"התוקפים לא מפלים – מי שיש לו כסף, יהיה קורבן בסייבר"

"לתוקפים במתקפות כופרה לא אכפת באמת את מי הם תוקפים. אם יש לכם אפשרות לשלם, ויש לכם ביטוח סייבר – אז אתם מטרה, ודמי הכופר יעמדו, בהתאם לגודל היעד, מאלף דולרים עד עשרות מיליונים", כך אמר ג'ון ווטרס, נשיא פייראיי (FireEye).

ווטרס השתתף בכנס הסייבר השנתי של ה-OECD, שמתקיים השבוע לראשונה בישראל, על ידי מערך הסייבר הלאומי.

לדברי ווטרס, "לא לכל החברות הקטנות והבינוניות יש כסף להשקיע באבטחה כמו לארגונים גדולים, אבל צריך לעשות משהו. אם אתה מספק שירות לארגון תחת רגולציה, אתה צריך את אותה רמת אבטחה כמו שלו. זה סטנדרט שצריך לגבש. יש לבנות מנגנוני תמריצים: שיהיה יותר רווחי עבור ספק שירות לתת רמה מסוימת של אבטחה, כי אז הוא יקבל מוניטין רב, שיעניק לו יתרון תחרותי מול יותר לקוחות".

"בחודשים האחרונים", אמר ווטרס, "ראינו הפנמה של דברים בעולם הסייבר, אנשים חוששים ושואלים: 'איך מגבירים את האבטחה שלנו?'. זה כמו בעולם התחבורה: בהתחלה היה צריך לשים חגורות בטיחות במכונית – ואז הן הפכו לחובה; אז הגיעה כרית האוויר; ולאחריה, עוד מגוון של אביזרי בטיחות. אז, השחקנים בתעשייה התחילו להתחרות ביניהם מי יותר בטיחותי. באותה מידה, אנשים צריכים להתעורר ולשנות את הדרך שבה הם עושים עסקים. אני רואה שינוי, חלקו מגיע מהרגולציה. ארגונים הותקפו ולא צייתו לרגולציה, אבל הם צריכים להיות יותר מאובטחים ולהפוך ליעד קשה יותר לכיבוש. עליך לבחון מה לדרוש מהספק, ששומר על יהלומי הכתר שלך".

חוסן סייבר: דרוש שינוי בדרך בה אנו עושים עסקים

לדברי נשיא פייראיי, "אם יש לדירקטוריון תכניות שצריך ליישם, זה לא 'נחמד שיהיה', אלא כורח, ועל ההנהלה לקחת אחריות על תכניות האבטחה. בעבר, העדיפות של מנהלי האבטחה הייתה לעמוד ברגולציות, והם ניסו להשיג עוד קצת תקציב כדי להיות מאובטחים. עכשיו אנשים מנסים להיות secure by design and compliant by default – וזה שינוי. האויב חדשני. אם אתה עומד בקצב החדשנות שלו, האבטחה תמשיך ותתרחב".

"לו אני התוקף", אמר, "אז אני עכשיו במסדרון, עובר על כל רשימת הלקוחות של חברת הביטוח. אני יודע מי הלקוחות וכמה כופר הביטוח ישלם לפי הפוליסה. על תעשיית הביטוח לדרוש מהמבוטחים רמת אבטחה גבוהה יותר. זה יעבוד יותר חזק מאשר ממשלה שתדרוש עמידה בתקנות. אם חברת הביטוח תוכל לעשות דירוג לאותו ספק, זה יכול להשפיע על כמות הלקוחות שיגיעו אליו".

"יש חוסר פרופורציה בין התוקפים לבין המגינים. אז יש להניח כהנחת יסוד שהתוקפים ייכנסו פנימה", סיכם ווטרס. "הנזקים כיום הם הרבה מעבר לרמת הארגונים הגדולים. מה קורה כשעסק קטן, ולא בנק גדול – מותקף ונפגע? זה דורש שינוי בדרך בה אנו עושים עסקים. לא כל החברות הקטנות יודעות לנהל תשתית מאובטחת. צריך שכבה שבה ספק השירותים ידע לנהל את התשתית. וגם ביטוח שיבטיח שאם קרה משהו, העסק יוכל להמשיך ולא יקרוס. כולם צריכים להיות בעלי חוסן סייבר, כדי שלקוחות יוכלו לסמוך עליהם – חברות אבטחה, ספקיות ענן, ספקי תשלומים ועוד. צריך לשנות את כללי המשחק באבטחה: אם נעשה שוב ושוב אותו הדבר ונצפה לתוצאות שונות, זה לא ישפיע טוב על הכלכלה הגלובלית. צריך לחדש לעומת התוקפים וללחוץ על שינוי האבטחה, ככל שהתוקפים עוברים ליותר אוטומציה. יש לסגור את פערי האבטחה".