מקובל לחשוב שישראל היא אומת סייבר; האם זה נכון?

המנהיגים שלנו מרבים להתהדר ביכולות הסייבר הישראליות, אבל כדי להפוך באמת לאומת סייבר יש עוד הרבה מה לעשות ● מה בדיוק?

21/10/2021 13:34
דניאל ארנרייך, יועץ להגנת סייבר למערכות בקרה תעשייתיות ולמערכות תפעוליות.

רבים בישראל, כולל המנהיגים (ובראשם ראש הממשלה החדש, נפתלי בנט, שהגיע מהתחום), יודעים להתפאר באמירה: "אנחנו אומת סייבר". אלא שרק מעטים השקיעו מחשבה בנכונות של הצהרה זו. קל להיזכר בסטארט-אפים ישראליים שחשבו על רעיונות מדהימים בתחום הסייבר, גייסו כספי השקעה ובסוף מכרו את החברה במטרה להתעשר בקלות ובתוך זמן קצר. תשאלו את בנט, שלפני שנכנס לפוליטיקה מכר את סאיוטה שלו ל-RSA ושלשל מיליונים לקופתו. אין בזה שום דבר פסול, אם התהליך מבוצע ביושר, שקיפות, יסודיות ובמטרה לגרום לעולם להיות מאובטח יותר.

אבל, האם צעירים מוכשרים אלה, רבים ככל שיהיו וגם יבורכו, יגרמו לכך שארגונים חיוניים כמו בנקים, בתי חולים, מוסדות השכלה גבוהה, חברות ביטוח וספקי תקשורת, מים וחשמל יהיו מאובטחים ברמה סבירה? התשובה המוחצת היא: כמובן שלא! האם קיומם של נהלים ורגולציה יגרמו לארגונים להיות יותר מאובטחים? התשובה היא: ייתכן, בתנאי שיש גורם שמחזיק מקל ויש ביכולתו לסגור עסקים, אם הם לא עומדים בתקן. יש לכך דוגמאות בארץ, והתהליך כנראה עובד לא רע, כי מנהלי אבטחת סייבר יותר מודאגים מהאשמה כלפיהם אם הארגון שלהם ייסגר עקב הגנת סייבר רשלנית.

האם יש בעיה?

אכן, יש בעיה, וכזו חמורה, כי הגנת סייבר על ארגונים לא מושגת רק עם צעירים מוכשרים שחולמים להתעשר, כשלצד זה יש או אין רגולציה. ישראל יכולה להפוך לאומת סייבר באמת אם העובדים בארגונים שבהם פועלות מערכות מידע, תעשייה ועוד ילמדו כיצד להגן על הארגון שלהם. כלומר: שנושא הגנת הסייבר ייפול על הכתפיים לא רר של המנהלים המתאימים והעוסקים בתחום, אלא גם על אלה של כלל העובדים בארגון.

ישראל אומת סייבר? לא ממש. מקור: BigStock

ישראל אומת סייבר? לא ממש. מקור: BigStock צילום: BigStock

ישראל לימדה וממשיה ללמד את הסינגפורים מה נדרש כדי להפוך לאומת סייבר. הם כבר מצליחים במשימה זו, בעוד שאנחנו, למרבה הצער, לא ממש. נכון כאן מאוד הפתגם שלפיו התלמיד עולה על רבו. התלמידים יותר מוצלחים מהמורים, וזה לא תמיד מצב בריא. ודאי שלא במקרה הזה.

מה צריך לעשות כדי להפוך באמת לאומת סייבר?

יש כמה דרכים, שעלינו להתעשת ולבצע אותם, לפני שיהיה מאוחר מדי:

  • ארגונים חייבים להשקיע בהדרכה של העובדים שלהם, ברמה מותאמת לכל קבוצת עובדים.
  • ההדרכות חייבות להתבצע על ידי מרצים מקצוענים ולא כאלה שמוכנים לספק אותן ללא עלות.
  • כמו בסינגפור, הממשלה צריכה לסבסד הדרכות סייבר שמוצעות על ידי מרצים וארגונים המתמחים בתחום.
  • כל אחד מהארגונים חייב לבצע סקר סיכונים שנתי, ליצור דו"ח מפורט ולתקן את הפגמים שנתגלו.
  • נדרשת הקפדה מיוחדת על שרשרת האספקה עבור מכשירים, תוכנות, שירותי תחזוקה ועוד.
  • חשוב שאלה שמנהלים את האבטחה יהיו מומחים בעלי ידע מעמיק בתחום הספציפי שלהם.
  • המומחים בארגון יידרשו לעבור הדרכות והסמכות תקופתיות באמצעות גורמים מקצועיים בתחום.
  • לגבי אבטחת סייבר, אין לבצע חישובי החזר השקעה (ROI), אלא נדרש ליישם הגנה מתאימה.
  • יש לפעול בהתאם להנחיות שנכתבו באופן קפדני לכל תחום על ידי מערך הסייבר הלאומי.
  • מנהלים בארגונים נדרשים להכיר ולפעול בהתאם לפרק 5 פסקה 1 בתקן 27001-2013 ISO.

האם זו משימה אפשרית?

למרות העובדה שלא ניתן להשיג אבטחת סייבר מוחלטת שתגן על כל ארגונים בפני מתקפות, המנהלים חייבים לדעת שיותר מ-90% מהקמפיינים שגרמו נזק משמעותי, אובדן הכנסות, השבתה ואף סיכון לחיי אדם נגרמו עקב התנהלות רשלנית ולא מקצועית של עובדים, מנהלים וספקי שירות. אם הם ישקיעו בהדרכות תקופתיות לעובדים ואלה ייהפכו לחובה, הם יוכלו לשדרג באופן משמעות את הגנת הסייבר על הארגונים שלהם. כך אפשר יהיה לשמור על יתרון קבוע כלפי התוקפים האלימים ולומר בביטחון שישראל היא אומת סייבר.

הכנס השישי הבינלאומי Cybersec 2021 & AI-ML ICS של אנשים ומחשבים יתמקד בהגנת סייבר, ויכלול מרצים וצופים מישראל ומחו"ל. מדובר באירוע היברידי שיתקיים ביום ד' הקרוב, ה-27 באוקטובר. להרשמה לאירוע לחצו כאן.

 

הכותב הינו מרצה לאבטחת סייבר עם מיקוד על מערכות תעשייה, ומבצע הדרכות בתחום זה בישראל ובחו"ל. 

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר.

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים