ניהול סיכוני סייבר בארגון הם תוצאה של שילוב כוחות

ניהול סיכוני הסייבר של ארגונים, גדולים וקטנים כאחד, הם מאמץ משולב של כל הנהלת הארגון, החל מרמת הדירקטוריון (לסיכוני הדירקטורים כתוצאה מחשיפת סייבר, הקדשתי בעבר מאמר שלם ומקיף), המשך ברמת ההנהלה וכלה במחלקות הספציפיות החולקות ביניהן אחריות שוטפת.

יהיו מי שיקראו את המשפט האחרון ויחשבו שהייתה כאן טעות כתיב.

מרבית האנשים טועים לחשוב שהאחריות השוטפת על סיכוני הסייבר חלה אך ורק על מחלקת ה- IT (מערכות מידע). המתוחכמים, יגידו CISO   (Chief Information Security Officer).

ובכן – טעות – BIG MISTAKE!

האחריות שוטפת נחלקת בין 4 מחלקות, שאחד מהם הוא אכן ה- IT לעיל:

1. IT – מערכות מידע או אם יש, אז מנהל אבטחת מידע.
2. HR – משאבי אנוש.
3. LEGAL – המחלקה המשפטית.
4. FINANCE – מחלקת הכספים או אם יש, אז מנהל הסיכונים.

IT – מערכות מידע

מחלקה זו היא בעלת העבודה השוטפת הרבה ביותר ומושקעים בה הכספים הרבים ביותר מבין אלו המפורטות לעיל ועליה לשקוד ולטפל ברשימת הנושאים הבוערים שלהלן, בכדי להביא לרמת אבטחה ראויה בארגון:

1. אבטחת רשת: אבטחת רשתות התקשורת הפנים ארגונים וכלפי חוץ.
2. MALWARE: מניעת חדירות של וירוסים ו-  MALWARE שונים אל תוך הארגון והחוצה ממנו ללקוחות הארגון.
3. מדיה חיצונית: צמצום ומניעה של חיבורי מדיה חיצוניים וביצוע של "הלבנת" המידע שכן מוחדר לארגון.
4. קונפיגורציה מאובטחת: הקמת מערכת מאובטחת של התקנים נייחים וגם ניידים, בהם נעשה שימוש במסגרת פעילות הארגון.
5. הרשאות: ניהול היררכיית הרשאות מוגדרת, מסודרת ומעודכנת בהתאם למתודולוגיית: ON A NEED TO KNOW BASIS ולא יותר מזה. הרחבה של חשיפת מידע מעבר להגדרה פשוטה זו, חושp, את הארגון באופן מיותר.
6. BCP – BUSINESS CONTINUITY PLAN. עבודת הכנה תיאורטית משולבת עם תרגול פעיל של סנריו שונים של נזק (לרבות אירועי סייבר), על מנת לייצר נוהל עבודה וממשקים חלקים של פעילות תחת האיום ותוך כדי אירוע, על מנת לצלוח אותו עם מינימום של נזקים לארגון.
7. מוניטורינג: בחינת שוטפת ואקטיבית של מידע ברשת האפלה (DARKNET) והבהירה (רשת האינטרנט ה"לגיטימית" המוכרת לנו), על מנת לעלות על זליגת מידע בהזדמנות הראשונה. סטטיסטית, ידוע, כי גילוי החדירה לוקח יותר מחצי שנה מיום ביצועה. לכן, חשוב לנסות ולערוך פעילות אקטיבית לגילוי מוקדם. כמו ברפואה, ככל שהגילוי מוקדם יותר, כך היקף הנזק קטן יותר.
8. חיבור מרחוק: אמנם חיבור מרחוק חושף את "פני שטח המגע" של הארגון עם החוץ ובכך מעלה בסדרי גודל את סיכוני הסייבר שלו, אך הוא חשוב ליעילות התפעולית של הארגון וליכולת שלו להגיב מהר, בעולם שכולו בקצות האצבע על מסך מגע במכשיר הניד. המשתמשים הורגלו לתגובה ON LINE  ויש 0 סבילות להיעדר שירות מיידי. לכן, אין לוותר עליו, אבל, יש להיערך במערך הגנה מתוגבר בסדרי גודל ביחס למערכות סגורות ופנים ארגונים.

HR – משאבי אנוש

מעל 75% מהארגונים אינם נוהגים להזהיר ולהדריך את עובדיהם דרך קבע בנושא מניעת חשיפות סייבר בהדרכות אינטראקטיביות ודינמיות, תוך עדכון שוטף.

