פרסום ראשון
סקר: מנהלי IT בישראל לא מדווחים על פריצות סייבר להנהלה
סקר סייבר שנערך בקרב כ-70 מקבלי החלטות בכירים בתחום המחשוב בארגונים גדולים חושף מצב מדאיג. 52% מהם רואים בהנהלה הבכירה כאחראית להכנת הארגון למתקפת סייבר
מחקר חדש בתחום מדיניות ומוכנות לאירועי סייבר נערך לאחרונה בישראל על ידי חברת המחקר דיאלוג, ותוצאותיו נחשפות היום (א') לראשונה ב"כלכליסט". ממצאי המחקר מראים כי יותר ממחצית (62%) ממקבלי החלטות בתחום ה-IT הודו כי לא חשפו פגיעות סייבר וחשיפות מידע מהותיות בפני ההנהלה הבכירה. זאת בהשוואה לאירופה, שבה הודו רק רבע ממנהלי ה-IT כי לא חשפו התקפות סייבר בפני ההנהלה. במחקר בישראל השתתפו מעל 70 מקבלי החלטות בתחומי המחשוב בארגונים גדולים, המעסיקים מעל 800 עובדים. מחקר זה, נערך במקביל גם במדינות אירופה והוזמן על ידי חברת VMware.
- פרצות חמורות נמצאו במוצרי האבטחה של נורטון
- פריצת ענק: 655 אלף תיקים רפואיים נגנבו מחברות ביטוח אמריקאיות
- מחקר: הפסד כספי ממוצע עקב אירוע סייבר מגיע ל-4 מיליון דולר
תוצאות המחקר מעידות על בעייתיות בתחום מדיניות הסייבר בקרב ארגונים גדולים שנובעת על פי תוצאות הסקר מבעיית דיווח ואחריות תפעולית. עוד נמצא כי בשאלת האחריות אובחנה נטייה ברורה בקרב מקבלי ההחלטות להטיל את האחריות על ההנהלה.
52% ממנהלי מערכות המידע רואים בהנהלה אחראית להכנת הארגון למתקפה וכנושאת באחריות, אם אכן אירעה מתקפה ו- 13% רואים במנכ"ל אחראי לתוצאות הפגיעה בארגון. חוסר גילוי נאות זה מראה כי לאלה שצריכים לתת דין וחשבון על הפרות אבטחת מידע בארגון, אין את התמונה המלאה אודות הסיכונים, שאליהם נחשף הארגון.
ניתן לחזק נקודה זו על ידי מחקר נוסף שערכה יחידת המחקר של ה"אקונומיסט" מוקדם יותר השנה, אשר גילה כי רק 8% מראשי הארגונים באירופה סבורים שאבטחת סייבר צריכה להיות בראש סדר העדיפויות העסקי שלהם.
זאת למרות שהתקפות סייבר הופכות להיות מזיקות יותר ויותר עבור ארגונים: סקר שנערך לאחרונה על ידי מכון פונימון ו-IBM מצא שהנזק הכלכלי הישיר הממוצע מתקיפת סייבר על ארגון גדולים עומד כיום על כ-4 מיליון דולר לאירוע. מחקר נוסף שנערך על ידי EMC ושכלל גם חברות וארגונים בינוניים (250 עובדים ומעלה) הראה שממוצע הנזק מגיע לכמיליון דולר לתקיפה.
87% ממקבלי החלטות בתחום ה-IT בישראל העריכו כי הארגון שלהם רגיש מאוד למתקפת סייבר וכמעט חצי מהם (49%) מצפים להתקפת סייבר ב-90 הימים הקרובים. ההתקדמות הטכנולוגית המהירה של האיומים ואיטיות התגובה של הארגונים, גורמים לכך ששיטות האבטחה הנוכחיות עלולות שלא לעמוד בקצב.
כך עולה מתוצאות המחקר האירופי, בו מסכימים יותר משליש (35%) ממנהלי מערכות המידע באירופה כי אחת מהחולשות הגדולות ביותר שלהם בארגון בעת מתקפת סייבר הוא שהאיומים להתקפות מתקדמים מהר יותר מההגנות.
