דעה | אין טעם בחובת דיווח לרגולטור - אם גם ככה לא עושים עם זה כלום
לפני מספר שבועות קיים הרגולטור לרשות לפיקוח הון, ביטוח וחיסכון תרגיל סייבר. מאחורי הקלעים מדברים על תסכול גדול מתוצריו. לאור זאת, עולה השאלה כיצד מגשרים על הפערים בין החוזרים של הרגולטור ובין המציאות. אולי קורס האקינג לרגולטור?
עינת מירון
| 20/07/2021
bigstock
לפני כמה שנים, המערביים המתקדמים, שהגיעו למדינות מזרח אסיה הופתעו מרמת התחכום בתשלום באמצעות מכשירים סלולריים. הופתעו כי הם גילו שאפילו הם בבית, בארה"ב, באנגליה, בישראל עוד לא אימצו את התשלום הסלולרי בהיקף שהוא אומץ במדינות הנחשלות האלה.
ההפתעה היתה הגיונית. פעמיים. פעם אחת כי באמת היה מדובר בנפח פעילות גבוה מאוד. הפעם השניה כי הם הבינו את מה שלמערב קשה להבין שלפעמים, כשהפער ככ גדול וככ עמוק לגישור, אין ברירה וצריך לדלג על כמה שלבים כדי להדביק אותו.
למה מתחילה בזה? הרשות לפיקוח הון, ביטוח וחיסכון הוציאה חוזר הנחיה חדש המחייב את החברות המוסדיות בהליך דיווח נרחב ומעודכן ביחס לאירועי סייבר. חוזר שהושקע בו הרבה אבל אין בו באמת ערך. נדמה שהרשות צריכה להבין שיש לה פער ענק להשלים ושהיא צריכה למצוא דרך להדביק אותו.
זו היתה ההקדמה. בואו נפרק את הביקורת. לפני זה תמיד צריך למצוא גם משהו טוב להגיד - לזכותם יאמר שניכר שהוקדשה במסמך הזה חשיבה על תבחיני הדיווח לעומת חוזר הדיווח של הפיקוח על הבנקים. הסיבות שבגללן הביקורת. הרגולטור חושב (והוא מאמין בזה) שהוא לא צריך להיות ה- CISO של ה- CISO (מנהל אבטחת מידע). זה נכון, הוא לא צריך. מצד שני הוא צריך להיות אקטיבי יותר בסמכויות שהוא מייצר ומאפשר למנהל אבטחת המידע שעליו הוא מטיל את האחריות.
יש ברשימת חובת הדיווח כאמור כמה סעיפים מרשימים אבל בשורה התחתונה אין בהם באמת ערך. בפועל, הרשימה רק תגדיל את נפח הדיווחים שיקבל הרגולטור. ואז מה? מה יצא מהדיווח מלבד עוד עומס? רק כסת״ח מתיש שגם ככה לא נאכף. זה חסר ערך. הרגולטור הרי לא מבצע שום דבר אקטיבי ברגע שמדווחים לו. לפחות פורמלית יש SOC פיננסי (חדר מצב אירועי סייבר) שמנוהל במערך הסייבר. אפשר להתווכח על היעילות שלו, אבל הוא עובדה קיימת וזה ייעודו.
במקום לשאוף ל- Prevention הרגולטור מקדש Detection. הרגולטור צריך לשאוף למנוע את אירוע שירביט. הידיעה שמתנהל אצלה אירוע לא באמת משמעותית. ברגע שהאירוע כבר מתרחש, הנזק נגרם. חברות לא מתאוששות ולא חוזרת לאותה נקודה בה היו לפני תחילת המתקפה. אם יש דבר שאירוע שירביט הוכיח זה שגם כשיש חוזר סיכוני סייבר, הוא לא משנה ולא מונע את הכשל. אז במקום להמשיך באותו קו של הפצת חוזרים שלא מייצרים שינוי, צריך לעשות דברים אחרת.
הרגולטור אמור לנהל את הסיכון. ניהול סיכון כולל גם אכיפה. מתי לאחרונה שמענו על מקל מצידו של הרגולטור? מה יקרה לחברות שלא ידווחו? במאמר מוסגר אגיד שהרגולטור קיים לפני מספר שבועות תרגיל סייבר. כל החברות מחוייבות בתרגול שנתי והן אכן מתרגלות. הביקורת על הביצועים של מרבית החברות בתרגול מאוד מטרידות. לא מספרים לנו את כל הפרטים בשקיפות, אבל מאחורי הקלעים מדברים על תסכול גדול מהתוצרים. הפערים בין המצוי למצופה גדולים מאוד.
אז יש חוזר ויש חובת תרגיל ויש חובת קמפיין מודעות ועכשיו גם יש חובת הרחבת דיווח. יופי. אין ספק שרגולציה עובדת בקצב אחר, אבל במה שקשור במתקפות סייבר, התוקפים חושבים בצורה חדשנית, מהירה ואקטיבית. אם לא תמצא דרך לדלג על הפערים בין החוזרים של הרגולטור ובין המציאות, לא באמת תייצר שינוי. המשמעות היא שהמשכיות עסקית בגופים באחריותו - תלויה בהם בלבד. זה אגב, לא רע בכלל.
רובם יודעים מצויין מה צריך לעשות. אולם, בשל הגדרת רף מסוים, אין להם מוטיבציה לעשות מעבר.
הכותבת היא מומחית Cyber Resilience המלווה CLevel בהערכות והתמודדות עם מתקפות סייבר בהיבטים העסקיים.
