"מנכ"ל שלא ישקיע בסייבר יחטוף – וזה יכאב"

"ההבנה שיש צורך של המנכ''לים לקחת אחריות הולכת וגדלה - גם בעולם הגנת הסייבר", אמר עו''ד יובל ששון, ממשרד עורכי דין מיתר, ליקוורניק, גבע, לשם, טל ושות'

עו''ד יובל ששון, ממשרד עורכי דין מיתר, ליקוורניק, גבע, לשם, טל ושות'. צילום: יח"צ

"בסופו של דבר, אחריות תאגידית הולכת יד ביד עם אחריות אישית. מנהלי ארגונים נדרשים להבין כי עליהם לפעול כדי שלא יכאב להם בארנק שבכיס או בכיסא שהמושב שלו קשה בבית הסוהר. מנכ"ל של ארגון שלא ישקיע בהגנת הסייבר יחטוף – וזה יכאב לו", כך אמר עו"ד יובל ששון, ממשרד עורכי דין מיתר, ליקוורניק, גבע, לשם, טל ושות'.

עו"ד ששון, העומד בראש מחלקת ביטחון, הגנת המולדת, סייבר וציות במשרד, היה דובר המפתח במפגש פורום הסייבר ואבטחת המידע CSC של אנשים ומחשבים. המפגש נערך היום (ב') ביס פלנט בראשון לציון בהנחיית גיא מזרחי, סגן נשיא לסייבר ברייזון גרופ (Rayzone (Group.

לדברי עו"ד ששון, "ההבנה שיש צורך של המנכ"לים לקחת אחריות הולכת וגדלה גם בעולם הגנת הסייבר. ציות נהיה עניין גלובלי וכך גם אירועי סייבר. בשל היות אירועי סייבר דבר גלובלי, כמעט כל לקוח בארגון בינלאומי, בטרם הוא מדבר עימי, מנהל אבטחת המידע שלו משוחח עם מנהל אבטחת המידע שלי על מנת לוודא שיש לנו מערכות מתאימות".

הסייבר הפך לנושא מרכזי בהיבטי סיכונים

לפני כמה שנים, הוסיף עו"ד ששון, "האקרים סיניים פרצו למערכות של EMC ומשם לאלו של RSA, חטיבת האבטחה שלה, ומשם – ללוקהיד מרטין (Lockheed Martin). כך יצא שהעתק סיני של מטוס ה-F-35 הגיע לשמיים בטרם הסתיים ייצורו של המטוס המקורי. סיפור זה ממחיש את החשיבות של הגנת הסייבר בעולם העסקי. נכסי המידע והקניין הרוחני בארגון התומכים ביעדיו, חשובים כיום לא פחות מאלה הפיסיים. הסייבר הפך לנושא מרכזי בהיבטי סיכונים – משפטי, כלכלי ותדמיתי. אחריות ההגנה בסייבר מוטלת על הדירקטוריון ועל ההנהלה – זו לא אחריות מנהל אבטחת המידע".

לדבריו, "מתקפות סייבר הולכות וגדלות – בהיקפן, מורכבותן ועקביותן. נזקן הכספי הולך וגדל. מערכות ה-IT הארגוניות הופכות לחשופות יותר".

סיכוני הארגון בשל מתקפה

עו"ד ששון פירט את סוגי איומי הסייבר לארגון: טעויות אנוש – עובד ששכח את מחשבו או טלפונו, או שהם נגנבו; האקרים דוגמת אהוד טננבוים, ה"אנלייזר'', או הצעיר מאשקלון שהתריע התרעות שווא על פיגועים במוסדות יהודים בארצות הברית; פישינג והינדוס חברתי המכוון נגד העובדים; גילוי חולשות; סחיטות מבוססות מחשב; האקטיביזם (הלחם המילים 'האקר' ו-אקטיביזם', י.ה.) חברתי, דוגמת פעולות של אנונימוס (Anonymous) ו-וויקיליקס (WikiLeaks). .

סיכוני הארגון בשל מתקפה, אמר עו"ד ששון, "הם גניבת קניין רוחני, פגיעה במוניטין, פגיעה באמון, פגיעה במהימנות מערכות ה-IT, פגיעה בפרטיות הלקוחות, חקירות, כתבי אישום, קנסות גבוהים, נזקים לצדדי ג', ועוד.
על מנת להמחיש מהי הגנת סייבר יעילה, עו"ד ששון ציטט מתזכיר חוק הגנת הסייבר שפורסם באחרונה ומתורת ההגנה בסייבר שפורסמה באפריל השנה.

עו"ד ששון סיכם באומרו כי "לאחר שבנה תכנית הערכת סיכונים, הארגון צריך למנות קצין ציות. הדירקטוריון צריך להיות מודע ומעורב. על הדירקטוריון להיפגש עם קצין הציות כדי שיתדרך אותו בנושאי הגנת הסייבר. הדירקטוריון נדרש להיות מודע לכל דרישות ההגנה של הארגון. עליו לאשר אחת לשנה את מדיניות אבטחת המידע והגנת הסייבר הארגונית, כמו גם את מפת הסיכונים ואת יעדי ההגנה של הארגון. עליו להקצות משאבים לטובת מימוש תוכניות להגנת הסייבר. יש להקפיד שנושא הגנת הסייבר יעלה בכל ישיבת דירקטוריון הדנה במוצרים או שירותים חדשים".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים