שיתוף    שליחה לחבר.ה  

        פברואר  2015
 




























מלחמת העולם השלישית כבר כאן
 דירקטורים ראו הוזהרתם

מאת קובי פלר, 
 מנהל השקעות ראשי ב UBS Wealth Management Israel Ltd.

מתי לאחרונה דיברתם עם ה  CISO בחברה שלכם ? אל תדאגו לא רק אתם לא יודעים מי זה, גם אנשי מקצוע לא תמיד שמעו על תפקיד זה. CISO הן ראשי תיבות של chief information security office  שאמור להיות אמון על הגנת רשתות המחשבים והמידע שבאירגונים. התפקיד עלה לכותרות, והביקוש לו כמו גם שכרו שהוכפל, לאחר שנה בה הפכו חדירות ההאקרים לרשותו וגניבת מאגרי מידע לדבר יום יומי כמעט.
ניתן לומר בלי להגזים כי מלחמת עולם שלישית מתרחשת ומתעצמת בימים אלה בין מדינות, חברות, ארגוני טרור וצבאות בכל רמה שניתן לתאר. החל בגניבת כספים מבנקים ומידע עסקי ועד פריצה למערכות הגנה ומערכות רגישות ברמות מדינות. הנושא אומנם אינו חדש ומוכר לנו שנים רבות אבל היקף הפריצות התעצם משמעותית בשנה האחרונה וחדר לתודעה היומיומית מרמת הפרט, מנהלי החברות ועד ראשי מדינות.
בפריצות שבוצעו השנה נגנבו מבנק ג'יפי מורגן בארה"ב 83 מיליון רשומות לקוחות, 80 מיליון נתוני אזרחים נגנבו מ ANTHEM   חברת הביטוח הבריאות השנייה בגודלה בארה"ב, מהום דיפו נגנבו 56 מיליון נתוני לקוחות ומרשת טרגט נגנבו 40 מיליון. לכותרות עלתה השנה הפריצה למחשבי רשת סוני, לאחר הפצת הסרט שלעג לנשיא צפון קוריאה, ונראה כי מלבד הפגיעה העסקית בחברת סוני עשויה  התהודה שנוצרה להביא תועלת רבה ברמת המודעות לנושא. ברק אובמה כינס בכירי היי טק החודש וכן נשא נאום מיוחד בינואר הנוגעים במלחמה ברשתות והצורך בשיפור ההגנה על המידע, אמר ועשה. ארה"ב הקימה החודש את ה CTIIC  שהם ראשי תיבות של CYBER THREAT INTELLIGENCE INTEGRATION CENTER   שאמורה להיות אמונה לפי דברי הבית הלבן להגן, לא פחות, מתוקפים דיגיטליים כדבריהם. הרשות גם אמורה לרכז את כל המידע שנצבר בידי ה CIA FBI  ו NSA  כדי לספק למקבלי ההחלטות תמונת איום מלאה הכוללת גם את הרובד האינטרנטי.
החברות שהוזכרו מעלה כמובן היו רק דוגמאות גם חברות כמו מייקרוסופט, אפל,EBAY , STAPLES, מורגן סטנלי, SEARS, HSBC, FIDELITY , TRIPADVISOR  ועוד ארגונים רבים אחרים הותקפו לאחרונה. חלק מהתקפות נשמרות בסוד בכדי למנוע פגיעת מוניטין בחברה אולם בד"כ לבסוף הפרטים מתפרסמים. לדוגמא, רשת הקזינו של שלדון אדלסוןVEGAS SENDS  הותקפה כבר בתחילת 2014 אולם הפרטים פורסמו רק כתשעה חודשים אחרי.
סיבה נוספת להאצה בפריצות הינה התקדמות טכנולוגית ברמת הפרט החושפת כמעט כל נתון אפשרי לפני פורצים אפשריים. החל בהתרחבות המשתמשים בסמארטפונים, שייכות רשתות חברתיות, דרך התגברות התשלומים באינטרנט ועד התרחבות הטכנולוגיה הלבישה (WEARABLES) , ממשק האינטרנט עם הבית החכם ( INTERNET OF THINGS) ואף ממשק האינטרנט עם תעשיית הרכב המתפתח במהירות. כל החסמים הנוגעים לפרטיות מידע הוסרו כמעט לחלוטין.
