האם צריך להפחיד את ההנהלה מפני איומי הסייבר?
מהי הגישה הטובה יותר לבוא להנהלה בדיוני תקציב - להציג את האיומים המלאים או למזער? לבקש עוד תקציב או להתנהל עם מה שיש? גיא מזרחי, מנכ"ל CyPros ויו"ר ועדת התכנים של פורום CSC של אנשים ומחשבים, משיב
"אחד הנושאים הכי מעניינים והכי מאתגרים שעימם צריך להתמודד מנהל אבטחת מידע בארגון הוא התקציב. או אז, במקום לדבר על טכנולוגיה ועל אבטחה, עליו להתמודד עם פוליטיקה פנימית, כשיש בדרך הרבה מאוד תהיות מה ואיך להציג את מה שעלול לקרות בתחום האבטחה – האם להציג את זה באופן מלא או אולי דווקא למזער חלק מהדברים, כדי לא להפחיד יותר מדי, כי אם אפחיד יותר מדי, אולי יטענו שאני לא עושה את התפקיד כמו שצריך". את הדילמה הזאת הציג גיא מזרחי, מנכ"ל CyPros ויו"ר ועדת התכנים של CSC – פורום אבטחת הסייבר של אנשים ומחשבים. הוא פתח את הפגישה האחרונה של הפורום, שנערכה בסוף השבוע ביס פלאנט בראשון לציון.
המפגש דן הפעם בשאלה כיצד מנהלים תקציב כחלק מניהול סיכוני סייבר, לאור העלייה במורכבות איומי הסייבר והתדירות הגבוהה יותר שלהם, תוך שאנחנו גם כך נמצאים בתקופה מאוד מסובכת, מאז התחלת המלחמה בדרום.
"רוב המנהלי האבטחה שעימם דיברתי הדגישו שאפשר לעשות אחד משני דברים, בבואם להציג להנהלה את איומי הסייבר: להפחיד את חבריה כשמנהלי האבטחה רוצים עוד כסף, או פשוט לנסות לעשות את המיטב עם מה שיש", אמר מזרחי. "שיטת ההפחדה לא עובדת טוב – לא עבורי, לפחות. העצה שלי למנהלי האבטחה היא למפות היטב את האיומים מבחינה עסקית, לבחון מה עלול לפגוע בחברה כלכלית ומשם להבין מה העלות של ההגנה מפני זה, כולל כמה תעלה לארגון השבתה. או אז, עליו ללכת עם מנהל הסיכונים להנהלה ולומר לה מה המצב, מה הסיכון ומהי העלות – על מנת שיחליטו וייקחו אחריות. אבל אני לא בטוח מה עובד כיום טוב יותר, ובנוסף, התמודדות עם כספים היא לא דבר נעים עבורי, כאדם טכנולוגי".
מה הקשר שבין עלות להשקעה בהגנת סייבר?
שלמה צרפתי, כלכלן ראשי במערך הסייבר הלאומי, דיבר על הקשר שבין עלות להשקעה בהגנת סייבר, תוך ניסיון להבין האם יש קשר ישיר בין איכות ההגנה הארגונית להשקעה הכספית של הארגון באבטחה, או שיש גורמים אחרים שמשפיעים.
"בזמן האחרון אנחנו מתייחסים יותר למה שמכונה כלכלת סייבר. זה משהו יחסית חדש, ששומעים עליו יותר ויותר בשנים האחרונות. המטרה היא להבין איך להשתמש בקבלת החלטות המבוססת על מחקרים כלכליים כדי לבסס הגנת סייבר טובה יותר, וכיצד לקדם את ההיבט הזה בארגונים השונים, תוך שימוש בגזר ולא במקל. כלומר, להגיע לכך לא באמצעות רגולציה, אלא באמצעות הטבות כלכליות, כמו הטבות מס, הקצאה של משאבים לאומיים, שיתופי פעולה כלכליים לאומיים ובינלאומיים, בנייה של מדינות ואסטרטגיה, וגם קידום של חוק הסייבר, תוך בדיקה מה העלות שהוא יכול להפיל על המשק לעומת הקטנת הנזק למדינה. את הכול יש לעשות עם רגל חזקה ויעילה במחקרים אנליטיים, תוך שימוש בבינה מלאכותית ובניתוח סיכונים מתקדם", ציין.
