פורסטר: ארגונים איבדו בשנתיים האחרונות בממוצע 11 טלפונים חכמים ו-7 מחשבים ניידים

פורסטר (Forrester) פרסמה לפני ימים אחדים דו"ח שממנו עולה, כי ארגון ממוצע איבד במהלך השנתיים האחרונות 11 טלפונים חכמים ו-7 מחשבים נישאים.

המחקר בוצע בחודשים נובמבר 2009 עד מרץ 2010, ומומן על ידי מיקרוסופט (Microsoft) ו-RSA, חטיבת האבטחה של EMC. במסגרת המחקר נערכו שיחות עומק עם 305 מנהלי אבטחה בארגונים בכל הגדלים בארצות הברית, קנדה, מערב אירופה ואוסטרליה.

לדברי עורכי המחקר, "מנהלי אבטחת מידע בארגונים ניצבים מול שלוש חזיתות בו זמנית – דרישות עסקיות גוברות והולכות, רגולציות וטיפול באבטחת המידע המצוי אצל השותפים העסקיים של הארגון, הנמצאים עימו בקשר". מנהלי המחקר חילקו את המידע הארגוני לשניים: האחד, המכונה "סודות", מתייחס למידע בעל ערך תחרותי ארוך טווח, והשני, שכונה "אפוטרופסי", כולל מידע על לקוחות, מידע רפואי אישי על העובדים ומידע על מחירי מוצרים ותשלומים לעובדים. סוג מידע זה, כתבו חוקרי פורסטר, הוא "רעיל", ונזקו רב אם הוא יוצא מחוץ לארגון, בין בשוגג ובין בגניבה. "ארגונים מתמקדים יתר על המידה בהלימה לרגולציות, ולא מספיק בהגנה על שני סוגי מידע ארגוני זה", ציינו עורכי המחקר.

לדבריהם, מידע המקוטלג כ"סודות" מהווה כשני שליש מתוך כלל ערך המידע הארגוני. כן הם ציינו, כי למרות המיקוד של הארגון במידע ה-"רעיל", הרי שהוא לא בעל הערך הרב ביותר. "מידע של 'סודות' הוא נפיץ יותר בחומרתו , ומהווה את היעד העיקרי להשגה מצד ההאקרים", נכתב בדו"ח.

עוד עולה מהמחקר כי ההלימה לרגולציות היא המניעה העיקרית את תהליכי אבטחת המידע ואת תקציב אבטחת המידע בארגון – ולא הצורך באבטחת מידע לשמה. לדברי פורסטר, ארגונים משקיעים 80% מתקציביהם לצורך זה, על אף שהמידע המכונה "סודות", מהווה 62% מכלל המידע הארגוני בהיבט הערך שלו והנזק בא ייחשף. זאת, לעומת ההשקעה הרבה יותר במידע "אפוטרופסי", והרגולציות הכרוכות בו, המהווה מבחינה ערכית רק 38% מכלל המידע הארגוני.

יותר מידע בעל ערך = יותר אירועי אבטחה

על פי המחקר, ארגונים מתמקדים במניעת תקריות אבטחת מידע בזמן שההאקרים למיניהם מתמקדים בגניבת מידע בעל ערך כלכלי. לדברי אנשי פורסטר, גניבת מידע בזדון על ידי עובדים מניבה נזק כלכלי הגדול פי 10 לעומת אירוע אבטחת מידע שנעשה בשוגג.

ככל שלארגונים יש מידע בעל ערך רב יותר, נכתב, כך מתרחשים בקרבם יותר אירועי אבטחת מידע. בניתוח שערכו החוקרים עלה, כי ארגונים שהיה להם מידע בעל פוטנציאל גרימת נזק כספי רב חוו פי 20 יותר אירועי אבטחת מידע לעומת שאלה שהיה להם מידע ארגוני בעל ערך פחות.

החוקרים ציינו, כי הליקוי החמור בהיבט הפעילות של מנהלי אבטחת המידע מתבטא בכך שהארגונים "אינם יודעים לאשורה כמה הבקרה שנעשית על תהליכי אבטחה המידע אפקטיבית". הם ציינו, כי הנתון הזה חוצה ארגונים, מבחינת הגודל שלהם, המגזר התעשייתי בו הם פועלים ורמת הערך של המידע הארגוני. עוד הודו מנהלי אבטחת המידע, כי הם לא יודעים אילו מתוכניות אבטחת המידע והנהלים שאותם הוציאו לארגון פועלים, ואילו לא.

לסיכום, כימתו עורכי המחקר את הערך הכולל של מידע ארגוני, בממוצע, והגיעו ל-2.7 מיליון דולרים. הנתון מורכב מכמה סוגי מידע: נתונים על משכורות ונתונים פיננסיים, המוערכים ב-297 אלף דולרים בממוצע, מידע אודות לקוחות ודרכי ההתקשרות עימם, השווה 504 אלף, ודו"חות מחקר פנימיים, המוערכים ב-226 אלף דולרים. סוגי מידע נוספים, בהם מודלים פיננסיים, מידע רפואי על עובדים, נתוני כרטיסי אשראי, תכנונים על מוצרים חדשים ושירותים שיגיעו לשוק וניתוחים על מתחרים הוערכו בסך כולל של בין 150 אלף ל-200 אלף דולרים.

מבחינת עלויות נזקי האירועים, הרי שהאירוע בעל הנזק הכספי הרב ביותר היה זה שבו עובד גנב מידע רגיש ועלותו הוערכה ב-380 אלף דולרים. נזקו של אירוע שבמסגרתו איבד שותף עסקי מחשב נייד ובו מידע ארגוני הוערך ב-320 אלף דולרים. סכום דומה – 313 אלף דולרים – הוערך באירוע שבו נפרץ השרת הארגוני על ידי האקרים. בתחתית הדירוג מצוי מקרה של אובדן טלפון חכם ובו נתונים ארגוניים, שנזקו הוערך ב-12 אלף דולרים בלבד.