אופיר זילביגר, SECOZ: "התמודדות עם אירוע סייבר מתחילה במוכנות לפני"
לדברי זילביגר, "הוראה 361 נקראת 'ניהול הגנת הסייבר' ומטפלת בכל הקשור במניעת ובזיהוי התקפה וצמצום הנזק שלה - המיקוד בהוראה הוא כפול: האחד, מערך הגנת הסייבר, והשני, ניהול סיכוני סייבר"
"סייבר מתחיל להיות אחד המונחים השחוקים בשנתיים האחרונות. התמודדות עם אירוע סייבר מתחילה במוכנות לפניו". כך אמר אופיר זילביגר, מנכ"ל SECOZ.
זילביגר דיבר בפתח כנס CYBERSure, ועידת ניהול סיכוני בסייבר. הכנס, בהפקת אנשים ומחשבים, התקיים היום (ג') באולם יס פלאנט בראשון לציון, והנחה אותו יהודה קונפורטס, העורך הראשי של הקבוצה.
לדברי זילביגר, "ניהול סיכונים בסייבר נשען על הרגולציה שיצאה בחודש מרץ השנה, הנחייה 361 לניהול בנקאי תקין. בחודש ספטמבר הבנקים כבר היו מוכנים ליסודות הרגולציה". לדבריו, "הרגולציה חוללה תכניות עבודה גדולות לעולם הבנקאי, וכעת הדבר צפוי לקרות בעולם הביטוח, עם טיוטה שהמפקח על הביטוח הוציא. התעשיה הפיננסית היא 'סמן ימני קיצוני' ליישום ולהטמעה של נהלים כאלה".
"הוראה 361 נקראת 'ניהול הגנת הסייבר' ומטפלת בכל הקשור במניעת ובזיהוי התקפה וצמצום הנזק שלה", אמר זילביגר. "המיקוד בהוראה הוא כפול: האחד, מערך הגנת הסייבר, איך נבנה, ממה מורכב. השני – ניהול סיכוני סייבר. שני אלה אינם אותו הדבר, הם מכילים הוראות שונות ומופנים לאנשים שונים".
לדבריו, "ניהול סיכונים זה תהליך המורכב מכמה תחנות: זיהוי תרחישים, ניסיון לכימות הנזק הפוטנציאלי, הערכת גודל הנזק, הדרכים לצמצומו של הסיכון לאורך זמן ודיווח לגורמים הרלוונטים".
"הארגון יכול להתרסק"
"ניהול סיכונים מושלך כל פעם על עולם תוכן", אמר. "זה הכלי המשמעותי ביותר לטיפול במתקפות סייבר, בו המיקוד הוא על נכסים ארגוניים. הנחייה 361 מכוונת לעולם ניהול סיכונים ונוגעת ב-DNA של ניהול הסיכון". זילביגר ציין כי "ניהול נזק גדול ומשמעותי יכול לקרות במרחב של הסייבר".
"בתקופה הנוכחית אירועי קיצון יכולים להתממש", אמר זילביגר. "לפני חמש שנים האזהרה 'הארגון יכול להתרסק', הייתה נופלת על אוזניים ערלות, והההנהלה היתה מנפנפת אותה. כיום זה ברור שהדבר עלול לקרות, הנהלות ורגולטורים מבינים שיכולים להיות אירועי קיצון המפילים את הארגון. לכן נדרש לצמצם את הסבירות שהם יקרו".
"בעבר היינו רגילים לתרחישים פשוטים, תקיפה, השבתה או גניבה", אמר זילביגר. "כיום התרחישים הם שילוב של חולשות ארגוניות שהן לא טכנולוגיות, למשל הנדסה חברתית היא חולשה אנושית. השגת הסיסמה מביאה למתקפת סייבר. ייתכן גם שילוב של פשע פיזי עם פשע מחשב. כל ארגון נדרש לחשוב מה איום הייחוס שלו, מול מה הוא מתמודד".
"מנהל סיכוני סייבר הופך להיות מעין אינטגרטור", אמר זילביגר. "הוא מטפל ומבין בטכנולוגיה, הוא משלב בין מנהלי סיכונים בארגון, הוא מפעיל את מנהל סיכוני התפעול, את הקב"ט, את מנהל סיכוני ה-IT, ואז הוא יוצר לוגיקה שעל בסיסה הוא בונה את מערך ההגנה, שזה שילוב של גורמים שונים".
סוגי הנזקים, ציין זילביגר, "הם נזק ישיר, כסף, או נזק עקיף, של שימוש במידע מארגון א' לתקיפת ארגון ב'. הנזק המשמעותי ביותר הוא הפגיעה במוניטין. כך עלות הונאה עשויה להגיע לסכום X, ואילו עלות הנזק למוניטין הארגון עלולה להיות פי מאה".
"נזקים פוטנציאליים אפשריים – יש לזהות את המקומות בעלי פוטנציאל הנזק המשמעותי ביותר", סיכם זילביגר. "עלינו לשים לב לכמה שאלות: האם ביטוח סייבר יכול לכסות את כל מנעד הנזק? מה עוצמות הנזק? האם יש הלימה לנזקים מול הפוליסות? יש לדעת להפעיל את הפוליסה, משמע – להעביר את הסיכון לביטוח".
תגובות
(0)