דלויט: "עסקים שאננים ורובם לא מודעים לאיומי הסייבר – אף שהם מותקפים לעתים קרובות"

88% מהארגונים סבורים שהם לא חשופים לאיום קיברנטי חיצוני, אף על פי שיותר מחצי מהם חוו אירוע אבטחת מידע בשנה האחרונה – כך עולה ממחקר חדש של דלויט (Deloitte). עוד עולה מהמחקר, כי רק למחצית מהארגונים יש תוכניות כתובות לתגובה במקרה של אירוע סייבר. מומחי האבטחה של פירמת הייעוץ קובעים, כי הנהלות ארגונים הן שאננות ומזהירים ש-"כשזה מגיע להתקפות סייבר, זו אינה שאלה של 'אם' אלא של 'מתי'".

המחקר בדק 121 ארגוני טכנולוגיה, מדיה וטלקום ב-38 מדינות בעולם. 68% מהחברות מסרו שהן מבינות את סיכוני הסייבר שלהן ול-62% מהן יש תוכנית תגובה יעילה, לטענתן, למקרה אירוע סייבר.

יותר ממחצית מהארגונים (59%) השיבו שהם חוו בשנה האחרונה אירוע אבטחת מידע. "עם כמות כזו של מתקפות מוצלחות, חברות צריכות לטפל באירועי אבטחת מידע וסייבר כאילו זה ברור שהם יגיעו, להבין שזה בלתי נמנע ולהשקיע זמן ומאמץ ניכרים בתכנון תגובה", נכתב בדו"ח שהוציאה דלויט. "כך הן תוכלנה להתאושש במהירות לאחר שהמתקפה מגיעה".

איום האבטחה המרכזי, לפי רוב הארגונים, הוא הטעויות שמבצעים העובדים שלהם במהלך עבודתם. למעשה, כ-70% מהארגונים מדגישים שחוסר המודעות לאבטחת מידע של העובדים היא חולשה. למרות זאת, פחות ממחצית מהם (48%) עורכים הדרכה כללית בנושא. באופן מדאיג, 49% מהארגונים השיבו שחוסר בתקציב מקשה על היכולת לשפר את האבטחה.

עוד צוין בדו"ח, כי חדירת הטלפונים החכמים והטאבלטים לרשתות הארגוניות מביאה לכך שהעובדים משתמשים לצורך ביצוע עבודתם במכשיר אחד. מצב זה הופך מכשירים ניידים אלה ליעד עיקרי להאקרים ומספק להם נקודת חדירה חדשה למערכי ה-IT הארגוניים. לכן, אין זה מפתיע ששלושה רבעים (74%) מהמשיבים ראו את השימוש המוגבר במכשירים ניידים כתחום פגיע.

דאגה עיקרית עבור חברות הייתה רמת האבטחה של העסקים שהם עובדים עימם. בעולם המקושר יתר על המידה כיום, ארגונים סומכים יותר מאשר אי פעם על חברות מצד שלישי. כך, לעתים קרובות מגיע מידע עסקי רגיש למערכות IT של ארגונים שתומכים בשרשרת האספקה ובפעילות עסקית אחרת. על פי המחקר, 74% מהארגונים חוששים שבעסקים אלה יש פרצות אבטחת מידע, ולכן קובעים חוקרי דלויט, כי חשוב וחיוני שארגונים יכירו את אופן הפעולה של חברות מצד שלישי, במטרה להבין ולשפר את נהלי האבטחה שלהן, ולא לסמוך על הסכמים חוזיים הדנים באבטחת מידע.

"ההאקטיביזם – איום גדול"
עורכי המחקר מציינים, כי ההאקטיביזם (שילוב המילים אקטיביזם והאקרים), שמשלב פעילות חברתית או פוליטית עם פריצות, הוא איום גדול וחדש יחסית. אלה, לדבריהם, עלולים לחסום את הפעילות המקוונת של ארגונים על ידי DoS (מתקפות למניעת שירות). בדו"ח נכתב, כי "טיפול יעיל בהתקפה של האקטיביסטים דורש הכנה מראש, הן מנקודת מבט של ה-IT והן מזו של יחסי הציבור. למרבה המזל, המחקר שלנו מראה, כי ארגונים אכן נוקטים בצעדים כדי לקבל מודעות טובה יותר אודות סיכוני סייבר: 55% מהארגונים מתחילים לאסוף מודיעין כללי על פעולות שכאלה ועל סוגים אחרים של פשע קיברנטי. זאת, על אף שרק 39% מהם אוספים מידע על התקפות ממוקדות על הארגון, התעשייה, המותג או הלקוחות שלהם".

"באופן מעודד", נכתב, "אסטרטגית אבטחת המידע ומפת דרכים לתחום נמצאות בראש סדר העדיפויות של חברות. ארגונים מכירים כעת בעובדה, כי להיות מאובטח זה נכון וחכם עסקית, לא רק משום שכך דורש הרגולטור". בנוסף, "חברות ציינו שהתוצאה החשובה ביותר של פרצת אבטחת מידע היא החשש מתלונות של לקוחות. אלה מבינים באבטחת מידע יותר מבעבר ויש להם סובלנות מועטת לטעויות הקשורות לנתונים שלהם".

לדברי ג'יימס אלכסנדר, מנהל משותף לתחום האבטחה בדלויט, "התקפות הסייבר הנוכחיות מאוד מתוחכמות וכה שגרתיות, עד שזה בלתי אפשרי להיות מוגן באופן מלא. חברות צריכות להתנהג כאילו מתקפות ואירועי אבטחת מידע הן בלתי נמנעות. עליהן לקיים תכנית תגובה מתועדת, כדי שיוכלו להגיב כאשר זה קורה. למרבה הצער, לא מספיק חברות עושות את זה. חברות מפריזות בהערכת החוסן שלהן. חברות חייבות גם להטביע תרבות של אבטחה מפני סייבר בקרב העובדים שלהן. קל יותר לומר זאת מאשר לעשות ולמרות זאת, צריך לעשות את זה".