במצב הדברים הנוכחי לא נהיה לאומת סייבר – נדרשות חשיבה, נחישות ויוזמה

רבים בישראל, וגם המנהיגים, יודעים להתפאר באמירה: "אנחנו אומת סייבר", אבל רק מעטים השקיעו מחשבה בנכונות הצהרה זו. לכולנו קל ביותר להיזכר בחברות הזנק, שחשבו על רעיונות מדהימים, גייסו כספי השקעה ובסוף גם מכרו את החברה במטרה להתעשר בקלות ותוך זמן קצר. אין בזה כמובן שום דבר פסול, אם התהליך מבוצע ביושר, שקיפות, יסודיות, ובמטרה לגרום לעולם להיות מאבטח יותר.

אבל, האם צעירים מוכשרים אלה, רבים ככל שיהיו וגם יבורכו, יגרמו לכך שארגונים חיוניים כמו בנקים, בתי חולים, מוסדות השכלה, חברות ביטוח, ספקי תקשורת, ספקי מים, חשמל ותקשורת יהיו מאובטחים ברמה סבירה?

התשובה המוחצת היא כמובן לא! האם קיומם של נהלים ורגולציה יגרמו לארגונים להיות יותר מאובטחים? התשובה היא ייתכן, בתנאי שיש גורם שמחזיק מקל ויש ביכולתו לסגור עסקים, אם הם לא עומדים בתקן. לזה יש לנו דוגמאות בארץ, והתהליך כנראה עובד לא רע, כי מנהלי אבטחת סייבר יותר מודאגים מהאשמה כלפיהם אם הארגון שלהם ייסגר עקב ממצאים של הגנת סייבר רשלנית.

האם יש בעיה?

אכן יש בעיה, וגם חמורה, כי הגנת סייבר לארגונים לא מושגת רק על ידי צעירים מוכשרים שחולמים להתעשר, וגם לא מושגת על ידי רגולציה. ישראל יכולה להפוך ל"אומת סייבר" אם העובדים בארגונים בהם פועלות מערכות מידע, מערכות תעשייה ועוד, ילמדו כיצד להגן על הארגון שלהם.

ישראל לימדה את הסינגפורים וממשיכים ללמד אותם עד היום מה נדרש כדי להפוך ל"אומת סייבר". הם כבר מצליחים במשימה זו, וחשוב לומר "התלמים יותר מצליחים מהמורים".

אז מה צריך לעשות כדי להפוך לאומת סייבר?

• ארגונים חייבים להשקיע בהדרכה של העובדים שלהם, ברמה מותאמת לכל קבוצת עובדים
• הדרכות חייבות להתבצע על ידי מרצים מקצוענים ולא אלה שרוצים לספק הדרכה ללא עלות!
• כמו בסינגפור, הממשלה צריכה לסבסד למידה שמוצעת על ידי מרצים וארגונים מקצוענים
• כל הארגונים חייבים לבצע סקר סיכונים שנתי, לייצר דו"ח מפורט ולתקן את הפגמים שנתגלו
• נדרשת הקפדה מיוחדת על שרשרת האספקה עבור: מכשירים, תוכנות, שירותי תחזוקה ועוד
• חשוב שאלה המנהלים את האבטחה יהיו מומחים בעלי ידע מעמיק בתחום הספציפי שלהם
• המומחים בארגון ידרשו לעבור הדרכות והסמכות תקופתיות באמצעות גורמים מקצועיים בתחום
• לגבי אבטחת סייבר, אין לבצע חישובי החזר השקעה (ROI), אלא נדרש לבצע הגנה מתאימה
• נדרש לפעול בהתאם להנחיות שנכתבו באופן קפדני לכל תחום באמצעות מערך הסייבר הלאומי
• מנהלים בארגונים נדרשים להכיר ולפעול בהתאם ל: פרק 5, פסקה 1 בתקן 27001-2013 ISO

האם זו משימה אפשרית?

למרות העובדה שלא ניתן להשיג אבטחת סייבר מוחלטת שתגן על כל ארגונים בפני תקיפת סייבר, המנהלים חייבים לדעת כי מעל 90% מהתקיפות שגרמו נזק משמעותי, אבדן הכנסות, השבתה וגם סיכון לחיי אדם, נגרמו עקב התנהלות רשלנית ולא מקצועית של עובדים, מנהלים, וספקי שירות.

אם נשקיע בהדרכות תקופתיות לעובדים ונהפוך אותן חובה, ניתן יהיה לשדרג באופן משמעותי את הגנת הסייבר בארגונים. כך נוכל לשמור על יתרון קבוע כלפי התוקפים האלימים וגם לומר בביטחון כי ישראל היא "אומת סייבר". בהצלחה.

כותב המאמר הוא מרצה לאבטחת סייבר עם מיקוד על מערכות תעשייה, ומבצע הדרכות בתחום זה בישראל ובחו"ל

הכנס השישי הבינלאומי Cybersec 2021 & AI-ML ICS של אנשים ומחשבים יתמקד בהגנת סייבר ויכלול מרצים וצופים מישראל ומחו"ל. הכנס יהיה היברידי ומתוכנן להתקיים ב-27.10.2021 – לפרטים והרשמה הקישו על הקישור הבא