נזקי סייבר הם רק עניין של זמן – פרצות האבטחה שכל מנמ"ר צריך להכיר

רוברט מולר, ראש ה-FBI, אמר פעם ש"ישנם בסך הכל שני סוגים של חברות – אלו שפרצו להן כבר, ואלו שטרם נפרצו". מחקר שנערך בשנת 2018 על ידי פונמון ויבמ העריך את שווי הנזקים הכולל שבעקבות פריצות מידע ביותר מ-3.86 מיליון דולרים. זהו גידול מדאיג של 6.4% בהשוואה לשנה שחלפה. רק בשנת 2018 לבדה נרשם אובדן של 2.7 מיליארד פרטי מידע, קרי – 88 מקרים לשנייה. בנוסף, חלה עלייה של 42% בכמות מקרי הכופר שנתגלו בין השנים 2017-2018.

אולם ישנן פריצות אבטחה אשר יכולות להביא לנזק ממשי עד כדי סגירת העסק. סרי צ'אקרבאד, מנכ"ל אנטרסופט, זרוע הסייבר של טסלינק מקבוצת SQLink בישראל, מונה את חמשת המאפיינים לפגיעות הסייבר:

גניבה ודליפה של מידע – פרטי לקוחות, נתוני מועסקים, סודות מסחריים וקניין רוחני – כל אלה מידעים מבוקשים על ידי עברייני סייבר. הידע הוא האוצר הגדול ביותר של העסק ומאפשר לו לפעול לאורך שנים רבות. הארכת משך הזמן שייקח למערך ההגנה לזהות את החדירה יאפשר דה פקטו לעבריינים לגזול מידע אשר יביא לנזק מתגלגל לשנים הבאות. באחרונה איבדה רשת HBO האמריקנית 1.5 טרה-בייט של מידע, שכלל פרקי תוכניות טלוויזיה, תסריטים, התכתבויות מייל של מנהלים וגם מידע אישי השייך לכמה שחקנים. כך או כך, סוגיית הזמן היא נקודה חשובה שצריך לקחת בחשבון.

הנזק הכלכלי – דו"ח שפורסם על ידי פרוסט & סאליבן מעריך, שתאגיד גדול ממוצע באזור אסיה ופסיפיק סופג  הפסדים של יותר מ-30 מיליון דולר מדי שנה כתוצאה מפריצות סייבר. על פי הערכה, כ-50 מיליון פרטי מידע נחשפו והסבו נזקים כספיים ישירים, המסתכמים בשווי העולה על 350 מיליון דולרים. במקרה של אקוויפקס, תאגיד האשראי האמריקני, אשר נפל קורבן לפריצה ולדליפת פרטי הלקוחות, מאות המועסקים מיהרו למכור את מניות החברה ימים ספורים לפני שהעניין פורסם, ובכך נגרמה פגיעה כספית ממשית לתאגיד. הפן הכלכלי הוא הנושא המרכזי שעליו צריכים לשים את הדעת, ולאמוד מצד אחד את ההשקעה במערכות ההגנה, ומצד שני לאמוד את הנזקים הכלכליים לאחר הפריצה לארגון.

עלויות תיקון נזקי הפריצה – גרטנר מעריכה שעד שנת 2020, 60% מתקציבי אבטחת המידע של תאגידים יוזרמו לצורכי גילוי מוקדם ותגובה הולמת. האם רק הקצאת המשאבים להתגוננות תפתור את הסוגיה? לא בטוח. מדינות רבות מחייבות את הארגונים גם לדיווח מיידי ומקיף בכל הנוגע לחשיפת מקרי הפריצה – מה שדורש מהם הקצאת משאבים נוספים. הקשחת דרישות הדיווח מעלה את חוסנה של המדינה בענף הסייבר, אך במקביל – החברות שיימנעו מהדיווח עלולות לשלם על כך ביוקר. למשל, באוסטרליה הונהג בשנה האחרונה מודל NDB (רישומי פריצת ה-Data), שעל פיו עסקים מחויבים לדווח מיד לאזרחים אם וכאשר המידע על אודותיהם נפרץ, ואם הם לא עושות זאת – גובה הקנס עלול להגיע עד ל-2.1 מיליון דולרים.

ירידה בתפוקה – הדיפת מתקפת סייבר המוכוונת כנגד המידע התפעולי של החברה מצריכה הסבת משאבים מהליכי ייצור יומיומיים והפנייתם לסגירת הפרצה. הדבר פוגע לא רק בפריון השוטף, אלא גם בתחומי הפיתוח והמחקר, ומעכב את הצמיחה בחודשים. דו"ח של פרוסט & סאליבן מציין, שאחד מתוך שישה משיבים דיווח, שחברתו נאלצה לדחות את תהליכי מהפכת הדיגיטל מחשש למתקפות סייבר. כאשר סוני הותקפה ב-2011, נחשפו נתונים אישיים וחומר בנקאי של 77 מיליון לקוחות. כתוצאה מכך, נמנעה סוני מלבצע כל פעולה במשך חודש שלם, עד שהמצב התייצב.

אובדן אמון הציבור – מוניטין הם אבן יסוד בפיתוח עסקי, ובהתאם – מתקפת סייבר עלולה לערער את אמון הלקוחות וביטחונם, גם בטווח המידי וגם לאורך תקופה ארוכה. נתון רלוונטי נוסף שיילקח בחשבון הוא ירידה מצטברת באמון המשקיעים בחברה, אשר פעם אחרי פעם מתגלה כקורבן של התקפות סייבר. כך קרה, כאשר האקרים חדרו למערכת ההזמנות של רשת מריוט בשנת 2018 והדליפו מידע אישי של יותר מ-500 מיליון לקוחות הרשת. המקרה "זכה" בתואר הפריצה הגדולה ביותר בתולדות תעשיית האירוח, וגרר פגיעה משמעותית בנאמנות הלקוחות למותג.

המאפיינים הללו מחדדים את הצורך בהעלאת אבטחת מידע לראש סדר העדיפות הארגוני. תחום זה חייב להיות  חלק אינהרנטי מהארגון כבר בשלבי פיתוח המוצר ולהיות שזור בשגרת העבודה היומיומית.

הכותב הוא מנכ"ל אנטרסופט, זרוע הסייבר של טסלינק מקבוצת SQLink בישראל