ה-GDPR נועד תמיד להיות מעורפל. בכך שלא מפרט בקרות טכניות מחייבות - כמו למשל ב-PCI DSS - התקנה עושה עבודה טובה יותר בלשמור על רלוונטיות לאורך זמן. עם זאת, עקרון "נייטרליות הטכנולוגיה" שלה יכול גם להיות מקור לתסכול עבור צוותי ציות. לקבלת הדרכה פרגמטית יותר, רבים פונים לתקני שיטות עבודה מומלצות כמו ISO 27001:2022, המקדמים גישה מובנית ומונעת סיכונים לאבטחת סייבר.
אך כפי שהוכיחו פרצות נתונים ב-LastPass ובארגונים אחרים, זו אינה תרופת פלא - במיוחד אם צוותים אינם ניגשים לתאימות עם חשיבה של סקירה ושיפור מתמידים.
מה קרה ל-LastPass?
ההערכה היא שפריצת LastPass בשנת 2022 חשפה את פרטיהם של כ-30 מיליון לקוחות ברחבי העולם, כולל 1.6 מיליון בבריטניה. בכל קנה מידה, מדובר היה במתקפה מתוחכמת למדי, שכללה שני שלבים נפרדים:
- גורם איום פרץ למחשב נייד של מהנדס תוכנה, מה שאפשר לו גישה למפתח SSE-C. תיאורטית הם יכלו להשתמש בו כדי לגשת לגיבויים של נתוני לקוחות, כולל כספות סיסמאות מוצפנות. עם זאת, המפתח היה מוצפן, וגישה מלאה למסד הנתונים דרשה גם מפתח גישה שני של AWS.
- גורם איום הצליח לנצל פגיעות בשירות הזרמת הווידאו Plex שהורדה למחשב הנייד האישי של מהנדס תפעול פיתוח בכיר. זה איפשר להם להתקין לוגר keylogger ולאחר מכן לפענח את מפתח SSE-C ולהשיג את מפתח הגישה של AWS. זה פתח את הדלת לכספות הסיסמאות המוצפנות הללו.
מכיוון שסיסמאות אב לכספות אלו אוחסנו באופן מקומי במכשירי הלקוח ומעולם לא שותפו עם LastPass, הן היו אמורות להיות בטוחות. אך יישום לקוי של אלגוריתם PBKDF2 הביא לכך שאינספור סיסמאות נכפו באופן גס בשנים שחלפו מאז הפריצה, מה שהוביל להערכה של... גניבת מטבעות קריפטוגרפיים בסך 35 מיליון דולר
מה שאמרה ה-ICO
משרד נציב המידע (ICO) קנס של LastPass ב-1.2 מיליון ליש"ט בגין "כישלונה ביישום ושימוש באמצעים טכניים וארגוניים מתאימים, בניגוד לסעיף 5(1)(f) של תקנת ה-GDPR של בריטניה וסעיף 32(1)". באופן ספציפי, החברה אפשרה למהנדסים בכירים להשתמש במחשבים ניידים אישיים כדי לגשת למפתחות ייצור, היא אפשרה לעובדים לקשר כספות אישיות ועסקיות עם אותה סיסמת אב, והיא לא הצליחה לסובב מפתחות AWS לאחר התקרית הראשונה.
עם זאת, הרגולטור הודה כי עמידה בתקן ISO 27001:2022 הייתה אמורה לחייב את החברה לפעול לפי הנחיות ICO עצמה בנוגע לאבטחת מכשירי עבודה מהבית והפרדת מכשירים/חשבונות אישיים ועסקיים. ברור שלא כך הדבר.
"LastPass אינו חריג. מחקר שנערך לאחרונה מצא כי יותר מרבע (26%) מאנשי מקצוע בתחום הפרטיות מאמינים כי הארגון שלהם צפוי לחוות הפרת פרטיות מהותית במהלך השנה הקרובה. רמת סיכון זו הופכת במהירות לנורמה", אומר כריס דימיטריאדיס, מנהל האסטרטגיה הגלובלי הראשי של ISACA, ל-IO (לשעבר ISMS.online).
"עמידה בתקנים כמו ISO 27001 היא חיונית - אך זוהי רק נקודת ההתחלה. הפרת LastPass מדגישה אמת קשה: פרטיות והגנה על נתונים לא ניתנות לצמצום לסימון תיבות. ארגונים חייבים להתקדם מעבר לעמידה מינימלית לעבר הערכות יכולות ובגרות כלל-ארגוניות."
לנוע עם הזמנים
LastPass אינה החברה הראשונה, ובוודאי לא תהיה האחרונה, שתסבול מפריצה חמורה, למרות שהיא מוסמכת מבחינה טכנית על פי תקני שיטות עבודה מומלצות. מקרים בולטים נוספים כוללים:
- 23andMeחברת בדיקות ה-DNA נקנסה ב-2.3 מיליון ליש"ט על ידי ה-ICO לאחר פרצה שהשפיעה על מיליוני לקוחות. היא לא הצליחה לחייב אימות רב-גורמי (MFA) עבור משתמשים, לא היה לה מספיק ניטור אחר פעילות חריגה, ואפשרה לגורמי איום לנצל לרעה תכונה פנימית (DNA Relatives) כדי לגשת ליותר חשבונות ממה שהיו אמורים להיות מסוגלים.