הדרכות אלו הן קריטיות.

אף כלי אבטחה ממוכן, לא יוכל לעובד ש"נופל ברשת". תרתי משמע!

ההאקרים הבינו זאת ובמקרים מסוימים, במקום לטרוח לנסות ולעקוף את מנגנוני האבטחה המתוחכמים, הם מטרגטים את העובד הכי זוטר מבין בעלי ההרשאות ומתמרנים אותו לבצע את הפעולה המתבקשת. לתופעה זו קוראים באופן כללי: SOCIAL ENGINEERING  ולפעילות ספציפית של התחזות ניתן שם הבאזז: PRESIDENT FRAUD.

האחריות של המשאב האנושי היא במגרש של משאבי אנוש והדרכה. מחלקה זו צריכה לשלב ידיים עם מחלקת ה- IT, על מנת ללמוד על המסרים אותם יש להעביר לכל העובדים ולמצוא דרכים יצירתיות לתקשר את המידע, תוך ווידוא שהמסר הועבר והוטמע.

ישנם ארגונים שמבצעים טסטים מוזמנים של מיילים "נגועים" לעובדים בכדי לנטר כמה מהם ייכנעו לפיתיון. הנתון המפתיע הוא, שבדרך כלל הראשונים "ליפול" הם המנהלים הבכירים. נתון זה מוסבר בכך, שמנהלים בכירים תופסים את עצמם כחכמים יותר ולכן גם זחוחים יותר, ובהיותם כאלה, הם מדלגים על לומדות האבטחה ופשוטו כמשמעו "נופלים בפח".

LEGAL – המחלקה המשפטית

תפקידה של המחלקה המשפטית הוא להתעדכן בחקיקה ובפסיקה הרלבנטית לפעילות של החברה בתחום אבטחת המידע ולוודא שהארגון מציית לחובותיו על פי דין. בתקופה הקרובה (מאי 2018) יכנסו לתוקף תקנות ה- GDPR  של האיחוד האירופי (כולל אנגליה, למרות ה- BREXIT) וכן חוק אבטחת המידע הישראלי. אחריותו של היועמ"ש היא לוודא, כי הארגון הוא FULLY COMPLIANT. במידת הצורך יש לערוך GAP ANALYSIS  בכדי לוודא זאת או בדי להשלים את הפער. כמו-כן, עליו לוודא, כי תכנית ה-BCP  (סעיף 6 בחלק המפרט את אחריות מחלקת ה- IT) מעודכנת לכלול את כל הנדרש מכח החקיקה העדכנית.

FINANCE – מחלקת הכספים

באחריות מחלקת הכספים לתקצב את כל מה שנסקר לעיל, אך גם לא לשכוח את מה שבעצם משלים את התמונה: ביטוח סייבר.

כל הפעילות המתוארת לעיל שמבוצעת ע"י 3 מחלקות האחרות דורשת תקציבים. נכון יהיה להניח שחלק הארי של התקציב הכולל למניעת והקטנת סיכוני הסייבר יגיע למחלקות אלה ובראשון מחלקת ה- IT. מטרתן של מחלקות אלה, הוא לטפל באירועים מסוג יחסית מוכר הקורים בתדירות גבוהה.

יחד עם זאת, אירוע חריג בעל היקף גדול, יכול לקרות, למרות כל ההכנה המוקדמת והמיגונים הקיימים ובכדי להגן על המאזן של הארגון ועל הפעילות השוטפת שלו, יש להשלים את התמונה באמצעות רכישת ביטוח סייבר הולם.

ביטוח סייבר הולם יהיה מבוסס ALL RISK  ומנוסח באופן המיטיב עם המבוטח בכל פיסקה ופיסקה של המלל. המשמעות היא להשתמש במלל הנכתב עבור הארגון ולא מלל שנכתב ע"י המבטח.

בכדי לוודא שזה אכן המצב, יש להיוועץ במומחה בתחום.

לסיכום, סיכוני סייבר אינם נפתרים אינטואיטיבית וגם אינם קלים לפתרון. הם נמצאים בשינוי דינמי מתמיד.

חשוב לקחת את העקרונות שלעיל לתשומת לב ולשלבם במטריית ההגנה האירגונית הן בכדי להגן על הארגון והן בכדי לתרום לשלוות נפשם של בעלי המניות בארגון.

כתבה :     ריטה בעל-טכסא, עו"ד, MSc