"המניע לאבטחה צריך להיות אפקטיביות – ולא הרגולציות"

"רוב תקציבי אבטחת המידע בארגונים והמשאבים המוקדשים לפעילות האבטחה, מונעים על ידי הצורך בהלימה לרגולציות ובציות לכללים ולתקנים. אלא שאבטחה שכזו היא פחות טובה ועובדת פחות. צריך שהאבטחה תהיה מונעת ממידת האפקטיביות שלה. כשיש רגולציה, דברים נעשים אחרת, זה שונה מאשר כשהמניע הוא אפקטיביות", כך אמר אופיר זילביגר, שותף ומנהל מרכז הגנת סייבר, Secoz-BDO.

זילביגר דיבר בפתח כנס InfoSec 2017. הכנס, בהפקת אנשים ומחשבים, נערך זו השנה ה-18, והוא התקיים היום (ג') במרכז הכנסים אווניו, קריית שדה התעופה, בהשתתפות מאות מקצועני אבטחת מידע והגנת הסייבר. את הכנס הנחה יהודה קונפורטס, העורך הראשי של הקבוצה.

צילום ועריכת וידיאו: ליאור רובינשטיין

לדברי זילביגר, ששימש יושב ראש ועדת התכנים של הכנס, "אבטחת מידע לצורכי ציות – לא עובדת. הטענה שלי אינה מופנית כלפי תקן ISO 27001. תחום ה-Resilience, הכשירות לסייבר, החוסן, העמידות – הוא תחום שארגונים השקיעו בו פחות".

"אבטחת המידע המודרנית החלה כבר במחצית שנות ה-90' של המאה הקודמת. המונח 'סייבר' הופיע לפני חמש-שש שנים והוא המשכה של אבטחת המידע והתפתחות שלה. אלא שבהגנה על הארגון, כאשר היא מתבססת על הלימה לרגולציות, יש חסרון: הרעים יכולים לדעת את החולשות של ההגנה".

"החולשות נמצאות בכל מקום בו אין רגולציות – כי המשאבים הופנו למענה על הרגולציות – והנגזרת של זה היא לאן לא הופנו משאבים להגנה".

"מנהלי אבטחת המידע בארגונים", אמר זילביגר, "נדרשים להבין שכמו שנתקין בבית מנעול על הדלת, סורגים על החלונות, ונשים כלב נובח בחצר, זה הכל טוב וחשוב – אבל בסוף, עם מספיק זמן שיהיה לפורצים – הם יצליחו להיכנס".

"כך גם באבטחה הארגונית: נדרש מישהו שיודיע למוקד העירוני, או למוקד של חברת האבטחה השכונתית, שיש אירוע ולכן צריך לנהל את אירוע האבטחה".

להבין כמה שיותר מהר שיש לנו בעיה

זילביגר הביא שתי הגדרות לאבטחת מידע. האחת, של BDO, לפיה עולם הגנת הסייבר נחלק לשלושה: ניהול סיכונים, מניעה והגנה, וחוסן. בהתייחסו להגדרה זו, הוא ציין כי "סקרי הסיכונים אינם סקרי סיכונים – אלא סקרי ציות".

הגדרה נוספת, אמר, היא של NIST, המכון הלאומי לתקנים בארצות הברית, לפיה האבטחה כוללת: זיהוי והערכת הסיכון, הגנה, ניטור, תגובה וניהול התגובות, שחזור, ריפוי והמשכיות עסקית.

לדבריו, "מטרת החוסן בסייבר היא למנוע ככל האפשר את הנזק מהמתקפה, אשר קרתה או קורית". הוא ציין כי "יש צורך בניטור, להבין כמה שיותר מהר שיש לנו בעיה, ולאחר מכן – לעסוק בשחזור ובחזרה לשגרה".

על פי זילביגר, "תגובה וניהול תגובה הם רכיבים חשובים בחוסן הסייבר של הארגון. זה כולל תרגול של העברת הדטה סנטר ממקום אחד לשני, תרגול של הנהלות הארגון, תרגול של אנשים טכניים".

הוא הביא נתונים של BDO, לפיהם חל שיפור בתחום החוסן בסייבר בקרב ארגונים בגרמניה, לעומת מדינות אחרות, בהן אנגליה וצרפת – בהן חלה נסיגה במוכנות לסייבר. זאת, לצד עליה ברמת מודעות הנהלות בדבר הצורך בהשקעה בתחום. בארצות הברית, אמר, "ליותר ממחצית מהארגונים יש רכיבי חוסן סייבר כלשהם".

"ארגוני בגודל בינוני אינם יכולים להעסיק את כל כוח האדם הנדרש לתחום האבטחה", אמר זילביגר, "ולכן, שירותי אבטחה מנוהלים הם המענה למצוקה הקיימת בתחום, בהיבטי ידע, ניסיון וטכנולוגיה". הוא סיים באומרו כי "תחום החוסן בסייבר הוא-הוא הליבה שארגונים צריכים להיות מודעים לו ולטפל בו".