- קבוצת אינטרסרבחברת מיקור החוץ נקנסה ב-4.4 מיליון ליש"ט לאחר הפרת נתוני עובדים. למרות שהפריצה סומנה על ידי כלי הגנת נקודות הקצה של החברה, היא נכשלה בחקירה.
מקרים כאלה אינם מדגישים את החסרונות של תקנים כמו ISO 27001. הם מוכיחים שארגונים רבים עדיין אינם ניגשים לתוכניות תאימות עם הלך הרוח הנכון.
"בעוד ש-ISO 27001, SOC 2 ותקנים אחרים הם בסיס מצוין ומוכח להערכת אבטחת מידע ארגונית, הם לא נועדו – ומעולם לא נועדו – כערובה לכך שחברה אינה ניתנת לפריצה או ש-100% מהמדיניות או הנהלים מבוצעים כראוי", מסביר מנכ"ל ImmuniWeb, איליה קולוצ'נקו.
"יתר על כן, גם אם כל המדיניות והנהלים מבוצעים כדין, אין זה אומר או מרמז שהתהליכים הבסיסיים הם ללא רבב מבחינה טכנית."
דניס מרטין, מומחה לניהול משברים וחוסן עסקי בחברת שירותי הטכנולוגיה Axians UK, מוסיף כי תאימות מבוססת סטנדרטים מועילה רק כאשר מנהיגים מתעקשים שהבקרות יעבדו בפועל.
"יש לבדוק, לאמת ולאתגר באופן קבוע אמצעי אבטחה. הנחות ותהליכים מתועדים אינם תחליף לראיות. גישה של 'אל תבטח, תבדוק' חיונית אם ארגונים רוצים ביטחון במצב האבטחה שלהם", הוא אומר ל-IO (לשעבר ISMS.online).
"ציות יעיל הוא מתמשך. איומים מתפתחים, פעילות עסקית משתנה ובקרות מתדרדרות עם הזמן. סקירה ושיפור שוטפים נחוצים כדי להבטיח שמה שנכתב עדיין משקף את המציאות."
שיפור מתמשך
למעשה, ISO 27001:2022 "מכירה במפורש" בכך שאסור שהאבטחה תעמוד במקום, אומר דידייה ונדנברוק, סגן נשיא האבטחה באולריה, ל-IO.
"עקרון מרכזי של התקן הוא שיפור מתמיד, כאשר מבקרים צפויים להעלות הזדמנויות לשיפור במקרים בהם בקרות עשויות להיות תואמות טכנית אך אינן מתאימות עוד לנוף האיומים המתפתח", הוא מסביר.
"כאשר הסמכה הופכת לתרגיל של סימון, עיקרון זה אובד. בסופו של דבר, הסמכות חסרות משמעות אם ארגונים אינם פועלים לפיהן בפועל או אינם מצליחים לערער על כך האם הבקרות הקיימות עדיין הגיוניות בהתחשב באופן שבו אנשים עובדים בפועל וכיצד תוקפים פועלים."
סם פיטרס, סמנכ"ל המסחר של IO, מסכים.
"זו הסיבה שמסגרות ותקנים יעילים ביותר כאשר מתייחסים אליהם כאל מערכות ניהול חיות, המפעילות מודלים יעילים לניהול סיכוני סייבר, ולא כאל אבני דרך סטטיות בתאימות", הוא אומר ל-IO.
"עקרון השיפור המתמיד, המוטמע באמצעות סקירה, אתגרים והתאמה שוטפים, היה מרכזי בגישתנו ב-IO מאז הקמתה ומשקף את מה שהרגולטורים מצפים לראות יותר ויותר בפועל. בשימוש זה, מסגרות מספקות בסיס עמיד לארגונים לניהול סיכוני סייבר בסביבה של שינוי מתמיד, ולא תמונת מצב של תאימות בנקודת זמן אחת."
גישה כזו חשובה במיוחד לניהול סיכוני ה-GDPR בתקופה שבה רגולטורים שמים דגש גובר והולך על ההקשר.
"הרגולטורים מאותתים בבירור כי 'אמצעים טכניים וארגוניים מתאימים' צריכים להיחשב כהקשריים ומתפתחים, ולא קבועים או סטטיים. מה שנחשב מתאים ישתנה בהתאם לגורמים כמו חשיפה לסיכונים, רגישות הנתונים ונוף האיומים, והוא נבחן יותר ויותר לאחר התרחשות אירוע", הוא מסכם.
"בפועל, משמעות הדבר היא שרגולטורים פחות מתעניינים בשאלה האם אומצה מסגרת מסוימת, ויותר מתמקדים באופן שבו היא משמשת ביעילות לזיהוי, סקירה וניהול של סיכוני אבטחת מידע לאורך זמן."
