מחדל המנכ"לים בהגנה על סייבר

כנס GovSec 2013, שנערך בסוף השבוע האחרון ועסק בנושא הסייבר על היבטיו השונים, נפתח בדברים מרגשים של אבי וייסמן, מנכ"ל שיא סקיוריטי ויו"ר הכנס. וייסמן פרש כתב אישום חמור נגד המנכ"ל הישראלי, המואשם בלא פחות מאשר אחריות ישירה לכך שמדינת ישראל אינה ערוכה למתקפת סייבר. אין אף ארגון אזרחי בישראל שניתן לומר עליו שהוא ערוך לתרחישי קריסה ואובדן מידע כתוצאה מהסייבר.

הקהל שישב באולם אינו קהל היעד של אזהרה זו. באי הכנס הם הנושאים באחריות, לכאורה, להכנת הארגון מפני סייבר וכל תקלה אחרת, אבל אינם נושאים באחריות הבלעדית והישירה. מי שצריך לעמוד לוועדת חקירה ולתת הסברים הוא המנכ"ל הישראלי הממוצע, זה העומד בראש מועצת מנהלים או הנהלה בכירה. זהו המנכ"ל הטיפוסי שיגיד לך שאין ספק שהסייבר הוא אחד הנושאים המרכזיים שמדאיגים אותו, הוא זה שיספר לך שיש לו אנשים מצוינים ששומרים על מערכות המידע בארגונו.

אבל מרבית המנכ"לים שמדברים כך עושים זאת מאחר שאין להם מושג מה קורה בארגון שלהם באשר להגנה על המידע שלהם, או מהסיבה כי הם יודעים היטב שהמצב גרוע, אבל לעולם לא יחשפו את זה. אלו ששייכים לאופציה הראשונה, לא יודעים מפני שהם לא רוצים לדעת; כאשר מנמ"רים ומנהלי אבטחה באים אליהם עם דרישות להקצאת משאבים על מנת להיערך לסייבר, הם מיד דוחים אותם באמתלה "אתם לא קוראים עיתונים? לא רואים עד כמה המצב קשה?". זאת, בעוד שהמנכ"לים ששייכים לסעיף השני הם אלו שבמודע לא מוכנים להקצות משאבים כדי שהארגון שלהם יהיה מוגן כהלכה: הם לא שולחים את עובדיהם להשתלמויות, ולא מאשרים תקציבים ליישום ורכישת פתרונות מתאימים. הם מעדיפים לבחור בחברות חיצוניות שמעסיקות אנשים חסרי ניסיון, בגלל המחיר הנמוך, ובכלל – כמנהלים מנוסים הם דורשים להעמיד כל בקשה להוצאה דרך המסננת של ה-ROI. נוח להם למדוד את עלות ההשקעה בפתרון אבל לא לבדוק מה העלות של נזק כתוצאה מאי-השקעה. הם מנהלים סיכונים ברמת קזינו, כי רובם יודעים שזה לא כסף שלהם.

הציבור הרחב, ברובו, לא מודע לתופעה הזו. אלו שיודעים, לא יכולים לדבר יותר מדי שכן זהו לחם חוקם – להתדפק על דלתות הנהלות ולנסות לשכנע אותם שהנכס היקר ביותר שלהם, המידע, מצוי בסכנה. למחדל בו מנכ"לים לא יודעים או לא רוצים לדעת יש צד שני: גורמי אכיפה. חלק מהארגונים החשופים נתונים לכאורה לרגולציה. אחרים "יתומים", תרתי משמע, כי אין מי שיאכוף עליהם את הדרישה להיות שקופים ומוכנים לשעת אסון. ארגונים אלו מחזיקים בידם בסיס נתונים של מידע רגיש ביותר, על מאות אלפי אזרחים. הם מנהלים רשומות שקשורות בכספי ציבור, חסכונות וקרנות פנסיה, שלא לדבר על רשומות רפואיות. אם חס וחלילה הן תהינה חשופות למתקפת סייבר, ייגרם נזק רב להרבה מאוד אנשים.

המטה הקיברנטי, יש לציין, הוקם לפני כשנה. צודק וייסמן שאומר כי זה מעט מדי ומאוחר מדי, אם כי יש שם אנשים מצוינים שעושים עבודת קודש כדי למלא את המשימה שלהם. אחד מהם אף הופיע בכנס וסיפר על תוכניות המטה. אבל זה עדיין לא גוף מפקח ולא גוף אוכף. אין גוף כזה, אין מודעות בקרב מרבית המנהלים. פה ושם מחלחלים רסיסי מידע על כוונות להחיל אחריות אישית ופלילית על דירקטורים של בחברות אשר יתרשלו בהקצאת משאבים לסייבר. אבל עד היום לא שמענו על אף דירקטור שהתפטר או פיטר מנהל שלא הכין את החברה שלו לסייבר. זה יקרה בוודאות, כנראה אחרי האסון הראשון, או אחרי דו"ח מבקר מדינה שיחפש את האשמים למחדלים. זו תהיה שעה אחת מאוחר מדי.