"הגנת סייבר טובה יכולה להיעשות רק אם יש קהילה"

"כדי לעשות הגנת סייבר דרושה קהילה. הכוונה היא לתקשורת – בין אם בין המדינה לחברות ולאזרחים, בין החברות לבין עצמן, תקשורת בתוך מגזרים וכדומה. בקהילת הסייבר, חוכמת ההמונים היא מוצר הגנה בפני עצמו", כך אמרה דפנה ינין, ראשת מחלקת ממשקים במערך הסייבר הלאומי.

ינין דיברה בכנס InfoSec של אנשים ומחשבים, שנערך באחרונה במרכז הכנסים והאירועים לאגו בראשון לצין ועסק בהגנת סייבר. מנחה הכנס היה יהודה קונפורטס, העורך הראשי של אנשים ומחשבים.

לדברי ינין, "החלפת המידע מעלה את רמת ההגנה של הארגונים ואת היכולת של מערך הסייבר לתרום את חלקו. כשיש תקשורת בקהילה, כולם מרוויחים מזה: האזרחים מוגנים, החברות מוגנות והחברה הופכת להיות יצרנית".

"התקשורת יכולה להתבצע בכל אמצעי שהוא, למשל קבוצות פייסבוק או קבוצות ווטסאפ", הוסיפה. "זה מייצר קהילת סייבר חזקה, שבסופו של דבר תורמת לכולם".

היא סיפרה על ה-CERT הלאומי – המרכז שאליו מועברים דיווחים על אירועי סייבר. המערך מעודד את הגופים השונים לדווח לו על אירועי סייבר – ולא רק כאלה שחייבים לעשות זאת. "ל-CERT מגיעים דיווחים רבים על אירועי סייבר בדרגות שונות – מהאזרח הפרטי שאומר שפרצו לו לפייסבוק ועד לארגוני אנטרפרייז. למערך הסייבר הלאומי יש יכולת להסיק על מגמות ולבצע פעולות רחבות, שיכולות למנוע מגפת סייבר בשלבים מוקדמים. אנחנו מעלים מידע בקבוצות ווטסאפ. זו עוד דוגמה לחשיבות הקהילה – כל אחד מהחלקים הופך להיות חלק מפאזל של תמונה גדולה", ציינה ינין.

לסיכום היא אמרה ש-"שיתוף הפעולה הוא דבר קריטי בהגנת סייבר. הכוח של הקהילה הוא בהיותה מתקשרת. בכלל, קהילה זה כוח. החלפת המידע בין חברי הקבוצה יכולה לגרום למצב של נתקף אחד והרבה מאוד מוגנים, אירוע סייבר אחד שמגביה את החומות בהרבה מאוד ארגונים".

רם לוי, מנכ"ל קונפידס. צילום: ניב קנטור

רם לוי, מנכ"ל קונפידס, התייחס להנחיות הגנת הסייבר שהרשות האמריקנית לניירות ערך (ה-SEC) מעוניינת להחיל על הארגונים שנמצאים תחת הרגולציה שלה – אודות אופן הדיווח על אירועי סייבר וההגנה מפניהם. זאת, מתוך דאגה למשקיעים, שמביעים חשש הולך וגובר ממתקפות סייבר על ארגונים שהם שוקלים להשקיע בהם את כספם.

"הטענה המרכזית של ה-SEC היא שהצורה והאופן שבהם חברות מדווחות על סייבר – אירועים ומה שקשור בסוגיות ממשל תאגידי – לא רק שאינם מספקים, אלא שהם פוגעים במשקיעים, ולכן הוא רוצה לשנות. במרץ בשנה שעברה הארגון הגיש הצעת חוק בעניין", אמר לוי. המהלך רלוונטי בין היתר למעל 100 חברות ישראליות שמחויבות לדווח ל-SEC, ציין.

"הטענה של הרשות היא שחובות הדיווח כיום בארצות הברית לא מוסדרות, הן רק משתמעות מחובות דיווח כלליות. לכן, יש חברות שלא מדווחות על מתקפות סייבר שהן חוות, יש כאלה שמדווחות עליהן מעט ולעתים אף באיחור, וחלק מהדיווחים על אירועים מדווחים במדיה ולא בבורסה", הוסיף. לוי הביא נתונים הנכונים ל-2021, שלפיהם ה-SEC קיבל בשנה זו 188 דיווחים על אירועי סייבר. לעומת זאת, 43% מהאירועים כלל לא דווחו לרשות.

הזמן הממוצע מהמועד שבו האירוע קרה ועד שהוא דווח ל-SEC הוא כ-80 יום – כך על פי הנתונים. "לפי הרגולציה שה-SEC מקדם, ארגונים יחויבו לדווח על אירועי סייבר מהותיים בתוך ארבעה ימים מהרגע שההנהלה הבינה שהם מהותיים. ה-SEC מצפה שיהיה לארגון מנגנון לקביעת המהותיות של האירוע", אמר לוי. "כמו כן, יש בחוק דרישה מחברות לעדכן על ההתפתחות של האירועים שקרו, לאן הם הובילו. הוא אף מחייב לדווח גם במקרה שהארגון חווה כמה אירועים 'קטנים' שהצבר שלהם הפך את המצב למהותי. הרגולציה המוצעת אף מחייבת מינוי אחראי על הדיווח בארגון – לאו דווקא מומחה סייבר, אבל מישהו שיש לו מומחיות מסוימת בתחום".

"ה-SEC מצפה לראות בדיווחים על אירועי סייבר מתי האירוע קרה, באיזה סוג אירוע מדובר, אילו פעולות חקירה נעשו, האם נגנב מידע, מה הנזק לארגון ומה הסטטוס של הכלת האירוע והטיפול בו", ציין לוי. "כמו כן, הארגונים יחויבו לדווח האם האקרים מעוניינים למכור את המידע והאם הם מפרסמים אותו", הוסיף.

הצעת החוק החדשה, אמר, כוללת גם התייחסות למועצות המנהלים של הארגונים: "ה-SEC קוצה לדעת האם יש חברי דירקטוריון בעלי אחריות לנושא, מה המודעות של הבורד להגנת הסייבר ואיך הוא מפקח על ניהול סיכוני הסייבר בארגון".