אני מניח שכל קוראי שורות אלו שמעו את המילה "סייבר" לפחות מספר פעמים בשנה האחרונה. עדות לכך שנושא זה נמצא רבות בכותרות, ניתן לראות במספר הפעמים בהן מופיעה המילה "סייבר" בחיפוש פשוט בגוגל לעומת מילים אחרות בנושאים אשר מעסיקים אותנו רבות, כגון: "
בנימין נתניהו", "יוקר המחיה" ואפילו צמד המילים "צוק איתן".
עדות נוספת לכך ניתן לראות בפעולות של גורמי רגולציה שונים בישראל. בנק ישראל דורש שכל בנק יקים מערך הגנה קיברנטי וימנה מנהל הגנה קיברנטית שיעמוד בראשו. חברת החשמל השיקה חמ"ל סייבר. ראש הממשלה הודיע על הקמת רשות להגנת סייבר.
גם בעולם אנו עדים לפעילות הרבה שנעשית בנושא. בסקר שנערך בקרב 340 מנהלי אבטחת מידע ומערכות מידע על-ידי חברת הייעוץ הבינלאומית Protiviti נמצא, כי לשלוש מתוך ארבע מועצות מנהלים יש את ההבנה והידע בתחום אבטחת המידע והמחויבות הדרושה לכך.
גם הדירקטור שקורא ידיעות אלו, לבטח שואל את עצמו מה הוא אמור לעשות עם "באזז" הסייבר אשר לא שוכך. האם ישנן שאלות שעליו לשאול את עצמו ו/או את הנהלת החברה? מה השתנה מהשנה שעברה? האם עליו לדרוש מהנהלת החברה ביצוע פעולות מסוימות? מהן ההשלכות במקרה של מתקפת סייבר על הארגון? וכולי. התשובה היא: כן, יש מספר שאלות שמחובתך לשאול וכמובן גם לקבל עליהן את התשובות.
האם הארגון משתמש במסגרת עבודה (קווים מנחים) לאבטחת מידע? תשובה אפשרית: כיום קיימות מספר מסגרות עבודה ודרישות רגולציה אשר מספקות לארגונים קווים מנחים ואבני דרך הנדרשים ליישום בתחום. מסגרות העבודה ודרישות הרגולציה הנפוצות הן: COBIT®5 for Security, ISO27001 שהן מסגרת עבודה ותקן כללים אשר טובים לכל ארגון ללא התייחסות למגזר פעילות ספציפי; HIPPA (רגולציה אמריקנית בתחום הבריאות); PCI-DSS (תקן אבטחת מידע בנושא כרטיסי אשראי); חוזר אבטחת מידע של הממונה על שוק החל על גופים מוסדיים ועוד. חשוב לציין, כי כדאי גם לארגון שלא חלה עליו רגולציה מוסדרת לאמץ תקן בנושא, לאחר ביצוע סקר סיכונים אשר יפרט וידרג את מכלול הסיכונים מולם הארגון צריך להתמודד.
מהם הסיכונים הקשורים לתחום הסייבר בארגונך? תשובה אפשרית: סיכון אחד הוא מחשוב ענן: תצורת עבודה אשר תופסת תאוצה בתקופה האחרונה המאפשרת לאחסן מידע אצל גורמים חיצונים שלא ברשת הארגון וכן לקבל שירות תוכנה מגורם חיצוני, כאשר כל המידע נאגר ונשמר במאגרי מידע מחוץ לארגון, לדוגמה: Office365, לשכות שכר ועוד.
