על ניהול סיכונים בסטארט-אפים

כל ארגון שמשתמש בטכנולוגיה (ומי לא?) נדרש לניהול סיכונים – לא משנה גודלו או המגזר שבו הוא פועל. אלא שיש היבטים בתחום זה שנכונים לסטארט-אפים ולא תמיד נכונים לגופים אחרים.

משה פרבר, יו"ר ברית הגנת הענן הישראלית, דיבר על הנושא בכנס InfoSec 2017. האירוע, בהפקת אנשים ומחשבים, נערך זו השנה ה-18, והוא התקיים באחרונה במרכז הכנסים אווניו שבקריית שדה התעופה, בהשתתפות מאות מקצועני אבטחת מידע והגנת הסייבר. את הכנס הנחה יהודה קונפורטס, העורך הראשי של הקבוצה.

משם הארגון שבראשו הוא עומד ניתן להבין שפרבר התמקד בניהול סיכונים בתחום אבטחת הענן בסטארט-אפים – וכך אכן היה. הוא ציין שארגונו, שמורכב מחברים בקהילת הסטארט-אפים, ניסח מדריך שמהווה מעין צ'ק ליסט לחברות הזנק שמפתחות בסביבות ענן, כיצד לאבטח נכון את הארגון ואת הפיתוחים שלהן. מדוע צריך מדריך מיוחד לסטארט-אפים? "מדריך זה שונה ממדריכים דומים לארגונים אחרים משום שהמדריכים של ימינו לא מותאמים לסטארט-אפים, הם נכתבו לאנטרפרייז. נדרשת דרך לגשר על הפערים", ענה פרבר.

המדריך מחולק לשלושה חלקים: אבטחת האפליקציה, אבטחת הפלטפורמה וניהול האבטחה. "הוא מדבר על השלבים במחזור החיים של סטארט-אפ", ציין. "השלב הראשון הוא שלב הרעיון, שבו המפתחים בונים את התוכנה והחברה יוצאת איתה ללקוחות הראשונים. זהו השלב שבו הסטארט-אפ מתחיל לגדול, ולפעמים אף יוצא משלב הסטארט-אפ והופך לחברה גדולה יותר, לאחר שיש לו בסיס לקוחות איתן. בשלב זה, מומלץ להתרכז בדברים הפשוטים. לאחר מכן מתחילים להכניס פרוצדורות יותר בשלות ובשלב השלישי – כלים".

הוא העלה שאלות כמו איך נראה ניהול סיכונים ומה צריך לשקול כשעושים זאת בסטארט-אפים והשיב: "הכול מושפע מטיב הסטארט-אפ, מהוותק שלו, מהסקטור שבו נמצאת החברה וממידת ההגנה שהוא דורש".

לדברי פרבר, "אבטחת האפליקציה היא השלב הקריטי ביותר. טעויות בהגנת תשתית ניתנות לתיקון, אבל טעויות שנוצרות בשלב פיתוח האפליקציה נגררות וככל שהדרך מתמשכת, הולך ונהיה קשה לתקן אותן".

לסיכום, הוא סיפק כמה המלצות לסטארט-אפים: "בנו מתודולוגיה להתוויית הסיכונים; קחו בחשבון שהספק קריטי לאבטחה: אם בחרתם באחד הגדולים – אתם פחות או יותר מכוסים, אבל אם בחרתם ספק קטן – עליכם לשים לב לכל פרט קטן; שימרו על הסודות שלכם; בנו נכון את אבני הדרך בפיתוח ובאבטחה; גשרו על הפערים בידע ובהבנה של אבטחת מידע בין אנשי הצוות; תהיו שקופים ללקוחות – זה קריטי, כי אחרת יהיה קשה להשיג אותם ולשמור עליהם; נסו להשיג עוד תקציבים לאבטחה; בצעו את התהליכים בצורה אוטומטית; והתמקדו בבקרות, שמונעות מתקפות".

"אין נוסחת קסם לניהול סיכוני סייבר בארגון"

יובל שגב ממרכז תורה ברשות הלאומית להגנת סייבר דיבר על ניהול הסיכונים בחיי היום יום של ארגונים באופן כללי. "אנשים מבצעים בכל יום פעולות רבות שיש בהן סיכונים בתחום הסייבר, למשל כניסה לרשתות חברתיות וגלישה ב-Wi-Fi. הם מרגישים מאובטחים כשהם עושים את זה. מצד שני, אנשים ניזונים מהדיווחים המפחידים באמצעי התקשורת על מתקפות סייבר, הם לא באמת בודקים ואין להם פעמים רבות את הכלים לבדוק", אמר.

יובל שגב ממרכז תורה ברשות הלאומית להגנת סייבר. צילום: ניב קנטור

לדבריו, "העולם מתחלק לאנשים ולארגונים שמרגישים מאובטחים מבחינת סייבר אבל הם לא באמת כך, ולאנשים ולארגונים שמרגישים לא מאובטחים, בעוד שבמציאות המצב בסדר. במקרה של ארגונים, בשני המקרים הם שמים כסף איפה שלא צריך. שני המצבים לא רצויים וניהול סיכונים אמור להביא אותנו לשים את הכסף הנכון במקום הנכון".

שגב הדגיש את החשיבות בקיומו של מספיק מידע בארגון: "כשיש מספיק מידע יודעים יותר לקבל את ההחלטות הנכונות".

הוא ציין ש-"אנשי אבטחת מידע צריכים לקחת בחשבון שהניסיון של המשתמשים בארגון שונה מאוד מזה שלהם. משתמש אומר: לחצתי על לינקים רבים ולא קרה כלום, ולהיות פחות זהיר. על אנשי אבטחת המידע לתת את דעתם לכך".

לסיכום אמר שגב ש-"אין פתרון קסם, אין נוסחת קסם לניהול סיכוני סייבר בארגון. המתודות הקיימות מורכבות וקיים צורך במתודה פשוטה יותר. בינתיים, שביל הזהב הוא להתמקד בעיקר, באירועים עם האימפקט הגדול, ולמצוא את נוסחת הזהב לארגון".