"הטכנולוגיה מקדמת את הביקורת הפנימית – מעבר לביקורת לשמה"

"אחד הדברים שמנהלים ומפקדים רוצים הוא לקבל מהשטח תמונת מצב אמיתית ומדויקת. בתפקידי הקודם במערכת הביטחון ניהלתי את גוף ביקורת וסקרי סיכוני הסייבר. האתגרים המרכזיים היו עיבוד המידע מכלל הכלים הטכנולוגיים. במהלך של בניין כוח טכנולוגי הקמנו מסלול אוטומטי לעיבוד הנתונים של דוחות הביקורת – והתוצאה היא שהצלחנו להגדיל את כמות הביקורות במאות אחוזים עם אותו כוח אדם", כך סיפר רפאל פרנקו, ראש מכלול עמידות במערך הסייבר הלאומי, למאות העוסקים בביקורת פנים וביקורת ואבטחה של מערכות מידע שהגיעו לכנס GRC 2019.

הכנס, בהפקת אנשים ומחשבים, התקיים באחרונה והיה ה-14 במספר של IIA – איגוד המבקרים הפנימיים בישראל, ששילב כוחות עם ISACA – האיגוד הישראלי לביקורת ואבטחת מערכות מידע, שבמסגרת האירוע חגג 40 שנים לפתיחת הסניף הישראלי שלו.

"מה שיפה הוא שפתאום, כשמצליחים להגיע לכמות כזאת של ביקורות, אפשר להתחיל לזהות מגמות מרכזיות שיש במשק שלנו, חולשות ועוצמות, וזה חשוב במיוחד לגבי התשתיות הקריטיות. אחד הדברים הראשונים שגילינו, למשל, הוא שהתקנים ניידים מהווים סיכון כמעט בכל ארגון. עצם הגילוי הוביל למהלך של תקינה, ומשם למהלך טכנולוגי – ואלה דברים שעוזרים לקדם את התחום המקצועי מעבר לביקורת לשם ביקורת בלבד", אמר פרנקו.

הוא סיפר כי מערך הסייבר הלאומי פועל לצמצום דרמטי של משטח התקיפה על ישראל, תוך ניסיון להגיע ליעילות הגנתית מרבית, בשילוב של בניין כוח והפעלת כלים כגון תמריצים, רגולציה ושיתופי פעולה. המטרה היא להעלות את החוסן והעמידות של המשק.

מה יקרה אם הפנסיות יאבדו במתקפת סייבר?

לדבריו, "בסופו של דבר, אנחנו מגנים קודם כל על חיי אדם. מתקפות סייבר בהחלט פוגעות בחיי אדם – למשל, פגיעה בבנק הדם או בבתי חולים. אנחנו גם פועלים מול המגזר הפיננסי על מנת למנוע אובדן כלכלי. מה יקרה אם למשל הפנסיות יאבדו, חס וחלילה? אנחנו פועלים על מנת למנוע דברים כאלה".

"מעבר לכך, יש עוד הרבה סיכונים, וכשנכנסים לעולם הזה ומגלים את הרבדים העמוקים של כל תחום, רואים כמה סיכונים יש ועד כמה מנהלי הסיכונים חייבים לדעת היכן למקם אותם, ואז גם כיצד לטפל בהם. יש הרבה מאוד ארגונים שגם לא יודעים בכלל שהם נמצאים תחת איום סייבר, רק כי הם לא טכנולוגיים", הוסיף.

פרנקו פנה אל הנוכחים ואמר: "אני כאן כדי להגיד לכם, מבקרי הפנים, שאת סיכוני הסייבר אתם צריכים להכיר היטב ולנהל, וכמבקר, יש לי הרבה מאוד כלים שיכולים לעזור לכם. המבקר יכול לקבל כיום תמונת מצב על הארגון שלו על ידי כלי נראות וחשיפה רשתיים מחוץ לארגון, או לפעול על בסיס מבדקי חדירה אוטומטיים על בסיס קבוע ולוודא טיפול נאות בחשיפות. למה זה חשוב? כי משם תיפתח הרעה".

המבקר הפנימי חייב ללמוד את ההאקר היריב

לדעתו, המבקר החדש חייב ללמוד מהר כיצד להתאים עצמו לסביבת הפעילות שלו, והכי חשוב – ללמוד כיצד היריב מתנהג בתחום הסייבר: ללמוד את מישורי התקיפה, להבין שהאקרים מחפשים נקודתית את הדרך למצוא את האנשים בארגונים שיספקו להם את הנתיב פנימה, למאגרי המידע של החברה ולנכסיה החשובים. אם תרצו, מדובר בצורך לנסות להיכנס לראשו של התוקף כדי להבין כיצד ינסה לפעול, וזאת בנוסף לביקורת תאימות או ניהול סיכונים.

"מבקר פנים בארגון צריך לשאול את עצמו מי בחברה, מעצם תפקידו, חשוף למרחב התקיפה, כגון מרחב האינטרנט, והיריב יכול לאסוף מידע אודותיו. זה מה שרואים ומחפשים גם התוקפים – וקריטי לחשוב בצורה הזו. היריב מחפש יכולת כניסה לארגון וגישה לנכסים הקריטיים, ומהזווית הזו צריך לבוא מבקר הפנים ולבדוק למי צריך לתת את אמצעי ההגנה המתאימים והחזקים ביותר", סיכם.