בעידן של טרנספורמציה דיגיטלית יותר חברות מסתמכות על מערכות מחשוב ועל פעילות בפלטפורמת הענן לתפעול הליבה העסקית שלהן. לצד היתרונות הרבים באימוץ מערכות טכנולוגיות מתקדמות, צריך לזכור שהן נושאות עימן בנדוניה גם סיכונים לא מעטים, ובראשם אירועי סייבר. נושא הסייבר ואבטחת המידע הוא כבר מזמן לא בעיה רק של מחלקות ה-IT, אלא עניין בעל חשיבות אסטרטגית מהמעלה הראשונה, ואמור לעמוד לפתחם של הדירקטוריון וההנהלה הבכירה של הארגון.
"חשוב להבהיר שתחום הגנת הסייבר הוא תחום שבא לשרת - בראש ובראשונה - תכלית עסקית", מסביר שחר נבו, דירקטור במרכז הסייבר של Deloitte. "הסייבר מגן על התהליכים העסקיים, ומכיוון שלא מעט ארגונים צפויים להתמודד במהלך השנים הקרובות עם תקיפות סייבר משמעותיות, הם חייבים להפנים: על מנת להמשיך ולקיים עסק רווחי, חייבים לשנות תפיסות יסוד: הסייבר צריך להילקח בחשבון כחלק אינהרנטי בתוך תפיסת ההנהלה".
נבו שירת במשך עשרים שנה במשרד ראש הממשלה, ועסק שנים רבות בהגנה על תשתיות קריטיות ונכסי מידע של המדינה. בתפקידו האחרון שימש כראש אגף בכיר הכוונה ואסדרה במערך הסייבר הלאומי. "על מנת שארגון יהיה מוכן בצורה מיטבית להתמודד עם תקיפת סייבר, הוא נדרש להקדיש תקציבים, לפתח מודעות לנושא ולבצע פיקוח ברמה מיטבית", מוסיף נבו. "הקשר חייב להיות הדוק וביחס ישיר לחשיפה של ההנהלה; חשוב לזכור: בכל אירוע סייבר קיימת חשיפה שעשויה לכלול גם אחריות אישית של ההנהלה והדירקטורים. אלו חייבים להיות עם יד על הדופק ולוודא שהנושא מטופל ושהמשאבים הנדרשים מופנים לנושא".
הנזק של תקיפת סייבר: "ברגע שפגעו בליבת העסקים - הארגון כולו בעצם הושבת"
נבו מציין כי ארגונים רבים רואים את אבטחת הסייבר כמעין "אבן ריחיים" המעכבת את התפתחותם העסקית. "הרבה ארגונים עוברים תהליכי דיגיטציה מואצים, ואינם מקדישים מחשבה מספקת לבנייתו של מערך הגנה ראוי", הוא מדגיש. "ארגונים שזונחים את פיתוח ההגנה בראשית הדרך ישלמו את המחיר בהמשך, כאשר המערך האבטחה שייבנה יהיה לא מספק, או לחלופין יקר לאין שיעור; במילים אחרות: הכללת הסייבר בתהליך העסקי מתחילתו הינה קריטית".
לדעת לשאול את השאלות הנכונות
בעברו של מיכאל שטרית, מנהל במרכז הסייבר של Deloitte, ניסיון רב בניהול מערכות מידע ואבטחתן בארגונים ממשלתיים וציבוריים, כמו גם ותק של שנים רבות בתעשיית הטכנולוגיה הישראלית. "ישנם ארגונים שבהחלט מודעים לחשיבותה של מערכת אבטחת מידע נאותה, ומקדישים לכך מאמצים", הוא אומר. "אנחנו רוצים להסב את תשומת ליבם של ארגונים שלוקים בתעדוף הנושא ובטיפולו. לא אחת אנחנו פוגשים בארגונים בהם נמנעים הדירקטוריונים מלעסוק בנושא – אם מתוך חוסר התמצאות, ואם מתוך שימת זרקור על תחומים אחרים.
כדי שחברי הדירקטוריון יוכלו להבין את תמונת הסיכון אליה חשוף הארגון, מומלץ לשכור מומחי תוכן מקצועיים שיתמכו בהם ויאפשרו להם להתמודד עם נושא הטכנולוגיה שהנו זר למרביתם. לא אחת אנו רואים חברי דירקטוריון שנמנעים מלאתגר את בעלי התפקידים הרלוונטיים בארגון; לדוגמא: לדרוש דיווח תקופתי וסדור החושף את רמת המוכנות הארגונית להתמודדות עם סיכוני סייבר אליהם חשוף הארגון. אחד השיעורים המרכזיים (והחשובים ביותר) שיועץ מלווה ילמד את הדירקטורים הוא לשאול את השאלות הנכונות: ראשית, עליהם להבין מהו סיכון סייבר? איך מעריכים את מידת החשיפה? מה יקרה אם תהליך עסקי קריטי יושבת? ואיך בכוונת הארגון להתמודד ולהפחית את הסיכון?