הוכחה לרצינות האיום ורצינותם של האמריקאים להילחם בו ניתן לאבחן בתוכנית התקציב שהוגשה לאחרונה ע"י הנשיא לאישור. בתקציב 2016 שהוצג בתחילת פברואר כללה פרק בנושא הצורך בשיפור יכולות הגילוי וההגנה מפני ניסיונות התקפות ברשות. מסך תקציב של 4 טריליון דולר תחום ה CYBERSECURITY   תוקצב ב 14 מיליארד דולר עלייה של 8% לעומת שנה שעברה. הסכום יחולק לכמה נושאים כשיפור ההגנה והגילוי ברשתות הממשל ( 582 מיליון דולר) , חקירות התקפות והמשך פיתוח פיקוד הסייבר (514 מיליון), מימון פיתוחים וסוכנויות אזרחיות הפועלות בתחום (243 מיליון), הקמת קמפוס פדרלי שיהיה אמון על שיתוף הפעולה בין המגזר הפרטי לממשל ( 227 מיליון) ועוד.
המבוכה בקרב הממשל כמו גם הנהלות ארגונים גדולים כקטנים רבה. עד היום לא נקבעו תקנים או אפילו חוקים עדכניים שיאפשרו לכפות את הגנת המידע על חברות מחד או להילחם חוקית באותם התקפות ופריצות אינטרנטיות. המחוקקים בארה"ב כמו גם באירופה ואף בישראל נשלחו לעדכן את החוקים.  חוק הגנת הפרטיות לדוגמא אינו עדכני ומחייב התאמה מהירה בכדי שניתן יהיה לחפות על חברות מצד אחד את ההגנה המקסימלית על המידע שברשותן הנוגע לצרכנים וכן כדי שניתן יהיה להעניש את הפורצים למאגרים אלה מנגד. עד שיעודכנו חוקים אלו נראה כי באחריות ההנהלות לקבוע חוקים פנימיים כמו גם לעדכן נהלים קיימים הנוגעים לאבטחת מאגרי המידע ומניעת חדירת גורמים עוינים לרשתות המחשבים בחברות ובאחריות הדירקטורים והדירקטוריון לבחון את המדיניות בנושא.
כנס מנכ"לים שהתכנס לאחרונה בארה"ב דן בסוגיית החשיפה התאגידית להתקפות הסייבר והמליץ על כמה דרכים אופרטיביות להתמודדות הארגונים עם ההתקפות. 1. בניית מערך הדרכה לכלל דרגי החברה בנושאי אבטחת הרשת בארגון. 2. קטלוג המידע בחברה לפי דרגות חשיבות ורמת הסיכון לחברה מחשיפתם האפשרית .3. עידוד ופיתוח חדשנות בתחום הגנת המידע תוך דגש על הערך לחברה ולא רק עלות הפיתוח. 4. המנהלים קוראים לחברות להיות מוכנות למה שהם קראו CYBER 9/11 בחברות ממשלתיות, ציבוריות ופרטיות 5. המנכל צריך לקחת בעלות על התחום בחברה ולשלב אותו במודל העסקי וכמובן בתקציב השנתי 6. יש לעדכן תכניות המשכיות (  או CONTINUITY   DRP) שיכללו מוכנות לתרחישי קיצון בהן חדלה הרשת הארגונית לעבוד כליל .
ההתקפות האחרונות העלו את נושא האחריות התאגידית של הנהלות ודירקטוריונים בדבר הגנת מידע הלקוחות הנצבר בארגונם. תביעות נגזרות יכולות להיות מוגשות ע"י בעלי מניות בחברה בעילה של הפרת חובת האמון והזהירות. גם פגיעה פוטנציאלית במוניטין, ופגיעה בתוצאות הכספיות של החברות עשויה להיגרם ממתקפת סייבר ומכאן האחריות למוכנות זו. בארה"ב נפוצו ביטוחים רבים לחברות כנגד נזק שנגרם כתוצאה מפגיעה כאשר יש לבחון באותה עת את ביטוח אחריות הדירקטורים ונושאי המשרה כך שיכסו נזק פוטנציאלי עתידי.