לפני מספר שבועות קיים הרגולטור לרשות לפיקוח הון, ביטוח וחיסכון תרגיל סייבר. מאחורי הקלעים מדברים על תסכול גדול מתוצריו. לאור זאת, עולה השאלה כיצד מגשרים על הפערים בין החוזרים של הרגולטור ובין המציאות. אולי קורס האקינג לרגולטור?
bigstock
לפני כמה שנים, המערביים המתקדמים, שהגיעו למדינות מזרח אסיה הופתעו מרמת התחכום בתשלום באמצעות מכשירים סלולריים. הופתעו כי הם גילו שאפילו הם בבית, בארה"ב, באנגליה, בישראל עוד לא אימצו את התשלום הסלולרי בהיקף שהוא אומץ במדינות הנחשלות האלה.
ההפתעה היתה הגיונית. פעמיים. פעם אחת כי באמת היה מדובר בנפח פעילות גבוה מאוד. הפעם השניה כי הם הבינו את מה שלמערב קשה להבין שלפעמים, כשהפער ככ גדול וככ עמוק לגישור, אין ברירה וצריך לדלג על כמה שלבים כדי להדביק אותו.
למה מתחילה בזה? הרשות לפיקוח הון, ביטוח וחיסכון הוציאה חוזר הנחיה חדש המחייב את החברות המוסדיות בהליך דיווח נרחב ומעודכן ביחס לאירועי סייבר. חוזר שהושקע בו הרבה אבל אין בו באמת ערך. נדמה שהרשות צריכה להבין שיש לה פער ענק להשלים ושהיא צריכה למצוא דרך להדביק אותו.
זו היתה ההקדמה. בואו נפרק את הביקורת. לפני זה תמיד צריך למצוא גם משהו טוב להגיד - לזכותם יאמר שניכר שהוקדשה במסמך הזה חשיבה על תבחיני הדיווח לעומת חוזר הדיווח של הפיקוח על הבנקים. הסיבות שבגללן הביקורת. הרגולטור חושב (והוא מאמין בזה) שהוא לא צריך להיות ה- CISO של ה- CISO (מנהל אבטחת מידע). זה נכון, הוא לא צריך. מצד שני הוא צריך להיות אקטיבי יותר בסמכויות שהוא מייצר ומאפשר למנהל אבטחת המידע שעליו הוא מטיל את האחריות.
יש ברשימת חובת הדיווח כאמור כמה סעיפים מרשימים אבל בשורה התחתונה אין בהם באמת ערך. בפועל, הרשימה רק תגדיל את נפח הדיווחים שיקבל הרגולטור. ואז מה? מה יצא מהדיווח מלבד עוד עומס? רק כסת״ח מתיש שגם ככה לא נאכף. זה חסר ערך. הרגולטור הרי לא מבצע שום דבר אקטיבי ברגע שמדווחים לו. לפחות פורמלית יש SOC פיננסי (חדר מצב אירועי סייבר) שמנוהל במערך הסייבר. אפשר להתווכח על היעילות שלו, אבל הוא עובדה קיימת וזה ייעודו.
במקום לשאוף ל- Prevention הרגולטור מקדש Detection. הרגולטור צריך לשאוף למנוע את אירוע שירביט. הידיעה שמתנהל אצלה אירוע לא באמת משמעותית. ברגע שהאירוע כבר מתרחש, הנזק נגרם. חברות לא מתאוששות ולא חוזרת לאותה נקודה בה היו לפני תחילת המתקפה. אם יש דבר שאירוע שירביט הוכיח זה שגם כשיש חוזר סיכוני סייבר, הוא לא משנה ולא מונע את הכשל. אז במקום להמשיך באותו קו של הפצת חוזרים שלא מייצרים שינוי, צריך לעשות דברים אחרת.
הרגולטור אמור לנהל את הסיכון. ניהול סיכון כולל גם אכיפה. מתי לאחרונה שמענו על מקל מצידו של הרגולטור? מה יקרה לחברות שלא ידווחו? במאמר מוסגר אגיד שהרגולטור קיים לפני מספר שבועות תרגיל סייבר. כל החברות מחוייבות בתרגול שנתי והן אכן מתרגלות. הביקורת על הביצועים של מרבית החברות בתרגול מאוד מטרידות. לא מספרים לנו את כל הפרטים בשקיפות, אבל מאחורי הקלעים מדברים על תסכול גדול מהתוצרים. הפערים בין המצוי למצופה גדולים מאוד.
אז יש חוזר ויש חובת תרגיל ויש חובת קמפיין מודעות ועכשיו גם יש חובת הרחבת דיווח. יופי. אין ספק שרגולציה עובדת בקצב אחר, אבל במה שקשור במתקפות סייבר, התוקפים חושבים בצורה חדשנית, מהירה ואקטיבית. אם לא תמצא דרך לדלג על הפערים בין החוזרים של הרגולטור ובין המציאות, לא באמת תייצר שינוי. המשמעות היא שהמשכיות עסקית בגופים באחריותו - תלויה בהם בלבד. זה אגב, לא רע בכלל.
רובם יודעים מצויין מה צריך לעשות. אולם, בשל הגדרת רף מסוים, אין להם מוטיבציה לעשות מעבר.
הכותבת היא מומחית Cyber Resilience המלווה CLevel בהערכות והתמודדות עם מתקפות סייבר בהיבטים העסקיים.
