PwC: אירועי הסייבר גדלו במחצית השנה – אך תקציבי האבטחה ירדו

עוד ממצא מצביע כי ארגונים גדולים מזהים מספר רב יותר של אירועים ● ארגונים גדולים דיווחו השנה על עליה של 44% בזיהוי התרחשות של אירועי סייבר● אירון בלכמן, מוביל תחום הסייבר ב- PwC ישראל: "התקפות רבות לא מזוהות או לא מדווחות"

ירון בלכמן, ראש תחום אבטחת המידע והסייבר בקבוצת הייעוץ של PwC ישראל

מספר אירועי הסייבר שדווחו השנה עלה ב-48% לכדי 42.8 מיליון אירועי סייבר, שהם כ-117,339 התקפות בכל יום, כך עולה ממחקר חדש שפרסמה PwC.

המחקר, הנושא את הכותר Global State of Information Security 2015, מעלה כי הנתון האמור משקף גידול של 66% בכמות אירועי הסייבר מאז 2009. המחקר נערך בשיתוף המגזינים המקוונים CIO ו-CSO בקרב 9,700 בכירים בתעשייה, ביניהם מנכ"לים, סמנכ"לים, מנמ"רים ומנהלי אבטחת מידע. המחקר נערך בארגונים בכל הגדלים, שליש מהם בארצות הברית, שליש באירופה, והשאר בדרום אמריקה, אפריקה, אסיה-פסיפיק והמזרח התיכון.

מאחר ואירועי הסייבר הפכו להיות שכיחים יותר, העלות של ניהול וצמצום הנזקים בעקבותיהם עלתה גם היא. האומדן הגלובלי הממוצע של עלות אירועי הסייבר המדווחים, הינה כ-2.7 מיליון דולר – עליה של 34% לעומת 2013. על פי המחקר, במהלך 2013 אירועי סייבר שגרמו לנזקים גדולים הפכו להיות שכיחים יותר ונראה כי מספר אירועי סייבר, שהובילו לנזקים העולים אל מעבר ל 20 מיליון דולר, כמעט הכפילו את עצמם.

בקרב ארגונים קטנים, כאלה שמחזורם השנתי נמוך ממאה מיליון דולר, חלה ירידה בין השנים 2012 ל-2013: עלות אירוע אבטחה ירדה מ-650 אלף דולר ל-410 אלף דולר. בקרב ארגונים בינוניים, שמחזורם נע בין 100 מיליון דולר למיליארד, עלות אירוע אבטחה עלתה ממיליון דולרים ל-1.3 מיליון. בקרב ארגונים גדולים, שמחזורם השנתי גבוה ממיליארד דולר, עלות אירוע אבטחה זינקה משמעותית מ-3.9 מיליון דולר ל-5.9 מיליון.

למרות ריבוי אירועי הסייבר שאירעו במהלך השנה, הסקר מצא כי תקציבי הגופים שאמונים על אבטחת המידע בארגונים ירדו ב-4% השנה בהשוואה ל-2013. יחס ההשקעה באבטחת מידע מתוך הוצאות מערכות המידע בארגון היה ונשאר כ-4% או פחות – בחמש השנים האחרונות. ב-2010 עמד תקציב ה-IT הארגוני בממוצע על 2.2 מיליון דולרים, נתון המשקף 3.6% מתקציב הארגון, ב-2011 הוא היה 2.7 מיליון דולר (3.8%), ב-2012 – 2.8 מיליון דולר (3.5%), ב-2013 4.3 מיליון דולר (3.8%) והשנה – תקציב ה-IT עמד על 4.1 מיליון דולר, נתון המשקף 3.8% מכלל תקציב הארגון.

בארגונים קטנים ירד השנה תקציב האבטחה מ-920 אלף דולר ל-730 אלף. בארגונים בינוניים הוא עלה מ-2.8 מיליון דולר ל-3.0 מיליון. ובארגונים גדולים, תקציב האבטחה צמח מ-10.3 מיליון דולר ל-10.8 מיליון.

