בכירה באקסנצ'ר: "למרות שארגונים השתפרו בהגנת הסייבר – הרעים מנצחים"

"בעוד שרמת הגנת הסייבר של ארגונים השתפרה בחלוף השנים, הרי שהמציאות מעידה כי הרעים מנצחים. הם פועלים בקצבים מהירים יותר ובאופן מתוחכם יותר לעומת יכולת התגובה של הארגונים לאיומים, מה שיוביל לכך שנזקי הסייבר יגדלו", אמרה ליסה אוקונור, מנהלת מעבדות המו"פ של אקסנצ'ר (Accenture) בתחום הסייבר.

בראיון לאנשים ומחשבים אמרה אוקונור כי "בשנתיים האחרונות, ארגונים בעולם השקיעו בהגנת הסייבר 81.6-84 מיליארד דולר, והנתון צפוי לצמוח ל-125 מיליארד עד סוף העשור. זה נראה כאילו מדובר בהרבה כסף, אבל לא כשאתה משווה את הנתון לעלות נזקי המתקפות – שצפויה לעמוד על 90 טריליון דולרים עד 2030".

"סכום ההשקעה בהגנת הסייבר נמוך פי 60 מההפסד הכלכלי שינבע מהתקיפות. במחקר שערכנו באחרונה בקרב יותר מ-2,000 מנהלים בכירים בארגונים, עלה כי ארגונים משקיעים פחות מדי משאבים בהגנה מפני איומי סייבר".

לדבריה, "מנכ"לים מבינים כי זו כבר לא שאלה של 'האם' הם יותקפו – אלא 'מתי'? לכן, זו רק שאלה של מהי הדרך הנכונה להיערך למתקפות, וכמה ארגונים אכן יעשו זאת בפועל".

אוקונור ציטטה נתונים שעלו מהמחקר: ארגונים מתמודדים עם 106 תקיפות סייבר בממוצע בשנה; רק 17% מהם משקיעים בהגנת הסייבר; רק שני ארגונים מחמישה הם בעלי יכולות לנטר ולהעריך איומי סייבר; רק ארגון אחד משלושה מצליח להדוף פריצות סייבר בהצלחה; רק 2% מהארגונים זיהו את מרבית ניסיונות הפריצה נגדם; למרות זאת, 75% מהארגונים בטוחים שהם נוקטים בכל הפעולות הנדרשות כדי להגן על הארגון מפני תקיפות.

שכנוע לקבלת תקציבי הגנה

על פי אוקונור, "עבודת מנהלי האבטחה בארגונים היא מאתגרת – תמיד יש איום כלשהו מולו אתה נאבק, זוהי התמודדות אינסופית. חזית נוסף היא מול הארגון, במאבק להכרה, לשכנוע ולהפנמת האיומים, ובהתאם – לקבלת תקציבים לתחום".

"מנהלי האבטחה בארגונים צריכים לשנות את התפיסה שלהם, ובהתאם – את השפה בה הם מדברים מול ההנהלות", אמרה אוקונור, "עליהם להצטייד בסובלנות וסבלנות, ובנוסף, וחשוב יותר – להתבונן על האיומים דרך משקפיים עסקיות. כל הפעילות שלהם צריכה להיות מבוססת על ניהול סיכונים. עליך לבנות מיפוי של הנכסים, לתעדף את רמת הקריטיות שלהם, ומולם להציב את האיומים הרבים".

"לכל ארגון יש את המקומות הרגישים לו, בבנקים – רשומות כספיות, וברפואה, נתונים אישיים על החולים. בנוסף, לכל ארגון מכל מגזר יש את הקניין הרוחני הייחודי לו, ואת המידע הסודי עסקית, כגון רכישות עתידיות, פתיחת קווים עסקיים עתידיים ועוד. צריך להבין את הערך העסקי של כל אחד מהם לארגון".

לדבריה, "ניהול נכסים הוא אתגר לארגונים בכל גודל, ובמיוחד – לגדולים. ניהול שכזה מאפשר לתעדף אותם, וכפועל יוצא, לתעדף את התגובות המוכנות מראש. לאחר מכן יש לבנות תוכניות להתאוששות מאסון, כשהמטרה היא להגיע להתאוששות ולריפוי והחלמה מהירים ככל הניתן".

הפרדת מנהל האבטחה מהמנמ"ר – ועבודה משותפת

"במאבק בין האסכולות השונות על מקומו של מנהל האבטחה", אמרה או'קונור, "אני גורסת כי עליו להיות בנפרד ולא תחת המנמ"ר. מצד שני, עליהם להיות קרובים, כי רוב הנכסים הארגוניים שעל מנהל האבטחה למפות, הם של מערך ה-IT הארגוני".

"רק מנהל אבטחה שיפעל בשיתוף המנמ"ר, בלא שיהיה כפוף תחתיו – יצליח ליצור מצב של ארגון היגייני (טהור) מנוזקות ומוגן מפני איומים. רק כך ניתן לייצר תגובות מהירות במקרה של אירוע".

"מטורף לנטר עשרות מוצרי אבטחה"

אתגר נוסף שיש למנהל האבטחה בארגונים, אמרה אוקונור, "הוא ריבוי רכיבי ותוכנות האבטחה שעליו לנהל, לנטר ולתזמר. עליו לבדוק שכל האלמנטים יעבדו יחדיו. בארגון ממוצע יש 30-50 מוצרי אבטחה, זה מטורף להטמיע כזו כמות, לתחזק ולתפעל אותם. גם לא קל לשתף מידע בין הרכיבים השונים כשיש כל כך הרבה מהם. יצירת תמונת האבטחה בארגון עם כל כך רכיבים, יוצרת קושי לצוות האבטחה".

"אנו ממליצים לארגונים לאגם (לעשות קונסולידציה) לכלים, כי יש יותר מדי רכיבים שהם רכיבי נישה. אפשרות אחרת המוצעת היא לצרוך את האבטחה כשירותים מנוהלים, עם SIEM (מערכת לניהול אירועי אבטחת מידע) חיצונית".

"בהיבט המו"פ אנו רואים יצירתיות בשוק הישראלי", סיכמה או'קונור. "יש פה הרבה פתרונות מחוץ לקופסה, למשל בתחומי ההגנה האקטיבית וההטעיה".

"ישראל הפכה למקור משיכה להשקעות בסייבר. ב-2016, סך ההשקעות בחברות סטארט-אפ ישראליות בתחום עמד על 20% מסך ההשקעות העולמי, זה נתון משוגע. הכישרונות הם המבדלים את השוק הישראלי".

"אנו מחפשים פה חברות שהעובדים שלהם חושבים כמו האקרים, שניגשים להגנה מפני תקיפות סייבר, כאילו היו האקרים בעצמם. כשאתה חושב כמו האקר, תוכל להגן על הנכסים הקריטיים שלך טוב".