נתק בין ההנהלה הבכירה למקבלי ההחלטות בתחום המחשוב
"הניתוק בין מנהלים בכירים לבין מקבלי החלטות בתחום ה-IT הוא תסמין של האתגר הבסיסי איתו מתמודדים הארגונים", אומר נתי אמסטרדם, מנכ"ל VMware ישראל. "כיום, ניתן להשתמש בכל היישומים ובכל הנתונים באמצעות אינסוף מכשירים באינספור מיקומים, ולכן ארגונים אלה הבינו שהם צריכים לעבור מעבר לגישת אבטחת ה-IT המסורתית, מכיוון שזו לא תוכל להגן על העסקים הדיגיטליים של היום".
חלק מהחולשות הגדולות ביותר של אבטחת הארגון היא האיומים מתוך הארגון עצמו, הנוצרים בגלל עובדים רשלנים או עובדים שאינם מבינים את האתגר של אבטחת סייבר, עמו מתמודד הארגון שלהם (27% מתוך מנהלי המערכות המידע באירופה סברו כך).
"אבטחה היא לא רק אודות טכנולוגיה. כפי שמראה המחקר, ההחלטות ודרך ההתנהגות של האנשים הם אלה שישפיעו על שלמות העסק", המשיך אמסטרדם. "עם זאת, אין ליצור תרבות של פחד. ארגונים שחושבים קדימה מבינים שאבטחת המידע המגיבה לאירועים שקיימת כיום כבר לא עושה את העבודה שלה", סיכם אמסטרדם.
נתוני הסקר של VMware מתכתבים עם נתונים נוספים שעולים ממחקר גלובלי שערכה EMC ובו נמצא שמעל לשליש מהארגונים בעולם חווים או יחוו אירוע סייבר חיצוני או פנימי שיגרום לאובדן מידע או הפרעה בזמינותו.
פחות מחמישית (18%) מהנסקרים במחקר טענו כי הם בטוחים ביכולתם של פתרונות הגנת המידע שלהם לעמוד בהצלחה מול אתגרים עסקיים עתידיים. במחקר אחר שנערך השנה על ידי אקסנצ'ר (Accenture) נמצא שכשני שליש מהנסקרים הודו שחוו אירוע סייבר בשנה האחרונה, הנסקרים נמנו על צוותי ה-IT או מקבלי החלטות בקרב 200 ארגונים בשלל תחומים.
יש טכנולוגיה, אין עובדים
המחקר של אקסנצ'ר מצא עוד שהתחומים בהם נצפו הכי הרבה איומים היו התקשורת והטכנולוגיה, עם כ-77% אירועי סייבר (שנהדפו או שהצליחו). מעל למחצית מהמשיבים הוסיפו שלמרות שהם מצויידים במיטב טכנולוגיות אבטחת המידע, הם עדיין היו מודאגים לגבי האפשרות לאירוע סייבר בשנה הקרובה.
"אחת הבעיות העיקריות שעולה מהסקר היא שלמרות הרצון וההשקעה בטכנולוגיות מתקדמות, פעמים רבות ארגונים מוצאים את עצמם ללא תקציב נוסף על מנת לגייס ולהכשיר עובדים שיוכלו להשתמש באמצעים האלה", הסביר קלי ביסל, מנהל אבטחת מידע בכיר באקסנצ'ר.
בעיית הגיוס הועלתה בקרב כ-31% מסך הנסקרים ואלה הוסיפו שזו גרמה לא פעם להתמודדות כושלת עם תקיפות סייבר. בעיה נוספת שעלתה היא העובדה שבקרב ארגונים רבים יש חוסר התעניינות במוכנות הסייבר של שותפים עסקיים. כ-36% מכלל הנסקרים הודו שהם לא נוהגים לבדוק את אבטחת המידע של השותפים.
זאת ועוד, גם בסקר של אקסנצ'ר עולה נושא המוכנות של הדרגים הבכירים לעניין הסייבר. כ-36% מהנסקרים ציינו ששהם מאמינים שעבור ההנהלה הבכירה אמצעי סייבר מהווים עול כספי לא הכרחי, וזאת למרות שמחצית מאנשי ה-IT מסכימים שמדיניות סייבר מקדמת אמון בקרב צרכנים בעולם הדיגיטל.