זהירות, סייבר!

בין השנים 2008 ל-2010 חדרו האקרים לרשת המחשבים של תאגיד מלונות ונופש ידוע בארצות הברית. ההאקרים גנבו מידע אישי ומידע פיננסי רגיש של יותר מ-60 אלף לקוחות. השלטונות הפדרליים פתחו בחקירה והאשימו את מנהלי הרשת ברשלנות בשמירה על המידע. הרשת ערערה והדיונים בנושא נמשכים עד היום. בינתיים ספג התאגיד גל של תביעות אישיות מלקוחות שהמידע שלהם נחשף.

באותה התקופה, המושג "סייבר" אמנם היה קיים אבל לא מוכר דיו. הרשת לא זיהתה בזמן את התקיפה לא נערכה בזמן ולא ידעה איך להתמודד עם האירוע. "כישלונם של בעלי התפקידים בחברה בהטמעת מערכות מידע הוא שהוביל לפריצות ולנזקים", נכתב בכתב התביעה שהוגש נגד הרשת.

בשנים שלאחר מכן שמענו על אירועים שקרו בחברות כמו סוני (Sony) או טארגט (Target). אלה הם האירועים הגלויים. ההערכה היא שבכל רגע נתון בכל מקום בעולם, כולל בישראל, מתחרש אירוע סייבר שמאיים על תפקודו של ארגון. מרבית הסיפורים לא נחשפים – אבל הם קורים.

המציאות הזו הולידה תחום חדש – "סייבר שור". חברות ביטוח פיתחו פוליסות שנועדות להגן על הארגון ומנהליו מפני תביעות על רקע זה. אלא שהביטוח הוא החלק האחרון והפחות מעניין בסיפור, משום שחברות הביטוח הצמידו לפוליסה חבילת שירותי ייעוץ ממומחים מתחומים שונים, שנכנסים לפעולה ברגע שמזוהה בארגון תקיפת סייבר. בישראל, למשל, AIG מינתה את המשרד של עו"ד נעמי אסיא כקו ראשון שמפעיל את חמ"ל החירום בארגון המותקף.

איך מנהלים את המשבר ונכון יותר – איך נערכים כדי לצמצם את הסיכוי שזה יקרה? השאלה הזו הייתה הנושא המרכזי בכנס "סייבר שור", שנערך היום (ג') בהפקת אנשים ומחשבים. הדוברים תיארו פעולות והציעו הצעות כיצד לזהות את התקיפה. היערכות למשבר דורשת הבנה כיצד עובדים התוקפים ומהן השיטות שלהם, ומתן מענה נקודתי לכל שלב ושלב. צריכה להיעשות היערכות חוצת ארגון, שמחייבת רענון הוראות אבטחה ושינוי נהלים והטמעת כלים שמסייעים להדק את הפיקוח על המשתמשים, רגע לפני שהתוקף משתלט על מיליוני הרשומות שלו.

ההיבט הרגולטורי

חלק מההיערכות לסייבר טמונה ברגולציה. בנק ישראל ורמו"ט (ר"ת הרשות למשפט ולטכנולוגיה במשרד המשפטים) פרסמו באחרונה תקנות עדכניות לארגונים כמו בנקים וחברות ביטוח, שמחייבות אותם להעסיק ממונה אבטחת סייבר, בנוסף לממונה אבטחת מידע. כלומר, בנק ישראל מכיר בקריטיות של הגנה מפני סייבר. גם הממשלה פועלת להגן מפני סייבר, כדי להיות סמן ימני בתחום. כך, היא החליטה על הקמת מטה הסייבר הלאומי, אם כי היחידה עדיין בשלבי הקמה איטיים ביותר.

הסייבר וההגנה מפניו קשורים בנושא רגיש ביותר: הגנה על הפרטיות. כשל בהגנת סייבר עלול לגרום לדליפת מידע, והארגונים חשופים לתביעות מצד רשויות החוק האמונות על הגנת הפרטיות – ומצד המותקפים עצמם.

כל אלה ועוד מייצרים מציאות מדומה במידה מסוימת. מעל פני השטח יש דממה מוחלטת בכל מה שקשור לסייבר והתחושה היא שהכול עובד כשורה, אולם מתחתם מתרחשות כמעט בכל רגע נתון מתקפות על ארגונים. בלי היערכות נכונה, המתקפות הללו יכולות למוטט ארגונים ועד כדי מגזרים שלמים, עסקיים כציבוריים. כאמור, גם הרגולטור וחברות הביטוח מתאימים את עצמם למצב.

ומה לגבי הארגונים? רבים מהם מודעים לחשיבות ההגנה על סייבר, אבל לא ממהרים לעשות את הביטוח. בחוברת שפרסמה AIG עם פרסום הפוליסה נכתבה תובנה שלפיה לעתים דרוש אירוע מכונן בתחום הסייבר, כזה שייצור משבר אמיתי, כדי שארגונים יפנימו את המציאות ויעברו למוד של פעילות.

הרווח הוא בניסיון הרב שצברו חברות הביטוח באירועים רבים בעולם, שהצילו ארגוני ענק מסכנת סייבר שרק פסע היה בינם לבין קריסה טוטאלית. תארו לעצמכם מה קריסה שכזו עלולה לגרום במקרה שמדובר בבנק או בחברת ביטוח.

נושא אחר שעלה בכנס הוא סחיטת סייבר. מה קורה כאשר התוקף מאיים לפרסם פרטי לקוחות של הארגון אם זה לא ישלם לו – ובמועד שבו הוא רוצה את הכסף? התשובה לדילמה האם לשלם או לא אינה שחור ולבן, ולכל מקרה התשובה הייחודית לו.

נקודה אחרונה, ישראלית טהורה: הנושא של מתקפות הסייבר נמצא בארץ מתחת לרדאר יותר מאשר בארצות הברית, שם החוק מחייב ארגונים לדווח ללקוחות על מקרי תקיפה בהם חדרו למידע שלהם. החוק הזה לא קיים בישראל. שינוי בחקיקה יציף בצורה בולטת את הבעיה וידרבן את הארגונים לגלות ערנות יתר, להקשיב טוב יותר לאזהרות של המנמ"רים ולהפצרותיהם להשקיע באבטחה, ואולי לגרום לכך שהארגונים לא יצטרכו יום אחד להפעיל את פוליסות הביטוח שלהם.