- אבטחת מידע
גל מתקפות סייבר פוקד את העסקים בישראל
פתרונות סייבר לעסק ולארגון
בין אם אנחנו מנהלים בחברת בניה, בעלי משרד עורכי דין או רואי חשבון, מנהלים מפעל, עמותה או ארגון, חלק מסדר היום של כל מנהל דורש ניהול סיכונים שוטף של העסק שלו או שעליו הוא אחראי.
זה כולל סיכונים כלכליים, בטיחותיים, בטחונים ועוד, והיום חייבים להוסיף לרשימה מכובדת זו גם את סיכוני הסייבר.
איך הצלחנו למנוע מתקפת כופר וחזרנו לעבוד אחרי 3 שעות? איך עשינו את זה?
אז מה זה סיכון סייבר?
כל אירוע או פעולה במרחב הממוחשב או הדיגיטלי של הארגון הנעשית בזדון על מנת לפגוע בעסק – בפעילותו, בתדמיתו, באמינותו וביושרו הוא סיכון סייבר.
סיכון סייבר הוא כל אירוע או פעולה במרחב הממוחשב או הדיגיטלי של הארגון הנעשית בזדון על מנת לפגוע בעסק.
בין אם זה פגיעה בפעילות, בתדמית, באמינות או ביושר העסק.
לפי סטטיסטיקה שפורסמה על ידי מערך הסייבר והלמ"ס, אחד מכל חמישה עסקים כבר חווה מתקפת סייבר כלשהיא, וככל הנראה מדובר בהרבה יותר מאחר שלא כל האירועים מדווחים. וכפי שכבר נאמר אין ספור פעמים – השאלה היא לא אם נעבור מתקפת סייבר, אלא מתי.
ולזה צריך להוסיף את השאלה הבאה – וכאשר זה יקרה, האם אנחנו מוגנים? זו המשמעות של ניהול סיכוני סייבר.
איפה זה פוגש את העסק שלי, ולמה לי להיות מוטרד מזה?
"אני בסך הכל מנהל מפעל לאריזה ושיווק ביצים, למה שמישהו בכלל ירצה לתקוף אותי?"
בגרסה כזו או אחרת, אנחנו שומעים את השאלות האלו מהרבה מנהלים ובעלי עסקים, ובמיוחד מהעסקים הקטנים והבינוניים.
אז זהו, שזה לא בדיוק עובד כך…
נכון שיש מתקפות סייבר ממוקדות על ארגונים או עסקים כלשהם, כמו שקרה בתקיפה על הלל יפה ועוד מספר אירועים שתפסו כותרות בשנים האחרונות, אבל מרביתן הגדול של מתקפות סייבר עובדות כמו ממטרה – ארגוני פשע מפיצים נוזקות ופוגענים לכל כיוון, לפעמים דרך המערכות הממחשבות עצמן בניסיון לעלות על חולשה, תוכנה לא מעודכנת או הגדרה לא נכונה, ולפעמים דרך חוסר ערנות או ידע של העובדים, וכאשר הם מצליחים, לא באמת משנה להם מה אתם עושים בעסק שלכם. אבל הם די בטוחים שבלי המידע ומערכות המחשוב שלכם, לא תוכלו להתקיים לאורך זמן, וזה מספיק להם כדי לדרוש מכם לשלם…
כאשר אנחנו מבינים איך זה עובד, ואנחנו מבינים שגם אנחנו, כמו כולם בעצם, מותקפים כל הזמן, חשוב שנשאל את עצמנו שאלות משמעותיות כמו
- מה ערך המידע שלי וחשיבותו לפעילות העסק
- האם העסק יכול להמשיך ולתפקד בלעדיו?
- כמה זמן העסק שלי יכול להיות מושבת?
- האם מישהו אחר (לקוחות, ספקים, עובדים) יכול להיפגע כתוצאה מהתקפה על העסק שלי?
- מה אני עושה כאשר אני מגלה שאני מותקף?
- מה אומר החוק בנוגע לכך?
"חוזק השרשרת כחוזק החוליה החלשה שלה"
אחת הטעויות הנפוצות שעושים בעלי עסקים בכל הנוגע להערכת סיכוני סייבר, במיוחד בארצנו הקטנה, זה להניח הנחות מקלות, או בגרסה הפופולרית שלה – "יהיה בסדר".
טעות נוספת היא לחשוב על סיכוני סייבר רק מזווית ראיה אחת, דרך מערכות ההגנה של העסק, וגם מזווית זו החשיבה היא חלקית מאוד – למשל לשים מערכות הגנה חזקות אבל לא לנהל מדיניות סיסמאות או אימות דו שלבי, ועוד.
