איום מתקפת סייבר צריך להדיר שינה מעיניכם
לאחרונה, קיים נחשול אדיר של מתקפות סייבר ונדמה כי הן מאיימות עלינו מכל הכיוונים. דבריו של מנכ"ל Sony , שהמתקפה האחרונה, "תפסה" אותם לא מוכנים ושלא היה להם "מדריך הפעלה" כיצד לנהוג במקרה של מתקפת סייבר, עוררו בי מספר תהיות
הסערה התקשורתית סביב מתקפת הסייבר על Sony שככה אמנם, אולם קשה לאמוד את "הנזקים" הכלכליים והתדמיתיים, אשר נגרמו וייגרמו לה בטווח הקצר והארוך.
זאת ועוד, מתקפת הסייבר על "ענקית" הריטייל Target התרחשה ב- 2013 ועד היום, קשה לאמוד את הנזקים שנגרמו לה.
לאחרונה, קיים נחשול אדיר של מתקפות סייבר ונדמה כי הן מאיימות עלינו מכל הכיוונים. אינני מומחה בתחום הסייבר, אולם דבריו של מנכ"ל Sony , שהמתקפה האחרונה, "תפסה" אותם לא מוכנים ושלא היה להם "מדריך הפעלה" כיצד לנהוג במקרה של מתקפת סייבר, עוררו בי מספר תהיות:
1. האם בעידן בו אנו חיים ומנהלים תאגידים עסקיים הכל הפך פומבי ?
2. האם אבטחת המידע בארגון הינה בתחום אחריותו של איש ה-IT ושלו בלבד?
3. מהי אחריותם של כלל נושאי המשרה בכל תאגיד ובהם הדירקטורים בנושא אבטחת הסייבר?
מתקפות סייבר הן המחיר שאנו משלמים על ניהול עסקים בעידן כלכלת המידע. בשנים האחרונות, מאופיין העולם העסקי בתנודתיות גבוהה, הנובעת משינויים כלכליים גלובאליים והתפתחות טכנולוגית מואצת. עידן כלכלת המידע מושפע מטכנולוגיות כגון: מובייל, ענן, ו- BIG DATA ומפעילויות של תאגידים ברשתות החברתיות.
לפני מספר שנים, אם מישהו היה טוען בפניי כי המכונית בה אני נוהג תצויד בחיישנים ובעשרות מחשבים הייתי בטוח שמדובר בסרט מדע בדיוני, ברם, גישות טכנולוגיות כמו "האינטרנט של הדברים" המסתייעות בשירותי האינטרנט לניטור והפעלה מרחוק, הפכו להיות חלק משגרת יומנו והן שינו את פני הכלכלה לבלי הכר.
אליה וקוץ בה - הזדמנויות עסקיות אדירות ובצידן עלייה ניכרת ברמות הסיכון לטכנולוגיה השפעה מכרעת הן על הדרך בו אנו מנהלים את הפעילות העסקית שלנו
והן על האופן בו אנו מנהלים סיכונים.
הגלובליזציה הביאה עימה הזדמנויות עסקיות, אך גם הגדילה את רמת הסיכונים הכרוכים בכל פעילות עסקית. התפתחות טכנולוגית מועילה ככל שתהיה, עלולה לפגוע במערך הנהלים והבקרות בארגון, שתפקידם לאתר חריגות. ככל שגובר השימוש בכלים טכנולוגיים למידע עסקי ופיננסי, כך גובר הסיכוי למתקפות סייבר.
מתקפות סייבר – אחד מעשרת האיומים המשמעותיים על תאגידים ב- 2015 ע"פ תחזיות כלכליות שונות, ב- 2015 איום הסייבר הינו אחד מעשרת האיומים
הבולטים שישפיעו על תאגידים עסקיים ורמות הסיכון בתחום זה תמשכנה לעלות.
מתקפת סייבר פוגעת בכל רבדי הארגון, מערערת את יציבותו מבפנים ומחוץ וגורמת למשבר אמון בין ההנהלה לעובדים, בין הלקוחות לארגון , פוגעת בנכסיו, במוניטין שלו ובהמשכיותו לאורך זמן. ולמרות זאת, עדיין, בעיני מנהלים רבים איום הסייבר נתפס, גם היום, כנושא טכנולוגי גרידא, שהפתרון בגינו מצוי בהגדלת התקציבים המופנים לרכישת ה- firewall "הבא" או תוכנת הגנה אחרת ולא כאחד מנושאי הליבה בתחום ניהול הסיכונים בארגון. בכך מתעלמים המנהלים ממכלול הסיכונים הטמונים בנושא ונמנעים מקבלת החלטות המותאמות לשינויים התרבותיים והעסקיים של ימינו. יש להכיר בעובדה שכל תוכנת הגנה, טובה ככל שתהיה לא תמנע באופן מוחלט את הסיכוי להתרחשותן של מתקפות סייבר, כשם שלא ניתן להיפטר כליל מתופעות אחרות של פשיעה כלכלית כמו מעילות והונאות.
