אופיר זילביגר, SECOZ: "ישראל מפגרת אחרי העולם בהגנת סייבר"

"מהשוואת המצב של הגנת הסייבר במדינה מול בריטניה וארצות הברית ניתן לקבוע בצער שישראל מפגרת אחר הנעשה בתחום בעולם", כך אמר אופיר זילביגר, מנכ"ל SECOZ. זילביגר דיבר בפתח כנס InfoSec 2012. הכנס, בהפקת קבוצת אנשים ומחשבים, נערך היום (א') במלון דיוויד אינטרקונטיננטל בתל אביב, בהנחיית פלי הנמר – נשיא הקבוצה, ויהודה קונפורטס – העורך הראשי בה. הוא התקיים בהשתתפות יותר מ-1,000 מקצועני אבטחת מידע מכלל מגזרי המשק.

"תחום הסייבר מטופל בשתי רמות – הלאומית והעסקית", אמר זילביגר. "בתוך המגזר העסקי, המגזר הפיננסי הוא החשוף ביותר למתקפות סייבר והוא זה שעלול להיפגע מהן באופן החמור ביותר". הוא ציטט מחקר של חברת הייעוץ PWC לפיו הפשע הקיברנטי הולך וגובר, והוא השני בגודלו מבין הפשעים הכלכליים. 38% מהפשיעה הכלכלית בעולם נעשית כיום באמצעות הרשת. עוד קובעת חברת הייעוץ, כי "התעשייה הפיננסית היא המגזר הרגיש ביותר למתקפות סייבר". למרות זאת, שליש מהעובדים בתעשייה הפיננסית לא עברו הכשרה בנושא.

"המסקנות העולות מהדו"ח הן שאבטחת מידע קיברנטית צריכה להיות חלק בלתי נפרד מהמערך העסקי וחלק בלתי נפרד מתהליך ניהול הסיכונים בארגון", אמר זילביגר. לדבריו, "כל ארגון, בכל מגזר, ובדגש על המגזר הפיננסי, נדרש להכין תוכנית תגובה לאירועי סייבר. תוכנית שכזו צריכה לענות על דרישות הרגולציה. קיים חשש של הגופים הממשלתיים מכישלון מערכתי כולל של התשתית הפיננסית של העברת כספים. התשתיות הללו חייבות להיות ברמות גבוהות של שרידות, אמינות וזמינות".

צילום ועריכת וידיאו: עדי רמלר

"בארץ, נושא הסייבר כמעט שאינו נדון"
זילביגר ציין שהרגולטור האמריקני הנפיק למנהלי אבטחת המידע תוכנית אבטחה מפורטת ומעמיקה. לצד זאת, המשרד להגנת המולדת (DHS) הנחה באופן פרטני את הגופים הפיננסיים במדינה. "בהשוואה לתקנה 357, אותה הנפיק המפקח על הבנקים בישראל, התקנה בארצות הברית הרבה יותר מפורטת ומתמודדת עם מגוון סוגיות רלוונטיות", ציין. "בארץ, נושא הסייבר כמעט שאינו נדון. הנושא מאוד טרי כאן והיה צריך להתחיל לטפל בו ברמה המערכתית-לאומית לפני זמן. אין אליו התייחסות ספציפית במסגרת ההנחיות הניתנות לגופים פיננסיים. מה שכן יש הוא שיתוף פעולה עם רא"ם שבשב"כ, שמנחה את הגופים המוגדרים כתשתית לאומית קריטית, ובנוסף, יש שיתופי פעולה עם הרגולטור הפיננסי, המפקח על הבנקים בבנק ישראל. המפקח הנפיק במחצית פברואר האחרון מסמך קצר שדורש לחזק את האבטחה, להתקין חדר מצב, לעדכן את הנהלים, להגדיר נהלי דיווח ולבצע הערכת סיכונים".

"בחלק מהבנקים בארץ נוסף תרחיש ייחוס לסייבר למערך התרחישים של ההמשכיות העסקית, אולם אין הכוונה מסודרת של גופי ממשל לנושא", אמר זילביגר. הוא ציטט בכיר במערכת הבנקאות שהתבטא באחרונה בשולחן עגול של STKI: "לא יכול להיות מצב בו תוקפים ארגון על רקע לאומני והמדינה לא מגינה".

"נדרש להחליט ברמה הלאומית על טיפול בהיבטים העסקיים של הסייבר", סיכם זילביגר. "יש להאיץ הטמעה של תוכנית הגנה בסייבר ולהביא ליצירת שקיפות ציבורית גבוהה יותר בתחום. קיים הצורך ליצור שיתופי פעולה בין גורמי ממשל וביטחון לגופים העסקיים. שיתוף הפעולה הקיים אינו מספיק. נדרש ליצור תשתית לשיתוף מידע בין הגופים העסקיים והפיננסיים לתחום הסייבר".