שלמה צרפתי, כלכלן ראשי במערך הסייבר הלאומי. צילום: יח"צ
ההערכה היא, אמר צרפתי, שהעלות הכלכלית של אירועי סייבר למדינת ישראל יכולה להגיע לכל הפחות ל-12 מיליארד שקלים בשנה, וזה כולל נזק לפעילות העסקית, גניבת מידע, פגיעה במוניטין, גניבות קניין רוחני ובסופו של דבר גם עלויות של התאוששות.
"אי אפשר לדבר על הגנת סייבר, על התקציב ועל כלכלה בלי לדבר על דבר בסיסי: הקשר בין השקעה בסייבר להפחתת ההפסד הפוטנציאלי. השאלה הנשאלת היא איפה נקודת האופטימום מבחינת התקציב, הווה אומר – מהו ה-ROSI? (החזר על השקעה באבטחה). זהו כלי שעוזר למנהל אבטחת המידע להעריך את הכדאיות הכלכלית של השקעה באבטחת סייבר מול הנזקים שיכולים להתרחש", ציין.
אבטחת סייבר מהצד של התוקף
יוסי סאסי, מאמן צוותי תקיפה ב-Root 10, ניסה להציג את אבטחת הסייבר מהצד השני – זה של התוקף. כך, לדבריו, אפשר להבין מה יעיל יותר ומה פחות בהגנת סייבר.
"חשוב להבין את זווית התוקף, וזה אפילו קריטי, כי תמיד צריך לדעת להתמודד עם אירועי סייבר בגובה העיניים", אמר. "ברמה מסוימת, התוקף מתנהל כמו מנהל אבטחה. הוא חושב איך להשתמש בכל הפערים והפגיעויות נגד הארגון, ולעתים קרובות הוא מכיר את ההיבטים הללו קצת יותר טוב מהארגון. הדבר האחרון שמעניין את התוקף זה ה-ISO של הארגון. הוא מסווה את עצמו ונע לרוחב. מה שמעניין אותו זה לא הדלת עצמה, אלא מי עובר דרכה, אין עוברים דרכה, מי מורשה, מי ספק וכדומה".
סאסי הוסיף כי "לצד העובדה שהטכנולוגיה עושה הרבה בעולם המחובר שלנו, אין דבר כזה טכנולוגיה שהיא רק רעה או רק טובה. כל טכנולוגיה היא כלי, וניתן לבצע באמצעותה מניפולציות על זמן ומרחב".
יוסי סאסי, מאמן צוותי תקיפה ב-Root 10. צילום: יח"צ
לסיכום הוא אמר ש-"אירוע סייבר זה משהו שקורה בזמן שאתה עושה תוכניות. זה לא ברבור שחור, אלא משהו שיקרה למנהל אבטחת המידע בארגון – בוודאות. השאלה היחידה היא האם זה יהיה אירוע רב נפגעים או משהו קטן – ואירוע רב נפגעים זה משהו שחד משמעית אפשר למנוע. ההמלצה שלי למנהל האבטחה והסייבר היא להקטין את משטחי תקיפה, לדאוג לדברים הכי בסיסיים, לא לשכוח גיבויים ולהיות מוכנים שזה יקרה מכל מקום. אסור, לדוגמה, להפסיד לכופרה מאחר שאין גיבוי. הגיבוי הוא זה שקובע את תוצאות האירוע".
בטח שצריך להפחיד ולהעביר את הסיכונים וההשלכות ,שגם הם ישאו בנטל האחריות ! בלי תקצוב נאות הדלת פרוצה והם הם האחראים.