סיכון שני הוא הבאת ציוד מחשוב מהבית, כגון: טלפונים חכמים ומחשבי לוח - תופעה ההולכת ונעשית נפוצה, כאשר חברות מאפשרות לעובדים להביא את ציוד המחשוב האישי שלהם ולחבר אותו למערכות הארגון. הבעיה היא שהארגון אינו יודע מהי רמת אבטחת המידע במכשיר והאם הוא נגוע בווירוסים. יכולת השליטה על המכשיר נמוכה, ללא הסתייעות במערכות תומכות, מיקור חוץ של פעילויות הליבה בארגון, העדר תוכנית לטיפול באירועי אבטחת מידע, הרשאות גישה עודפות, אי-איתור בזמן אמת של פעולות בלתי מורשות או חריגות. כל אלה מהווים גורמי סיכון משמעותיים, אשר עלולים להוות חשיפה בתחום הסייבר בארגון.
האם עובדים מודעים לתפקידם בתחום הסייבר ולסיוע הנדרש בהתמודדות עם האיום? תשובה אפשרית: הארגון נדרש לבסס תוכנית הדרכה להעלאת המודעות בקרב עובדיו לסיכוני אבטחת המידע הקיימים בכלל ולסיכוני סייבר בפרט. הנהלת הארגון צריכה להטמיע בעובדים את חשיבות הנושא (Tone at the Top). לדוגמה: יש למנות מנהל אבטחת מידע ולהגדיר תקציב ליישום פעילויות האבטחה.
חלק גדול מההתמודדות בנושא הוא מודעות עובדים, ולשם כך יש לפתח מערכי הדרכה ועידכונים שוטפים בנושא, כגון: שליחת דוא"ל אחת לתקופה על החשיבות של אי-פתיחת דוא"לים חשודים מגורמים לא מוכרים, אי-הכנסת התקן נייד למחשבי הארגון ללא העברתו קודם לכן בעמדת הלבנה וכולי.
האם במקרה של פריצה ממשית, יש לארגון תוכנית להתמודדות עם אירועי אבטחת מידע אשר התממשו? תשובה אפשרית: לארגון צריכה להיות תוכנית להתמודדות עם אירועי אבטחת מידע, תוכנית להתמודדות עם אסון, המשכיות עסקית והתאוששות מאסון, הקמת צוות להתמודדות עם אירועי כשל והגדרת אחריותו, וכמובן לא לשכוח לתרגל את התוכניות. תפקידן של תוכניות אלה הוא להתמודד עם האיום לאחר התרחשותו בניסיון למזער את הנזק מצד אחד, ולאפשר לארגון להמשיך לתפקד מהצד השני.
האם בעת בניית תוכנית ההתמודדות עם איומי הסייבר נלקחו בחשבון איומים חיצוניים ופנימיים? תשובה אפשרית: אף על-פי שאיומים חיצוניים מקבלים חשיפה תקשורתית גבוהה יותר, הניסיון מלמד, כי הסבירות לכשל אבטחתי כתוצאה מאיום פנים-ארגוני (כגון: גניבת מאגר הלקוחות של חברת לאומי קארד על-ידי עובד לשעבר לפני מספר חודשים), גבוהה יותר.
על-מנת להתמודד עם איומים פנימיים, יש להתייחס לדוגמה לאיום מצד עובדים וספקים, אשר מקבלים גישה למערכות הארגון ועל-ידי כך ייתכן שהם חשופים למידע רגיש. יש לפעול ליישום מערכות ניטור, אשר מאפשרות בזמן אמת ובדיעבד לדעת מי הגורם אשר רק צפה במידע רגיש ללא ביצוע שינוי כלשהו, להגביל גישה של התקנים ניידים למחשבי הארגון ועוד.
לגבי איומים חיצונים, הארגון נדרש למפות את מכלול הסיכונים בפניהם הוא ניצב, לדרג אותם, ובהתאם לממצאים - לפעול ליישום מערכי הגנה למניעת הסבירות להתרחשותם ולגילוי הפריצה במקרה שהתרחשה.
האם בוצע בארגון סקר סיכונים בנושא אבטחת מידע לאיתור כלל הסיכונים ודירוגם על-פי רמות חשיבות? האם נבנתה בעקבותיו תוכנית עבודה למיגור הסיכונים? תשובה אפשרית: כן (אתם בכיוון הנכון), לא (יש מקום לשיפור).
