"ארגונים לא משקיעים את תקציב הסייבר במקומות הנכונים"

"ההנהלות מבינות יותר ויותר מדוע הארגונים צריכים אבטחת סייבר, אבל חלק מהן עדיין לא מנהלות את הנושא כמו שצריך", הזהיר גיא מזרחי, סמנכ"ל לתחום הסייבר ב-רייזון ● מה הוא מציע לעשות על מנת לשפר את המצב?

גיא מזרחי, יו"ר ועדת התוכן של פורום CSC ויועץ אבטחת סייבר ותיק. צילום: יניב פאר

"הנהלות מבינות יותר ויותר מדוע הארגונים צריכים אבטחת סייבר – הבאזז סביב הנושא תרם להעלאת המודעות שלהן. אלא שעדיין, יש ארגונים שלא מנהלים את אבטחת הסייבר שלהם כמו שצריך ולא משקיעים את הכסף במקומות הנכונים. עליהם לתת על כך את הדעת – למען עצמם", כך אמר גיא מזרחי, סמנכ"ל לתחום הסייבר ב-רייזון.

מזרחי הנחה את מפגש פורום CISO/CSC מבית אנשים ומחשבים, שנערך באחרונה ב-yes Planet בראשון לציון. הוא סיפר על מפגש שניהל במסגרת תפקידו בעבר כמנכ"ל סייבריה, עם משקיע פוטנציאלי בחברת סטארט-אפ שעזר לה לגייס סכום כסף גדול וציין שכהאקר, הוא הצליח לחדור במהירות למערכות שלה, "בזמן שחיכיתי למשקיע הפוטנציאלי".

"במהלך הפגישה הוא סיפר לי שהחברה משקיעה הרבה מאוד כסף על אבטחת סייבר ושהוא לא בטוח שהוא הולך למקומות הנכונים. המשקיע אמר שהחברה סגרה חוזה גדול עם חברת מודיעין שמספקת לו פעם בשבוע דו"ח מודיעין אוסינט ומהדארקנט. בתשובה לשאלות שלי, הוא לא ידע לענות מה הוא עושה עם המידע הזה ואמר לי שמנהל ה-IT מקבל אותו, השיב שאין בדו"ח המודיעין משהו שאפשר להכניס או לתעדף בתכנית העבודה וציין שאין לחברה SOC (מרכז תגובה לאירועי סייבר – י"ה). מדובר בחברה שעובדים בה 500 איש ושמנהלת הרבה מאוד מיליארדי דולרים. אמרתי לו שהארגון שלו לא מנהל כמו שצריך את נושא אבטחת הסייבר ושכדאי להגדיר דברים. הוא היה מזועזע", אמר מזרחי.

לסיכום הוא ציין ש-"סייבר מורכב משלושה רבדים: האנושי, הלוגי – סיסמאות, בסיס נתונים ועוד, והפיזי – מחשבים, כבלים וכל דבר שאפשר להחזיק ביד. על כל אחד מהרבדים האלה יש מתקפות ופתרון אבטחת סייבר אמיתי משלב הגנה על כולם".

"אם מנהלי האבטחה לא יהפכו שולחן – הם יהפכו ללא רלוונטיים"

דוברת נוספת בפאנל הייתה עינת מירון, יועצת לתחום חוסן הסייבר (סייבר רזיליינס) להנהלות. היא דיברה על מוכנות ההנהלה הבכירה להתמודדות עם משבר טכנולוגי ומתקפות סייבר.

"סיכוני הסייבר נמצאים בכל מקום", אמרה מירון. "הנחת היסוד היא שאם ארגונים לא הותקפו בסייבר – הם יותקפו בקרוב, ורוב הסיכויים שהם מותקפים כרגע ולא יודעים".

היא ציינה כי "כדי להתמודד עם סיכוני הסייבר על הצד הטוב ביותר, הקרבה בין מנהל האבטחה למנכ"ל היא קריטית, עקב הזמן שלוקח מזיהוי מתקפה לקבלת החלטות מה לעשות. מנהל האבטחה חייב לדבר את השפה העסקית, כי המנכ"ל צריך להבין למה הוא דורש דברים ולהיפך. אם מנהל האבטחה לא יהפוך שולחן וידרוש את מעמדו בארגון – מהר מאוד הוא ימצא את עצמו לא רלוונטי".