הסקר העלה כי ארגונים רבים נאבקים על מנת להבין כמה צריך להשקיע באבטחת המידע וכיצד למדוד את החזר ההשקעה בהוצאות אלו. בחלק מהמקרים אחת הסיבות לכך נבעה מהעדר מידע אודות סיכוני הסייבר הקיימים ובהתאמה, קושי בהגדרת אסטרטגיה לניהול תקציב אבטחת המידע.

עוד ממצא מצביע כי ארגונים גדולים מזהים מספר רב יותר של אירועים. ארגונים גדולים דיווחו השנה על עליה של 44% בזיהוי התרחשות של אירועי סייבר. ארגונים בינוניים דיווחו על עלייה של 64% בזיהוי אירועי סייבר. ולהבדיל, ארגונים קטנים דיווחו על ירידה בכמות זיהוי אירועי הסייבר. אחת הסיבות האפשריות לכך, היא שחברות קטנות, משקיעות פחות באבטחת המידע בארגון ולכן הן בעלות יכולות זיהוי מוגבלות יותר מחד – ומנגד מהוות מטרות נוחות יותר לתקיפות סייבר. "חברות קטנות מניחות לעיתים שהן פחות רלוונטיות לגורמי האיום, הנחה מסוכנת ושגויה מיסודה", נכתב בדו"ח.

הגורם האנושי

אחד מגורמי התקיפה אשר נראים יותר ויותר, הם אנשים העובדים בין כתלי הארגון. בחלק מהמקרים פעולותיהם נעשות בזדון אך במקרים רבים, הם גורמים לזליגות מידע בלא ידיעתם עקב אובדן של מכשירים ניידים או כתוצאה מהתקפת פישינג מוצלחת. המחקר העלה כי אירועי סייבר שאירעו על ידי עובדים בארגון גדלו ב-10% השנה, ואילו אירועים שבוצעו על ידי ספקים, יועצים וקבלני משנה, נוכחיים ובעבר, עלו ב-16%.

עוד נכתב כי על אף שניהול סיכוני סייבר, בצורה נכונה, לא מעלים את הסיכונים באופן מוחלט, הוא מאפשר לארגונים לנהל את האיומים בצורה יעילה יותר באמצעות תהליך קבלת החלטות מושכל ולהעלות את האפקטיביות והעמידות של אבטחת המידע בארגון. "עד שימצאו פתרונות טכנולוגים טובים יותר למניעה מוחלטת של סיכוני הסייבר", נכתב, "קיימת חשיבות רבה לכך שארגונים – גדולים כקטנים, ישקיעו בלמידה ובניהול איומי הסייבר הרלוונטיים להם ואלו יהוו חלק מהותי בסדר היום של מנהלי הארגון, הדירקטוריון והצרכנים שלהם".

"התקפות רבות לא מזוהות או לא מדווחות"

"זה לא מפתיע לראות את הדיווח על הגידול בהיקף התקפות הסייבר ובעליית השפעתם הפיננסית על ארגונים", אמר ירון בלכמן, מוביל תחום הסייבר ב- PwC Israel. "עם זאת, אנו מאמינים כי ההיקף גדול בהרבה, משום שהתקפות רבות לא מזוהות ולא מדווחות". לדבריו, "קיימת חשיבות רבה לאסטרטגית אבטחת המידע של הארגון והאופן שבו הוא מבזר את תקציב אבטחת המידע בארגון. נכון להיום, לאור ריבוי הסיכונים וההתקדמות המהירה של התוקפים וסוגי התקיפות מחד, וסוגי פתרונות אבטחת המידע הרבים המצויים בשוק מנגד, לא ניתן להטמיע את כלל הפתרונות ולאטום את מערכות הארגון באופן הרמטי ולכן קיימת חשיבות רבה להתאמה בין האיומים הרלוונטיים לארגון לבין הבקרות המיושמות בו וניהול התקציב באופן המיטבי לארגון".

בלכמן ציין כי "אסטרטגית אבטחת המידע בארגונים צריכה להשתנות ולהתאים את עצמה לאיומים הנוכחים. במקום להתייחס רק להיבטים הקשורים במניעה, סגירת פגיעויות והטמעת בקרות – יש לבסס גישה מונחית-סיכונים, אשר מתעדפת את נכסי המידע החשובים ביותר בארגון והאיומים הרלוונטיים לו".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים