התרעת סייבר חמורה: חסרים לנו אנשים

סמנכ"ל אבטחת מידע (CISO) הוא תפקיד קריטי בארגון, אבל הוא גם תפקיד תובעני, מלחיץ, ושוחק מאוד. בדו"ח שהכה גלים השנה, חברת גרטנר פרסמה תחזית, לפיה כמחצית ממנהלי האבטחה יחליפו את עבודתם עד 2025 בגלל הלחץ הרב, ורבע מהם (25%) יעדיפו לעבור לתפקיד אחר לחלוטין. לנוכח המגמה, שזכתה לכינוי "ההתפטרות הגדולה של הסייבר", לא מפתיע לגלות שיש מחסור עולמי בעובדים מיומנים בתחום. לפי מחקר של ISC2 יש כבר 3.4 מיליון משרות פתוחות, שממתינות לאיוש, בתחום הגנת הסייבר – והנתון רק צפוי לגדול.

בעוד שהמנכ"לים דורשים מהם הגנת סייבר מושלמת, שתשמור על הביזנס ועל המוניטין של הארגון, ועם איומי הסייבר שרק הולכים ומתגברים, יחד עם הצורך בעדכון תמידי של אמצעי הגנה וטכנולוגיות חדשות, תקציבים ומשאבים מוגבלים ומחסור בכוח אדם מיומן – קל מאוד להבין את השחיקה הגדולה של CISOs, עד כדי התפטרות ונטישת המקצוע.

בעוד שהמורכבות והתחכום של איומי הסייבר הולכת וגדלה, גם האתגר של ה-CISOs מתעצם, ואיתו התלות של ארגונים במנהלי האבטחה שלהם. "ההתפטרות הגדולה" מגיעה בתזמון גרוע, בעיקר עבור עסקים בגודל בינוני, אשר מתקשים לגייס ולשמר את מנהלי האבטחה המיומנים שעוד נותרו בשוק. אלה מצידם, מעדיפים לנצל את הביקוש הרב ולהתקבל לחברות הכי גדולות ונחשבות.

אז מה עושים כדי לאתר ולשמר מנהלי אבטחת סייבר מיומנים? מוטב שקודם נבין את שורשי הבעיה.

תפקיד שוחק שאין מספיק מועמדים לאייש בארגונים בינוניים. CISO. צילום: שאטרסטוק

מהו שורש הבעיה?

עומס העבודה והלחץ שמופעל על ה-CISOs בארגונים נובע ממספר גורמים. ראשית, בדומה לפראמדיק או לוחם-אש, חיי ה-CISO מתנהלים בציפייה מתמדת לאירוע חירום עם השלכות חמורות. הצורך להיות מוכן תמיד לבלתי-צפוי עלול לגרום למתח אישי ומקצועי ולייצר דינמיקה של כיבוי שריפות. כשמחברים לכך התמודדות עם מתקפות ואיומי אבטחה מתמשכים וידועים, נשאר מעט זמן לתכנון אסטרטגי, שלא לדבר על מנוחה או מילוי מצברים אישי.

גם הרגולציה בתחום אבטחת המידע מוסיפה לחץ רב לתפקיד ה-CISO. הרגולציות נושאות סנקציות כבדות על אי-ציות, וכוללות סט רחב של דרישות מחייבות. מנהלי אבטחת מידע נדרשים לאחריות אישית ופלילית על טעויות שעשו במסגרת תפקידם, ולאחרונה קיבלנו לכך הוכחה ניצחת בשני מקרים מפורסמים מארה"ב: בחודש אוקטובר האחרון, הרשות לני"ע האמריקנית, ה-SEC, הגישה כתב אישום חמור נגד חברת סולארווינדס ונגד ה-CISO שלה טימותי ג'. בראון על חלקו האישי בפרשת הפריצה החמורה שאירעה שם. בראון הואשם, בין היתר, בהונאת משקיעים ובעלי עניין בדבר יכולות הגנת הסייבר של סולארווינדס.

במקרה אחר, במשפט שנערך בארה"ב נגד אובר (Uber), התביעה ביקשה להכניס לכלא ל-15 חודשים את ה-CISO לשעבר של החברה ג'ו סאליבן, כעונש על תפקודו במתקפת הכופרה הגדולה ב-2016. סאליבן שילם אז לתוקפים, וניסה להציג את מתקפת הכופרה כמבדק חדירה שהוא יזם.

בעקבות כתבי אישום כמו בסולארווינדס ואובר, נוצרה הבנה רחבה שמנהלי אבטחת סייבר נושאים באחריות פלילית ואישית על טעויותיהם, ואף עלולים לשלם מחיר כבד, כולל מאסר ממושך. בעוד שהמנכ"לים דורשים מהם הגנת סייבר מושלמת, שתשמור על הביזנס ועל המוניטין של הארגון, ועם איומי הסייבר שרק הולכים ומתגברים, יחד עם הצורך בעדכון תמידי של אמצעי הגנה וטכנולוגיות חדשות, תקציבים ומשאבים מוגבלים ומחסור בכוח אדם מיומן – קל מאוד להבין את השחיקה הגדולה של CISOs, עד כדי התפטרות ונטישת המקצוע.

מה עושים לפתרון המצב?

היריעה קצרה מלפרט את כל הפתרונות, אולם יש צעדים ברורים שאפשר לנקוט בהקדם כדי לבלום את "ההתפטרות הגדולה של הסייבר" ואולי להתמודד עם השלכותיה העכשוויות.

