סייבר | שאלות ותשובות

אל תגידו "לי זה לא יקרה": כך מגנים על העסק מפני מתקפת הסייבר הבאה

הרשות להגנת הפרטיות הודיעה כי תחקור את חברת אחסון האתרים סייברסרב, בחשד לרשלנות שהובילה לכאורה להדלפת פרטי גולשים • ביומיים האחרונים נפרצו שורה של ארגונים, ביניהם מכון רפואי וחברת ביטוח • מומחי סייבר: אף אחד לא חסין מסכנה ובאחריות העסקים להגן על עצמם ועל לקוחותיהם מהמתקפה הבאה

מתקפות סייבר / צילום: Shutterstock
מתקפות סייבר / צילום: Shutterstock

שורת מתקפות הסייבר של החודש האחרון, בהם המתקפה על בית החולים הלל יפה והפריצה לחברת אירוח האתרים סייברסרב ודרכה לאתר אטרף, חוצה ישראל ומכון מור, הוכיחה שני דברים: ראשית, ההאקרים רציניים. ושנית, ואולי חשוב מכך, תשתית המחשוב והסייבר בישראל פגיעה.

האם גם העסק שלכם צריך ביטוח סייבר?

בעת האחרונה יותר ויותר חברות פרטיות על כל שרשרת האספקה נמצאות תחת מתקפה רבתי. המתקפה על סייברסרב - אחת מבין 40 שירותי אירוח האתרים הפעילים בישראל - היא כזו שדרכה קבוצת בלאק שאדו יכולה הייתה לפרוץ למספר אתרים בו זמנית ולהדליף סיסמאות ופרטים אישיים של מאות אלפי אזרחים.

המתקפות אינן מתמקדות רק בתביעות כופר, אלא גם בפגיעה בחוסן הלאומי על ידי הבכת המשתמשים, בעלי האתרים ומערך הסייבר הלאומי. הרשות להגנת הפרטיות, היחידה שלה סמכויות אכיפה בנושאי פרטיות מאגרי מידע, הודיעה כי היא חוקרת את סייברסרב בחשד שהתרשלה באבטחת המידע שלה בטרם התקיפה ואסרה עליה להעלות את אתר אטרף לאוויר.

 
  

אבל חקירה של סייברסרב לא תמנע את משבר הסייבר הבא: רשות הפרטיות במשרד המשפטים ומערך הסייבר במשרד רה"מ מתקוטטות זו עם זו, אין להן יכולת אכיפה אמיתית נגד החברות שאינן עומדות בתקני אבטחת מידע, והמשתמשים חשופים.
עד שהממשלה תסדיר את העניין (אם וכאשר), אבטחת מידע מוטלת על כתפיהם של מנהלי העסקים. המחסור בהסברה ובאכיפה מעמיד את בעלי העסקים כאחראים המרכזיים על שמירת הנתונים של אזרחי ישראל. מה עליהם לעשות על מנת להמנע מהמתקפה הבאה?

מה עליי לעשות כדי לוודא שהארגון שלי מאובטח?

בראש ובראשונה צריך למנות אחראי אבטחת מידע לארגון. נדגיש כי מדובר בתפקיד שונה לחלוטין ממנהל מערכות מידע. כדי לוודא שההחלטות שלו אובייקטיביות, תפקיד זה לא יכול לבוא בנוסף על תפקיד כמו מנהל מערכות מידע או מנהל כספים. מינוי אחראי שכזה מוריד בצורה מסוימת את האחריות המשפטית על המנכ"ל בעת מתקפת סייבר ועשוי להגן מפני טענות של רשלנות. נוסף על כך, הפריצה לשירות אחסון האתרים סייברסרב הדגיש את הצורך לבצע בדיקת ספקים ולוודא שאין פרצות הגנה, באזורים כמו מערכות התקשורת מרחוק או במערכות ההפעלה איתם הם עובדים.

מתי כדאי להעסיק מומחה פנימי ומתי עדיף חיצוני?

