רו"ח ישי ורטהיימר, KPMG: "מתקפות מצליחות כי יש פער בין תפיסת האיומים להשקעה במניעה"
"ישנם מקרים בהם לא כדאי להשקיע בהגנה מפני מתקפה, למשל APT, כי מדובר בקרב אבוד", ציין רו"ח ורטהיימר, ראש מחלקת אבטחת מידע ושותף בפירמה
"המתקפות של ההאקרים ושאר אירועי אבטחת המידע מצליחים, בין השאר כי קיים פער בין תפיסת איומי אבטחת המידע והסייבר להיקף ההשקעה של הארגונים במניעה שלהם", כך אמר רו"ח ישי ורטהיימר, ראש מחלקת אבטחת מידע ושותף בסומך חייקין KPMG.
רו"ח ורטהיימר דיבר במסגרת רב שיח שנערך לפני ימים אחדים בבית אנשים ומחשבים לקראת כנס InfoSec 2015. הכנס, בהפקת אנשים ומחשבים, יתקיים ב-21 במאי באולם הכנסים אבניו שבקריית שדה התעופה. הנחה את רב השיח יהודה קונפורטס, העורך הראשי של הקבוצה.
בדבריו ציין רו"ח ורטהיימר מספר סוגי מתקפות: "קיימים מקרים בהם מדינה תוקפת גוף אזרחי. ארגונים לא יכולים להיערך למצב הזה, הוא בבחינת אירוע שובר שוויון. סוג מקרה אחר הוא פגיעה בארגונים שעוסקים בתשלומים, למשל ארגוני פשע שתוקפים רשתות קמעוניות או חברות כרטיסי אשראי ותשלומים. ההצלחה של התוקפים הייתה פחותה אם האבטחה של הארגונים המותקפים הייתה ברמה גבוהה כמו זו של כספומטים".
"כל ארגון עסקי מנהל סיכונים", ציין. "ישנם מקרים בהם לא כדאי להשקיע בהגנה מפני מתקפה, למשל כזו מסוג APT – מתקפה ממוקדת ומתמשכת, שזה בעצם קרב אבוד. במקרים כאלה, ההצלחה של המתקפה תלויה במשך הזמן שהיא אורכת וגם אז, לא תמיד מערך האבטחה של הממשלה יכול לסייע".
רו"ח ורטהיימר אמר כי "ארגונים נדרשים להתאים את היקף ההשקעה שלהם באבטחת מידע להיקף האיומים ולתרחישים הנובעים מהם. בעבר, תרחיש האימה לפיו ייגנבו כל פרטי כרטיסי הלקוחות היה נענה ב-'זה לא יקרה', ואילו כיום, תרחיש שכזה נענה ב-'זה עלול לקרות'".
הוא הוסיף ש-"קיימת אנומליה מובנית בין ארגון שנגנבים ממנו פרטים של לקוחות להיקף של הקנס שמושת בגלל זה. בארצות הברית, למשל, משיתים קנסות גבוהים. ניתן לאזן את המשוואה ובכך לצמצם את הפגיעה בפרטיות הלקוחות שפרטיהם נגנבים".
"המיקוד של ספקיות ענן באבטחה גדול מבארגונים אחרים"
עוד אמר רו"ח ורטהיימר כי "יש מקרים בהם מחשוב ענן יכול להיות מאובטח יותר. ביקרתי במערך ה-IT של Salesforce ורמת אבטחת המידע שם טובה יותר מזו של כל בנק ישראלי. המיקוד של ספקיות ענן על היבטי אבטחת מידע גדול יותר מאשר בכל ארגון אחר. ארגוני ענן אלה מבינים שאם הם לא ישקיעו באבטחת מידע – הם יפסידו, ולכן, היבט האבטחה 'יושב' להם עמוק-עמוק במוח".
לדבריו, "מתאר האיומים השתנה ונדרשים פתרונות אחרים מאלה שקיימים יום. כך, למשל, כל אתרי המסחר המקוון הישראליים מטופלים על ידי אתרי סליקה מאובטחים, ובדרך זו הלקוחות הארגוניים פותרים את הבעיה – כי הכרטיסים של הלקוחות שלהם אינם מצויים בידיהם. עדיין נדרש לאזן בין הצורך בגמישות עסקית לאבטחת מידע ברמה גבוהה, על מנת שלא 'לחנוק' את הארגון בהיבט העסקי שלו".
רו"ח ורטהיימר סיים בציינו כי "ראש הממשלה, בנימין נתניהו, החליט על הקמת רשות להגנת הסייבר. להערכתי, הרשות הזו תעודד את הפעילות של הרגולטורים, אך למרות זאת – עדיין יישארו אזורים פרוצים. יידרשו תקציבים להשקעה מהמדינה בתחום, בשל הגדלת היקף האיומים. אנחנו מבחינים בתנועה איטית, אך עקבית, בקרב הנהלות של ארגונים. הן מתחילות להפנים את חשיבות התחום – ודבר זה יכריח את מנהלי אבטחת המידע בארגונים לדבר עסקית".
מתעניינים באבטחת מידע? רוצים לשמוע עוד? הירשמו לכנס Infosec 2015 של אנשים ומחשבים.
כאשר המינויים של קובעי המדיניות נעשים ממניעים לא מקצועיים. זאת התוצאה.