מנכ"ל חברת אבטחת מידע אתו דנו האנליסטים המתמחים שלנו בארה"ב על הנושא טוען כי יש להתייחס לאיומים הרבים מבחינה אסטרטגית ולא טקטית כפי שנעשה ע"י רבים היום. יש להתייחס לשלושה חתכים מרכזיים בתוכנית זאת. טכנולוגיה, אנשים ותהליכים ולטפל בכל אחד מהם בנפרד. המתקפות היום מתוחכמות הרבה יותר מבעבר כאשר המתקיפים מכירים את הארגון טוב ומתכננים היטב את התקפותיהם. תוכנות FIREWALL   למיניהן אינן מונעות כניסת מיילים דרך "הדלת הראשית " דרך שהפכה נפוצה וקלה לחדור לרשתות ארגוניות. לטענתו מודעות העובדים וערנותם נמוכה ותוכניות התגובה לא קיימות מראש ברוב הארגונים. שיתוף הפעולה לו קוראים רבים בין חברות ניתקל פעמים רבים בחשדנות וחשש לפגיעה במוניטין החברה המותקפת. להערכת אותו מנכל פיתוח תגובות אוטומטיות לאיומים שהתגלו תקצר זמני תגובה קריטיים המתארכים בגלל הגורם האנושי הנכלל בתגובה.
מהי התמונה בישראל ?  החודש אישרה הממשלה את הקמת רשת הסייבר הלאומית שתהיה כפופה למטה הסיבר הלאומי שהוקם במשרד ראש הממשלה לפני שלוש שנים. הלשכה צפויה להעסיק מאות עובדים ולהיות מתוקצבת ב 150 עד 200 מיליון שח בשנה .לפי הערכות המטה כפי שפורסמו לאחרונה, נגרם לישראל נזק שנתי המגיע ל 2 מיליארד דולר מהתקפות סייבר. בראש הרשות עומד  דר' אביתר מתניה לשעבר מנהל תכנית תלפיות.
מעבר להיותנו מעצמת סייבר טכנולוגית עולמית בה פועלות כ 150 חברות סייבר צעירות ברובן, פועלות כמה חברות ותיקות ומוכרות כבר שנים. בראשן החברות הציבוריות ניתן לציין את צ'ק פוינט, פאלו אלטו, אימפרבה והמצטרפות הצעירות שהונפקו בשנה האחרונה CYBERARC     ו – ורוניס שהונפקו בשנה שעברה בנסד"ק. מבין החברות הגלובליות המוכרות ניתן לציין את סימנטק, AVG , וחברות מוכרות פחות כמוFORTINET  , PROOFPOINT , FIREEYE , ברקודה ועוד. מדד חברות בתחום הנסחר תחת הסימבול HACK כולל חברות מהתחום אך גם חברות תוכנה אחרות כמו סיסקו וג'וניפר . המדד , שכולל כ 75% חברות מארה"ב ו – 12% חברות ישראליות ,עלה מתחילת שנה ב 9%  לעומת עלייה של 2.5% במדד הספ 500.


לסכום, מלחמת הסייבר שבקלות ניתנת להיחשב כמלחמת העולם השלישית המתנהלת בימים אלה מחייבת שינויים בהתנהלות ברמה האישית, ברמת הארגון הן להנהלות והן לדירקטוריונים וברמה הלאומית. בעוד הממשלות נראה כי עושות צעדים מהירים ומשמעותיים להגברת הלוחמה, חברות וארגונים רבים נותרו מאחור חשופים להתקפות מחד ולתביעות מנגד. דיון דחוף ברמת ההנהלות והדירקטוריונים מתבקש  בכדי להקדים תרופה למכה שבסבירות גבוה תגיע במוקדם או במאוחר לכל ארגון.

 
הכותב הוא מנהל השקעות ראשי ב -UBS Wealth Management Israel Ltd. לכותב המאמר ו/או לחברה עשוי להיות עניין אישי בנושא. האמור בכתבה אינו מהווה תחליף לשיווק השקעות ו/או ייעוץ השקעות המתחשב בנתונים ובצרכים המיוחדים של כל אדם.

 

 
כניסה לאתר mail office@idu.org.il 03-7363146