יש צורך בלפחות מומחה סייבר אחד במשרה מלאה או חלקית שיהיה מוקדש לאבטחת המידע בארגון ברמה היומיומית על מנת לבקר את כל המתרחש בארגון בתחום זה, אך אדם אחד לעולם לא יוכל להיות מומחה בכל היבטי תחום הסייבר, ולכן עליו להשתמש בשורה של נותני שירות חיצוניים. המקובל הוא להזמין צוותי סייבר בלתי תלויים כדי לבצע סקרי סיכונים טכנולוגיים או תהליכיים, וכן בדיקות חדירות על מערכות על מנת לפרוץ אותן ולבדוק את מידת עמידותן במתקפות סייבר. קיימת מגמה הולכת ומתרחבת לשכור גם שירותים המנטרים על פני כל שעות היממה את מידת הסכנה שבה נמצא האתר.

איך לבחור מנהל אבטחת מידע טוב לארגון שלי?

ככלל, עדיף לשכור מנהל שיש לו רקע שמשלב ידע והבנה טכניים עמוקה, לצד יכולת
לפתור תקלות באופן עצמאי תוך שימוש בקוד, ואחריות רחבה על כל חלק בארגון בהיבט של אבטחת מידע. ישנן מספר הסמכות שיכולות להופיע בקורות החיים של מנהלים  שכאלה, כגון הסמכת Ciso אותה ניתן לרכוש באמצעות קורסים בישראל, או הסמכות גלובליות כגון CISM או CISSP.

אבטחת מידע זה עסק יקר. כמה עליי להשקיע בתחום?

כלל האצבע בתעשייה הוא הוצאה המוערכת בכ-10% עד 15% מכלל תקציב מערכות המידע בארגון.

האם קיים תקן שישקף ללקוחות שהשירות מאובטח?

עסקים קטנים או בינוניים המשרתים קהל ישראלי יכולים להסתפק בתורת ההגנה של מערך הסייבר, הנוגעת לכל היבטי ניהול מדיניות אבטחת מידע בארגון ומפורסמת באתר המערך. תורת ההגנה רלוונטית לרוב סוגי המידע ותרחישי התקיפות האפשריות, היא לא דורשת הסמכה בתשלום, וגם אינה מחייבת לשכור מנהל אבטחת מידע במשרה מלאה.

חברות גדולות קצת יותר שמעוניינות לפנות ללקוחות בחו"ל יכולות להשתמש בשני תקנים בינלאומיים מרכזיים. בארה"ב, נפוץ תקן "SOC 2" המספק ללקוחות וודאות כי הוא עמד במבחני אבטחת מידע בסיסיים, סודיות והגנה על פרטיות וזמינות במקרה של תקלות. באירופה נפוץ תקן מחמיר יותר בשם "27001 ISO", שמתמקד גם בתהליכים הארגוניים הסובבים את השירות, כמו למשל בנייה של מנגנון לזיהוי סיכונים באבטחת המידע של הארגון או כללי תחזוקה ועדכון קבוע של מערכת אבטחת המידע. עסקים ישראלים שהטמיעו את תורת ההגנה של מערך הסייבר יוכלו לקבל בקלות יחסית הסמכה לתקן האירופי מאחר וקיימת חפיפה רבה ביניהן.

ליאור בר־לב, מומחה סייבר בחברת אבטחת המידע CYE / צילום: יורם רשף
 ליאור בר־לב, מומחה סייבר בחברת אבטחת המידע CYE / צילום: יורם רשף

איך ניתן לוודא שהעובדים פועלים לפי הכללים?

מעבר להדרכות, אין תחליף לתרגיל "רטוב" שכולל מתקפות פישינג מדומות בקרב העובדים. "העובדים צריכים לקבל תחושת אחריות לרמת הביטחון של החברה בה הם עובדים", אומר ליאור בר-לב, מומחה סייבר בחברת Cye. "אנחנו רואים יותר ויותר מתקפות על מחלקות כספים בארגונים".

תומר גרשוני, ראש קבוצת הגנת הסייבר של אימפרבה בישראל / צילום: אימפרבה
 תומר גרשוני, ראש קבוצת הגנת הסייבר של אימפרבה בישראל / צילום: אימפרבה

אבל פרצות האבטחה לא נוגעות רק לעובדים. "מנכ"ל צריך להשריש את השיח של הגנת סייבר בדרג ההנהלה כחלק מהפעילות היומיומית", אומר לגלובס תומר גרשוני, ראש קבוצת הגנת הסייבר באימפרבה ישראל. "לא מספיקה מחויבות של ההנהלה והעובדים לעניין. מחקר שביצענו מצא שדרג הביניים שנמצא תחת עומס משימות עלול לייצר לא מעט בעיות אבטחה, לכן הם חייבים להיות בלופ".