל הנדסת מערכות ב-EMEA ב-Illumio, אומר שהפריצה של SolarWinds וטענות ה-SEC מראים ש"תפקיד ה-CISO ראוי למקום בצוות ההנהלה".

"ה-C-Suite הרחבה יותר חייבת להיות אחראית גם על נוהלי אבטחת סייבר טובים, מכיוון שלעתים קרובות צוות זה הוא ששולל את ההמלצות של CISO", הוא מוסיף. "אשמח לראות שינוי שבו ל-CISO מוקצים הסמכויות והתקציבים המתאימים ליישם בקרות אבטחה אפקטיביות ללא צורך בבקשת אישור בכל שלב."

רובין קמפבל-ברט, מנכ"ל Code Red, מאמין שהפריצה של SolarWinds "שופכת אור על האופי הרב-גוני של יחסי ציבור במשברי אבטחת סייבר" ומדגישה את החשיבות של ביצוע יחסי ציבור נכון במצבים אלה.

הוא אומר ל-ISMS.online: "התגובה שלהם לפרצה מדגישה את ההכרח של תקשורת בזמן בעולם הדיגיטלי המתפתח במהירות שלנו. אולם על פי ההאשמות האחרונות של SEC, ייתכן שהתגובה הזו לא תאמה את המציאות של עמדת אבטחת הסייבר של החברה, וסוג זה של חוסר יושר עלול להזיק מאוד למוניטין של המותג".

בשורה התחתונה

הפריצה של SolarWinds והתביעה המשפטית של ה-SEC מוכיחות שחשיפה לקויה של הפרות והזנחה של אבטחת סייבר עלולות להיות יקרות מאוד לעסקים. כאשר נוף האיומים המקוון מתפתח במהירות, ארגונים חייבים כל הזמן להעריך מחדש ולחזק את עמדת אבטחת הסייבר שלהם כדי להגן על עצמם ועל הלקוחות והשותפים שלהם.

כחלק מכך, לא ניתן להמעיט בחשיבות השימוש בפרקטיקות מומלצות כמו אימות רב-גורמי, גיבויים קבועים, טיפוח תרבות אבטחה המערבת את כל העובדים, מעקב אחר מסגרות בתעשייה ושיתוף פעולה ושיתוף מודיעין איומים עם עמיתים בתעשייה.

ניקולס פירן

ניקולס פירן הוא עיתונאי עצמאי מהעמקים הוולשיים. הוא כתב עבור כלי תקשורת גדולים כמו הפייננשל טיימס, האינדיפנדנט, הטלגרף, Evening Standard, iNews, HuffPost ו-Insider, כמו גם פרסומי B2B כמו Computer Weekly, Computing ו-IT Pro. כשניק לא כותב על הגאדג'טים והטרנדים הטכנולוגיים האחרונים, הוא כנראה מקשיב לכל הדיסקוגרפיה של מריה קארי.