תאגידים רבים בישראל מותירים את האחריות להתמודדות עם מתקפות הסייבר
על מנהלי אבטחת המידע, בלי להבין שנדרשת
היערכות מקיפה של החברה והנהלתה. אם לא די בכך, גם החקיקה המקומית בתחום הסייבר ברובה אינה עדכנית ואינה עונה על
הצרכים העכשוויים ובטח לא מיושמים פתרונות מספקים לניהול מאובטח לדירקטוריון
וועדותיו.
בדיוק כמו בגזירת גורל בטרגדיה יוונית, הולכת
ומשתרשת בעולם מערכות המידע תחושה של אסון מתקרב בדמות מלחמת הכל בכל במרחב הסייבר. מה שהתחיל כקמפיין התראות מפני שאננות יתר ואמונה מטופשת ש ”לנו זה לא
יקרה”, הופך לנוכח עינינו ממש למועקה פרנואידית של
ממש. חברות וארגונים שמים פרויקטים חשובים, שאמורים להקפיץ את איכות השירותים שהם מספקים בצורה דרמטית, על “אש קטנה” עד שיתברר אם סיכוני הסייבר הכרוכים בשינוי ניתנים בכלל
לשליטה. מצב זה, נוגד
פרודוקטיביות וחונק התפתחות, מהווה סיכון גדול
יותר לעתיד מאשר עצם התעצמות סיכוני הסייבר.
בדצמבר 2016 הודיעה יאהו על שתי מתקפות סייבר חסרות
תקדים, הגדולות בהיסטוריה של האינטרנט, שבמסגרתן דלפו פרטים חסויים של למעלה ממיליארד לקוחות. ואולם הצרה הגדולה ביותר שיאהו מתמודדת עמה בימים אלה אינה הנזקים
הישירים של המתקפה על שרתיה, אלא מספר תביעות
ייצוגיות שהוגשו נגדה וחקירות של הקונגרס ורשות ניירות ערך האמריקאית בגין הדיווח
המאוחר על התקרית.
שתי מגמות הוציאו את לוחמת הסייבר מספרי המדע הבדיוני לעולם בו אנו
חיים אשר חושפים היום גם מידע רגיש מהדירקטוריון וועדותיו כיום:
גלובליזציה של מערכות מחשוב: הגלובליזציה
של עולם המחשוב גרמה לכך שכל הארגונים בעולם עושים שימוש במערכות אשר מקורם במספר
מצומצם יחסית של יצרנים בעלי הקניין הרוחני על אותן מערכות. פועל
יוצא מכך הוא שגורמים זדוניים יכולים לשים ידם על המפרט הטכני של רב מערכות המחשוב
בעולם ולתכנן נוזקות והתקפות כנגד אותן מערכות.
רשת האינטרנט: האינטרנט החליף את
מרבית רשתות התקשורת הפרטיות, הדואר האלקטרוני הפך
את מכשיר הפקס למוצג מוזיאוני ואת הדוור לאדם אשר מעביר בעיקר חשבונות לתשלום. היעילות שרשת האינטרנט יצרה לעולם העסקי הביאה לכך שכל הארגונים שאינם
ביטחוניים מחוברים לרשת האינטרנט ועושים באמצעותה תהליכים עסקיים משמעותיים.
להלן מספר אמצעים שכל ארגון נדרש ליישם בהקשר לאיומי הסייבר:
1. ריכוז
כוחות - יש לרכז את המאמץ
סביב איומי הסייבר בידי צוות מוביל בעל ידע מקצועי בתחומים רלוונטיים לטכנולוגיית
המידע ולפעילות העסקית, לספק לו סמכויות
ומשאבים ואת היכולת להפעיל את כל הגורמים המתאימים בארגון כחלק מהערכות ומניעה וכן
במקרה שאיום סייבר התרחש. הצוות המוביל צריך
להיות מוכן עם תכניות פעולה להתגוננות ולהמשכיות עסקית כפי שיפורט בהמשך.
