דעה: המשימות הדחופות של מערך הסייבר
עינת מירון מתארת תשע פעילויות מתקנות שלדעתה מערך הסייבר צריך לנקוט בהן על מנת לשפר את חוסן המשק
עינת מירון
| 03/11/2020
עינת מירון. קרדיט: יח"צ
לפני עשור כשהחלו לדבר על הקמת CERT ישראלי, התאהבתי ברעיון. עקבתי בהתלהבות אחרי היוזמה הפרטית שהתפתחה ופרחה בעיקר בשנים הראשונות ל- Op Israel, היום שבחרו קבוצות אנונימוס לתייג כיום השואה הדיגיטלית הישראלי. הרעיון שיש גוף אחד שמשתף ידע וכוחות של חוקרי אבטחת המידע הישראלים, לטובת הציבור והעולם העסקי, נראה גאוני, חשוב ומתבקש כל כך.
ואז הקימו את ה- CERT הלאומי, כחלק ממערך הגנת הסייבר. מחאתי כפיים כמו גרופית מתלהבת. מערך הגנת הסייבר הוא מהגופים החשובים וההכרחיים שפועלים כאן. הבעיה היא שהביקורת על הגוף הזה היא מהמוצדקות. התעשייה משוועת לגוף שיעזור לה להתקדם, לשפר את תרבות אבטחת המידע שלה, להתמקצע, להתייעל. התעשייה מחפשת שינוי, לא עוד חברת יעוץ עם תואר לאומי.
אוקטובר הוא חודש המודעת לאבטחת מידע. אבל תיכף נובמבר, הידוע כחודש בניית תוכניות העבודה. אם זה היה תלוי בי (ובכמה מחבריי) אלה המשימות הדחופות יותר שמערך הגנת הסייבר צריך להסתער עליהן.
סטארטאפים. מרבית הסטארטאפים לא פועלים עם הון כספי מפנק מגיוס גדול. מרביתם מתבססים על רעיון ועל כישורים מסוימים של היזם. אם תעזרו להם להגיע לרמת אבטחת מידע בסיסית, עם PT ראשוני וסט הנחיות וליווי בפתרון בעיות כלליות, תקלו עליהם מאוד את גיוס הלקוח הראשון והשני שאולי מתלהבים מאוד מהרעיון שלהם אבל לא יכולים ליישם אותו אצלם בארגון בגלל בעיות אבטחת מידע.
חברי דירקטוריון. הם מבינים מצוין בשאלות משפטיות, בנושאים פיננסיים, עסקיים. אין להם מושג באבטחת מידע או בסייבר. גם אם יושב בבורד קצין במיל' מיחידת מודיעין כלשהיא, הוא חד קרן מאוד בודד בעל כח השפעה מאוד נמוך על תרבות אבטחת המידע הארגונית. תנחו אותם. העניין שהם יגלו בנושאי סייבר יחייב את ההנהלות לשינוי מסלול וישפיע באופן ישיר ומובהק על צמצום סיכוני הסייבר העסקיים.
מנהלי אבטחת מידע. הם החזית. הם האנשים שעוצרים בידיים מתקפות סייבר שעלולות לייצר כאוס שלם. כל גוף קשור ומשפיע על גוף אחר. תפקידכם להרים להם ואותם. לעזור להם אפילו בהנחיה מחייבת לתהליך שקוף מול הנהלת החברה. עזרה שלכם בהתמודדות עם ניגוד האינטרסים המובנים מעצם ההיררכיה תעשה שינוי דרמטי.
CISO as a Service - זה אחלה שירות. באמת. יופי של מענה לארגון שלא זקוק למנהל אבטחת מידע במשרה מלאה או לא יכול לשלם את העלות של משרה מלאה ולכן יומיים בשבוע הם בבחינת עדיף מעט על כלום. יחד עם זאת, ישנם הרבה מאוד ארגונים שיכולים להרשות לעצמם וצריכים ניהול יסודי יותר של מערך אבטחת המידע שלהם. תסדירו את זה. תקבעו רף לחברה שיכולה להסתדר עם שירות חלקי ולכאלה שאסור להם להתרשל. אתם הרי יודעים שעבודת מנהל אבטחת המידע לא נגמרת ב-6 בערב.