בנוסף, הסטטיסטיקות מראות על חוסר הלימה בין ההשקעה התקציבית בתוכנות להגנת סייבר, ובין התדירות בה מתרחשות מתקפות סייבר. שהרי, היינו מצפים שתוכנות ההגנה יפחיתו את תדירותן ואת עוצמתן של מתקפות הסייבר, אך הפוך הדבר, מתקפות סייבר קורות בתדירות גבוהה יותר מיום ליום והופכות למתוחכמות יותר.לפיכך, השאלה העומדת בליבת הנושא אינה שאלה של תקציב או סוג תוכנה, כי אם שאלה של השקעה בניהול סיכונים מושכל בתחום הסייבר והאבטחה. הגדלת המשאבים אל לה להיעשות במנותק, אלא כתהליך ניהולי אסטרטגי מכלל מערך ניהול הסיכונים של הארגון ולאחר בחינה מעמיקה של מאפייניו ושל מכלול המשאבים, התשתיות והנכסים, עליהם חייב הארגון להגן.
מנהלים ודירקטורים חייבים להיערך בצורה המיטבית למתקפת סייבר או לפרצות באבטחה הפיזית בארגון ולהציף את השאלה כיצד להתאושש מהן בצורה אופטימלית תוך שמירה על איתנותו, כשם שהם נערכים לסיכונים בתחומים אחרים.מהן השאלות שמנכ"לים ודירקטורים חייבים לשאול את עצמם בהתמודדותם עם איומי סייבר?
הערכת הסיכונים - מהם הסיכונים המרכזיים עימם מתמודד התאגיד ? האם נלקחים בחשבון מאפייני התחרות ונקודות התורפה הספציפיים של התעשייה בה הוא פועל? בתאגיד, המפתח תרופה חדשנית הסיכון המרכזי עלול להיות ברמת המו"פ ואילו בתאגיד קמעונאי הסיכון הוא בגניבת הדאטה של מועדוני הלקוחות. מהם התחומים בהם חשוף הארגון לסיכון של גניבת מידע רגיש וקריטי?
"העובד הממורמר" - כל מנהל אינו מרגיש בנוח כשגורם חיצוני פורץ לארגון, אולם מה לגבי הסיכונים מבית ? מעילות, נגרמות בסופו של יום בידי עובדים, חלקן מתוך נקמה של עובד אם בשל פגיעה אישית בו או בתנאי העסקתו, ואם בשל פיטוריו. סיבות אלו עלולות להוות מניע רב עוצמה "לזליגת" מידע רגיש ושימוש אסור בנכסי הארגון.
הסחיטה שהתרחשה לפני מספר חודשים בחברת "לאומי קארד", אשר בה עובדים, שפוטרו איימו שיחשפו את נתוני האשראי של מיליוני לקוחות מתארת, "נקמנות גרידא". האם בארגון קיימת מדיניות, שתמזער את הסיכון , לדליפת מידע רגיש? האם קיימים נהלים המחייבים את העובדים לדווח? והאם הנהלים מתוקשרים וגם נאכפים?
מעורבות ומחויבות – האם כל מנהל האחראי על משאבי הארגון מקבל מספיק מידע ושואל את השאלות הרלוונטיות על מנת לגבש את אסטרטגיית האבטחה הנכונה?
מהי חובתו בשמירה על אבטחת מידע בארגון ומזעור הסיכונים למתקפות סייבר. מוכנות והערכות - הינן הנדבך המרכזי, באיזו מידה הארגון ערוך ומוכן להגיב בעת מתקפת סייבר? מה נכון לעשות כשהיא מתרחשת, וחשוב לא פחות, מה נכון שלא לעשות?
האם האנשים האמונים על המידע יודעים היכן הוא מאוחסן , והאם ניתן לשחזרו במהירות? האם רצוי לצאת בהודעה לתקשורת כדי למזער את הפגיעה הצפויה במוניטין?
אלה הם חלק מהתרחישים הצפויים והמשתנים מארגון לארגון, ויש להיערך אליהם מבעוד מועד. תפקידם של ההנהלה הבכירה והדירקטוריון הינו כפול: בכובעם האחד, הם מגבשים את האסטרטגיה העסקית של הארגון ומתווים את מדיניותו ובכובעם השני, הם מפקחי העל ולכן נושאים באחריות לכלל התוצאות והכשלים בו.
אין דוגמאות מוחשיות מפיטוריו של מנכ"ל חברת Target בעקבות גניבת פרטיהם האישיים של 40 מיליון לקוחות החברה, ופרישתה של יו"ר Sony , שהייתה אחת הנשים החזקות בתעשיית הסרטים. סוף מעשה במחשבה תחילה – מי בעצם אחראי על אבטחת הסייבר בארגון? העידן הדיגיטלי גרם לשינוי בתרבות השיח העסקי ומושגים כמו אחריות תאגידית ודרישה לתהליך ניהול סיכונים אפקטיבי הפכו דומיננטיים.
היום נבחנת התנהלותם של בכירים על קוצו של יוד ונדרשת מהם מידה רבה של אחריות לתוצאות העסקיות ולהשאת רווחיהם של הארגונים עליהם הם אמונים. חובתם להפנים, כי מתקפות סייבר ואבטחה פיזית, הינן בבחינת איום ממשי, שעלול לגרום ל"שיתוקו" של הארגון והם אלה שיצטרכו לתת עליהן את הדעת.
קיומו של דיאלוג בינם ובין מומחי ניהול סיכונים בתחום הסייבר הכרחי לשם התמודדות אחראית ומושכלת עם מכלול האיומים המתעצמים ולשם הקטנת חשיפתם האישית של "החשופים בצריח" לתביעות משפטיות על רשלנותם במקרה של כשלים.
הכותב הינו שותף מנהל וממייסדי RSM שיף הזנפרץ ושות' רואי חשבון ונשיא לשכת רואי חשבון לשעבר.