דעה
איך למנוע אירוע סייבר בארגון?
לקחים, מסקנות ומחשבות מאירוע פריצת ההאקרים לשרתי חברת הביטוח שירביט
כולנו קראנו על אירוע הפריצה לשרתי חברת הביטוח שירביט והמשא ומתן הקישח אל מול התוקפים. זהו מאבק איתנים בין האקרים מתוחכמים לארגונים תמימים המקביל לחלוטין לחטיפת בני ערובה בעולם ה"אמיתי". יש ארגונים הנוקטים במדיניות ה"לא רואה, לא שומע" של הקופים המפורסמים ויש את אלו המתכוננים לשעת מבחן.
כמי שעוסק בתחום זה 15 שנה, במערכות מידע ממוחשבות המבוססות על בינה מלאכותית, בתחום הסייבר, ומתוך היכרות אינטימית עם התחום, נדהם אני כשמקרים כמו "חטיפה" וירטואלית כמו זו של שירביט קורית כי הרי ניתן היה להימנע מכך. פייסבוק נסחרת בשווי שוק של בערך 527 מיליארד דולר, שווי זה נובע מרכוש פיזי? משרדים? מתקנים? לא. זהו השווי המצרפי של מידע המצוי בשרתים שלהם על לקוחותיהם המאפשר להם לנצל מידע זה לצורך עסקי. מידע הוא כוח, כוח כלכלי.
- בכיר ברשות שוק ההון: "אין מדיניות ממשלתית בנושא תשלום כופר להאקרים"
- על רקע פריצת הסייבר: המדינה בוחנת מחדש את ההתקשרות עם שירביט
- בלי יד מכוונת: אומת הסייבר נחשפה בחולשתה
המגזר הממשלתי והציבורי
במכרזים של גופים ציבוריים לסקרי סיכונים, ניהול אבטחת מידע מוגדר מחיר יעד מקסימלי עליו מתבקשים המציעים להציע אחוז הנחה. דרישות אלו בהתייחס לעלויות שכר אנשי מקצוע במגזר מחייבים פשרות. ומשמעות הפשרות, יותר חשיפה וסיכוי יותר גבוה לאירועי סייבר.
לאחרונה, התקשר אליי מנכ"ל של ארגון ציבורי המונה כ-50 עובדים המשרת אלפי לקוחות בבקשה לעזרת צוות התערבות וניהול משא ומתן שיעזור בהחזרת הארגון לשגרה היות שכל שרתי הארגון הוצפנו והארגון מושבת. לקח לארגון כחודש לחזור לפעילות ראשונית אל מול לקוחותיו תוך גילוי שאין גיבויים תקינים, מעגלי הגנה לא קיימים כמעט ולמעשה כל מערכות המידע של הארגון נדרשות להקמה מחדש כולל יישום ארכיטקטורת אבטחת מידע. נזק במיליוני שקלים.
המגזר הפרטי
גם בגופים פרטיים וחברות בורסאיות, למנהלים הבכירים אין עניין להגדיל את ההוצאות לצורך שמירת המידע של לקוחותיהם כי המשמעות היא פגיעה ברווחיות.
המגזר הפרטי בישראל מתחלק לשלושה:
▪ חברות שלא עושות כלום עד התרחשות אירוע, קבלת פנייה מרגולטור או מלקוחות פוטנציאליים לגבי אופן אבטחת המידע (75%)
▪ חברות שמחויבות לרגולציות (20%)
▪ חברות פרואקטיביות (5%) שמנהליהן מודעים לסכנות ולחשיבות המידע
מנסיוני, מרבית החברות מחפשות לסמן וי בעלויות מינימליות ולצערנו לאיכות ולמקצועיות משקל שולי.
מי אחראי בארגון לאבטחת מידע
הנהלות הנותנות משקל לשמירה על נכסי המידע כמו להכנסות ולייצור, מבקשות פרטים על סטטוס מעגלי ההגנה, אופן שמירת המידע ואיכות בעלי המקצוע שמועסקים בתחום, משדרות פרואקטיביות ומנחילות לכל הארגון תרבות של הגנה על המידע בדגש על איכות, מקצועיות וניתוח מעמיק של ההחזר על ההשקעה (Return on Security Investment - ROSI). כך הן מונעות מהזול להיות יקר. מנהלי מערכות המידע ואבטחת המידע, שומרי הסף ובעלי האחריות התפעולית, אמורים לדעת את המצב ולהתריע על מצב הארגון, לדרוש תקציבים ולעמוד על איכות הפתרונות והבקרות המיושמות תוך הקטנת החשיפה של נכסי המידע לאיומים.
ניהול הסיכונים
הפחתת רמת הפרואקטיביות של הארגון ביישום מעגלי הגנה מהסיכון השורשי (זהו הסיכון/סבירות לאירוע סייבר לפני יישום הגנות), אשר במצב התעשייה היום בו קצב ההתקפות עולה אקספוננציאלית, שואף ל-100%, נותנת את הסיכון השיורי (הסיכון שנשאר). בשקלים, זהו שווי החברה או גובה הנזק הפוטנציאלי במקרה של אירוע (זוכרים את השווי של פייסבוק?).
רמת הפרואקטיביות מחושבת ביחס למוצרי אבטחת מידע, יישום תהליכים ובקרות באופן קבוע בארגון. כאן לא מומלץ להתפשר ואפשר להקדים תרופה למכה.
בכל שבוע אנו מקבלים בקשות לביצוע סקרי סיכונים, מבדקי חדירה, או שרות ניהול אבטחת מידע ופרטיות כאשר למחיר משקל מרכזי. במקביל, מתקבלות פניות נואשות לעזרה מיידית עקב אירוע סייבר קשה ובהם למחיר אין כלל משקל. והמחיר יקר.
אירוע שירביט משמש מַראָה לכולנו. זוהי קריאת השכמה לבצע מיפוי נכסים וסיכונים, לזהות את נקודות הכשל ומצב מעגלי ההגנה, לבנות תוכניות להפחתת הסיכונים, ולהקצות משאבים ליישום מקצועי של תהליכי העבודה.
הגיע הזמן להפנים: זה קורה, זה יקרה וזו לא שאלה של אם, אלא רק מתי, במשמרת של מי ומה יהיה הנזק. כפי שאנו שומרים ומגנים על ביתנו ורכושנו הפרטי, כך עלינו לנהוג עם המידע שבמערכות המידע שלנו. חובה להיות פרואקטיביים. זה יעלה הרבה פחות.
הכותב הוא מנכ"ל איי פי וי סקיוריטי, חברת ייעוץ הנותנת שרותי ניהול אבטחת מידע ורגולציה