מה קורה כשניהול סיכונים פוגש את עולם הסייבר?

מה קורה כשניהול סיכונים פוגש את עולם הסייבר? – זו הייתה השאלה שעמדה במרכז דבריו של גיא דגן, מנהל מודעות אבטחת המידע והסייבר בבנק הפועלים, שאותם אמר במפגש של פורום CSC/CISO מבית אנשים ומחשבים. המפגש התקיים באחרונה ב-yes Planet בראשון לציון והנחה אותו גיא מזרחי, סמנכ"ל סייבר בקבוצת רייזון.

כדי לענות על השאלה, החל דגן בתשובה על שאלה אחרת: למה בכלל צריך לנהל סיכוני סייבר? תשובתו היא: "כי הנכסים שווים כסף והדרך קלה להוציא מהם כסף היא עולם הסייבר". "כל ארגון כיום הוא ארגון IT, לכל ארגון יש מערכות מחשוב וכל מערכות המחשוב פריצות", הוסיף. "כמו כן, משתנות סביבות המיקרו והמקרו שבהן אנחנו חיים, יש ארגוני פשע שיש להם יכולות סייבר מדינתיות, למדינות אין בושה לתקוף מדינות אחרות וחלה עלייה מטורפת בתקיפות כופר. כל זה עולה כסף, זמן, מוניטין ומספר לקוחות".

"העולם השתנה וכולם הפכו לדיגיטליים. לכן, תפיסות הגנה ישנות כבר לא מספקות", הזהיר דגן. "שם המשחק כיום הוא לא אילו תוקפים יש בחוץ אלא איחלו מהם נמצאים בתוך המערכת הארגונית. נקודת ההנחה היא שהתוקפים כבר נמצאים במערכת הארגונית, ועל ארגונים לנקוט בצורת חשיבה זו".

כאבי ראש נוספים של מנהלי אבטחת המידע והנהלות הארגונים הם בתחומי האינטרנט של הדברים והענן, הוסיף. "ארגונים מחזיקים את המידע הכי רגיש שלהם בענן ואמורים לסמוך על הספקית שתגן עליו. מה קורה כשהמידע דולף? מי אחראי? אנחנו או הם? זה לא תמיד ברור".

בנוסף, הוא קרא לארגונים לבצע פיתוח מאובטח כבר מההתחלה, כדי שלא תיווצר "כוורת של פגיעויות כבר מעיצוב המוצר".

"הכי חשוב בהגנה – להבין שמדובר בסיכון עסקי, ולא טכנולוגי"

"הדבר הכי חשוב בהגנה על הארגון מפני סיכוני סייבר הוא ההבנה שלא מדובר בסיכון טכנולוגי אלא בסיכון עסקי, שבמקרה קיצון יכול לסגור אותה", אמר דגן. "ההבנה הזאת והרגולציה הופכות את מנהלי אבטחת המידע להיות הרבה יותר עסקיים. עליהם לזהות, לטפל ולנהל בכל מה שקשור לסיכוני הסייבר. זה לא תפקיד טכנולוגי פרופר, אלא כזה שצריך להתייחס אליו בצורה הרבה יותר עסקית".

הוא מנה גישות שונות לניהול: ניהול מול הרגולציה; ניהול מבוסס סיכון – "מזהים את הסיכון, בודקים מה הסובלנות של הארגון מולו ולפי זה מנהלים אותו"; וגישת האד-הוק – "קבלת החלטות לפי מה שרואים באותו הרגע, בלי מתודולוגיה. רוב הארגונים משלבים בין שתי השיטות הראשונות – וזו הדרך הנכונה".

דגן הוסיף כי "יש מספר חלקים בתהליך ניהול סיכונים: לזהות את הסיכונים לנכסי הארגון, לנתח את החולשות ואת השפעתן על הנכסים, ולהחליט על אמצעי מיגון לפי סדר עדיפות הסיכון". "בתחילת התהליך", אמר, "על הארגון להבין על מה הוא מבצע ניהול סיכוני סייבר, מה ה-'יהלומים' של הארגון, הנכסים הקריטיים שלו. ארגון שלא יעשה את זה, לא ידע על מה הוא צריך להגן ושיטת ניהול סיכוני הסייבר שלו לא שווה. לאחר מכן, עליו לאפיין את התהליכים העסקיים הקריטיים בארגון, לראות מה מחובר אליהם ולקטלג אותם לפי הרגישות, החולשות ויכולת הכלת הסיכון. השלב הבא הוא לקשר את זה מול הנכסים הקריטיים ולחשוב על אמצעי הגנה". הוא הדגיש כי "צריך לבצע את אותו התהליך לגבי הרשת ותשתיות ה-IT של החברה".

אלא שלדברי דגן, החשיבה צריכה להיות שיש לבצע ניהול סיכוני סייבר לא רק בהיבט המערכות, אלא גם בהיבט הגורם האנושי. "אם לא מתייחסים לעובדים בתור אלה שיכולים לחזק את ההגנה – מפסידים מראש. חייבים לסמוך על האנשים, לקבוע את הנהלים ולהתעסק גם בטכנולוגיה".

עוד הוא ציין ש-"חשוב להבין שתהליך ניהול סיכוני הסייבר חייב להיות מחזורי. כל דבר קטן יכול לשנות את מערך ההגנה הארגוני. עליו לרוץ כל הזמן ולבחון את כל המערכות החדשות".

מוני אברהם, יזם בתחום הפינטק ושותף ב-FortyTwo

לסיכום אמר דגן כי "סיכון סייבר הוא אחד מהסיכונים העסקיים הגדולים יותר, ויש לנהל אותו בתבונה".

"תהליך ניהול הסיכונים הופך ליותר מורכב"

דובר נוסף במפגש היה מוני אברהם, יזם בתחום הפינטק ושותף ב-FortyTwo. הוא אמר ש-"תהליך ניהול הסיכונים הופך להיות יותר מורכב, כי יש טכנולוגיות חדשות ויחידות שלמות בארגונים גדולים 'זזות'".

הוא ציטט דברים שאמר דונלד ראמספלד כשהיה שר ההגנה האמריקני: "יש דברים שאנחנו יודעים שאנחנו יודעים, ומה שנשאר הוא לטפל בסיכון, יש דברים שאנחנו יודעים שאנחנו לא יודעים ויש דברים שאנחנו לא יודעים שאנחנו לא יודעים – וזה צריך להדיר שינה מעינינו".

אברהם דימה את מנהל הסיכונים לשחקן בספורט מהיר כמו הוקי, "שחושב לאן הדיסקית צריכה להגיע ולא על איפה שהיא כיום".

לדבריו, "יש שלוש משפחות גדולות של סיכוני סייבר: מניעת שירות, פגיעה במהימנות הנתונים והארגון – שאם התוקף מצליח לעשות אותה לזמן רב, זה גומר את הארגון – ודלף מידע, לרבות מתקפות כופר".

"ארגונים מלאים, אפילו יותר מדי, בטכנולוגיות ובסיכוני סייבר", אמר אברהם ומנה בהקשר זה תחומים כמו מחשוב צללים, Big Data, אינטרנט של הדברים, ענן, רחפנים, בינה מלאכותית, מטבעות וירטואליים וסוגים חדשים של תקיפות סייבר. "גם אם מנהלי האבטחה וההנהלות מרגישים שהם כיסו את הכול, ייתכן שהם השאירו חור קטן שדרכו ניתן לפרוץ לארגון. התחושה היא שהארגונים עומדים מול צבא של חורשי רע".

הוא ציין כי "הגישה להתמודדות עם המציאות הזו צריכה להיות פרו-אקטיבית. יש לבצע תהליך מתמשך של ניהול סיכונים, שבראשיתו סקר סיכונים – אבל לא כדי לצאת ידי חובה רגולטורית אלא ככלי עבודה שיאפשר להבין מה צריך לעשות. צריך לזהות את האיומים, להתעדכן תוך כדי תנועה, להבין אותם – שזה הדבר הכי חשוב בתהליך – ולטפל בהם".