רו"ח גיא מונרוב
במהלך החודשים ספטמבר-אוקטובר 2020, ארגון ISACA וחברת הייעוץ הבינלאומית Protiviti ערכו סקר גלובלי בו השתתפו למעלה מ-7,400 מבקרי מערכות מידע ואבטחת מידע וסייבר, על מנת להבין מה הם סיכוני הטכנולוגיה המהותיים שהארגון שלהם יתמודד עמם בשנת 2021.
מהסקר ניתן לראות כי סיכונים, כגון: סייבר, פרטיות, ענן וטכנולוגיות מתקדמות שולטים בסיכוני הטכנולוגיה המובילים. סיכונים אלה, שכבר היו סיכונים בעלי רמת סיכון גבוהה בקרב רוב הארגונים, קיבלו משנה תוקף בזמנים המונעים על ידי נגיף קורונה של עבודה מרחוק ותהליכים עסקיים שעוצבו מחדש לאור זאת, וכן מהגברת השימוש באינטרנט של הדברים (IOT).
גם אתה הדירקטור, שקורא ידיעה זו לבטח שואל את עצמו, מה אני אמור לעשות עם "באזז" הסייבר אשר לא שוכך בארצנו הקטנה. האם ישנן שאלות שאני צריך לשאול את עצמי ו/או את הנהלת החברה? מה השתנה מהשנה שעברה? האם אני צריך לדרוש מהנהלת החברה ביצוע פעולות מסוימות? מהן ההשלכות במקרה של מתקפת סייבר על הארגון שלי? וכו'. והתשובה הינה - כן, יש מספר שאלות שמחובתך לשאול וכמובן גם לקבל עבורן את התשובות. 1. האם הארגון משתמש במסגרת עבודה (קווים מנחים) לאבטחת מידע? תשובה אפשרית: כיום קיימות מספר מסגרות עבודה ודרישות רגולציה אשר מספקות לארגונים קווים מנחים ואבני דרך הנדרשים ליישום בתחום. מסגרות העבודה ודרישות הרגולציה הנפוצות הינן: COBIT®5 for Security, ISO27001 שהינן מסגרת עבודה ותקן כללים אשר טובים לכל ארגון ללא התייחסות למגזר פעילות ספציפי, HIPPA (רגולציה אמריקאית בתחום הבריאות), PCI-DSS (תקן אבטחת מידע בנושא כרטיסי אשראי), חוזר אבטחת מידע של משרד האוצר המפקח על הביטוח החל על גופים מוסדיים ועוד. חשוב לציין כי גם לארגון שלא חלה עליו רגולציה מוסדרת נכון יהיה לאמץ תקן בנושא לאחר ביצוע סקר סיכונים אשר יפרט וידרג את מכלול הסיכונים מולם הארגון צריך להתמודד. 2. מה הם הסיכונים אשר קשורים לתחום הסייבר בארגונך? תשובה אפשרית: מחשוב ענן (תצורת עבודה אשר תופסת תאוצה בתקופה האחרונה המאפשרת לאחסן מידע אצל גורמים חיצונים שלא ברשת הארגון וכן לקבל שירות תוכנה (SaaS – Software as a services) מגורם חיצוני כאשר כל המידע נאגר ונשמר במאגרי מידע מחוץ לארגון, לדוגמא: Office365, לשכות שכר ועוד) , הבאת ציוד מחשוב מהבית, כגון: טלפונים חכמים ומחשבי לוח לעבודה שהינם בבעלות העובד (Bring Your Own Device BYOD -) – טרנד נפוץ היום אשר חברות מאפשרות לעובדים להביא את ציוד המחשוב האישי שלהם (כגון: טלפונים חכמים, מחשבים ניידים, מחשבי לוח ועוד) ולחבר אותו למערכות הארגון. הבעיה העיקרית בתצורה זו שאין הארגון יודע מה היא רמת אבטחת המידע במכשיר והאם הוא נגוע בווירוסים ויכולת השליטה על המכשיר נמוכה ללא הסתייעות במערכות תומכות, מיקור חוץ של פעילויות הליבה בארגון, היעדר תכנית לטיפול באירועי אבטחת מידע (IR – Incident Response), הרשאות גישה עודפות, אי איתור פעולות בלתי מורשות / חריגות בזמן אמת (סקירת יומני מערכת). כל אלה מהווים גורמי סיכון משמעותיים אשר עלולים להוות חשיפה בתחום הסייבר בארגון. 