כאוס ושמו מדיניות הסייבר במגזר האזרחי

סקר אנשים ומחשבים מעלה ממצאים עגומים לגבי מצב המוכנות של ארגונים למתקפות סייבר. עולה ממנו מצב של כאוס מוחלט. שמחייב מציאת פתרון מיידי.

הסקר בוצע על ידי חברת קונפידס בהנהלת רם לוי בקרב 100 מנכ"לים ומנהלי אבטחת מידע בארגונים, ממגזרים שונים של המשק. הוא נערך לקראת הוועידה השנתית המרכזית לנושאי אבטחת המידע, InfoSec 2015, שתיערך ביום ה' הקרוב. השתתף בניתוח והכנת הסקר אופיר זילביגר, מנכ"ל SECOZ, שמוביל את תכני הוועידה.

הכאוס שעולה מהסקר נובע קודם כל מהעדר סמכות רשמית, ממלכתית, שתכוון ותהיה אחראית על היערכות המגזר האזרחי – חברות ורשויות – למתקפות סייבר.

הנתונים חדים וברורים: רוב המנהלים מודעים לכך שהארגון שלהם לא מוכן לסייבר ולמרות זאת, כמו גם למרות טענתם שיש להם תוכניות אסטרטגיות להכנת הארגון למצבים כאלה, אין בדעתם להעלות את הנושא לעדיפות עליונה בסדר היום שלהם.

כשנשאלו מדוע הם לא מטפלים בזה, התשובה השכיחה ביותר הייתה העדר תקציבים. כלומר, ההנהלות לא רואות במוגנות מפני איומי הסייבר חשיבות עליונה או סיכון ברמה קריטית ולכן לא מתקצבות את זה.

הסיבות להתנהגות מוכרות ודי מקוממות: הנהלות של ארגונים סובלות מחוסר חזון או הבנה של השפעת הסייבר. הן רואות במנהל אבטחת המידע כמי שאמור לטפל בבעיה, משל היה קוסם שצריך להפעיל את קסמיו כדי להוריד את הנושא מסדר היום. אחרים סבורים שזו בעיה מקומית, שלא בהכרח תתקיים בכל מקום ובכל זמן. יש גם מנהלים שהשיבו שמערכות המידע שנמצאות בהם מורכבות מדי ולכן מאוד קשה לתכנן מדיניות אסטרטגית בנושא זה.

מוכנות, כידוע, תלויה בתרגול. הדברים טובים ויפים בתיאוריה, אבל בלי המעשה הם לא מושלמים. אלא שאצל חלק גדול מהארגונים הנושא "לא בבית ספרנו". מרבית מנהלי הארגונים מודים כי התרגולים, אם בכלל, מבוצעים לאחר אירועים שקרו, כתגובות להם, ולא במסגרת מתודולוגיה סדורה, על אף שלטענת חלק מהם קיימת כזו בארגונם.

איפה מקבלי ההחלטות?

הנתונים האלה צריכים להדליק נורה אדומה חזקה מאוד בקרב מקבלי ההחלטות, לא רק בצמרת הארגונים במשק אלא גם בקרב גורמי ממשל ורגולטורים. כבר נאמר יותר מפעם אחת שמתקפת סייבר אינה רק פגיעה באתר התדמית של החברה – ובתדמיתה בכלל, או השבתתו, אלא פגיעה בתשתיות לוגיסטיות כמו מים, רמזורים או מערכים לוגיסטיים של רשתות קמעונאיות, ארגוני בריאות ועוד. הרגולציה בישראל חלה על אותם ארגונים שכפופים לגורמי הביטחון, כגון חברת החשמל ומקורות. הבנקים מפוקחים על ידי בנק ישראל, אולם גם כאן, הוראות ההגנה מפני הסייבר עדיין בחיתוליהן, ההנחיות הן בגדר המלצות שבמקרה הטוב ייושמו בתוך כמה שנים. כל יתר המגזרים מופקרים לחלוטין.

הנורה האדומה שצריכה להידלק לא נובעת רק מדאגה לשלמותם של הארגונים. בשנת 2015 יש הסכמה כמעט רחבה שהוויכוח סביב הגדרת המונח "סייבר" כבר מאחורינו. כיום ברור לכולם שסייבר הוא חלק בלתי נפרד ממארג אבטחת המידע וממצאי הסקר מראים שהמארג הזה פרום מאוד. תמונת המצב בכל מה שקשור לארגונים בכלל, ולכאלה שקריטיים למרקם החיים בארץ, עגומה ביותר.

המדיניות שבה נוקטים מרבית המנהלים הבכירים היא של בת יענה. הם לוקחים סיכונים בכל מה שקשור לאבטחה, מבלי שהם מודעים עד הסוף למהות שלו ולמידת החשיבות של ההגנה מפני מתקפות סייבר לארגון. יתירה מזאת, המדיניות הזו עלולה להפגיש אותם ביום מן הימים עם גורמי חוק ומשפט, מבלי שהם ידעו בכלל למה.

ועוד משהו שקשור לניהול סיכונים: דירקטורים ומנהלים בארגונים נוהגים לבטח את עצמם בביטוחים מיוחדים שיגנו עליהם מפני תביעות. ככל הידוע לנו, יש מעט מאוד חברות ביטוח בעולם שמוכנות לבטח דירקטורים בכל מה שקשור לפגעי סייבר וכשהן מוכנות לעשות זאת – העלות גבוהה מאוד.

השורה התחתונה: ממצאי הסקר צריכים להוות קריאת השכמה לא רק למנכ"לים ולמנהלי אבטחת המידע בארגונים, אלא גם לכל גורמי האכיפה וההגנה האזרחיים בישראל. סייבר יכול להיות בעיה מקומית, מתקפה נקודתית, אבל יש לו פוטנציאל נפיץ מאוד, להפוך למתקפה כוללת, שתחייב הקמת ועדת חקירה. וכנהוג במקומותינו, ועדת חקירה משמעה פעמים רבות עריפת ראשים.

מעוניינים לשמוע עוד? מתעניינים בסייבר ובאבטחת מידע? הירשמו לכנס InfoSec 2015 של אנשים ומחשבים.