העסקים הקטנים מפסידים בגדול במתקפות סייבר

בשבוע שעבר חתם נשיא ארה"ב דונלד טראמפ על צו נשיאותי בנושא אבטחת מידע. הצו אמור לחזק את חוסנה של ארה"ב בהיבטי הסייבר בעיקר בכל הקשור ליחידות הממשלה עצמן ולתשתיות קריטיות. הצו נחתם ממש לפני שפרצה מתקפת הסייבר הגדולה WannaCry שפגעה ביעדים ברחבי העולם. במקביל, רשות הסחר האמריקאית (FTC) השיקה אתר המיועד דווקא לעסקים קטנים והוא כולל מדריכים, כללים וכלים להתמודדות עם איום הסייבר הגואה.

מה–FTC נמסר: "עסקים קטנים חיוניים לכלכלה שלנו ולבניית העתיד של אמריקה ומיצובה בשווקים הבינלאומיים. האתר שאנו משיקים הוא דרך חדשנית לספק לעסקים קטנים מידע כיצד להגן על עצמם מפני האקרים ונוכלים, כמו גם כלים להתמודד אם הם נפגעו ממתקפת סייבר".

גם פדרציית העסקים הקטנים הבריטית (FSB), שמאגדת עסקים שבהם עד 250 עובדים, מסרה כי איום הסייבר הוא האיום הגדול ביותר על עסקים קטנים, יותר מפשיעה לא־מקוונת. נתוני הארגון מצביעים על כך ש–71% מהעסקים הקטנים חוו פריצה כלשהי ברשת במהלך 2016 — שגרמה נזק מתמשך כמו אובדן חוזים, בזבוז שעות עבודה או בעיות מול ספקים. הממשלה הבריטית הקימה גם היא אתר הדרכה לעסקים הקטנים, בשם Cyber Essentials.

מדינות ממגנות את עצמן מפני איומי סייבר, חברות גדולות מתחמשות בתוכנות הגנה מתוחכמות — אך העסקים הקטנים, שמהם מורכב רוב המשק, לא עומדים בקצב, וסובלים מכך. במקרה של תקיפה באמצעות תוכנת כופר, כמו שאירע בסוף השבוע האחרון, הם נאלצים לשלם כסף רב.

ובכל זאת, מרבית העסקים הקטנים לא מכינים את עצמם למתקפת סייבר באופן מספק. חברות קטנות נהפכו יעד למתקפות. בעבר התמקדו התוקפים רק בארגונים גדולים, וניסו לגנוב סכומי כסף משמעותיים מארגונים פיננסיים או פרטי אשראי מרשתות קמעונות גדולות. אלא שבשנים האחרונות התברר להאקרים שמתקפות כופר מאפשרות לגנוב אלפי דולרים גם מעסקים קטנים — והתחילו לתקוף אותם ביתר שאת.

כלי הפריצה זמינים לרכישה ב–Dark Web, ומטבע הביטקוין מאפשר לקבל את כספי הסחיטה בלי להותיר עקבות. כל מה שנשאר זה להטיל את הרשת למים ולראות מה נלכד בה.

אורן שניצר, סמנכ"ל הטכנולוגיות של חברת ReSec, סיפר באחרונה בראיון ל–TheMarker כי "מבחינת התוקפים, זה או לעבוד שנה כדי לתקוף בנק, או לבצע מתקפה מהירה על כמה עשרות ארגונים קטנים שנופלים בקלות. לעסקים הקטנים אין מחלקת IT, אין להם מערכות הגנה מינימליות, ולהשתמש רק באנטי־וירוס זה כמו לא להיות מוגן בכלל. עסק קטן יכול לחטוף מתקפת כופר שלוש פעמים בחודש, ואם במקרה הוא גיבה את החומרים שלו — התבזבז לו 'רק' יום עבודה אחד בכל פעם".

מומחה האבטחה מאור עקנין, אומר כי תופעת מתקפות הכופר מתפשטת כי "התוקפים הבינו שהרבה יותר קל לחדור לעסקים קטנים. עבור בנק, אפילו פגיעה של מיליון דולר היא רק שריטה קטנה. עסק קטן פגיע יותר ולכן יש יותר סיכוי שישלם כופר במקרה של מתקפה עליו. יש לכך משמעויות רחבות עבורו — פגיעה במוניטין, אובדן לקוחות ואובדן ימי עבודה — וגם השלכות רגולטוריות: מרפאה שמאבדת מידע רפואי של לקוחות עלולה להיקנס על ידי משרד הבריאות בגין פגיעה בחיסיון, להיענש על ידי הרשות למשפט וטכנולוגיה במשרד המשפטים ואף לספוג תביעות ממטופלים.

"סיבה נוספת לכך שעסקים קטנים נהפכו יעד מבוקש היא שההאקרים הבינו שדרכם ניתן לחדור לעסקים הגדולים. זה מה שמכונה 'שרשרת האספקה'. אתה לא יכול לחדור לבנק? חדור לחברה שבונה לבנק את האתר — כי לה יש הרשאות גישה למערכות הבנק שעוקפות את כל מערכי ההגנה. כיום שרשרת האספקה היא היעד החביב ביותר על האקרים".

בתחום הזה אפשר להזכיר כמה מתקפות שבהן התוקפים חדרו לארגון גדול באמצעות מתקפה על חברות הסליקה והקופות שלו. במתקפה הגדולה על רשת הקמעונות האמריקאית טארגט ב–2013, התוקפים חדרו לרשת המחשבים של טארגט דרך ספקית מיזוג האוויר של החברה.

לא מודעים לאיום

מנגד, לעסקים קטנים אין משאבים שיאפשרו להם להתמגן כראוי — כסף, ידע וזמן. לדברי עקנין, "המבחן שלי הוא העסק של אבא שלי, משרד להנהלת חשבונות של חמישה עובדים. אני אומר לו 'אתה צריך להגן על עצמך', אבל הוא מפחד מכל העולם הזה פחד מוות, ואין לו מושג ירוק היכן להתחיל. אנטי־וירוס הוא סיפור שיווקי מוצלח וגם לא יקר, אבל הוא עוצר רק כ–10% מהפוגענים. שאר הפתרונות המתוחכמים מתחילים מ–100 אלף שקל.

"נגיד שעסק קטן רכש פיירוול (חומת אש), ויש בשוק מוצרים כאלה בכמה אלפי שקלים. אבל אם לא מתחזקים פיירוול — הוא לא שווה כלום. ומי יעשה את זה? אבא שלי? צריך גם אדם שיעשה את זה, אולי לא חמישה ימים בשבוע — אבל יומיים בשבוע לפחות".

בנוסף, עסקים קטנים רבים פשוט אינם מודעים לאיום. הם מתמודדים עם בעיות היומיום ותחום הסייבר כולו זר להם. בארגונים גדולים יש ימי הדרכה מרוכזים בנושאים האלה, והעובדים לומדים בהם על תרגולות למקרה של מתקפות סייבר ועל לומדות להגברת אוריינות הסייבר — אך בעסקים קטנים אין כל השתלמות בנושא.

על פי סקר של ארגון FSB, שני שלישים מהעסקים הקטנים סבורים כי אינם חשופים למתקפות סייבר כלל, ורק שביעית מהם הציבו את איום הסייבר בראש סדר העדיפויות. לפי הארגון, העסקים הקטנים "פשוט חושבים שהם לא מעניינים את התוקפים". וזו טעות.

כל הפתרונות מכוונים לעסקים הגדולים

הנקודה החשובה ביותר היא שגם אם עסק קטן רוצה לקנות מוצרי הגנה מתקדמים — בשוק כמעט שאין מוצרים מותאמים עבורו. בישראל יש כ–400 חברות הזנק בתחום הסייבר, אבל יותר מ–90% מהן מכוונות לתאגידים, עסקים גדולים מאוד, בנקים, מדינות, צבאות וכדומה. תהליכי המכירה של המוצר ארוכים, וכוללים יצירת קשר עם החברה, קביעת הדגמה (Demo) ולבסוף התקנה, שיכולה לקחת שבועות ואף חודשים ארוכים — ועסקים קטנים אינם בנויים לזה.

"כל הפתרונות מכוונים לעסקים גדולים", קובע עקנין, "הרבה יותר סקסי וכלכלי למכור פתרון אבטחה מתקדם למדינה מאשר לעסק קטן. בנוסף, פתרון שנבנה עבור רשת מורכבת של בנק אינו מתאים לרשת של משרד קטן. למשל, בנק יכול לנצל את סופי השבוע כדי לערוך עדכונים גדולים. לעומת זאת בעסק ביתי הרשת חיה תמיד".

