ספקי תשתיות קריטיות פחות מודעים ומעורבים בתוכניות ממשלתיות

יום ג', 29 בנובמבר 2011

במסיבת עיתונאים פרסמה סימנטק ישראל את ממצאי סקר הגנת תשתיות קריטיות (CIP) שלה לשנת 2011. הסקר כולל ממצאים לגבי ישראל.

הסקר מגלה ירידה במודעות ובמחויבות על בסיס גלובלי.

בהשוואה ל- 2010, הראו חברות שהשתתפו בסקר השנה מדד השתתפות CIP של 82 אחוז בתוכניות הגנה ממשלתיות- ירידה משמעותית לעומת השנה שעברה.

ספקי תשתיות קריטיות מוגדרים כמי שבאים מתחומים שהנם בעלי חשיבות כזאת, שאם רשתות הסייבר שלהם יותקפו בהצלחה ויושבתו, הדבר עלול להביא לאיום בפועל לביטחון הלאומי.

"הממצאים של סקר זה מהווים סימן אזעקה, בהתייחס לתקיפות עדכניות כמו Nitroו- Duquשכוונו אל ספקי תשתיות קריטיות", אומר שמוליק אנג'ל, מנכ"ל סימנטק ישראל. "מגבלות כוח אדם ומשאבים שצוינו על ידי משיבים, עוזרות להסביר למה על ספקי תשתיות קריטיות לקבוע עדיפויות ולמקד את מאמציהם באיומי סייבר יותר יומיומיים. עם זאת, אנו חושבים שתקיפות ממוקדות נגד ספקי תשתיות קריטיות בצורת Stuxnet, Nitro, ו- Duqu, יימשכו.

עסקים וממשלות ברחבי העולם צריכים להיות אגרסיביים מאוד במאמציהם לקדם ולתאם הגנה על רשתות סייבר קריטיות. תקיפות אחרונות אלה הן רק ההתחלה של תקיפות ממוקדות המכוונות לתשתיות קריטיות."

 

ממצאים עיקריים לגבי ישראל

  • מודעות נמוכה של המשתתפים לתוכניות CIP  בארצותיהם: (36% מול 55% בסקר הקודם) – בישראל 27%
  • פחות מעורבות בתוכניות CIPממשלתיות (37% מול 56%) – בישראל 25%
  • יותר נייטרלים או חסרי דעה ביחס לתוכניות CIPממשלתיות (42% מול 26%) – בישראל 53%
  • מעט פחות רוצים לשתף פעולה (57% מול 66%) – בישראל 42%

 

ממצאי הסקר:

  • מודעות ומעורבות נמוכה יותר בתוכניות CIPממשלתיות– לפי הסקר של השנה, חברות בדרך כלל פחות מודעות לתוכניות CIPשל ממשלותיהן. 36 אחוז מהמשיבים היו מודעים במידה מסוימת או מלאה לתוכניות תשתיות קריטיות ממשלתיות בארצותיהם, בהשוואה ל- 55 אחוז בשנה שעברה. ב- 2011, 37 אחוז מהחברות מעורבות במידה מלאה או משמעותית בתוכניות כאלה, לעומת 56 אחוז ב- 2010.
  • אמביוולנטיות מעט רבה יותר ביחס לתוכניות CIPממשלתיות– הסקר גם גילה כי חברות הנן יותר אמביוולנטיות ב- 2011 מכפי שהיו ב- 2010 ביחס לתוכניות CIPממשלתיות.

לדוגמה, כאשר התבקשו להביע את דעתו על תוכניות CIPממשלתיות, ל- 42 אחוז לא הייתה דעה או שהיו ניטרליות. כמו כן, חברות פחות מוכנות עתה לשתף פעולה עם תוכניות CIPמכפי שהיו  לפני שנה (57 אחוז לעומת 66 אחוז).

  • ארגונים גלובליים מרגישים פחות מוכנים– אין זה מפתיע שככל שהערכת איומים על ידי ארגונים יורדת, כך יורדת גם מוכנותם. מוכנות כוללת על בסיס גלובלי ירדה בממוצע ב- 8 אחוזים (60-63 אחוז ב- 2011, בהשוואה ל- 67-70 אחוז ב- 2010).