בנוסף, הדירקטוריון צריך לוודא שהארגון עורך סקרי סיכונים תקופתיים יחד עם גוף מומחה חיצוני, לדון בסיכונים העולים מהסקר, ולוודא כי הם מטופלים במסגרת תוכנית סדורה ובפרק זמן נאות. עוד בתחומי אחריותם של חברכי הדירטוריון: לוודא שקיימות תוכניות להמשכיות עסקית (BCP) והתמודדות עם תרחשי אסון (DR) התואמים את מטרות הארגון והאסטרטגיה העסקית. בכל ארגון עסקי חפץ חיים, צריכה ההנהלה להציב את הסייבר כנושא חובה על סדר יומה של ועדת הביקורת הפנימית, ומדי שנה, לבחון "שטחים" שונים בעולמות הסייבר. "הסייבר, או ליתר דיוק חשיבות ההתמודדות עם לוחמת סייבר", מדגיש שטרית, "צריכים להכנס ל"מערכת ההפעלה" הקוגניטיבית של קברניטי החברות. בלעדיו, לא תהא להן תוחלת לאורך זמן".
שטרית מוסיף ומציין "אנו יודעים היום את אזורי החשיפה הפוטנציאליים ולאמוד את היקפי הסיכון והחשיפה הקיימים. מטרתנו המרכזית היא לשקף להנהלה ולדירקטוריון את מצב הגנת הסייבר הארגוני כהווייתו, ובכך לאפשר להם לאמוד את הסיכון ולאתגר את אנשי המקצוע", הוא מדגיש.
מכה שקשה להתאושש ממנה
שטרית מזכיר את המתקפות הגדולות שנערכו לאחרונה על בית החולים 'הלל יפה' וחברת הביטוח 'שירביט'. [KO1] "המקרים האלה הקפיצו בישראל את רמת המודעות של ההנהלות בחברות השונות", הוא מציין. "ולא חסרות, לצערנו, דוגמאות כאלו מהעולם. ברגע שההאקרים פוגעים בליבת העסקים, הם משביתים אותו – חלקית או באופן מלא. ממכה כזו קשה מאד להתאושש. ראינו לא מעט מקרים של חברות שספגו פגיעה אנושה בעקבות פריצה, ונסגרו או נמכרו, בשלב מאוחר יותר, במחיר נמוך משמעותית מערך השוק שלהן טרם התקיפה. דוגמאות כאלו אך מדגישות את החשיבות באתגור מתמיד של מקצועני הסייבר על ידי הדירקטוריון וההנהלה".
עצמאותו של ה־CISO
"בדירקטוריון שיש בו נציגים שיודעים לשאול, ההתייחסות הארגונית לנושא השתנתה מהותית. סוגיית הכפיפות הארגונית של בעלי תפקידים האמונים על הגנת סייבר מאוד חשובה", הוא מוסיף. "חובה שמנהל אבטחת המידע הארגונית, ה-CISO (Chief information security officer) יוכפף ישירות למנהל בכיר בארגון (ושאיננו מנהל מערכות המידע). הוא צריך לדווח ברמה חודשית או רבעונית להנהלה ולדירקטוריון על התקדמות הפרויקטים ורמת החוסן הארגונית בנושא. זו הדרך המיטבית להבטיח שהנושא יטופל בצורה אפקטיבית".
שטרית מסביר שבארגונים המסורתיים, התפקיד של ה-CISO אינו נחשב לתפקיד בכיר, כשבדרך כלל הוא חוסה תחת פעילותה של מחלקת ה-IT. "מנהל אבטחת המידע צריך להיות גורם עצמאי בארגון", הוא מסביר. "עליו לאתגר את ה-IT. כשחושבים על זה, צריך להתקיים מתח מובנה חיובי בינו לבין מנהל מערכות המידע".