למעשה, ההסתכלות הנכונה היא רב מערכתית וכוללת, כאשר כל מערכת וכל תחום בעסק יכולים להשפיע (לחזק או להחליש) את שאר התחומים והמערכות, והתמונה הכוללת הכל מחובר, כמו שרשרת. ולכן, גם אם הארנו בפנס מקום אחד וטיפלנו בו, אבל לא הערכנו ובדקנו את כל השרשרת, יש סיכוי גבוה מאוד שבמקום כלשהו נשארה פרצה שלא ראינו או לא ייחסנו לה חשיבות, והיא בדיוק מה שתוקף כלשהו זקוק לו כדי לחדור למערכות המחשוב.
היערכות להגנה מפני מתקפת סייבר כוללת מוכנות (מרמת הנהלה ועד העובדים) – נהלים, תהליכים, מודעות וערנות, היא כוללת מדיניות, היא כוללת מערכות הגנה, היא כוללת בקרות, וכך בהתאם להבנה ומיפוי הסיכונים יהיה ברור וקל יותר להבין איפה ומה צריך לעשות כדי למצוא את החוליות החלשות יותר בשרשרת ולחזק אותן.
כמובן שאין 100% יכולת מניעה, אבל כבר ראינו שהיכולת של ארגון להתמודד עם אירוע סייבר כאשר הוא מוכן לכך, מפחיתה באופן משמעותי, לעיתים עד כדי מינימום, את הפגיעה בו ומגדילה מאוד את יכולת ההתאוששות וחזרה לשגרה שלו.
אז מה, אני צריך לשפוך ים כסף?
כמובן שאין כאן פתרונות קסם, ועל מנת להיות מוגנים ומוכנים יש להשקיע גם כסף, אבל כאן נכנס עוד יתרון שקשור בניהול הסיכונים.
עצם התהליך של מיפוי הסיכונים מחדד את הנזקים שעלולים להיגרם לעסק ומסייע להעריך את נקודות התורפה והצרכים הייחודיים לכל עסק, וכך מאפשר החלטה מושכלת יותר איפה צריך להשקיע, מה חשוב יותר או פחות, ולתעדף את כל מה שקשור בהגנה מפני מתקפות סייבר בצורה שמבוססת על חשיבה ותכנון מקדים ולא ניחושים והערכות בחשיכה.
כך למשל יכול בעל עסק להבין שעליו להשקיע יותר בחינוך ולימוד עובדיו, בהדרכות וידע, במדיניות ניהול יותר קשיחה, בנהלים ומוכנות, בגיבויים טובים ובשיפור המצב הקיים עוד בטרם ירוץ לרכוש מוצרים נוספים ויקרים שלא בהכרח ישפרו את מצב המוגנות של העסק (גם אם בסוף יהיה צורך בכך, זה כבר יבוא על רמת בשלות ומוכנות גבוהים הרבה יותר וגם הערך שהם יתנו יהיה משמעותית יותר גבוה כתוצאה מכך).
לסיום, קצת על רגולציה ואבטחת מידע
בתוך כל עולם ניהול הסיכונים הקשורים למתקפות סייבר, יש עוד עניין שרבים אינם מכירים או שאינם מייחסים לו חשיבות מספקת.
בישראל יצאו בשנת 2018 תקנות הגנת הפרטיות, שהן חוק שחל על כל עסק וכל אדם בישראל.
תקנות אלו מגדירות ומתייחסות למאגרי מידע ואיך על כל עסק המחזיק מאגר כזה לשמור ולהגן עליו. חלק מהתקנות מתייחסות לאבטחת המידע שיש ליישם על מנת לעמוד בתקנות, על פי קריטריונים שונים המוצגים בתקנות. וכמו כל חוק – אין כאן בחירה אם לעמוד או לא לעמוד בו, והאחריות לכך היא על בעל העסק בלבד.
לא כל עסק נמצא במצב שמחייב אותו לבצע פעולות כאלו או אחרות, אבל לכל עסק יש חובה לבדוק ולוודא שאם חלות עליו התקנות הוא מחויב בפעולות הנדרשות בו.
כאשר אנחנו כמנהלי עסקים עושים תהליך של ניהול סיכוני סייבר, אחת הבדיקות שעלינו לעשות זה מה עלול להיות הנזק שייגרם לנו – מבחינה תפעולית, תדמיתית, כלכלית ועוד. בין כל הנזקים, גם אי עמידה בתקנות עלולה לגרום נזק כספי, תדמיתי ואפילו פלילי, ולכן חשוב מאוד לבצע בדיקה עם עורך דין מקצועי לגבי עמידה בתקנות.
לסיכום, תמיד עדיף להיות מוכנים וערוכים לכל דבר, ובזמן הזה במיוחד בכל הנוגע לניהול סיכוני סייבר ובניית יכולת ומוכנות לכל תרחיש. לשמחתנו, יש אנשי מקצוע שישמחו לעזור לכם למפות ולהבין את האיומים ולתת את המידע והליווי הנדרשים לכם כדי שתוכלו לישון ולעבוד בשקט.
אורי מינץ – עיצוב אתרים | בנית אתרים.
