דעה | סופסוף מערך הסייבר עושה את העבודה

הגיע הזמן שמנהלים יגלו אחריות. אם הCISO מסונדל על ידי ההנהלה - נכון שגוף חיצוני יתערב בניהול אבטחת המידע של הארגון. דעה של עינת מירון
 

באדיבות עינת מירון 

בשבוע האחרון שוב יש ביקורת כנגד מערך הסייבר שהחליט בהוראת שעה מוזרה לדעת רבים (אני פשוט לא מופתעת) לאפשר לעצמו סמכויות נרחבות. הסמכויות נרחבות כל כך, עד כדי התערבות יזומה במקרה של מתקפת סייבר על ארגון עסקי כלשהו, אם יש חשד לפגיעה באינטרס הציבורי, מה שעלול להתפרש כטווח פעילות נרחב למדיי ללא גבולות גזרה ברורים. מי, איך ומה מגדיר מהי פגיעה באינטרס הציבורי? 

בנוסף, מאפשר לעצמו מערך הסייבר להפוך למנהל אבטחת המידע של כל ארגון שהוא. במסגרת "הוראת השעה" יכול מערך הסייבר להחליט כיצד על ארגון להתמגן ואף לקבל גישה לחומרי המחשב שלו ולהתקין תוכנות מחשב כראות עיניו. מערך הסייבר ממשיך להעניק לעצמו סמכויות גם בתחום הפרטיות והגישה למידע האישי של לקוחות החברה. 

מי שעוקב אחר הטורים שלי כאן יודע שאני לא כותבת את הדברים מעמדת מוצא מופתעת. מזה שנתיים שמערך הסייבר באופן אקטיבי ויסודי שולח ידיו לעוד ועוד מקומות תוך שהוא מעמיק את הפרשנות שלו למשמעות ההגנה על מרחב הסייבר הישראלי. 

זה התחיל באיום מפורש לכמה עשרות גופי תעשייה לשיתוף פעולה עם התקנת מערכות ניטור, ממשיך במערכת ניהול סיכונים שמאפשרת גישה לקרביים הארגוניים, דרך נהלים והנחיות שמחייבות את המשק ליישר קו עם תפיסת הגנה אחודה ועוד ועוד מהלכים. אבל יודעים מה, אולי הפעם דווקא צריך להקשיב להם. אולי הפעם יש דבר חשוב שאפשר וצריך ללמוד מההחלטה הזו, מעבר למגלומניות המסוכנת שלה. 

במערך הסייבר יודעים מי אתם, עם מי אתם עובדים, מי מי מייעץ לכם, לפי איזה תפיסות הגנה, מה קניתם ומה התקנתם והם פשוט לא סומכים עליכם, על מה שיש לכם ועל מה שעשיתם. בכנות, בנקודה הזו, אני דווקא מסכימה איתם. 

במאי נציין ארבע שנים להתפשטות של וירוס wannacry. זה לא שלא היו מתקפות סייבר קודם אבל וונקריי היה קו פרשת המים בתחום הזה. האפקט שלו על אלפי חברות, בחמש יבשות, היה עצום. הנזק הכספי שלו עדיין כלול בדוחות כספיים של ארגונים רבים והפגיעה בחיי אדם ובהמשכיות העסקית, היתה דבר שהיום אנחנו מבינים שהיה רק ההתחלה של ההתחלה. 

מאז, כידוע, מתקפות הסייבר רק התפתחו. הן אגרסיביות יותר, מהירות יותר ומתוחכמות הרבה יותר. והמשק, מה איתו? הוא ממשיך להגן על עצמו בתפיסות שנכתבו לפני 20-15-5 שנים. ה- CISO, מנהל אבטחת המידע מסונדל. מצד אחד הוא יודע בדיוק כמה מסוכנת מתקפת הסייבר של התקופה הנוכחית. הוא יודע שהיא עושה שימוש בכלים מאוד יצירתיים והוא גם יודע שיש לו בארגון לא מעט פרצות שהן נטו כשל תהליכי ארגוני. 

אבל מי מקשיב לו כדי לתקן? למה שיקשיבו לו? יש לו סמכות לפעול? יש לו גיבוי רגולטורי להוביל שינוי? המנהלים שלו וגם המנהלים הקולגות, הקצת יותר משפיעים, כמו אנשי הסיכונים שלאחרונה מתיימרים להבין גם בסייבר ואז מה אם במשמרת שלהם בשנים האלה המשק חטף מתקפות על ימין ועל שמאל, מכתיבים לו את הסטנדרטים שקובעת הרגולציה (המיושנת) או תקינת ISO.

למרות זאת, מתקפות הסייבר נמשכות ומצליחות לייצר פגיעה דווקא בממשקים שלא מכוסים מספיק בכלים האלה. העיקר שיהיה אישור שעשינו. ארגונים גם ממשיכים לשלם הון על סקרי סיכונים שמבצעים בפועל יועצים זוטרים ללא הבנת הפרספקטיבה, בתהליך שנמשך חודשים ושבסופו הארגון, שבינתיים הספיק להוסיף שירות ולהחליף כמה אנשים בכח האדם, הוא לא אותו ארגון שהתחיל את הסקר. שלא לדבר על מסקנות הסקר הקודם שעדיין מחכות להתייחסות. 

שלא תטעו, זה לא שאני סומכת על כח האדם של מערך הסייבר שיתן את המענה. הוא לא ערוך לזה. הוא לא מסוגל לזה. בכנות, הוא גם לא רוצה לעשות את זה (הוא רוצה להכשיר לעצמו גישה למי שכן מעניינים אותו). אבל אני כן חושבת שהגיע הזמן שמנהלים יגלו אחריות. 

לפני שבאים אליכם ומכריחים אתכם לפתוח את כל הנכסים העסקיים הקריטיים שלכם, תבינו שפישלתם. השנה 2021 והמשק חוטף מתקפות סייבר לא מחוייבות מציאות, כמו משחק כדורגל בלי שוער ובלי הגנה. אני מבינה שהאגו המנהל לא קל לו לשאול מזה הסייבר הזה והרבה יותר נוח להסתמך על מסמכים שלכאורה כבר הוכיחו את עצמם בשנת 2000. 

אבל אנחנו כבר 60 יום בתוך שנת 2021. האם לא הגיע הזמן להתקדם ולהתמודד עם הסיכון בכלים שלו - בידע מעודכן ורלוונטי? 

הכותבת היא יועצת מומחית בתחום Cyber Resilience להערכות והתמודדות עם מתקפות סייבר בהיבטים העסקיים.