ועדת הבחירות ומשטרת המשטרה מדגישות את חורי האבטחה העיקריים במגזר הציבורי של בריטניה - איך פותרים אותם?

ועדת הבחירות ומשטרת המשטרה מדגישים את חורי האבטחה העיקריים במגזר הציבורי של בריטניה - איך פותרים אותם?

מאת ניקולס פירן • 10 אוקטובר 2023

פרצות מידע חמורות בוועדת הבחירות ובמספר כוחות משטרה בבריטניה הדגישו כי ארגונים במגזר הציבורי אינם חסינים מפני האיום הנשקף מפושעי סייבר.

באוגוסט, ועדת הבחירות מאושר זה היה הקורבן של "התקפת סייבר מורכבת" שפגעה במידע האישי של 40 מיליון אזרחים בריטים. ההפרה, שהתרחשה לראשונה באוגוסט 2021, נותרה בלתי נתגלתה עד אוקטובר 2023 וראתה האקרים שלפו עותקי ייחוס של פנקס הבחירות. המשמעות היא שהייתה להם גישה לשמות וכתובות של מיליוני מצביעים בבריטניה.

הנציבות הודתה כי "לא היו הגנות מספיקות כדי למנוע את מתקפת הסייבר הזו", וזה כעת לכאורה כי הסוכנות הממשלתית נכשלה במבחן Cyber Essentials שנועד לשפר את הגנת הסייבר של ארגונים לפני התקיפה. לאור חומרת המתקפה באוגוסט 2021, הארגון טוען כי החל בעבודות "לשיפור האבטחה, החוסן והאמינות" של מערכות ה-IT שלו.

במקומות אחרים ברחבי המגזר הציבורי בבריטניה, מספר כוחות משטרה בריטיים חוו לאחרונה פרצות מידע משמעותיות. באוגוסט, משטרת המטרופולין של לונדון התראה עשרות אלפים מעובדיה לפריצת מידע שנגרמה מ"גישה לא מורשית למערכת ה-IT של ספק Met".

לספק ה-IT המדובר היה מידע כמו שמות, דרגות, תמונות, רמות בדיקה ומספרי שכר עבור השוטרים והצוות של Met. עם זאת, ה-Met אמר שהפריצה לא הביאה לדליפה של נתונים אישיים כמו שמות, כתובות ומידע פיננסי. כוחות משטרה בריטיים אחרים שחוו פרצות מידע אחרונות כוללות את משטרת מנצ'סטר רבתי ואת שירות המשטרה של צפון אירלנד.

הפרות נתונים אלה הוכיחו כי נתונים אישיים אינם בהכרח בטוחים בידי סוכנויות ממשלתיות וכי עליהם לעשות יותר כדי לשפר את יכולות אבטחת הסייבר שלהם. אבל אילו מסגרות ושיטות עבודה מומלצות לאבטחת סייבר הם יכולים ליישם כדי להבטיח שהאירועים האלה לא יתרחשו שוב?

לקחים קריטיים שיש ללמוד

אחד הלקחים הגדולים ביותר מהפרות אלו הוא שאפילו מסדי נתונים מאובטחים ביותר חשופים להפרות ונשארים יעדים משתלמים עבור פושעי סייבר. סקירה והגבלת הרשאות גישה למאגרי מידע המכילים כמויות גדולות של נתונים אישיים זה צעד ראשון מצוין, אבל זה לא הדבר היחיד שארגונים צריכים לשקול.

כאשר נוף איומי הסייבר מתפתח במהירות חסרת תקדים, ארגונים חייבים להישאר צעד אחד לפני פושעי הסייבר על ידי ציפייה לפרצות האבטחה ושיטות הפריצה שהם עשויים למנף בהתקפות שלהם. הדרך היחידה לעשות זאת היא על ידי ביצוע ביקורות שוטפות של אבטחת סייבר ולהישאר מעודכן באיומי אבטחת הסייבר האחרונים.

ההבנה שפרצות מידע גורמת ליותר מסתם הפסד כספי חיונית גם היא. לאור התפקיד המכריע של ועדת הבחירות, כוחות המשטרה וסוכנויות ממשלתיות אחרות בחיים הציבוריים, הם לא יכולים להרשות לעצמם לאבד את אמון האזרחים. אך למרבה הצער, פגיעה במוניטין ושחיקה באמון הציבור הם סיכונים עצומים התקפות סייבר משפיע על מוסדות ציבור. יתרה מכך, ארגונים אלה חשים בדרך כלל את מלוא כוחם של גופים רגולטוריים - מערערים באופן משמעותי את עבודתם הציבורית החיונית.

דיוויד סנצ'ו, חוקר איומים בכיר בחברת אבטחת הסייבר טרנד מיקרו, תיאר את ספר הבחירות ואת הפרות הנתונים של כוח המשטרה כ"דוגמאות טובות למקרים שבהם ארגונים אינם מתייחסים ברצינות לאבטחת הנתונים שהם מגנים עליהם".

סנצ'ו הזהיר ארגונים שלא להזניח את אבטחת המידע "מכיוון שתוקפים מוכנים להתנפל בכל רגע". הוא אמר שלא משנה גודלם, כל חברה וארגון "נתונים להתקפות סייבר".

הוא הוסיף: "מניסיוני, יש מי שמציב את הוצאות האבטחה בעדיפות נמוכה יותר עם נימוקים כמו "זה לא יקרה לנו, אנחנו לא שווים את הזמן של תוקפי סייבר". זה לא אמור לקרות, וכל החברות צריכות להיות מוכנות לניסיונות כאלה".

שיפור יסודות אבטחת סייבר

בין אם מדובר בהפסד כספי, פגיעה במוניטין או השלכות רגולטוריות, ניתן למנוע רבים מהסיכונים הללו כאשר ארגונים מתייחסים ברצינות לאיום של פשיעה סייבר. אבל פעולות מדברות חזק יותר ממילים - ארגונים לא צריכים רק להבטיח לשפר את שלהם אבטחת סייבר להתייצב בהצהרה פומבית לאחר הפרה חמורה, אך לנקוט בצעדים קונקרטיים ואיכותיים כדי לחזק את יסודות אבטחת הסייבר שלהם.

כשטעויות אנוש ממלאות תפקיד כה בולט בפרצות מידע, ארגונים צריכים לעשות יותר כדי ללמד את הצוות שלהם על איתור והפחתת סיכוני אבטחת סייבר. מכיוון שנוף סיכוני הסייבר ממשיך להיות כרוך, מצגת PowerPoint אחת שתסמן תיבה לא תגרום לה. גם ארגונים במגזר הציבורי וגם הפרטי חייבים להתגלגל באופן קבוע הכשרה ומודעות לצוות מסעות פרסום. ארגונים כמו המרכז הלאומי לפשע עסקי מציעים הדרכת אבטחת סייבר בחינם לעובדים, כך שמודעות הסייבר לא צריכה להכיל את תקציבי החברה.

עוד צעד בסיסי אך חיוני לשיפור יסודות אבטחת הסייבר של ארגון הוא עדכון קבוע של תוכנות ומערכות לתיקון פרצות אבטחה. מעבר ממערכות הפעלה מיושנות כמו Windows 7 ו-8 תמנע גם פרצות אבטחה בתוכנה. יישום אימות רב גורמים יקטין גם את הסבירות שצדדים מרושעים יקבלו גישה לא מורשית למערכות ה-IT של הארגון.

הטמעת מסגרת תעשייה מוכרת בינלאומית כמו מסגרת אבטחת הסייבר של המכון הלאומי לתקנים או ISO 27001 תגביר את חוסן הסייבר הארגוני. מסגרות אלו מסייעות לארגונים בתחומים כמו ניהול נכסים, בקרות גישה, ניהול פגיעות, תגובה לאירועים, אבטחת צד שלישי ושיפור מתמיד.