חלקו גזרים.
המשק יהיה חזק ועמיד יותר אם הוא יהיה מאובטח ומוגן יותר. תציעו תוכנית עידוד להטמעת מערכי אבטחת מידע באמצעות איגוד ההייטק, התאחדות התעשיינים, איגוד נהגי המוניות, איגוד האחיות.. תנו להם ידע. תשיגו להם תקציב מסובסד להגברת מודעות. מי שיעשה, יקבל יותר.
שיתוף ידע. זה סעיף לא פשוט למי שמגיעים עם תפיסת עבודה של גוף מודיעיני אבל כן. יש חשיבות גדולה לספר למשק איזה ארגון חווה איזו מתקפה ואיך היא בוצעה. זה לא רכילות ולא פגיעה בארגון. זה מידע חיוני שיכול לעזור למנהל אבטחת מידע לתפקד טוב יותר. תגדירו איך עושים את זה ומה הפרמטרים שמשתפים, אבל הסתרה היא לא אסטרטגיה נכונה.
ידע הוא כח. שעה במסגרת כל תוכנית לימודים היא התחלה. 10 שעות הן הנעה של תהליך. 100 שעות שנתיות הן הובלה של שינוי. מגיל גן ועד לפוסט דוקטורט. חינוך לאבטחת מידע הוא לא אופציה, הוא הכרח. זה מה שיצמצם את סיכון הסייבר ואת ההשפעה שלו. ילד שלומד להתנהל נכון ברשת הופך מבוגר שיודע להתנהל נכון ברשת. אדם בוגר שלומד מהו סיכון סייבר הופך למנהל שמודע לסיכון הסייבר, לעובד שכבר לא חושף את הארגון שלו למתקפה בגלל אפליקציית שאלון שהוא לא התאפק ולחץ עליה.
הנחייה. בכל מקום שבו תשאלו, גם אצל גופי ההנחיה עצמם, תיתקלו בבלבול וחוסר הבנה לגבי מה באמת נדרש מהם. להתערב או לא? עד איזו רמה? מתי באמת צריך לפנות למערך הסייבר? מה נדרש מהארגון? כמה נדרש ממנו ותחת איזה בקרות? אם רוצים להוריד סיכון או לצמצם חשיפה, צריך לתת הנחיות ברורות כולל למי מדווחים – תשאירו את הפוליטיקה הבין משרדית מחוץ לתמונה. ההנחיות חייבות להיות ברורות. למשל קיום של ועדת היגוי - תנו לארגון להחליט (וגם את זה אפשר להרחיב לפי פרמטרים) אם הוא מכנס אותה שש פעמים בשנה או פעם אחת, אבל תגדירו לו שהיא חייבת להתכנס.
סדרי עדיפויות. ברור שמגניב להתחכך בכנסים בינ"ל של תעשיית ההייטק או הפיננסים, אבל אלה תעשיות שלרוב ידעו לדאוג לעצמן. יש סקטורים במשק שמשוועים ליד מכוונת, תומכת, אפילו מבקרת. הסקטור המוניציפלי שמחזיק מידע כ"כ רגיש. הסקטור האקדמי שמחזיק נכסי מידע אדירים ששווים הון עצום הן בכסף והן בזמן מחקר. העסקים הקטנים שהם מנוע הצמיחה של המשק. תשקיעו בהם. מנהלי אבטחת המידע שלהם יודו לכם על ההתערבות ועל העזרה בהתמודדות עם הפוליטיקה המסואבת של קשרי השמור לי ואשמור לך.
הכותבת יועצת מומחית ל- Cyber Resilience, הערכות והתמודדות עם מתקפות סייבר בהיבטים העסקיים.
עינת מירון מתארת תשע פעילויות מתקנות שלדעתה מערך הסייבר צריך לנקוט בהן על מנת לשפר את חוסן המשק
עינת מירון. קרדיט: יח"צ
לפני עשור כשהחלו לדבר על הקמת CERT ישראלי, התאהבתי ברעיון. עקבתי בהתלהבות אחרי היוזמה הפרטית שהתפתחה ופרחה בעיקר בשנים הראשונות ל- Op Israel, היום שבחרו קבוצות אנונימוס לתייג כיום השואה הדיגיטלית הישראלי. הרעיון שיש גוף אחד שמשתף ידע וכוחות של חוקרי אבטחת המידע הישראלים, לטובת הציבור והעולם העסקי, נראה גאוני, חשוב ומתבקש כל כך.
ואז הקימו את ה- CERT הלאומי, כחלק ממערך הגנת הסייבר. מחאתי כפיים כמו גרופית מתלהבת. מערך הגנת הסייבר הוא מהגופים החשובים וההכרחיים שפועלים כאן. הבעיה היא שהביקורת על הגוף הזה היא מהמוצדקות. התעשייה משוועת לגוף שיעזור לה להתקדם, לשפר את תרבות אבטחת המידע שלה, להתמקצע, להתייעל. התעשייה מחפשת שינוי, לא עוד חברת יעוץ עם תואר לאומי.
אוקטובר הוא חודש המודעת לאבטחת מידע. אבל תיכף נובמבר, הידוע כחודש בניית תוכניות העבודה. אם זה היה תלוי בי (ובכמה מחבריי) אלה המשימות הדחופות יותר שמערך הגנת הסייבר צריך להסתער עליהן.
סטארטאפים. מרבית הסטארטאפים לא פועלים עם הון כספי מפנק מגיוס גדול. מרביתם מתבססים על רעיון ועל כישורים מסוימים של היזם. אם תעזרו להם להגיע לרמת אבטחת מידע בסיסית, עם PT ראשוני וסט הנחיות וליווי בפתרון בעיות כלליות, תקלו עליהם מאוד את גיוס הלקוח הראשון והשני שאולי מתלהבים מאוד מהרעיון שלהם אבל לא יכולים ליישם אותו אצלם בארגון בגלל בעיות אבטחת מידע.
חברי דירקטוריון. הם מבינים מצוין בשאלות משפטיות, בנושאים פיננסיים, עסקיים. אין להם מושג באבטחת מידע או בסייבר. גם אם יושב בבורד קצין במיל' מיחידת מודיעין כלשהיא, הוא חד קרן מאוד בודד בעל כח השפעה מאוד נמוך על תרבות אבטחת המידע הארגונית. תנחו אותם. העניין שהם יגלו בנושאי סייבר יחייב את ההנהלות לשינוי מסלול וישפיע באופן ישיר ומובהק על צמצום סיכוני הסייבר העסקיים.
מנהלי אבטחת מידע. הם החזית. הם האנשים שעוצרים בידיים מתקפות סייבר שעלולות לייצר כאוס שלם. כל גוף קשור ומשפיע על גוף אחר. תפקידכם להרים להם ואותם. לעזור להם אפילו בהנחיה מחייבת לתהליך שקוף מול הנהלת החברה. עזרה שלכם בהתמודדות עם ניגוד האינטרסים המובנים מעצם ההיררכיה תעשה שינוי דרמטי.
CISO as a Service - זה אחלה שירות. באמת. יופי של מענה לארגון שלא זקוק למנהל אבטחת מידע במשרה מלאה או לא יכול לשלם את העלות של משרה מלאה ולכן יומיים בשבוע הם בבחינת עדיף מעט על כלום. יחד עם זאת, ישנם הרבה מאוד ארגונים שיכולים להרשות לעצמם וצריכים ניהול יסודי יותר של מערך אבטחת המידע שלהם. תסדירו את זה. תקבעו רף לחברה שיכולה להסתדר עם שירות חלקי ולכאלה שאסור להם להתרשל. אתם הרי יודעים שעבודת מנהל אבטחת המידע לא נגמרת ב-6 בערב.
