תובנות מכנס הסייבר InfoSec וכמה מוסכמות שצריך להיפטר מהן

כנס InfoSec השנתי של אנשים ומחשבים, שנערך אתמול (א') בראשון לציון בהשתתפות מאות אנשי מקצוע בתחום, הוכיח שוב את המורכבות והחשיבות של נושאי אבטחת המידע והסייבר. בענף רווחת התפיסה שמתקפת סייבר על הארגון היא כבר לא שאלה של האם, אלא של מתי, וששאלה נוספת היא האם הארגון ערוך לקראתה ולהמשכיות עסקית אחריה. משתתפי הכנס יצאו עם לא מעט תובנות וגם עם רשימת המלצות להיפטר מהנחות יסוד לא נכונות.

24 הדוברים, ביניהם בכירי יועצי ומומחי הסייבר בישראל, התייחסו בכנס לנושאים אלה. הם ציינו שהקורונה לא הגדילה את היקף התקיפות, אלא השינוי היחיד הוא ביעדי התקיפה. עקב המעבר לעבודה מרחוק נוצרו חורים בתווכי התקשורת שבין הבית של העובד למשרד. ההאקרים גילו דרכים הרבה יותר קלות ונוחות לחדור לארגונים, הם השתכללו באופן כללי ושכללו את דרישות הכופר שלהם. גם אם לרוב הם לא דורשים אותן ישירות, אלא דרך קבלני משנה.

ניצן עמר, ראש מכלול עמידות המשק במערך הסייבר הלאומי. צילום: ניב קנטור

ניצן עמר, ראש מכלול עמידות המשק במערך הסייבר הלאומי, אמר בהרצאתו שהאויב בסייבר יותר מתוחכם מאיתנו. לדבריו, אנחנו לא תמיד יודעים מי התוקף ולכן, המשימה – הן של המערך והן של גורמים נוספים – היא להתמקד במותקף, ולוודא שהמנהלים שמנהלים עסקים שיש להם מידע קריטי מוכנים להתמודד עם המתקפות, שכאמור, אין ספק שהן יקרו.

היערכות טובה למתקפות סייבר מצריכה את ההנהלה לשים את הנושא על מפת המשימות וסדרי העדיפויות שלה, להשקיע במשאבים ובכלים רלוונטיים, להתחבר עם הגורמים הנכונים ולהעביר מסר לכל עובד שהאחריות להיערכות למתקפות סייבר חלה אמנם בראש ובראשונה על המנכ"ל, אבל גם עליו

למרבה הצער, התחושה בכנס – הן של המרצים והן של המשתתפים – היא שבחלק גדול מהחברות ומהעסקים בישראל עדיין שרויים תחת התחושה המוכרת ש-"לי זה לא יקרה", ושאם וכאשר זה יקרה, גורמים חיצוניים יבואו להציל אותם, משל היו אלה מכבי אש או מגן דוד אדום. בסוף היום הבינו המשתתפים, שלא הבינו זאת קודם לכן, שזה ממש לא כך. היכולת של ארגון לצאת בשלום ממשבר שנוצר כתוצאה מסייבר תלויה בהיערכות שלו מראש. מרצים שונים הדגישו שלא הטכנולוגיה היא מוקד הבעיה כאן ושלא הכלי הטוב ביותר שתבחר הוא זה שיציל אותך, אם כי הוא חשוב. החשיבות היא בהתנהלות הארגונית, בהחלטות הניהוליות מה חשוב לארגון, על מה הוא לא יכול לוותר ומה הוא צריך לעשות כדי לצמצם סיכונים למשברים. על המנכ"ל לוודא ביצוע של כל זה, בדיוק כמו בכל אתגר אחר שהוא מציב לארגון.

זהירות, ניהול לא נכון של משברי סייבר

אמנם, יש שינוי במודעות, בזכות כמה מתקפות חמורות שהיו פה בשנים האחרונות, אבל עדיין, התחושה בקרב מנהלי ארגונים רבים היא, כאמור, שלא תקרה להם מתקפת סייבר, ושאם היא תקרה – יהיה מי שיציל אותם. או, במילים אחרות, שיהיה בסדר. או, מקסימום, הארגון ישלם כסף לתוקפים – והם ישחררו את המידע.

אז קודם כל, זה לא בהכרח נכון, כי לא תמיד התוקפים אמנם משחררים את המידע, ובמקום זאת הם נעלמים עם הכסף, או דורשים עוד. בנוסף, מוטב להשקיע את הכסף לא בתשלום לתוקפים כי אם בהיערכות נכונה לקראתם. גם התפיסה שאם חס וחלילה זה יגיע להליך משפטי, הביטוח מכסה, היא לא משהו שמומלץ למנכ"לים לבנות עליו.

מתקפת סייבר שלא מנוהלת נכון יכולה לגרום לקריסה של עסקים גדולים כקטנים, וכבר היו דברים מעולם. היא יכולה להביא לגל של תביעות מצד שותפים ולקוחות, שלא לדבר על מעורבות רגולטורית.

תפקידו של מנהל האבטחה מסתיים עם פרוץ המשבר

תובנה מעניינת נוספת שעלתה בהקשר זה, וגם היא קשורה להנחת יסוד מוטעית, היא אודות תפקידו של מנהל אבטחת המידע בארגון. המסקנה מהדברים שעלו אתמול בכנס היא חד משמעית: תפקידו של מנהל האבטחה מסתיים עם פרוץ המשבר. גם כי הטיפול במשבר הוא בעיקרו לא טכנולוגי, וגם כי במרבית המדינות, כולל בישראל, מנהל האבטחה לא מוכשר ואין לו כלים להתמודד עם משבר כללי בארגון, משא ומתן עם התוקפים ועוד צרות. הוא צריך להיות פעיל בהחזרת הארגון לתפקוד מהיר. אלא שזה תלוי שוב, בהיערכות. מיטב מומחי הסייבר שהופיעו אתמול בכנס הדגישו שהם לא יכולים להושיע ארגון שלא עשה כלום כדי לעזור לעצמו רגע לפני המתקפה.

השורה התחתונה: התמודדות נכונה עם מתקפות סייבר היא קודם כל פונקציה של היערכות נכונה של הארגון. היערכות טובה מצריכה את ההנהלה לשים את הנושא על מפת המשימות וסדרי העדיפויות שלה, להשקיע במשאבים ובכלים רלוונטיים, להתחבר עם הגורמים הנכונים ולהעביר מסר לכל עובד שהאחריות להיערכות למתקפות סייבר חלה אמנם בראש ובראשונה על המנכ"ל, אבל גם עליו. אם בעקבות הכנס אתמול, ארגון אחד או שניים הפנים את האזהרות וייערך טוב יותר, אנחנו, באנשים ומחשבים, עשינו את שלנו.