"העובדה שארגונים שלא פרצו אליהם ייפרצו – לא חלחלה עד הסוף"

"העובדה שארגונים שלא פרצו אליהם ייפרצו – לא חלחלה עד הסוף", כך אמרה שלי בראונשטיין, סמנכ"לית הלקוחות והמשאבים החדשה של קוד בלו, בכנס InfoSec 2025 של אנשים ומחשבים, שנערך בתחילת השבוע. בראונשטיין נכנסה לתפקידה לפני שבועות אחדים.

כנס InfoSec 2025 התקיים במרכז האירועים והכנסים לאגו בראשון לציון, בהנחייתם של יהודה קונפורטס, העורך הראשי של אנשים ומחשבים, וגיא מזרחי, מנכ"ל סייפרוס ויו"ר ועדת התכנים של האירוע.

ההרצאה של בראונשטיין עסקה בניהול האתגרים במשבר סייבר. היא ציינה כמה נתונים, בהם שב-2024 נתגלו קרוב ל-40 אלף פרצות אבטחה שלא היו ידועות קודם לכן, ושעל פי דו"ח של קראודסטרייק, הזמן הממוצע שלוקח להאקר להיכנס למערכות המחשוב של הארגון לאחר שהוא מזהה את הדרך לעשות את זה עומד על 51 שניות.

לדבריה, "כדי שאפשר יהיה להצליח להגן על הארגון בצורה אפקטיבית, צריך לדבר על איך מנהלים את משבר הסייבר בצורה הכי יעילה ומצמצמים את הנזק".

"במשבר סייבר, חייבים לשים דגש על היערכות מוקדמת, שיפור התקשורת, יכולת הפעולה והכי חשוב – קבלת החלטות תחת לחץ", אמרה בראונשטיין. "יש לבנות תוכנית מסודרת לניהול משבר סייבר ולהתאוששות ממנו. כמו בשדה קרב, גם שם קשה באימונים וקל בקרב. משבר סייבר הוא כבר מזמן לא רק אירוע טכנולוגי, והוא לא שאלה של האם הוא יקרה, אלא של מתי. חברות שמקדימות להתכונן למשברי סייבר מצליחות להתמודד איתם בצורה הרבה יותר יעילה ואפקטיבית".

"בזמן אירוע סייבר, כל שנייה היא קריטית", ציינה. "מנהל האבטחה נדרש לתת המון תשובות ולרוב אין לו אותן בשעות הראשונות בשעות הראשונות לאחר פרוץ המשבר. זאת אחת הסיבות שבגללה יש לבצע היערכות מוקדמת למשבר. סיבה נוספת היא: צוותים טכניים שעוסקים באירוע הסייבר וכבר נערכו לכך – מתמודדים אתו יותר טוב ובצורה הרבה יותר אפקטיבית".

מה השאלה הראשונה שצריך לשאול במשבר סייבר?

"כשמתרחש אירוע סייבר, השאלה הראשונה שצריך מנהל האבטחה לשאול היא: על מה הוא משפיע?", ציינה בראונשטיין. "אם התשובה שהוא מגיע אליה היא מערכת או שרת – הוא החטיא את המטרה, כי את המנכ"ל מעניין איזה תהליך עסקי לא עובד. זה דבר שלא כדאי שמנהל האבטחה יחפש אותו בזמן האירוע. לכן, מה שעליו לשאול הוא: מהם התהליכים הכי חשובים לארגון? האם הוא מכיר את כל התהליכים הקריטיים של החברה? האם כל הנכסים מוגנים באותה הרמה? אילו תהליכים ימשיכו לתפקד, למרות אירוע הסייבר? והיכן יהיה הנזק הגדול ביותר?".

"ההמלצה שלי היא להכין תוכנית התאוששות מאסון (BCP) לסייבר, שתשים דגש על התהליכים הקריטיים ואיך הם יכולים להתקשר לאירוע, ולוודא שהיא נשארת עדכנית", אמרה.

לסיום היא ציינה כי "חלוקת האחריות בעת אירוע סייבר היא כזו: מנהל המשבר חייב להיות המנכ"ל, הדובר מנהל את התקשורת החיצונית והפנימית, היועץ המשפטי את ההיבטים הרגולטוריים וצוותי ה-IV/IR – את ביצוע החקירה וההתאוששות".

עוז שורק, מהנדס פתרונות בכיר בסנואופלייק. צילום: ניב קנטור

דובר נוסף באירוע היה עוז שורק, מהנדס פתרונות בכיר בסנואופלייק. ההרצאה שלו עסקה בשאלה: איך משתמשים ביכולות ה-GenAI לשיפור תהליכים בצוות האבטחה של הארגון?

"יש בעייתיות גדולה עם ה-GenAI: זו חדשנות מרחיקת לכת, עם תהליכים שהרבה פעמים הם מאוד מורכבים, והבדיקות בין הקבוצות עלולות להפיל את הפרויקט", ציין שורק.

בהמשך הוא דיבר על הדיסוננס של צוותי האבטחה: "הם חושבים חדשנות אבל תקועים הרבה מאחור, בגלל כלי הלגאסי שיש בארגונים רבים. הכלים האלה מהווים צוואר בקבוק בממגורות הנתונים (Data Silos). אתגר נוסף בעבודתם הוא גמישות ונראות נמוכה ואתגר שלישי, שנובע מהאתגרים הראשון והשני – עלויות גבוהות של עבודה וחומרה".

"כדי לפתור בעיות בעולם המודרני צריך פתרונות מודרניים", ציין שורק. "סנואופלייק צמחה מפתרונות בעולם הדאטה, אבל הם הולכים כיום צד לצד עם פתרונות האבטחה שלנו. אנחנו מציעים את שניהם".

"הלחם והחמאה שלנו הוא לחבר את הדאטה ולהפיק ממנה תובנות", אמר. "אצלנו, הכול נייטיב לפלטפורמה, כך שאין חשיפה לסיכוני אבטחה, והפתרון עובד על שלושת העננים המרכזיים – AWS, גוגל קלאוד ו-Azure. כמו כן, יש בסנואופלייק מודלי GenAI בילט אין ומרקט פלייס שמאפשר לשתף מידע ופתרונות עם לקוחות אחרים שלנו".