סייבר: לצאת מהשאננות ולהתכונן ברצינות

ההודעה הדרמטית של השב"כ מאמש (ג'), המאשרת כי קבוצות האקרים מנסות לפגוע בתשתית האינטרנט הישראלית, מלמדת שני דברים חשובים, שראוי לשים עליהם את תשומת הלב הציבורית והלאומית. הדבר הראשון, המיידי, מוכיח שאין יותר מלחמות שמתנהלות רק בשטח, על הקרקע. האויב פועל בכמה זירות במקביל, והזירה הקיברנטית היא השנייה בחשיבותה בתקופות חירום כמו כעת. המציאות הזו כבר הייתה מוכרת לנו מעימותים קודמים, אבל עצם העובדה שהשב"כ מצא לנכון לצאת בהודעה כזו נותנת להערכת המצב הזו משקל מרכזי שיש להתייחס אליו במלוא הרצינות.

המסקנה השנייה קשורה לרמת המוכנות שלנו וליכולת להתכונן. שאלת המוכנות של העורף העסקי האזרחי נדונה כאן לא פעם ולא פעמיים. היא פחות מוזכרת בעיתונות הארצית הכללית, לבד ממקרים נקודתיים של מתקפות סייבר על ספקי תקשורת או ארגונים גדולים. ההודעה של השב"כ מלמדת על כך שהיקף האיום הפעם רחב הרבה יותר, וכאן השלב שבו צריכים לבדוק עד כמה אנחנו מוכנים.

ההנהלות אדישות
המציאות היא שאנחנו מצויים בשלב שבו מנהלי אבטחה ומנמ"רים משדרים תחושה ש-"הכול בסדר". חלקם מודים שיש מוכנות חלקית ואחוז קטן, נאמן לאמת ומודה שהארגון לא מוכן למתקפות סייבר. מבצע צוק איתן והודעת השב"כ מציירים תמונה קצת שונה: כנראה שאנחנו לא מספיק מוכנים ובמידה רבה חיים במציאות דמיונית.

מנהלי האבטחה לא נושאים לבד באחריות למצב הזה. האחריות היא ברמת ההנהלות והדירקטוריונים. מוכנות לסייבר פירושה קודם כל הקצאת משאבים, יישום והטמעת תרבות ארגונית ומשמעת אבטחה חמורה יותר מאשר כיום. למעשה, המוכנות למתקפת סייבר חוצה את כל הארגון והיא כבר מזמן לא רק נחלתו של מנהל האבטחה.

כאן בדיוק נקודת החולשה. הנהלות ארגונים מתייחסות לסייבר במידה מסוימת של אדישות או שלווה. הקצאת כוח אדם וכסף לסייבר מופיעה בסדר העדיפויות שלהן במקומות נמוכים ביותר. הנושא כמעט שלא עולה לסדר היום ברמות הבכירות, למעט מקרים של אזהרות מפני התקפות או אם הארגון מפוקח על ידי רגולציה וקריסת אתר בעקבות פעילות האקרית עלולה להביא לאחריות אישית של ההנהלה הבכירה.

אולם, הארגונים המפוקחים הם רק חלק קטן מכלל המשק. לא תהיה זו הפרזה לומר שהחלק הארי של העסקים בישראל קטנים ובינוניים ולא מוכנים.

מעמדו של ה-CISO
המציאות של חוסר מוכנות מתקשרת לדיון הוותיק על מעמדו החלש של ה-CISO בארגון, שלרוב אינו חבר הנהלה ובאופן טבעי, יכולת ההשפעה שלו על קבלת ההחלטות של ההנהלה הבכירה קטנה.

ה-CISO הישראלי יכול להתנחם בכך שהוא לא לבד. כתבה שפורסמה לא מכבר בניו-יורק טיימס (New York Times) מעלה תמונה עגומה המצביעה על מעמדם הירוד של מנהלי אבטחת המידע  בכל העולם.

זהו אחד התפקידים היותר כפויי טובה שקיימים. מנהלי אבטחת המידע אחראים לכך שכל המערכות בארגון יעבדו ולא ישבתו, הם אחראים על הנכס החשוב ביותר שיש לארגון: המידע. כאשר קורית תקלה, האצבע מופנית קודם כל אליהם. טיעונים כגון "לא קיבלתי משאבים" ו-"לא הקשיבו לי" כבר מוכנים לקראת ועדות החקירה שמקימים בעקבות מחדלים. הדבר היה נכון גם בתקופות שבהן האינטרנט לא היה דומיננטי, והוא מחמיר כעת. "אנחנו מצויים במצב שבו כל האקר מתחיל יכול לגרום לפיטורינו", צוטט בכתבה אחד ממנהלי אבטחת המידע הבכירים בארצות הברית.

מה הפתרון? ברמה הישראלית, נדרש לעשות דברים דחופים, שכבר דובר עליהם בעבר אבל לא זכו לתשומת הלב הראויה: ראשית, הגנה מפני מתקפות סייבר חייבת להיות אחד הכלים האסטרטגיים של כל ארגון. ההכרה הזו תוביל את ההנהלה הבכירה להוריד הנחיות מתאימות, תחייב את כל הגורמים בארגון לשתף פעולה עם מנהל האבטחה והמנמ"ר ומכאן תאפשר להם ליישם מהלכים שנועדו להכין את הארגון לשעת חירום: תרגולים, השקעה בפרויקטים וכלים שנועדו להגן טוב יותר על המידע. שנית, יש לשדרג מידית את מעמדו של מנהל האבטחה, להגדיר את תפקידו ולצרפו כבכיר בהנהלה וכיועץ מיוחד לענייני אבטחה. בקיצור, ארגונים נדרשים לצאת מהשאננות ומאזורי הנוחות שלהם ולהפסיק להשלות את עצמם שהם מוכנים.

אסור לשכוח שאתגרי האבטחה של מנהל אבטחת המידע נמצאים הרבה מעבר לגבולות המשרדים הפיזיים של הארגון בו הוא עובד, אלא כוללים הגנה על כל מערכות המידע המותקנות בטלפונים ניידים, מחשבי לוח ועוד. גם רכיבים אלה נכנסים לטווח התקיפה של האקרים שונים, בוודאי כאלה שמונעים ממניעים פוליטיים ולאומניים.

יש כאן נקודה רגישה נוספת: המדיניות של השב"כ והממשלה בכלל היא שהפיקוח על מוכנות הארגונים במשק לסייבר ומתקפות בכלל מבוצע על ארגוני תשתית וכאלה שהמדינה מגדירה אותם כחיוניים. לאור המציאות המשתנה, שבה פגיעה ומתקפות על ארגונים שאינם מפוקחים על ידי השב"כ יכולה לשבש חיים בעורף, מן הראוי לשקול מדיניות זו, בכפוף לשמירה על חופש העיסוק והדמוקרטיה.