סקר אנשים ומחשבים: רוב המנהלים מודים שהארגון שלהם לא מוכן למתקפת סייבר

48% מהארגונים בישראל חוו מתקפת סייבר בשלוש השנים האחרונות – כך עולה מסקר שערכה קבוצת אנשים ומחשבים בשיתוף עם חברת קונפידס בקרב מנהלי ארגונים. 60% מהם סבורים שארגונם לא מוכן למתקפת סייבר, כאשר מרביתם נימקו זאת בחוסר תקציב.

הסקר נערך לקראת הכנס המרכזי בעולם אבטחת המידע InfoSec 2015 שיתקיים ביום ה' הקרוב, בהפקת אנשים ומחשבים, והוא מצביע על הכאוס הקיים בשוק בתחום זה. 68% מהמותקפים שהשיבו לסקר ציינו שווקטור התקיפה היה פישינג, 58% ציינו החדרת וירוס, נוזקה או סוס טרויאני ו-47% – מניעת שירות. 38% מהמנהלים לא ידעו להצביע על מקור התקיפה, בעוד ש-18% קשרו אותה לגורמי טרור, 15% להאקטיביסטים (האקרים אקטיביסטים), 10% לארגוני פשיעה ו-10% נוספים – לגורמים מדינתיים.

42% מהמנהלים ציינו שחוו מתקפת סייבר שגרמה לנזק כלכלי, ברוב המקרים של עד 100 אלף שקלים. השלכות נוספות לתקיפה שצוינו הן נזק תדמיתי – 28%, ואובדן לקוחות – 24%.

על אף שהמנהלים העידו על ארגוניהם כי הם לא מוכנים למתקפות סייבר, 78% מהם השיבו שיש להם אסטרטגיה להתמודדות עם הנושא ו-79% מהם מעסיקים מנהל אבטחת מידע או סייבר, שכפוף להנהלה הבכירה.

42% מהמנהלים שציינו שיש לארגונם אסטרטגיה להתמודדות עם האיומים הקיברנטיים טענו כי היא ברורה וכי מדובר בתוכנית אפקטיבית (הם סווגו כ-"מובילים"). 24% טענו שהם טובים יותר בפיתוח הגישה האסטרטגית מאשר ביישום תוכנית( "אסטרטגיים")' 12% טענו שהם טובים יותר ביישום תוכניות פעולה מאשר בפיתוח גישה אסטרטגית כוללת ("טכנאים") ו-22% העידו שאין להם לא אסטרטגיה ולא תוכנית להתמודדות ("מכבי שריפות").

מעבר לחשיבה אסטרטגית, מה שהופך ארגון למוביל בעיני עצמו הוא עבודת שטח אפקטיבית – ארגונים שמחשיבים את עצמם למובילים יותר מתחקרים אירועים (82% מול 65% בממוצע), מתרגלים ומודדים את דרכי התגוננות ההתגוננות שלהם (73% מול 50% בממוצע).

עוד עולה מהסקר כי מנהלים חושבים שמלבד התקציב, המכשולים הגדולים ביותר ליישום אסטרטגיה ותוכנית אבטחת סייבר קשורים בתפיסת הארגון את הבעיה כמקומית בלבד. נתון מעניין נוסף מצביע על כך שהחלק היחסי הממוצע של תקציב הסייבר מתקציב ה-IT הוא 5%, והמנהלים צופים כי הוא יעלה בשנה הבאה ב-10% בממוצע.

"חוסר בחזון או הבנה של השפעת תחום הגנת הסייבר על הפעילות הכוללת של החברה" (39%) ו-"הבעיה נתפסת כבעיה של מנהל אבטחת המידע ולא בעיה של כלל המנהלים בארגון" (36%) צוינו כמכשולים הגדולים ביותר ביישום אסטרטגיה או תוכנית בתחום הסייבר (לאחר "חוסר בתקציב", אותו ציינו 53% מהמשיבים).

דלף או גניבת מידע, מתקפות הרסניות (מניעת מחשוב) והגנה על תשתיות בקרה הוזכרו על ידי המנהלים כנושאים החשובים ביותר לטיפול בשנה הקרובה.

הסקר האנונימי נערך על פלטפורמה אינטרנטית, והופץ לפורום CISO של אנשים ומחשבים ולקהל הלקוחות של חברת הייעוץ קונפידס באמצעות לינק. קונפידס הוקמה על ידי רם לוי, שהיה מזכיר המיזם הקיברנטי של ראש הממשלה בשנת 2011. החברה מתמחה בחיבור עולמות הביזנס, המחקר האקדמי והחשיבה המבצעית לכדי גישה מקיפה ואסטרטגית להתמודדות עם איומי סייבר.

"הסיבה לכאוס: העדר סמכות ממלכתית בתחום"

פלי הנמר, יזם ומנהיג קבוצת אנשים ומחשבים, אמר כי "מדובר באחד הסקרים החשובים ביותר שנעשו באחרונה בתחום הסייבר. ממצאי הסקר מצביעים על הכאוס החמור הקיים בישראל בכל מה שקשור לתחום החשוב הזה. העובדה שמנהלי ארגונים מודעים לכך שהם חשופים למתקפות סייבר, אבל מצד שני לא מבצעים תרגולים ולא מתעדפים תקציבית, היא תוצאה של העדר סמכות ממלכתית רשמית, שתפקידה לכוון את המגזר העסקי להיערכות נכונה לסייבר. זאת, בניגוד למגזר הביטחוני ולגופים שמונחים על ידי זרועות הביטחון".

"עוד עולה מהסקר כי בניגוד לעבר, ברור כיום שסייבר הוא רכיב אחד מהמארג הכולל של אבטחת מידע ואינו עומד בפני עצמו", הוסיף פלי הנמר. "מכאן שהקריטיות של היערכות נכונה היא ברמה גבוהה ביותר ועלולה לסכן את כלל מערך המידע הארגוני, שהוא הנכס האסטרטגי החשוב ביותר כיום לכל גוף".

"אנחנו מצפים שהגופים הממלכתיים, כמו גם רשויות החוק, ובעיקר הנהלות הארגונים יפנימו את תוצאות הסקר ויפעלו בהתאם. תפקידנו כגורם מרכזי בענף ההיי-טק הוא להמשיך לעקוב ולסייע לתיקון המצב", ציין.

מתעניינים באבטחת מידע וסייבר? רוצים לשמוע עוד? הירשמו לכנס InfoSec 2015 של אנשים ומחשבים.