חלקו גזרים.
המשק יהיה חזק ועמיד יותר אם הוא יהיה מאובטח ומוגן יותר. תציעו תוכנית עידוד להטמעת מערכי אבטחת מידע באמצעות איגוד ההייטק, התאחדות התעשיינים, איגוד נהגי המוניות, איגוד האחיות.. תנו להם ידע. תשיגו להם תקציב מסובסד להגברת מודעות. מי שיעשה, יקבל יותר.
שיתוף ידע. זה סעיף לא פשוט למי שמגיעים עם תפיסת עבודה של גוף מודיעיני אבל כן. יש חשיבות גדולה לספר למשק איזה ארגון חווה איזו מתקפה ואיך היא בוצעה. זה לא רכילות ולא פגיעה בארגון. זה מידע חיוני שיכול לעזור למנהל אבטחת מידע לתפקד טוב יותר. תגדירו איך עושים את זה ומה הפרמטרים שמשתפים, אבל הסתרה היא לא אסטרטגיה נכונה.
ידע הוא כח. שעה במסגרת כל תוכנית לימודים היא התחלה. 10 שעות הן הנעה של תהליך. 100 שעות שנתיות הן הובלה של שינוי. מגיל גן ועד לפוסט דוקטורט. חינוך לאבטחת מידע הוא לא אופציה, הוא הכרח. זה מה שיצמצם את סיכון הסייבר ואת ההשפעה שלו. ילד שלומד להתנהל נכון ברשת הופך מבוגר שיודע להתנהל נכון ברשת. אדם בוגר שלומד מהו סיכון סייבר הופך למנהל שמודע לסיכון הסייבר, לעובד שכבר לא חושף את הארגון שלו למתקפה בגלל אפליקציית שאלון שהוא לא התאפק ולחץ עליה.
הנחייה. בכל מקום שבו תשאלו, גם אצל גופי ההנחיה עצמם, תיתקלו בבלבול וחוסר הבנה לגבי מה באמת נדרש מהם. להתערב או לא? עד איזו רמה? מתי באמת צריך לפנות למערך הסייבר? מה נדרש מהארגון? כמה נדרש ממנו ותחת איזה בקרות? אם רוצים להוריד סיכון או לצמצם חשיפה, צריך לתת הנחיות ברורות כולל למי מדווחים – תשאירו את הפוליטיקה הבין משרדית מחוץ לתמונה. ההנחיות חייבות להיות ברורות. למשל קיום של ועדת היגוי - תנו לארגון להחליט (וגם את זה אפשר להרחיב לפי פרמטרים) אם הוא מכנס אותה שש פעמים בשנה או פעם אחת, אבל תגדירו לו שהיא חייבת להתכנס.
סדרי עדיפויות. ברור שמגניב להתחכך בכנסים בינ"ל של תעשיית ההייטק או הפיננסים, אבל אלה תעשיות שלרוב ידעו לדאוג לעצמן. יש סקטורים במשק שמשוועים ליד מכוונת, תומכת, אפילו מבקרת. הסקטור המוניציפלי שמחזיק מידע כ"כ רגיש. הסקטור האקדמי שמחזיק נכסי מידע אדירים ששווים הון עצום הן בכסף והן בזמן מחקר. העסקים הקטנים שהם מנוע הצמיחה של המשק. תשקיעו בהם. מנהלי אבטחת המידע שלהם יודו לכם על ההתערבות ועל העזרה בהתמודדות עם הפוליטיקה המסואבת של קשרי השמור לי ואשמור לך.
הכותבת יועצת מומחית ל- Cyber Resilience, הערכות והתמודדות עם מתקפות סייבר בהיבטים העסקיים.