 

המלצות להבטחת שרידות נגד תקיפות סייבר על תשתיות קריטיות:

  • לפתח ולאכוף מדיניות ITולמכן תהליכי ציות לרגולציה. על ידי קביעת עדיפויות לסיכונים והגדרת מדיניות המקיפה את כל האתרים, ארגונים יכולים לאכוף מדיניות דרך אוטומציה וזרימת תהליכי עבודה מובנים, ולא רק לזהות איומים ולטפל באירועים כאשר אלה קורים, או לצפות אותם קודם לכן.
  • להגן באופן פרואקטיבי על מידע תוך נקיטת גישה ממוקדת -מידע להגנה עלמידע ואינטראקציות. להגנה באמצעות -גישה מודעת לתוכן -, יש חשיבות מרכזית בידיעה מיהו בעל המידע, היכן שוכן מידע רגיש, למי יש גישה אליו, ואיך הוא נכנס אל הארגון או יוצא ממנו.
  • לנהל מערכות על ידי הטמעת סביבות הפעלה מאובטחות, הפצת ואכיפת רמות תיקונים (Patches), אוטומציית תהליכים להגברת יעילות, וניטור סטאטוס מערכת ודיווח על פערים.
  • הגנה על התשתית על ידי אבטחת נקודות קצה, מסרים וסביבות Web. בנוסף, הגנה על שרתים  פנימיים קריטיים והטמעת היכולת לגבות ולשחזר נתונים צריכות להיות בעדיפות. ארגונים גם צריכים את המודיעין הנדרש כדי להגיב לאיומים במהירות.
  • להבטיח זמינות של 24X7. ארגונים צריכים להטמיע שיטות בדיקה שאינן מפריעות לפעילות, וכן להפחית מורכבות על ידי אוטומציית התאוששות מכשלים. יש להתייחס אל סביבות וירטואליות באותה דרך כמו סביבות פיזיות, מה שמציג את הצורך של ארגונים לאמץ כלים יותר רב פלטפורמיים ורב סביבתיים, או להתבסס כסטנדרט על פחות פלטפורמות.
  • לפתח אסטרטגיות ניהול מידע הכוללת תוכניות ומדיניות לשימור מידע.ארגונים צריכים להמנע משימוש בגיבוי עבור ארכוב ועמידה בדרישות רגולציה, ולהטמיע בכל מקום ביטול כפילויות נתונים (דה-דופליקציה) על מנת לשחרר משאבים, ולהשתמש במערכת ארכוב עשירה ביכולות ולהטמיע טכנולוגיות מניעת אובדן נתונים.

 

המלצות לממשלות לקידום הגנה על תשתיות קריטיות:

  • ממשלות צריכות להמשיך להשקיע את המשאבים ליצירת תוכניות הגנת תשתיות קריטיות.
  • מרבית ספקי תשתיות קריטיות מאשרים כי הם מודעים לתוכניות ממשלתיות בנושא.
  • יתר על כן, מרבית ספקי תשתיות קריטיות תומכים במאמצי ממשלה לפיתוח תוכניות הגנה.
  • ממשלות צריכות לחבור עם ארגוני תעשייה וקבוצות ארגונים פרטיים, לצורך הפצת מידע לשם העלאת מודעות לארגוני CIPממשלתיים ולתוכניותיהם, עם דגש על האופן בו תפעל תגובה מול תקיפת סייבר לאומית, מה יהיו תפקידי הממשלה, מיהם אנשי הקשר הספציפיים עבור תעשיות שונות ברמה אזורית ולאומית, ואיך ממשלה ועסקים פרטיים צריכם לחלוק מידע במקרה חירום.
  • ממשלות צריכות להדגיש כי אבטחה אינה מספיקה על מנת לעמוד בפני תקיפות הסייבר של ימינו. ממשלות צריכות גם להדגיש לספקי תשתיות קריטיות ולארגונים שהמידע שלהם צריך להיות מאוחסן, מגובה, מאורגן, ומתועדף, ולוודא קיום  תהליכים מתאימים של בקרת זהויות וגישה.