לוק דאש, מנכ"ל ISMS.online, אמר כי מסגרות כאלה יסייעו לארגונים "לשפר באופן משמעותי את החוסן נגד התקפות". לאור סדרת הבחירות והפרות נתונים של כוח המשטרה, הוא קורא לממשלות להפוך יישום מסגרות אבטחת סייבר לחובה בסוכנויות ממשלתיות - במיוחד אם הן מחזיקות בנתונים רגישים - יחד עם ביקורת והסמכת מסגרות.

שילוב הלמידה והמסגרות הללו

הטמעת מסגרת אבטחת סייבר ושיפור חוסן הסייבר יהיו חדשים לחלוטין עבור ארגונים רבים. אז מה הם יכולים לעשות כדי להשיג את היעדים הללו בהצלחה?

דאש אומר שאסור לארגונים לראות באבטחת סייבר "מחשבה שלאחר מכן". המפתח ל חוסן ברשת הוא "מיקוד ייעודי, משאבים ומחויבות מתמשכת. הוא המשיך: "הטמעת מסגרת חזקה יכולה לעזור לחזק את ההגנות לפני שמתרחשת פריצה. לציבור מגיע אבטחה ברמה עולמית עבור הנתונים שלו, ומסגרות אלו מספקות מתווה. העבודה עוד צריכה להיעשות, אבל הדרך קדימה ברורה".

הגדלת הנראות של הרשתות של ארגון תסייע להם גם להגן על נתונים רגישים, לדברי סנצ'ו. הוא המליץ: "אתה משיג את זה עם תוכנה שמנתחת את התנהגות הרשת ויכולה לסמן חריגות שונות כמאמץ פריצה משותף. הראות המשופרת הזו יכולה לאפשר למגן להבין שהם מותקפים לפני שהנזק ייגרם".

ללא קשר לתעשייה או לגודל, כל הארגונים המעבדים ומאחסנים מידע רגיש חייבים גם לנקוט בצעדים כדי להבין חוקי פרטיות מידע כמו תקנת הגנת המידע הכללית.

קווין מודירי, עורך דין במשרד עורכי הדין Nelsons, אמר: "חוק הגנת הנתונים הכללי (GDPR) נכנס לתוקף בשנת 2018 וקובע כיצד אנו יכולים להשתמש, לעבד ולאחסן נתונים אישיים, כולל כל מידע על אדם חי שניתן לזהות אותו. החקיקה חלה על כל הארגונים, כולל אלו המספקים סחורות ושירותים".

המנות העיקריות

ספר הבחירות והפרות נתונים של כוח המשטרה היו תקריות מצערות שהשפיעו על מיליוני אנשים, אבל מה שברור הוא שהם הציגו לקחים חשובים לארגונים המטפלים במידע רגיש.

אולי הלקח הגדול ביותר הוא שכל הארגונים חייבים להעריך את יכולות אבטחת הסייבר שלהם ולנקוט בצעדים מתמשכים לאבטחת נתונים רגישים. לחכות להפרות לקרות היא לא אופציה עם כל כך הרבה על כף המאזניים, כולל הפסד כספי, נזק למוניטין ופעולה רגולטורית.

אמצעים יעילים למניעת דליפות נתונים כוללים יישום של מסגרות אבטחת סייבר בינלאומיות ומתן הדרכות אבטחת סייבר קבועות ועקביות לכל אחד בתוך הארגון.

ניקולס פירן

ניקולס פירן הוא עיתונאי עצמאי מהעמקים הוולשיים. הוא כתב עבור כלי תקשורת גדולים כמו הפייננשל טיימס, האינדיפנדנט, הטלגרף, Evening Standard, iNews, HuffPost ו-Insider, כמו גם פרסומי B2B כמו Computer Weekly, Computing ו-IT Pro. כשניק לא כותב על הגאדג'טים והטרנדים הטכנולוגיים האחרונים, הוא כנראה מקשיב לכל הדיסקוגרפיה של מריה קארי.