2. מודיעין
עסקי - הצוות המוביל את
הטיפול באיומי הסייבר והצוותים המקצועיים המסייעים לו צריכים להיות מחוברים
למקורות מידע אשר יכולים לספק להם פרטים על מתקפות סייבר בהתהוות וכן על דרכי
התמודדות אשר יושמו בידי ארגונים אחרים. מודיעין
שכזה ניתן למצוא בגופי ביטחון שונים, ספקי מערכות מחשוב, יועצים מקצועיים בתחום, גופי פיקוח רגולטורים
ובשותפות אד הוק עם גורמים עסקיים מתחרים בענף לצורך שיתוף מידע והתגוננות.
ארגונים רבים מאפשרים פתרונות ייחודיים ומערכות לניהול מאובטח לדירקטוריון
וועדותיו על ידי שימוש במערכות חכמות אשר יודעות לייצר אבטחה אוטומטית.
כאשר בוחרים מערכת שכזו, מומלץ כי בוחרי
המערכת ישימו דגש למס' דברים:
- המערכת הינה פועלת בשיטת הצפנה ייחודית לניהול מסמכים הנשלחים לחברי וועדה, תוך מתן אפשרות לחברי הוועדה לצפות במסמכים
ולהעיר הערות עליהם.
- המערכת מאובטחת ועברה מבדקי חדירה מקיפים. כמו כן, המערכת מבוססת על תשתית ההצפנה הייחודית
אשר מותקנת בארגונים פיננסים רבים, חברות ביטוח, בתי חולים ומשרדים ממשלתיים. המערכת
מפותחת לפי תקני האבטחה המחמירים של ISO 27001, 90001 וכן למערכת
תקן חשבונאי ISAE3402
- מטרת המערכת להגן על המידע הרגיש הנשלח לחברי הדירקטוריון. חברי הוועדה מקבלים הודעה על כך שנשלח להם
חומר לקראת הדיון. באמצעות טבלט חברי הודעה רואים את המסמכים שנשלחו אליהם
ואת תוכנם.
- המערכת תמנע מחברי הועדה להוריד את המסמכים למחשביהם האישיים או לשלוח אותם לגורם אחר כלשהוא.
- המערכת מאפשרת להגדיר וועדות כאשר לכל וועדה ניתן להגדיר את חברי הוועדה ואת האדם המתפעל אותה.
- המסמכים נשלחים בצורה מאובטחת לתיבות של חברי הוועדה בתוך המערכת.
- לאחר הדיון יכול אחראי הוועדה באמצעות פעולה אחת למחוק את כל החומר הנמצא בתיבות האישיות של חברי הוועדה ואשר קשור לישיבה שהסתיימה.
לצד היערכות טכנולוגית ותאגידית, אירועי
עבר מלמדים שחשוב להיערך במערכות מאובטחות לניהול ישיבות דירקטוריון אשר יסייע לחברות להקטין את חשיפתן לנזקים
ישירים ועקיפים.
לסיכום, בעידן הנוכחי, מומלץ לחברות מקומיות ולתאגידים בינלאומיים לצפות בעוד מועד סיכוני
סייבר שמאיימים אסטרטגית על פעילותם ולנקוט צעדים מקדימים כגון פתרונות ניהול
מאובטח לדירקטוריון וועדותיו. פעולות אלה יסייעו
לצמצם הן את ההשלכות ההרסניות של אירוע סייבר, והן (ואולי בעיקר) את ההשלכות המשפטיות
העקיפות הצפויות.
עולם הגנת הסייבר הינו מורכב והוא מצריך ידע רב תחומי ועדכון תמידי. יש להכיר את החוקים והתקנות, האיומים
והחולשות, המערכות הטכנולוגיות, התהליכים
העסקיים והסיכונים הגלומים בהם, תהליכי ניהול סיכונים
ועוד. נדיר למצוא אדם אחד המתמצא בכל התחומים
האלה.
מומלץ לשקול התקשרות עם גוף שבו מומחים בכל ההיבטים שלעיל תוך התאמת
היקף ההתקשרות לגודל הארגון ולסיכונים העומדים בפניו.
***
כותב המאמר הינו רונן טייב יו”ר חברת
אינטגריטי יעוץ וניהול סיכונים העוסקת בייעוץ לארגונים, רשויות ומשרדים ממשלתיים
ומספקת שירותי אבטחת מידע וSIEM/SOC