"הגנת הסייבר הכרחית לארגונים כמו חשמל, מזון ומים"

"הגנת הסייבר היא אבן דרך בכל תהליך עסקי בארגונים. היא חיונית בדיוק כמו חשמל למפעל, ומזון ומים לבן אנוש. התעלמות מהמימד הזה תביא לכך שארגונים לא ישרדו בנוף האיומים ההולך וגדל בימינו", כך אמר ג'רארד קרלטון, ראש תחום הגנת הסייבר לאזור אירופה, פרוסט אנד סאליבאן.

קרלטון ביקר בארץ באחרונה, ונפגש עם לקוחות הסניף הישראלי של חברת הייעוץ והמחקר, כמו גם עם חברות סטארט-אפ מקומיות העוסקות בסייבר. בראיון לאנשים ומחשבים אמר קרלטון כי "קיים מתח מובנה בארגון בין המנכ"ל והמנמ"ר. כל אחד מהם מודאג בהיבט הסייבר מדברים שונים. המנכ"ל רוצה לממש אסטרטגיה לתחום, ואילו המנמ"ר, פעמים רבות, עדיין ממשיך לדבר טכנולוגית – ולא 'עסקית'".

הגנת סייבר. צילום אילוסטרציה: BigStock

לדבריו, "על מנהל אבטחת המידע והמנמ"ר לשנות את השפה והתפיסה שלהם, ולא להסביר להנהלה מה קורה במערך ה-IT הארגוני, אלא כיצד מימוש נכון של אבטחת מידע והגנת הסייבר יסייע לארגון עסקית. עליהם להבין לא רק מה קורה ב-IT, אלא כיצד ניתן למנף את כלל הטכנולוגיות בארגון, ובתוכן את טכנולוגיות האבטחה – לטובת הגנה על הקניין הרוחני, לטובת הידוק הקשר עם הלקוחות והגנה על המידע אודות הלקוחות, ומימוש נכון ועמוק יותר של הרגולציות".

"אני עובד עם ארגוני ענק רבים", אמר קרלטון, "רבים מהם מה-Fortune 500, ביניהם CA, חברת SecureWorks מבית Dell, קבוצת העבודה להגנת הסייבר בארגון CTIA. עבדתי גם עם הסטארט-אפ הישראלי סקיי קיור, שנרכש לפני יותר משנה על ידי סימנטק. כך, עבדנו עם SecureWorks כאמור, שרצו למתג את עצמם מחדש כמובילים בעולם האבטחה. ערכנו עבורם מיפוי של לקוחות פוטנציאליים, ועל הלקוחות הללו 'הלבשנו' מודל של בשלות סייבר. העברנו להם מסר שאומר שכאשר מביטים על תחום הגנת הסייבר, נדרשת חשיבה עמוקה ואסטרטגית, זה לא רק לסמן V על 'יש לנו אנטי נוזקה' ו'יש לנו פיירוול'. מדובר בהליך מתמשך, של השקעה מתמדת, על בסיס תעדוף הנכסים הקריטיים שיש להגן עליהם. אסור לחשוב שאתה מוגן כי הטמעת מוצר אבטחה במקום אחד בארגון – ואז מותר לנוח למשך שנתיים. יש להבין כי נוף האיומים משתנה באופן קבוע, האיומים הולכים ונהיים משוכללים יותר, ואף גדלים בהיקפם".

לדבריו, "יש לתפור חליפת הגנת סייבר פרטנית לכל ארגון, ולעשות זאת תוך בחינה מתמדת של החוזקות והחולשות. המטרה היא לקבל החזר השקעה מיטבי. בנוסף, תחום שארגונים ככלל חלשים בו, הוא התרבות הארגונית. זה משהו שחייב לחלחל מלמעלה, מההנהלה. מנכ"לים נדרשים לתת רוח גבית למנהל האבטחה במימושו את מדיניות האבטחה בארגון".

"אחד הדברים שאנו בפרוט אנד סאליבן מקפידים להדגיש", הוסיף קרלטון, "הוא שאבטחת מידע והגנת הסייבר לא צריכות להיתפס כמרכז הוצאה, אלא כחלק מהדברים המאפשרים עסקית. בכך הסייבר לא שונה מהגנרטור המותקן במפעל לשם הפעלה במקרה חירום של הפסקת חשמל. חלקם של המנכ"לים עדיין לא הפנים זאת. הקנסות שמשולבים בתקן הגנת הפרטיות האירופאי, GDPR, 'עוזרים' למנכ"לים להבין את ההיבט הכלכלי שבסייבר, את ההבנה שאם הם לא יממשו את הגנת הפרטיות – הדבר יפגע ברווחי הארגון".

כל אחד הוא יעד בסייבר

"מנכ"לים נדרשים להבין דבר נוסף", אמר קרלטון, "שלא רק תאגידי ענק הם יעדים למתקפות סייבר. אני גר באוסטריה, ושם, במשך תקופה ארוכה, ייתכן שבמשך 12 שנים – ארגוני SMB הותקפו, איני יודע על ידי מי, אולי סין. זה שאתה ארגון קטן ולא תאגיד המגלגל מיליארדים – לא אומר שלא תותקף. כל אחד ואחד הוא יעד למתקפה, ועליו לנהוג בהתאם ולהיערך לכך מבעוד מועד. כך, מנכ"ל צריך לחשוב על אבטחת מידע כעל אובדן קניין רוחני. אם הוא לא יעשה זאת, הוא ימצא את המוצר שלו מועתק בארץ כלשהי במזרח אסיה, ונמכר בשליש ממחירו".

"ארגונים נדרשים לחשוב קדימה כל העת", סיכם קרלטון, "המתקפות משתכללות, ויש כיום, למשל, הרבה יותר תקיפות מסוג APT. עולם האינטרנט של הדברים, IoT, מהווה משטח תקיפה נוסף בנוף האיומים. לעולם המענה לא יהיה רק טכנולוגי, אלא גם כזה הכרוך בגיבוי של ההנהלה, ובשינוי התרבות הארגונית".