3. האם עובדים מודעים לתפקידם בתחום הסייבר והסיוע הנדרש בהתמודדות עם האיום? תשובה אפשרית: הארגון נדרש לבסס תכנית הדרכה להעלאת המודעות בקרב עובדיו לסיכוני אבטחת המידע הקיימים בכלל ולסיכוני סייבר בפרט. הנהלת הארגון צריכה להטמיע בעובדים את חשיבות הנושא (Tone at the Top). לדוגמא: יש למנות מנהל אבטחת מידע ולהגדיר תקציב ליישום פעילויות האבטחה. חלק גדול בהתמודדות בנושא הינו מודעות עובדים ולשם כך יש לפתח מערכי הדרכה ועדכונים שוטפים בנושא, כגון: שליחת דוא"ל אחת לתקופה על החשיבות של אי פתיחת דוא"לים חשודים מגורמים לא מוכרים, אי הכנסת התקן נייד למחשבי הארגון ללא העברתו קודם לכן בעמדת הלבנה וכו'. 4. האם במקרה של פריצה ממשית, לארגון קיימת תכנית להתמודדות עם אירועי אבטחת מידע אשר התממשו? תשובה אפשרית: לארגון צריכה להיות תכנית להתמודדות עם אירועי אבטחת מידע (IR – Incident Response), תכנית להתמודדות עם אסון , המשכיות עסקית והתאוששות מאסון (BCP / DRP), הקמת צוות להתמודדות עם אירועי כשל והגדרת אחריותו וכמובן לא לשכוח תרגול התכניות. תפקיד תכניות אלה הינו התמודדות עם האיום לאחר התרחשותו בניסיון למזער את הנזק מצד אחד ולאפשר לארגון להמשיך לתפקד מהצד השני. 5. האם בעת בניית תכנית ההתמודדות עם איומי הסייבר נלקחו בחשבון איומים חיצוניים ופנימיים? תשובה אפשרית: אף על פי שאיומים חיצוניים מקבלים חשיפה תקשורתית גבוהה יותר, הניסיון מלמד כי הסבירות לכשל אבטחתי כתוצאה מאיום פנים ארגוני (כגון: גניבת מאגר הלקוחות של חברת לאומי קארד על ידי עובד לשעבר אשר התרחשה לפני מספר חודשים), גבוהה יותר מאיום חיצוני. על מנת להתמודד עם איומים פנימיים יש להתייחס לדוגמא לאיום מצד עובדים וספקים אשר מקבלים גישה למערכות הארגון ועל ידי כך יתכן וחשופים למידע רגיש, לפעול ליישום מערכות ניטור אשר מאפשרות בזמן אמת ובדיעבד לדעת אפילו מי הגורם אשר רק צפה במידע רגיש ללא ביצוע בו שינוי כלשהו (לדוגמא: הדלפת מכירת תיק ניירות ערך על ידי הרמטכ"ל לשעבר דן חלוץ בבנק לאומי בתחילת מלחמת לבנון השנייה), הגבלת גישה להתקנים ניידים למחשבי הארגון ועוד . לגבי איומים חיצונים הארגון נידרש למפות את מכלול הסיכונים בפניו הוא חשוף לדרגם ובהתאם לממצאים לפעול ליישום מערכי הגנה למניעת הסבירות להתרחשותם מצד אחד וגילוי למקרה והפריצה אכן התרחשה. 7. האם בוצע בארגון סקר סיכונים בנושא אבטחת מידע לאיתור כלל הסיכונים ודירוגם על פי רמות חשיבות? האם נבנתה תכנית עבודה למיגור הסיכונים בעקבותיו? תשובה אפשרית: כן (אתם בכיוון הנכון), לא (יש מקום לשיפור).
בהצלחה!