איך Cyber Resilience מסייע לשרידות הארגונית?

לא מכבר נחשף מחקר חדש של יבמ (IBM) עם מכון פונימון, שלפיו ל-77% מהארגונים בעולם אין תכנית פורמלית ורוחבית להתגוננות מפני אירועי סייבר. מדובר במחקר מקיף, שכלל 2,800 אנשי אבטחת מידע ו-IT מארצות הברית, בריטניה, צרפת, גרמניה, ברזיל, המזרח הרחוק, המזרח התיכון ואוסטרליה.

האמת, העובדה של-23% יש תכנית מאוד מפתיעה. לפני כשנתיים, דלויט (Deloitte) פרסמה את אחד מסרטוני ההסברה היותר טובים שהופקו. בסרטון זה ממחישים אנשי החברה בצורה ויזואלית את הכאוס והלחץ שעלול לקרות בעת מתקפות סייבר, ואת החשיבות שבליווי מקצועי והיערכות מסודרת. אלא שאז הם חוו בעצמם אירוע דלף מידע על רבים מלקוחותיהם – אירוע שלפי דיווחים אותר כבר כחצי שנה קודם לחשיפה התקשורתית שלו וגרר אתו, כמצופה, ביקורת קשה. אז האם יש 23% בין הארגונים העסקיים שמיישמים תכנית רוחבית? בטוח שיש כמה ארגונים כאלה. יהיו מספרם ושיעורים אשר יהיו, בישראל השיעור הרבה יותר נמוך.

המחקר של יבמ מציג את המילה התגוננות. גם עליה אני רוצה לרגע להתעכב. כשארגון עובר מתקפת סייבר, הוא כבר לא מתגונן. הוא מתמודד. זו הבחנה חשובה מאוד בהבנה של מה באמת נדרש מארגון עסקי. הגנה הוא דבר שמנהל אבטחת המידע עושה ברציפות כל השנה, כל הזמן. ההתמודדות העסקית היא כבר שאלה אחרת לגמרי.

עמידות היא שם המשחק

בחודשים האחרונים אני עוסקת ב-Cyber Resilience. עמידות היא שם המשחק. עמידות שמאפשרת התמודדות טובה ויעילה יותר היא זו שמבטיחה שרידות עסקית. מכאן שאיום מתקפת הסייבר אולי נתפס כטכנולוגי, אבל הוא בראש ובראשונה איום עסקי.

כמעט מחצית מהמשיבים למחקר של יבמ דיווחו שדרכי התגובה שלהם הן, במקרה הטוב, בלתי פורמליות ומוגדרות אד-הוק, ובמקרה הרע – כלל אינן קיימות. זה נתון די אבסורדי, אבל הוא מתכתב מצוין עם התחושה שלי אחרי כל פגישה שבה אני מציגה את התפיסה והמתודולוגיה של Cyber Resilience. ארגונים משקיעים סכומי עתק והרבה מאוד שעות ישיבות בסקרי סיכונים מקיפים, אבל ברמה הפרקטית ביותר אין להם מושג כיצד ממירים את אלפי שורות האקסל (Excel) בשאלות עסקיות קונקרטיות. שאלות פשוטות, לעתים כאלה שלא הגיוני שבאמת צריך לשאול, אבל ברגע האמת, הן השאלות הקריטיות שעל בסיסן מתקבלות החלטות בזמן אירוע.

נתון מעניין נוסף שמצוין במחקר מתייחס לזמן התגובה למתקפת סייבר – 57% מהמשיבים דיווחו שהזמן הנדרש כדי לפתור אירוע אבטחה גדל בשנה האחרונה, במקביל ל-65% שדיווחו שחומרת המתקפות גדלה גם היא. יכולות לעבור שעות רבות, ואפילו יממות, מהרגע שאותרה מתקפה, ועד שמבינים את היקפה וחומרתה, היא מגיעה לשולחנו של המנכ"ל ומתכנס, במידה שבכלל יש כזה, צוות תגובה. כל דקה כזו יקרה וקריטית, אם בגלל מניעת שירות ואם בגלל שינוי כללי המשחק, שמנוהל על ידי ההאקר.

מתקפת סייבר לא שונה ממלחמה. זה אולי נשמע דמגוגי, אבל רק מי שחווה והתמודד עם אירוע שכזה מבין שאין דרך להקל בכך ראש. ובמלחמה כמו במלחמה – אי הוודאות עצומה. הבלגן חוגג וכשזה קורה, קשה מאוד לקבל החלטות חכמות ולכן, סביר להניח שחלק מההחלטות שיתקבלו יהיו בעייתיות. תשאלו את מנכ"ל אובר (Uber), שחשב שנכון להסתיר מהציבור תשלום כופר להאקר, או את מנכ"ל אקוויפקס (Equifax), שחשב שנכון למכור מניות. הראשון התפטר שנה אחרי האירוע, השני עומד כרגע בפני חקירה פדרלית.

כל הרעיון ב-Cyber Resilience הוא שיהיה לארגון Playbook מסודר, שממפה את האיומים והסיכונים ומגדיר תהליכים בצורה פשוטה, ברורה וכזו שלא תחייב בהייה מבולבלת, תחת אש, בשורות אקסליות של ניהול סיכונים.

מניה שצונחת, חברי דירקטוריון שלוחצים, ספקים שדורשים להבין מה יהיה עם ההתחייבות כלפיהם, עובדים שחוששים למקום עבודתם, לקוחות שלא מקבלים שירות או אפילו חריף מזה נפגעים בעצמם, תקשורת שלוחצת… ככל שהארגון יבין מהר יותר בפני מה הוא ניצב וכיצד עליו לפעול, כך היכולת שלו לצאת ממתקפת הסייבר בצורה מהירה תחסוך לו כסף רב ופגיעה במוניטין. זוהי השרידות הכל כך קריטית, שכל ארגון חייב לשאוף אליה. לפי נתוני הסקר של יבמ, ל-77% מהארגונים אין תכנית Cyber Resilience. בואו נקווה שההאקרים יתחשבו בנתון המפחיד הזה.

הכותבת היא יועצת מומחית ל-Cyber Resilience.