נבו גם מסביר מדוע נכון שה-CISO לא יפעל תחת מחלקת מערכות המידע באופן אוטונומי. לדבריו, אם הוא אינו עצמאי, קיימת נטיה לבטל את הדרישות שלו מכל מיני טעמים. "אם ה CISO פועל במסגרת מטריית ה IT, מרחב התמרון שלו עלול להיות מוגבל מראש. הוא חלק מצוות, ולכן ייאלץ, לא אחת, ליישר קו עם התכתיבים של הממונים עליו", הוא מסביר. "קיימת חשיבות רבה להפיכתו של ה CISO לגוף מקצועי, אוטונומי-עצמאי. ישנם מקרים בהם הוא יוכפף ל COO, ובמקרים אחרים ל CFO. כל עוד עצמאותו המקצועית נשמרת, הוא יוכל למלא את תפקידו כראוי. דוגמה למודל שונה ניתן לראות בסטארטאפים קטנים, שעורכים שימוש בשירות ניהול אבטחת מידע במשרה מלאה או חלקית על ידי גורם ייעוץ חיצוני. אנו רואים שגישה זו רווחת במיוחד בחברות שנדרשות לעמוד בסטנדרטים רגולטוריים ואבטחתיים על ידי הלקוחות. "בסופו של יום", אומרים שניהם, "זו הבחירה של הארגון".
עוד מוסיף נבו, כי בארה"ב כבר פורסם שבקרוב חברות יהיו חייבות בייצוג של גורמי מקצוע מתחום הסייבר בפעילות דירקטריונים: "האמריקנים מבינים את חשיבות הטיפול בסייבר ומפנים לשם משאבים כלכליים, טכנולוגיים וריגולטוריים".
עד כמה בטוח בענן?
"אנו עובדים עם לא מעט ארגונים ש"נולדו בענן", קרי - שאין להם תשתיות עצמאיות", מציין נבו. "הם לא מנהלים את סיכוני אבטחת המידע בענן בצורה מספקת. ארגונים כאלו, בראשית דרכם, מתמקדים בבניית פלטפורמת השירותים שלהם, כאשר נושא האבטחה אינו מהווה פקטור משמעותי. בשלבים מתקדמים יותר – אם במגעים מול לקוחות פוטנציאליים, אם בדרישה רגולטורית ואם בשלב טרום-גיוס – החברות מוצאות עצמן נדרשות לעמוד בסטנדרטים אבטחתיים נאותים; ובשלב הזה, הן מתחילות לשים את הדגש על בנייתו של מענה אבטחתי מתקדם".
"הסייבר, במובנים רבים, הפך לשדה הקרב המודרני וכך צריך להתייחס אליו: להיערך, לתכנן ולהתכונן ליום פקודה. כל ארגון חייב לבנות לעצמו תורת לחימה עם מערכת דפנסיבית איכותית"
"הענן לא מאובטח אאוט-אוף-דה-בוקס", מסכם שטרית. "הפעילות בסביבת הענן לבדה אינה מספקת כיסוי אבטחתי. אמנם, ספקי הענן מבטיחים זמינות של תשתיות המידע ואת שרידות המתקנים שלהם. אבל אם מחר בבוקר האקר פורץ לענן ומצפין לך את המידע, הם אינם נושאים בשום אחריות. כלל ברזל: הלקוח לעולם נושא באחריות על המידע. ועליו להבין היטב את מודל האחריות המשותפת בעבודה מול ספק הענן; זוהי תובנה שיש לה משמעות אסטרטגית אדירה בהיבט העסקי, משום שיותר ויותר עסקים מעבירים את הפעילות העסקית לענן ולא תמיד לוקחים את הפרמטרים הללו בחשבון".
"נגמרו הימים שבהם חברות ביטוח היו מוכנות להעניק כיסויים ביטוחיים לארגונים על התקפות סייבר", אומר נבו. "אמנם קיימים בשוק כיסויים חלקיים, אבל ממש לא כדאי לבנות עליהם במסגרת גיבוש מדיניות ההגנה. צריך להבין: הסייבר – במובנים רבים - הפך לשדה הקרב המודרני וכך צריך להתייחס אליו: להיערך, לתכנן ולהתכונן ליום פקודה. כל ארגון חייב לבנות לעצמו תורת לחימה עם מערכת דפנסיבית איכותית, אחרת ימצא עצמו חשוף. אירוע סייבר אינו שונה מכל משבר אחר – היכולת לצלוח אותו תלויה ביכולתו של הארגון להיערך עד הנקודה שבה המשבר מתרחש".
רוצים לשמוע עוד מהמומחים שלנו? הקליקו כאן
שירביט' ו'הלל יפה'? האם לא עלול ליצור מולם אי-נעימות?