"אני לא מספיק חשוב כדי שהאקרים יחפשו אותי", טוענים באוזניי בעלי עסקים קטנים. לרוב השיחה מתנהלת כך: האם את/ה מודע/ת לאיומי הסייבר במרחב? "כן, שמעתי, אבל אצלי אין עניין". למה אין עניין? "אנחנו קטנים מדי ואנחנו באמת לא מעניינים תוקפי סייבר". שמעתם על הזינוק במתקפות הכופרה בשנתיים האחרונות? "שמענו, אבל אנחנו לא מאמינים שזה יגיע גם אלינו".
המציאות מוכיחה אחרת – עסקים קטנים הם טרף קל למתקפת סייבר. לעיתים התקיפות האלה עלולות לפגוע בעסק הפרטי באופן אנוש ואף לגרום לקריסתו. דליפת מידע משרתים של חברה קטנה ועד כה לא מאוד מוכרת של כמה אלפי לקוחות, עושה כותרות בימים אלו. אך זה לא המקרה היחיד – למרכז 119 של מערך הסייבר הלאומי מגיעים מדי חודש עשרות דיווחים מעסקים קטנים המדווחים על השחתת האתר שלהם, כופרות שנעלו את מחשביהן, נוזקות שמשבשות את מערכותיהן ועוד. לרוב לא מדובר בתקיפות מתוחכמות כלל. מהנתונים הקיימים במערך, אלפי עסקים במשק הישראלי חשופים לפגיעויות שונות בטווח הזמן המיידי, כגון כתוצאה מחיבור מרחוק שלא בוצע בו עדכון אבטחה עדכני או שרת דוא"ל חשוף לאינטרנט. כדי לתקן זאת נדרש רק להטמיע את עדכון האבטחה ללא צורך בהשקעה כספית כלשהי.
לנעול את הדלתות הדיגיטליות
לפני מספר חודשים פנה המערך לקיבוץ קטן והתריע בפניו שטכנולוגיה מסוימת שבה הוא עושה שימוש חשופה למתקפה ויש להטמיע במהרה את עדכון האבטחה. שבוע לאחר מכן דיווח לנו הקיבוץ כי הותקף בנוזקת כופרה שהצפינה את מחשביו. מקרה זה מוכיח שוב: כפי שהעסק מקפיד על נעילת שערים ודלתות פיזיים, יש להקפיד גם על נעילת הדלתות הדיגיטליות.
התחרות העסקית וגורמים רבים נוספים מכתיבים לרוב העסקים מדיניות ומשאבי ניהול והפעלה קצובים ומדודים. ברוב המקרים המדיניות ותוכניות העבודה אינם מושפעים מניתוח "ניהול הסיכונים בסייבר". אך האחריות היא לא רק כלפי העסק שלך, היא בעיקר כלפי הלקוחות – מאזרחים שמפקידים בידיך מידע אישי ועד לארגונים ועסקים אחרים שמקבלים ממך שירות. מרקם החיים העסקי במדינת ישראל קשור ותלוי אחד בשני. ברוב המקרים העסק הנתקף משמש כספק שירותים או מוצרים לעסק אחר ולהפך. התלות ורמת הסיכון הקיימים ברמת האבטחה של העסק הבודד הם קריטיים. אירוע סייבר יכול לפגוע באיכות המוצרים והשירותים, בפרטיות העובדים, הספקים והלקוחות, בפן הכלכלי, ברציפות ובהמשכיות העסקית, באמינות ובמוניטין העסק ועוד ועוד. שערו בנפשכם מה עלולה להיות התוצאה לתקיפה של בקר או פגיעה בכבל במערכת צד של ספק מחברה קטנה המשולבת בטכנולוגיה של מכונת הנשמה הנמכרת למחלקת קורונה בבית חולים.
כולנו כאנשים פרטיים ובוודאי כבעלי עסקים חשופים ומותקפים על בסיס יומי, גם אם אנו לא חשים בכך. חלקנו נתקף באופן אישי וחלקנו נפגע תוצאתי. לרוב, המודעות לסיכוני הסייבר וההתייחסות אליהם נמוכים עד מאוד. אבל למעשה, כולנו נסמכים על מערכות מחשב המסייעות לניהול ושליטה בנתונים (יעד לתקיפה), אנחנו מחוברים לגופים הפיננסיים שלנו באמצעות המחשבים והניידים (יעדים לתקיפה), אנחנו צורכים שירותי מדיה ודיגיטל (יעדים נחשקים לתקיפה). כל עסק, בלי קשר לגודלו ולהיקף הכנסותיו, מתקשר באמצעות מיילים ומערכות מחשב (יעד מובהק לתקיפה), מערכות רכב, שינוע, ניוד והובלה מנוהלות ומבוקרות מחשב (יעדים לתקיפה). רובנו מתקשרים ומנהלים את אורחות חיינו באמצעות הסמארטפונים (יעד לתקיפה) אשר מתממשקים למערכות המחשוב, הצילום והביטחון של העסק (יעד לתקיפה) וכו'.
בידי כל בית עסק יש אחריות על שלמות ותפקוד העסק ויותר מכך – כלפי לקוחותיו. מכאן הצורך ליטול יוזמה דחופה ולהגן על נכסיך העסקיים. אמליץ לכל בעל עסק לזמן מומחה לביצוע סקר סיכונים בסייבר או להיעזר במחשבון הסייבר של מערך הסייבר הלאומי הזמין ללא תשלום באתר המערך. עלות האבחון ותיקון הליקויים עשויים להיות זניחים כטיפה בים אל מול ההפסדים והסיכון בקריסה כלכלית נוכח אירוע סייבר קל ופשוט.
ירון עידן הוא ראש מרכז הכוונת המשק במערך הסייבר הלאומי