לי זה כן יקרה – מצוקת המנמ"רים וסיכוני הסייבר
המתקפה שאירעה באחרונה על תשתיות המים שלנו ממחישה עד כמה חשובה הגנת הסייבר ועד כמה ארגונים משקיעים בה מעט משאבים ● ארגונים ומנמ"רים שלא יתעוררו עכשיו "יבכו" כשהמתקפה תקרה - והיא בוא תבוא
הקורונה תפסה את המנמרי"ם בזמן רע מאוד, כשהם מתמודדים עם האתגרים העומדים בפניהם בשנים האחרונות – החל מהשקעה ניהולית וכספית עצומה בחידוש מערכות הליבה בחברות רבות (בבנקים ובחברות נוספות), עבור בעולמות האי-קומרס, הדיגיטל, הענן והאנליטיקה, שצורכים משאבי ניהול ומשאבים כספיים עצומים מחברות רבות, שרוצות להישאר רלוונטיות, וכלה בעלויות כוח אדם גוברות והולכות, עקב המחסור בהון אנושי בענף, שגורם לכך שמועמדים דורשים – ומקבלים – שכר גבוה יותר.
בימים הראשונים של הקורונה ראיתי בהלה בחברות שאני מלווה לרכוש לפטופים מכל הבא ליד, כדי שיוכלו לספק אותם לעובדים שההנהלה דרשה מהם לעבוד מהבית. כל מנמ"ר הפעיל את כל חבריו היועצים והספקים על מנת להקדים את האחרים ברכש מחשבים ניידים לחברה או לארגון שלו. אם תרצו, זה מזכיר באיזשהו מקום את המרדף שהיה אחרי מכונות ההנשמה. ומכיוון שמדובר בתקופת מצוקה וכולם צריכים להתגייס לנשיאת האלונקה, אף מנמ"ר חכם לא פנה למנכ"ל שלו לבקש תוספת תקציב, אלא ספג את העלויות הלא קטנות האלה מתקציבו השוטף.
זו לא המכה היחידה שניחתה על המנמ"רים בתקופת הקורונה. נוספו לה ה-"הקצאה המחודשת של כספי המחשוב לאור המצב הכלכלי שנקלענו אליו", כפי שאמרו מנכ"לים שונים – דבר שמשמעו קיצוץ בתקציבי המחשוב, והפסקת עבודתם של אנשי מחשוב הכרחיים, לרבות הוצאתם לחל"ת של אנשי אבטחת מידע וסייבר. כאילו שההאקרים יצאו להפסקת קורונה.
המקרה שבעקבותיו הפסקתי לזלזל באיומי הסייבר
המתקפה האיראנית על תשתיות המים של ישראל היה מבחינתי הקש ששבר את גב הגמל בהתייחסותנו לאיומי הסייבר. זה אירוע שלפי מה שדווח בתקשורת, יכול היה להיגמר באסון, והוא עבר לידנו ללא הפקת לקחים בארגונים שאינם תחת חסות מערך הסייבר הלאומי, כדי שזה לא יקרה גם אצלם. זוהי תופעת ה-"לי זה לא יקרה", שכל כך מאפיינת אותנו, כישראלים.
אבל לי ולחבריי בחברות כרטיסי האשראי זה כן קרה. מדובר במקרה מ-2013, כשהייתי סמנכ"ל הטכנולוגיות של ישראכרט, שבעקבותיו הפסקתי לזלזל באיומי הסייבר. זה קרה בשעה 23:00, כאשר אנשי ההפעלה עדכנו אותי שיש ברשת קבצים עם מספרי כרטיסי אשראי שחלקם עם קידומת שלנו ושל חברות כרטיסי האשראי האחרות בישראל. זה היה בתקופה מוקדמת יותר של מתקפות סייבר, ורוב החברות בארץ טרם ידעו כיצד לפעול באירוע כגון זה. כפי שציפיתי, האירוע קרה באזור שהיה תמיד החוליה החלשה בעולם כרטיסי האשראי: אחסון נתונים של בתי עסק בחוות שרתים לא מקצועיות ובניגוד להנחיות הנדרשות מבתי העסק. אלא שלמזלי, ההאקר שפעל מולנו היה חובבן ואפשר לנו להתגבר על האירוע בקלות יחסית, אף על פי שהיינו חסרי ניסיון.
כיום, ב-2020, זה לא היה מסתיים כך. ההאקרים השתכללו, קבוצות העבודה שלהם מנוסות ויודעות לעבוד ואנחנו קוראים מידי פעם על מתקפות בארץ ובעולם שמסתיימות בנזקים פנומנליים לא רק כספית, אלא מהווים גם פגיעה אנושה במותג.
אבל, וזה האבל הגדול, לטעמי, כאשר אני פוגש מנמ"רים רבים וטובים, אני מרגיש שבמקרים רבים, הגורם שצריך להגן על הארגון מפני מתקפות הסייבר המשתכללות לא מצליח לשכנע את המנכ"ל בסכנה הגדולה שמתקפה שכזו יכולה להוות על הארגון. זה מתבטא, לצערי, בתקציבי הגנת סייבר נמוכים יחסית ברוב החברות, ובמיוחד בכאלה שבהן יש מנמ"ר ומספר קטן בלבד של עובדי מחשוב, שצריכים גם למחשב את החברה, גם לקדם אותה טכנולוגית, גם לפתח או לרכוש מערכות טכנולוגיות שונות וגם להגן על הארגון.
ואז, כאשר בכל זאת מתרחשת מתקפה על הארגון, המנמ"ר נאלץ להפעיל במקרה הטוב את איש התשתיות או אבטחת המידע שלו, ובמקרה הפחות טוב להיעזר בחברה חיצונית כדי להציל את הארגון מפגיעת הסייבר שנחתה עליו.
להגן על הארגון בכלים שאינם
עולות כאן השאלות: איך מנמ"ר חושב להגן על עצמו באמצעות אנשים שלא התנסו במתקפות סייבר קודמות? האם בצה"ל היו לוקחים אנשי שלישות להילחם בלוחמים שמתקיפים אותנו? האם היו לוקחים טירונים שזה עתה סיימו טירונות ישר לקרב? אבל בעולם הסייבר בישראל, זה המצב. במקום לקחת צוותי תגובה לאירועי סייבר (IR – Incident Response) של חברות שמתמחות בכך והתנסו בעשרות אירועים קודמים, נאלץ המנמ"ר בהעדר תקציבים או עקב חשיבה מיושנת להגן על הארגון בכלים שאין לו.
כמי שמכיר אירועי סייבר רבים שלא דווחו בתקשורת, אני מציע לכל מנמ"ר לחשב מסלול מחדש בכל מה שנוגע לפעילותו, תקצובו וניהולו את הגנת הסייבר בארגון שעליו הוא אחראי. המשך תקצוב הגנת הסייבר כפי שהוא קיים כיום במרבית החברות והארגונים בישראל לא יגן עליהם במידה שהם יפלו קורבן להתקפת אמת ממוקדת.
הכותב משמש כיו"ר מועדון המנכ"לים והמנמ"רים C3 מבית אנשים ומחשבים, ובעל חברת הייעוץ BSD-IT Consulting, לייעוץ אסטרטגי-טכנולוגי לחברות וארגונים.
תגובות
(0)