הרשות הלאומית להגנת הסייבר פרסמה (יום ג', 18.4.17)
טיוטה ראשונה לתורת ההגנה הארגונית. לכשתתפרסם הגרסה הסופית של הספר, הוא אמור להיות מעין תנ"ך לארגונים ממגזרים שונים, שימפה וידריך את הגורמים הרלוונטיים כיצד יש להכין את הארגון טוב יותר למתקפות. התוכנית מתארת חמישה שלבים שכוללים תכנון, מיפוי יעדי ההגנה, איתור והגדרות מה נעשה ומה לא, משם לשלבי התכנון ועד לביצוע ולשמירה עדכנית. מדובר בפעולה חשובה שיש לברך עליה.
ההחלטה הנכונה לפרסם את המסמך היא תוצאה של תהליכים מורכבים שקורים בשטח, לרבות אירועי הסייבר שכבר קרו והסימנים שהקצב של המתקפות על המגזר האזרחי יגדל בשיעור ניכר. כך צפוי גם לגבי פוטנציאל הנזקים החמורים שטמון במתקפות אלה, עד כדי סכנה ממשית לקיום ארגונים וחברות. זה נכון למגזרים הפרטי, העסקי והממשלתי-ציבורי כאחד.
אבל לכתיבת תורת הלחימה בסייבר יש מניע נוסף: המציאות העגומה שקיימת במרבית המגזרים במשק, שהשורה התחתונה שלה היא היערכות ברמה נמוכה ביותר להגנה מפני סייבר - למעט במקומות שבהם הרגולטור מחייב לבצע פעולות מסוימות. ארגונים לא מעטים מתייגים את הסייבר כעוד אירוע אבטחה שיש להגן עליו באותם אמצעים שמגנים על שרתי הארגון עוד מהימים שלפני עידן הסייבר.
הסיבות לכך מגוונות. אחת המרכזיות שבהן היא חוסר מודעות בקרב ההנהלות, שלא מפנימות את הסיכון שיש בנזקי הסייבר, וכתוצאה מכך לא מפנות משאבים מתאימים לאנשי הטכנולוגיה שאמורים להגן מפניהם. סיבה לא פחות חשובה היא העדר ידע מקצועי מספיק, שמאפשר לבצע תהליכים נדרשים. לחלל הזה נכנסה רשות הסייבר, כאשר החליטה לכתוב את המסמך המורכב והמקצועי הזה. הוא כולל לא מעט טיפים למנהלי ארגונים ברמות שונות לאילו פרטים יש לשים לב, אילו תחומים רגישים יותר או פחות למתקפות זדוניות, ואיך צריך להתייחס לאותו תרחיש איום.
הגנה על סייבר - לא רק טכנולוגיה
הקו המחבר בין כל העצות והטיפים שמופיעים במסמך הוא שהגנה על סייבר אינה עניין טכנולוגי בלבד. להפך, הטכנולוגיה היא החוליה האחרונה והפחות בעייתית בשרשרת, כי היא קיימת וזמינה, וכל מה שנותר הוא להטמיע אותה.
התהליכים שמקדימים את ההכנה לסייבר הם המורכבים ביותר: הם דורשים לא פעם שינוי מבני, הסרת חומות בין פונקציות שונות והחדרת המודעות לשיתוף ידע בתוך הארגון ומחוצה לו. נקודה נוספת שעולה מהמסמך היא שמעצבי האסטרטגיה של אבטחת המידע בארגונים חייבים להפנים את העובדה שמלחמה נגד סייבר מבוצעת מחוץ לחומות ההגנה של הארגון, ושחומות אש ומערכות שמונעות פגיעה בשרתים של הארגון לא עוזרות בה.
רוב הארגונים מתקשרים כיום עם גורמי חוץ, לקוחות וספקים, מתחברים לאתרים ומקורות מידע שונים ולמעשה, הם מסתובבים במרחב הרשת חשופים לגמרי. שקול הדבר לכיתת חיילים שמסתובבת באזורים מסוכנים ללא כלי נשק בסיסיים. לכן, אחת ההמלצות של רשות הסייבר היא לזהות את מפת האיומים החיצונית, שיושבת על פלטפורמות שאינן תמיד בשליטת הארגון אבל הוא חשוף אליהן.
נדרשת תורה פנים ארגונית ברורה וסדורה
התהליכים הללו צריכים להתגבש לתורה פנים ארגונית סדורה וברורה, שמטפלת בכל השלבים של מניעת מתקפות סייבר, בקביעת נהלים כיצד יש להתנהג במקרה של תקיפה והכי חשוב - איך מתאוששים אחריה.
את הנהלים צריך לתרגל לפחות פעם בשנה, ויש לשנן לכל עובד את תפקידו ולוודא שהוא יודע זאת היטב - ממש כמו בזירת קרב פיזית. סייבר הוא מלחמה לכל דבר, שנזקיה אינם רק בפגיעה במחשבים, אלא גם באנשים, באוכלוסיות שלימות ואולי גם מדינות.
כאן נמצא החור השחור הגדול בהיערכות מפני מתקפות סייבר: ארגונים מיישמים המלצות ומבצעים תרגולים על-פי פרמטרים שונים ומפוזרים. אין כיום שום נהלים או חוקים שיכולים לחייב ארגון לבצע את ההכנות והתרגולים.
רשות הסייבר לא נמצאת בתחום הבעייתי הזה, מאחר שהוא לא כלול בסמכויותיה ובחוק שהיא פועלת מכוחו. על-פי חוק זה, היא מגדירה את עצמה מראש כגוף מייעץ, מתכלל, גוף שנועד לספק מידע, חסר תקציבים ומשאבים.
מכאן שאין מי שיבצע אכיפה מספקת. הממשלה דבקה בגישה שאומרת שאין זה תפקידה לנהל את המגזר העסקי. יש בזה הרבה מהצדק, אבל המגזר העסקי כולל תאגידים שמספקים שירותים חיוניים לציבור, כמו מזון, תרופות, תקשורת, חשמל ומים, שכל מתקפת סייבר שתצליח חלילה לפגוע בהם היא הרת אסון ברמה הלאומית.
לכן, למדינה יש אחריות על הגנת הסייבר של אותם הארגונים, שמהווים תשתיות לאומיות. אין זה אומר שצריך להגיע לתביעות משפטיות, אבל בהחלט אפשר לחשוב על סוגים שונים של רגולציות ועל גישה של מקל וגזר: מצד אחד לאכוף כשצריך ומצד שני לתת לארגונים תמריצים כלכליים, שיעודדו אותם. כל עוד הממשלה, ובכלל זה רשות הסייבר, לא תיכנס לתחום הזה, ספרי ההדרכה וההמלצות יישארו על המדף של הנהלות הארגונים ויעלו אבק - עד למתקפת הסייבר הבאה, חלילה.
מתעניינים באבטחת מידע ובסייבר? רוצים לשמוע עוד? הירשמו לכנס ISC-CyberSec של אנשים ומחשבים - בהרשמה מוקדמת.
