בסוף השבוע נחשף מחקר חדש של יבמ עם מכון פונימון (2,800 אנשי אבטחת מידע ו-IT בארצות הברית, בריטניה, צרפת, גרמניה, ברזיל, המזרח הרחוק, המזרח התיכון ואוסטרליה) לפיו ל-77% מהארגונים בעולם אין תכנית פורמלית ורוחבית להתגוננות מפני אירועי סייבר.
האמת, העובדה של- 23% יש תוכנית מאוד מפתיעה. לפני כשנתיים דלויט פרסמה את אחד מסרטוני ההסברה היותר טובים שהופקו. בסרטון הם ממחישים בצורה ויזואלית את הכאוס, הלחץ, את החשיבות שבליווי מקצועי והערכות מסודרת ואז הם חוו בעצמם אירוע דלף מידע על רבים מלקוחותיהם, אירוע שלפי דווחים אותר כבר כחצי שנה קודם לחשיפה התקשורתית שלו וגרר איתו, כמצופה, ביקורת קשה. אז אם יש 23% בין הארגונים העסקיים שמיישמים תוכנית רוחבית..? בטוח שישנם כמה ארגונים. המס' לדעתי ובטח בישראל, הרבה יותר נמוכים.
הסקר עצמו מציג את המילה התגוננות. גם עליה אני רוצה לרגע להתעכב. כשארגון עובר מתקפת סייבר הוא כבר לא מתגונן. הוא מתמודד. זו הבחנה חשובה מאוד בהבנה של מה באמת נדרש מארגון עסקי. הגנה עושה מנהל אבטחת המידע ברציפות כל השנה. כל הזמן. ההתמודדות העסקית, היא כבר שאלה אחרת לגמרי.
בחודשים האחרונים אני מדברת הרבה על Cyber Resilience. עמידות היא שם המשחק. עמידות שמאפשרת התמודדות טובה ויעילה יותר היא זו שמבטיחה שרידות עסקית. מאוד הגיוני, לא? איום מתקפת הסייבר אולי נתפס כטכנולוגי אבל הוא בראש ובראשונה איום עסקי.
כמעט מחצית מהמשיבים לסקר דיווחו כי דרכי התגובה שלהם הן, במקרה הטוב, בלתי פורמליות ומוגדרות אד-הוק, ובמקרה הרע – כלל אינן קיימות. זה נתון דיי אבסורדי אבל הוא מתכתב מצויין עם התחושה שלי אחרי כל פגישה שבה אני מציגה את התפיסה והמתודולוגיה של Cyber Resilience. ארגונים משקיעים סכומי עתק והרבה מאוד שעות ישיבות בסקרי סיכונים מקיפים, אבל ברמה הפרקטית ביותר אין להם מושג כיצד ממירים את אלפי שורות האקסל בשאלות עסקיות קונקרטיות. שאלות פשוטות, לעיתים כאלה שלא הגיוני שבאמת צריך לשאול, אבל ברגע האמת, הן השאלות הקריטיות שעל בסיסן מתקבלות החלטות בזמן אירוע.
בסקר מצוין נתון מעניין נוסף המתייחס לזמן התגובה למתקפת סייבר - 57% מהמשיבים דיווחו כי הזמן הנדרש כדי לפתור אירוע אבטחה גדל בשנה האחרונה, במקביל ל- 65% שדיווחו כי חומרת המתקפות גדלה גם היא. בזמן אירוע, מהרגע שאותרה מתקפה, עד שמבינים את היקפה, את חומרתה ועד לרגע שהיא מגיעה לשולחנו של המנכ"ל ולאחריו עד לשלב שמתכנס, במידה ובכלל יש כזה, צוות תגובה, יכולות לעבור שעות רבות, אפילו יממות. כל דקה כזו יקרה וקריטית. אם בגלל מניעת שירות ואם בגלל שינוי כללי המשחק שמנוהל ע"י ההאקר.
מתקפת סייבר לא שונה ממלחמה. זה אולי נשמע דמגוגי, אבל רק מי שחווה והתמודד עם אירוע שכזה מבין שאין דרך להקל בזה ראש. במלחמה כמו במלחמה - אי הודאות עצומה. הבלאגן חוגג וכשהבלאגן חוגג קשה מאוד לקבל החלטות חכמות. כשקשה לקבל החלטות חכמות, סביר להניח שחלק מההחלטות שיתקבלו יהיו בעייתיות. תשאלו את מנכ"ל Uber שחשב שנכון להסתיר מהציבור תשלום כופר להאקר או את מנכ"ל Equifax שחשב שנכון למכור מניות. הראשון התפטר שנה לאחר מכן. השני עומד כרגע בפני חקירה פדרלית.
כל הרעיון ב- Cyber Resilience הוא שיהיה לארגון Playbook מסודר שממפה את האיומים והסיכונים ומגדיר תהליכים בצורה פשוטה, ברורה וכזו שלא תחייב בהייה מבולבלת, תחת אש, בשורות אקסליות של ניהול סיכונים.
מניה שצונחת, חברי דירקטוריון שלוחצים, ספקים שדורשים להבין מה יהיה עם ההתחייבות כלפיהם, עובדים שחוששים למקום עבודתם, לקוחות שלא מקבלים שירות או אפילו חריף מזה נפגעים בעצמם, תקשורת שלוחצת.. ככל שהארגון יבין מהר יותר בפני מה הוא ניצב וכיצד עליו לפעול, כך היכולת שלו לצאת ממתקפת הסייבר בצורה מהירה תחסוך לו כסף רב ופגיעה במוניטין וזו השרידות הכל כך קריטית שכל ארגון חייב לשאוף אליה. לפי נתוני הסקר של יבמ, ל-77% מהארגונים אין תוכנית Cyber Resilience. בואו נקווה שההאקרים יתחשבו בנתון המפחיד הזה.
*עינת מירון. יועצת מומחית ל- Cyber Resilience