עקנין הוא איש סייבר מנוסה והבעלים של חברת ייעוץ בשם Cyberway, המעסיקה שמונה עובדים. בין היתר, הוא ראש תחום החקירות במרכז הלאומי להתמודדות עם איומי סייבר בישראל (CERT) ויועץ ליחידה גדולה בצבא. לפני כשנה וחצי, בעקבות מה שזיהה כחסר בתחום הסייבר לעסקים הקטנים — הוא הקים סטארט־אפ ופיתוח מוצר בשם Cyber–Box.

"אנחנו פונים לעסקים קטנים באמת, שאין להם ידע בתחום, אין להם כוח אדם, תקציב או רשת מורכבת. זה פתרון שהוא לגמרי מיידי — ובתוכו יש מגוון מנועים: אנטי־וירוס, סינון דומיינים, זיהוי אנומליות ומניעת מתקפות כופר".

סייבר בוקס היא קופסה שמתחברת לקו האינטרנט של המשרד, עוד לפני הראוטר. בפיתוח המוצר התבססה החברה על פיתוחים עצמאיים שלה וכן על פיתוחים בקוד פתוח — דבר שיחייב אותה בעתיד לשחרר את העדכונים והשיפורים שלה לשימוש קהילתי, דבר שיאפשר למפתחים אחרים לעשות בהם שימוש. עם זאת, התשלום לחברה מעניק לא רק את המוצר אלא גם שירות ועדכוני תוכנה, ותמיכה 24 שעות ביממה במקרה של מתקפת סייבר על בית העסק. "המוצר עולה 800 דולר, ובנוסף יש תשלום חודשי שנע בין 30 ל–70 דולר עבור עסק של עד 100 עובדים", מסכם עקנין.

את המימון לפיתוח המוצר לקח עקנין מחברת הייעוץ שלו. "יש לי את המשכורת הנמוכה ביותר בחברה, וכל הרווח עבר ישירות לפיתוח הסייבר בוקס. בשלב זה, המוצר נמצא בפיילוט בכמה ארגונים, ושאר הקופסאות — המיוצרות בטייוואן — נמצאות בתהליכי שחרור מהמכס".

ספקיות האינטרנט מציעות פתרונות

אפשרות אחרת שניצבת בפני העסקים הקטנים היא לרכוש את מוצרי האבטחה דרך ספקית האינטרנט. עבור חברת התקשורת זו דרך להגדיל הכנסות על ידי מכירת שירותים בעלי ערך מוסף, ואילו עבור העסק זהו פתרון מהיר שאינו דורש התקנה, מתומחר באופן סביר ומציע תמיכה מגוף גדול. סלקום, למשל, יצרה שותפות עם חברות המציעות פתרונות למתקפות סייבר, כמו רדווד ופורטינט, והתאימה את המוצרים שלהן לעסקים קטנים ובינוניים. גם טריפל סי הישראלית מציעה חבילה של מוצרי אבטחת מידע, ובהם סינון תיבות מייל, הגנה מפני וירוסים, חומת אש וכדומה.

בכנס המובייל האחרון שהתקיים בברצלונה בפברואר, טכנולוגיית סייבר היתה מוקד עניין מרכזי. איל רשף, מנכ"ל איגוד המובייל הישראלי, הסביר אז את העניין הגובר: "מפעילות סלולר מתחילות למכור פתרונות אבטחה. נפגשתי עם מנהל אבטחת מידע בבנק ספרדי גדול, והוא סיפר לי שהוא קונה את שירותי האבטחה מחברת טלפוניקה (ספקית התקשורת הגדולה בספרד; א"ז). שאלתי אותו 'למה דווקא החברה הזו ולא מחברת המחשוב שלך?', והוא ענה: 'כי נוח לי ככה'. למפעילות הסלולר יש ממילא מחלקות עסקיות ומערכות יחסים עם תאגידים ועסקים — אז למה שלא ימכרו להם גם סייבר?"

לדברי רשף, מפעילות תקשורת נוספות באירופה, כמו דויטשה טלקום, מוכרות כיום שירותי סייבר והטרנד יתרחב בשנים הקרובות. מנגד, ייתכן שחברות אבטחת המידע יבינו שהן מחמיצות שוק עצום, ויתחילו לפתח מוצרים וערוצי שיווק שמתאימים גם לעסקים קטנים.

'בחדרי' גם ברשתות החברתיות - הצטרפו!