אחת הסיבות לכך שעל מנהל האבטחה לדבר את השפה העסקית, אמרה, היא העובדה שלפי סקרים, 68% מחברי מועצת המנהלים בארגונים כלל לא מודעים לסיכוני הסייבר.

עינת מירון, יועצת לתחום חוסן הסייבר להנהלות. צילום: עזרא לוי

עינת מירון, יועצת לתחום חוסן הסייבר להנהלות. צילום: עזרא לוי

מירון דיברה גם על השקיפות ואמרה שהיא "חלק קריטי באמון שהמשקיעים, הספקים והלקוחות רוחשים למותג, כולל בסייבר. אם האמון הזה נפגע, זה יכול להיות הרבה יותר משפיע ממתקפת סייבר". היא הביאה כדוגמה את הפריצה לאקוויפקס, שהביאה לחשיפת הפרטים של כ-150 מיליון מאזרחי ארצות הברית (ובאחרונה הסתבר שהייתה חמורה משחשבו בתחילה). "כתוצאה מהמקרה ועקב חוסר השקיפות, בשעתיים שאחרי ההודעה המנייה של החברה צנחה ולא הצליחה להתאושש בשלושת החודשים שלאחר מכן. בנוסף, כל נפגע פוטנציאלי יכול לתבוע את החברה ולקבל 10,000 דולר. אלה רק חלק מההשלכות של מתקפת הסייבר הגדולה עליה".

היא המליצה בדבריה מה כדאי לעשות – ומה לא – כשמתרחשת מתקפת סייבר על הארגון. "אחת ההמלצות היא להוציא הודעה לתקשורת. צריך לנהל את ההתמודדות התקשורתית עם ההתמודדות העסקית", אמרה מירון, שעד לא מכבר ובמשך שנים רבות הייתה אשת יחסי ציבור וייעוץ תקשורת. היא אמרה בהקשר זה כי "על הארגונים להכין תשתית איך הם מנהלים את התקשורת שלהם – אילו כלים עומדים לרשותם לעשות זאת והאם הם מכירים את הגורמים הרלוונטיים במדיה. הכוונה היא לא רק לתקשורת ההמונים, כי אם גם לניהול הקשר מול ספקים, עובדים ומשקיעים במקרה של מתקפת סייבר. על הארגון להחליט האם הוא נוקט בגישה של שקט או משתף מידע. בנוסף, יש להדריך את האנשים הרלוונטיים, כולל את המנכ"ל, איך לעמוד מול התקשורת. מרבית הארגונים לא שם ומנהלי האבטחה צריכים לקחת את זה בידיים שלהם, כי אם הוא ושאר האנשים הרלוונטיים בארגון לא יחשבו על זה מראש, יהיה עליהם להתמודד לא רק עם הקושי לנהל את האירוע אלא גם בתחום שהם לא בקיאים בו, מה שיקשה על ניהול האירוע כולו", אמרה מירון.

כמו כן, היא פירטה מדוע על מנהל האבטחה והמנכ"ל להיות קרובים מבחינה היררכית ולהכיר האחד את השני ואת תחומי הפעילות שלו. "ההחלטות העסקיות שהמנכ"ל נדרש להן במהלך אירוע סייבר הן כאלה שמנהל האבטחה אמור לתווך", אמרה. "למשל, מי יהיו בצוות שינהל את ההתמודדות עם האירוע, מהן השאלות הקריטיות לתפקוד יעיל: מה נחשב דרמה ומה יסווג ברמת סיכון נמוכה? האם יש לארגון פוליסת ביטוח לאירועי סייבר? האם נדרש ייעוץ משפטי נרחב יותר? האם נהלי הדיווח לרגולטור הרלוונטי מוכרים? האם נעשו מהלכים לביסוס הקשר עם ה-CERT הלאומי? איך מנוהל הקשר עם הלקוחות, הספקים ובעלי המניות? ובמקרה של מתקפות כופר – האם הארגון מתכוון לשלם להאקר ומאיפה?", ציינה מירון.

עוד היא אמרה כי "יש להגדיר כלים ונהלים, לתאם פעולות וקבלת החלטות בין חברי צוות התגובה, נהלי עדכון פנים ארגוניים, יצירת תרחיש כחלק מתרגיל או בנפרד, סיכום אירוע ומה נדרש לעשות. בכל מקרה, צריך להישאר רגועים ולקחת בחשבון שמתקפת הסייבר בוא תבוא".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים