דרוש: מנהל סייבר

כנס CyberSec 2012, שנערך בשבוע שעבר, עסק בשני נושאים מרכזיים. הראשון היה היערכות ישראל למתקפת סייבר וההשלכות של מתקפה שכזו על העורף האזרחי, והשני היה היערכות המגזר העסקי למתקפת סייבר, ויכולת ההתמודדות שלו עם תקלות חמורות, קריסת אתרים ואסונות שונים.

מרבית הדוברים בכנס התייחסו להיבט אבטחת המידע באופן הקלאסי והמקובל שלו. חלק מהם ציינו, כי סייבר היא למעשה מילה נרדפת למושג אבטחת מידע במינוח החדש שלו. אבל בין ההרצאות נשמעה גם גישה אחרת, רחבה יותר, כפי שהציג אותה אופיר זילביגר, מנכ"ל חברת הייעוץ SECOZ ומומחה ותיק בתחומו. זילביגר, שהנחה את המסלול העסקי באירוע, הסביר שהטלת כל האחריות להתמודדות עם תופעת הסייבר רק על משרדו של מנהל אבטחת המידע בארגון, היא טעות. כך, לדעת זילביגר, ארגונים כיום כבר מפנימים את העובדה, כי הטיפול בסייבר צריך להיות מערכתי ורוחבי. זאת אומרת שכדי לנהל את המאבק, יש למנות בארגון מנהל סייבר.

זילביגר סבור, כי נקודת המוצא בהתייחסות לסייבר היא, שזהו סוג של סיכון: "אירוע אשר במידה ויתממש, יגרום נזק משמעותי לארגון", כהגדרתו. ארגונים גדולים וכאלו שבפיקוח הרגולטור, יודעים לטפל בנושא ניהול סיכונים. שם מנתחים את האירוע, מעריכים את הסבירות לנזק ומחליטים על גודל הסיכון שלוקחים. בנושא הזה אין הבדל בין העולם העסקי לעולם הטכנולוגי – סיכון הוא סיכון, ותמיד עלולה להיות לו השפעה על התחום העסקי.

אם מכניסים את הסייבר למשבצת ניהול הסיכונים, יש לנתח כמה מאפיינים ייחודיים לסוג זה של איום: ראשית, מדובר באיום דיגיטלי, שגבולות הגזרה שלו כמעט בלתי מוגבלים. המוטיבציה של מבצעי ההתקפה היא מגוונת ורחבה ויכולה לנבוע ממניעים פוליטיים או ממניעים כלכליים.

זילביגר מעיר, שעוצמת האיום משתנה בין התקפות סייבר על אתרי ממשלה ומדינות, לבין התקפות סייבר על אתרים עסקיים רגישים. "למדינה יש הרבה מה להפסיד בזירה הדיגיטלית", מסביר זילביגר, "בעוד שלארגונים עסקיים המשמעות של תקיפת סייבר לא תמיד ברורה עד הסוף. אם מתייחסים להתקפות האחרונות, הרי שהן כולן גרמו במקרה הטוב נזק מורלי – היסטריה ותו לא. אולם במצטבר, הנזק לארגון יכול להיות חמור יותר: אובדן מידע, אובדן זמינות, אובדן מוניטין ורלבנטיות. כאן חשוב להזכיר שמתקפת סייבר משפיעה על כל הארגונים – גדולים וקטנים, והסברה שזהו משחק לגדולים אינה נכונה".

לדעת זילביגר, העדר תפיסה אחידה למושג סייבר, נובע בין היתר מכך שלא קיים כיום באופן רשמי תפקיד בשם מנהל סייבר. החשיבות בהגדרה זו אינה רק בעצם איוש התפקיד, אלא בשיקוף דרך חשיבה חדשה של הנהלות ארגונים, שצריכות להסתכל על הסייבר כתחום חוצה ארגון. יש בו מרכיבים של אבטחת מידע, המשכיות עסקית, פיתוח טכנולוגי ברמת ה-IT וכמובן עניין המעילות וההונאות. מינוי איש מקצוע למנהל סייבר, יאפשר לבעל התפקיד להסתכל על הנושא מכמה זוויות, ולהכניס את ההנהלות למסגרות דיון מוכרות להן יותר – דבר שיקל עליהן את ההערכות. התפקיד החדש הזה הוא תפקיד של תיאום במהותו, שנועד להביא את הנושאים הדרושים למועצת המנהלים למעקב ביצוע.

לאלו שכבר מתחילים לדאוג: לא, אין הכוונה חלילה לפגוע בתפקידו של מנהל אבטחת המידע. בכלל, יתכן מאוד שאת תפקיד מנהל הסייבר יקבל ה-CISO, אבל הנקודה החשובה היא שארגונים ימנו אחראי לנושא זה – ויפה שעת אחת קודם.