בתוך הארגון – יש להקדיש תשומת לב מירבית לצרכים של ה-CISO, לא רק בהיבט המקצועי אלא גם בפן האישי, וכן, אפילו הרגשי. ה-CISO הוא גם החייל ששומר בשער וגם שר הביטחון של הארגון. דלת המנכ"ל צריכה להיות פתוחה בפניו תמיד, ומילוי הצרכים שלו אמור להיות בראש סדרי העדיפות של ההנהלה. כדי שיוכל לעמוד בלחצים הרבים ה-CISO צריך גם לקבל מושב ליד שולחן ההנהלה, והוא צריך לדעת שתמיד יש לו גיבוי מלא מהמנכ"ל ותמיכה רחבה במונחי תקציב, צוות, השתלמויות ועוד.

בקהילת הסייבר – בישראל ובכל העולם, עלינו לנרמל את העובדה שלכל CISO מנוסה יופיעו אירועי סייבר דרמטיים בקורות החיים. ככל שמתרבים פשעי הסייבר, טבעי שכל מנהיג אבטחה יהיה מעורב באירוע תקיפה מתישהו.

מטרתנו אינה למנוע 100% מהתקיפות, שזה יעד לא מעשי, אלא להיות פרואקטיביים ולגלות את התקריות בהקדם האפשרי, להפחית את ההשפעה כשהן קורות, ולהתאושש מהן במהירות. בהתאם לכך, השאלה ל-CISOs לא צריכה להיות "האם החברה הותקפה בתקופה שלך?", כי אז הם באמת ירצו להחליף מקום עבודה כל שנה-שנתיים, בתקווה ששום אירוע חמור לא יקרה (או ייחשף) לפני עזיבתם. תחת זאת, עלינו לשאול אותם "מה למדת בתקופת עבודתך בחברה?". זה אולי אירוני, אבל התעשייה שלנו זקוקה דווקא למנהלי אבטחה מנוסים, כולל אלה שנאלצו להתמודד עם תקריות סייבר קשות. אם נביא לכך ש-CISOs שהארגונים שלהם סבלו מהפרות אבטחה חמורות לא יוכלו למצוא עבודה חדשה, רק נחזיר את התעשייה עשרות שנים לאחור ונמנע את התפתחות המקצוע. וזה יחזור כבומרנג לפגוע בנו ובכל האקוסיסטם.

איך מתמודדים עם המחסור הקיים ב-CISOs?

ומה יעשו ארגונים בגודל בינוני לנוכח מחסור חמור במנהלי אבטחה מיומנים? ובכן, שני דברים – ראשית, חברות רבות יגייסו "CISO וירטואלי" (vCISO), כדי למלא את הוואקום המנהיגותי כאשר CISO עוזב (או שמעולם לא הגיע עקב אילוצי משאבים). vCISOs בדרך כלל מוסמכים ומיומנים כמו CISO מסורתיים, והודות למודל ההעסקה הווירטואלי, זול יותר להעסיק אותם בהשוואה למנהל אבטחה במשרה מלאה. יתכן שמדובר בפתרון אידיאלי עבור ארגוני SMB רבים.

גם ספקים של שירותי אבטחה מנוהלים (MSSPs) יכולים למלא את הפער במיומנויות אבטחת סייבר, במיוחד עבור עסקים קטנים ובינוניים שאין להם מנהלי אבטחת סייבר פנימיים. MSSPs מספקים לעתים קרובות שירותי vCISO וכן מרכזי פעולות אבטחה (SOC), לתכנון והוצאה לפועל של הגנות סייבר, ויכולים לפצות על המחסור בצוותי אבטחת סייבר פנימיים בארגון. לנוכח האוטומציה הגוברת בפלטפורמות SOC באמצעות AI ו-ML, יש להניח שארגוני SMB שיבחרו בדרך זו ייהנו מהגנת סייבר גמישה ומעודכנת, המתאימה למידותיהם.

לסיכום, אתגרי האבטחה מתחדשים ומחייבים אותנו לשמר ולחזק את מנהלי האבטחה, המגינים על הארגון ומפקדים על זרועות האבטחה שלו. אולם נדרשת לכך פעולה מיידית בכמה חזיתות. המנכ"לים ומנהלי הארגונים צריכים לדאוג באופן אישי לרווחתם המקצועית והנפשית של ה-CISOs, כדי להפחית את השחיקה שלהם; התעשייה כולה צריכה לאמץ התייחסות מכילה יותר כלפי מנהלי אבטחה שהתמודדו עם פרצות ופשעי סייבר חמורים, מתוך הבנה קולקטיבית שלאף אחד אין חסינות אבל כולנו מוכרחים לפתח חוסן – שמתוכו נוכל להתחזק ולהיבנות. כמו כן, עקב המחסור בכוח אדם חברות SMB רבות יתקשו לגייס ולשמר מנהלי אבטחה במשרה מלאה, לפחות בזמן הקרוב. החדשות הטובות הן שארגונים אלה לא לבד, כי MSSPs ו-vCISOs יכולים למלא עבורם את הפער ולתת מענה לאיומי הסייבר הניצבים בפתח.

הכותב הוא מנהל ONE Security, חטיבת אבטחת המידע והסייבר של וואן טכנולוגיות