"הסייבר מאתגר יותר דווקא ארגונים מוטי טכנולוגיה"

"דווקא ארגונים מוטי טכנולוגיה מאותגרים יותר במימד הגנת הסייבר. היכולת של מגזרים מבוססי IT, כגון בנקאות, טלקום, ביטוח ועוד – להמשיך לספק את השירותים שלהם, לאחר פגיעה בתשתיות המידע שלהם – נמוכה משמעותית מזו של ארגוני לואו-טק מסורתיים", כך אמר יובל שגב, מרכז תורה (מתודולוגיה), הרשות הלאומית להגנת הסייבר.

שגב השתתף ברב-שיח בנושא אבטחת מידע והגנת הסייבר, שנערך באחרונה בבית אנשים ומחשבים. רב-השיח התקיים לקראת כנס InfoSec 2017. הכנס ייערך ביום ג', ה-23 במאי, באולם אירועים אווניו, קריית שדה התעופה. את רב-השיח הנחה יהודה קונפורטס, העורך הראשי של אנשים ומחשבים.

חוסן קיברנטי, אמר שגב, "משמעו – היכולת של ארגונים להמשיך ולקיים את הייעוד שלשמו הם הוקמו, גם במקרה של אירוע במרחב הסייבר".

"יכולת זו נמצאת ברמות שונות במשק הישראלי והשיח סביב הנושא צובר תאוצה בחמש השנים האחרונות. מגזרים שונים במשק נמצאים ברמת חוסן שונה, כתלות באופי הפעילות והמגזר, מודעות ההנהלה ומידת התלות של הארגון – כולל ספקיו ולקוחותיו – במרחב הסייבר".

לדבריו, "מאחר ותחום זה מקבל תשומת לב גדולה יותר בשנים האחרונות, מטבע הדברים רמת החוסן עולה במשק, אך ההפנמה ברמת ההנהלה כי מדובר בתפיסה אסטרטגית, טרם חלחלה לגופים רבים במשק".

חלק אינטגרלי מאחריות של כל הנהלה

אחד המאפיינים של המשק הישראלי בתחום, אמר שגב, "הוא תלות ב'ספקים בודדים'. בעוד שבארצות הברית ובאירופה ישנן חברות חשמל, טלפוניה, ביטוח ובנקים רבות – הרי שבישראל התלות של המשק וחוסנו מושפעים רבות מספקי השירות הגדולים".

"זה מחייב את המשק לבחון ברמה האסטרטגית את חוסנם של ספקי השירות הגדולים ולעבוד בשיתוף פעולה, תוך בחינת התלות בין הגופים ברמה הלאומית".

לדבריו, "דוגמה לראיה לאומית של החוסן היא המרכז לרציפות פיננסית, שהוקם ב-2016 ברשות הלאומית להגנת הסייבר בשיתוף עם משרד האוצר".

מתקפת סייבר, אמר שגב, "עלולה להוביל ארגון למצב בו הוא חדל מלהתקיים. היערכות נכונה שלו בחוסן הקיברנטי ובחינה מעמיקה של רציפותו העסקית, איננה פריבילגיה לארגונים גדולים, אלא חלק אינטגרלי מאחריות של כל הנהלה".

החוסן, הסביר, "מושג לא פעם באמצעות היערכות מקדימה, שאיננה טכנולוגית גרידא. על הגוף לזהות את השירותים הקריטיים, להגדיר את המענה החלופי בעת אירוע ולוודא שהוא ישים ועונה על רמת השירות אותו הגדירה הנהלת הארגון".

כך, אמר שגב, "בית חולים, לדוגמה, נדרש להיערך מראש לתרחיש של ניתוב חולים בעת אירוע. על הארגון להפנים שאירוע בו יימנע ממנו לקבל מטופלים אכן יכול להתרחש – כפי שראינו לפני ימים אחדים. עליו להגדיר כיצד המידע יועבר לתקשורת ולמטופלים, מה עושים עם החולים הקיימים ומה עם אלה שמעוניינים להיקלט בבית החולים ועוד".

התאמה למאפייני המשק הישראלי

"רק באמצעות קידום גישה ארגונית כוללת לחוסן קיברנטי, אסטרטגיה ארוכת טווח – כולל אילו טכנולוגיות יוטמעו בעסק ב-5-10 השנים הבאות – ניתן להביא לרמה גבוהה של חוסן ארגוני בסייבר, "אמר שגב.

"ארגון יכול לייצר חוסן באמצעות יתירות טכנולוגית ועסקית, אך מאחר והדבר מושפע רבות גם מספקי הארגון, לקוחותיו, וממתחרים עסקיים – אין מנוס מתכנון אסטרטגי מראש".

"מדובר בהחלטות אסטרטגיות, ויש להביא את הנושא לדיון ברמת ההנהלה. ישנן מתודות שמסייעות לארגונים להעריך את רמת החוסן שלהם באמצעות מילוי שאלון 'הערכה עצמית' לנושא. ישנן שתי אסכולות מובילות בעולם לבחינת רמת החוסן הקיברנטית של ארגונים. הן פותחו על ידי המחלקה לביטחון המולדת בארצות הברית (DHS) ועל ידי המוסד הלאומי לתקנים וטכנולוגיה", סיכם שגב.

"שאלונים אלו מסייעים להציג בפני ההנהלה את האתגרים והמענה אל מול האיומים עימם הארגון מתמודד. מילוי השאלונים בצורה אפקטיבית יכול להתבצע אך ורק באמצעות חיבור הדוק בין אנשי המחלקות העסקיות ואנשי ה-IT בארגון. הם מהווים חלק מתורת ההגנה הלאומית שאת הטיוטה שלה פרסמנו, תוך התאמה למאפייני המשק הישראלי".