97% מהארגונים חוו לפחות אירוע אבטחה אחד בענן בשנה האחרונה

אירועי אבטחה הפכו כיום לחוויה כמעט אוניברסלית. לפי מחקר חדש, 97% מהארגונים דיווחו על לפחות אירוע אבטחה אחד בענן בשנה האחרונה. "לא מדובר במתקפות מתוחכמות חד-פעמיות", נכתב, "להפך, לעיתים קרובות הן תוצאה של טעויות יומיומיות".

רד האט (Red Hat) פרסמה את ממצאי דו"ח מצב אבטחת הענן ל-2026, שנערך בקרב 600 מומחי IT . "ארגונים רבים לכודים כיום במעגל של כאוס מבוקר", נכתב, "כדי להשתחרר ממנו, על הצוותים לעבור מגישה תגובתית של 'כיבוי שרפות' ולעגן את האסטרטגיה שלהם בפרקטיקות ומדיניות אבטחה בסיסיות. אלו הופכות את האבטחה מצוואר בקבוק – לסטנדרט עבודה בסיסי".

78% מהארגונים דיווחו על תשתיות, או שירותים המוגדרים בצורה שגויה, כסיבה המובילה לחשיפה, לעיתים קרובות עקב שגיאות ידניות בסביבות מורכבות; 74% ציינו איתור של פגיעויות ידועות בעומסי עבודה הנפרסים עם קוד שידוע שהוא פגום – מה שיוצר פרצות וסיכונים שהיה ניתן למנוע מראש; ו-65% העידו כי גישה לא מורשית מהווה מכשול תפעולי מתמשך, המוביל לעיתים קרובות לחשיפת מידע רגיש.

לפי המחקר, 74% מהארגונים עיכבו, או האטו את פריסות היישומים ב-12 החודשים האחרונים בשל חששות אבטחה. מעבר לעיכובים, 92% מהארגונים חוו השפעות משמעותיות, החל מהגדלת הזמן המושקע בתיקון תקלות (52%), ירידה בפרודוקטיביות המפתחים (43%) ועד לאובדן אמון הלקוחות (32%). "המשמעות היא כי האבטחה כבר אינה היבט טכני, אלא היא מהווה סיכון עיקרי עבור הגמישות העסקית", ציינו חוקרי רד האט.

פרדוקס הבשלות: ביטחון מול אסטרטגיה

הדו"ח מצא פער בין האופן שבו ארגונים תופסים את המוכנות שלהם – לבין האסטרטגיה שלהם בפועל. בעוד ש-56% מהארגונים מתארים את עמדת האבטחה היומיומית שלהם כ"פרואקטיבית מאוד", רק 39% מחזיקים באסטרטגיית אבטחת ענן בשלה ומוגדרת היטב. "הממצא מרמז, כי בעוד שצוותים שואפים להיערך לעתיד, רבים מהם מאלתרים", ציינו החוקרים, "כ-22% מהארגונים פועלים בלא אסטרטגיה מוגדרת כלל".

מצב זה, הסבירו, "מוביל לאימוץ לא עקבי של הגנות אבטחה. כך, 75% מהארגונים מטפלים בעולם של ניהול זהות וגישה (IAM), למרות שהתחום מוכר כבקרת אבטחה בסיסית וחשובה. בעולם חתימת תמונות בקונטיינרים, רק כמחצית מהארגונים יישמו יכולת זו שנועדה להבטיח את שלמות התוכנה. ובעולם של הגנת Runtime – היישום נשאר לא אחיד, מה שמשאיר צוותים רבים להסתמך על הגדרות ברירת מחדל במקום על ניהול מכוון".

"הבשלות משתלמת", קבעו החוקרים, "ארגונים בעלי אסטרטגיה מוגדרת היטב נוטים הרבה יותר לאמץ אמצעי הגנה מתקדמים. בנוסף, הם מדווחים על 61% ביטחון באבטחת שרשרת אספקת התוכנה שלהם – רמת ביטחון גבוהה משמעותית מזו של עמיתיהם שאינם בשלים מספיק".

בשל הכרה בפערים אלו, ארגונים מאזנים מחדש את התקציבים שלהם ל-2026. המיקוד עובר משימוש בכלים נקודתיים ונפרדים – לעבר איחוד פלטפורמות והטמעת אבטחה ישירות אל תוך מחזור החיים של פיתוח התוכנה.

חוקרי רד האט צופים, כי בשנתיים הקרובות, סדרי העדיפויות המרכזיים להשקעה יכללו: אוטומציה של DevSecOps (יותר מ-60% מהארגונים), כדי להפחית טעויות אנוש; אבטחת שרשרת אספקת התוכנה (56% מהארגונים); הגנה בזמן ריצה (4% מהארגונים).

גם היבט התאימות קיבל יותר חשיבות. 64% מהארגונים מצפים כי חוק חוסן הסייבר של האיחוד האירופי (CRA) יהיה המניע העיקרי להחלטות ההשקעה שלהם השנה.

סיכונים מתפתחים: AI ואבטחת ענן

השנה, ציינו חוקרי רד האט, "ה-AI הפך לחרב פיפיות עבור צוותי הענן. 58% מהארגונים טוענים כי אימוץ AI הוא כיום מניע מרכזי בתכנון האבטחה שלהם, הרי שהניהול בפועל מתמהמה בצורה מסוכנת – אחר קצב היישום".

עוד חושף הדו"ח חרדה כמעט אוניברסלית בנוגע לבינה מלאכותית יוצרת בסביבות ענן, כאשר 96% מהארגונים הביעו חששות משמעותיים בנושא. דאגות מרכזיות נוספות כללו חשיפה של נתונים רגישים, שימוש בכליAI  המופעלים בלא אישור ואינטגרציה של שירותי AI חיצוניים לא מאובטחים. למרות החששות הללו, ל-59% מהארגונים אין מסגרות ניהול או מדיניות פנימית מתועדת לשימוש ב-AI.

"השנה", סיכמו החוקרים, "האבטחה היא כבר לא תוספת מובנית, אלא מרכיב יסודי של ארכיטקטורת הענן. הארגונים שיצליחו יהיו אלה שיתייחסו לאבטחה כמנוע עיקרי של גמישות עסקית ולא כמרכז עלויות".