הדירקטוריון והנהלת הארגון עסוקים לא מעט בניהול וגידור סיכונים היכולים להעיב על משימות ויעדי הארגון. ניהול הסיכונים מהווה משימה מורכבת המכילה את הסיכונים השוטפים דוגמת ניהול סיכונים תפעוליים (לרבות אספקה), פיננסיים (לרבות מעילה), משפטיים, סיכוני ציות, בתעשייה המשלבת מתקנים גדולים וקווי ייצור גם ניהול סיכונים רגולטוריים בטיחותיים , GDPR,סיכוניי פגיעה בתדמית ועוד. כל ענף עם הסיכונים הייחודיים לו. המציאות מלמדת כי ישנו סיכון אחד משותף לכולם: סיכון הסייבר המצריך ניהול מיוחד במאפייניו הייחודיים.
מה שמייחד את סיכון הסייבר הוא הפוטנציאל כטריגר לווקטור תקיפה אפשרי המוביל לאותם הסיכונים שציינו מעלה בכל ארגון אפשרי. לדוגמא: פגיעת סייבר בקו ייצור יכולה להוביל להשבתת קו הייצור, ופגיעה באספקה. לחילופין פגיעת סייבר במערכות מחשוב במלון יכולה להוביל לנזקים וסיכונים בהיבטי GDPR ולגרום לחשיפה לתביעות משפטיות או פגיעה מהותית בתדמית והמוניטין. הדוגמא האחרונה היא דוגמא קלאסית שמטרתה למצב את חשיבות העיסוק בניהול סיכוני סייבר כמרכזיים הפוגשים את כול השאר ממילא. זאת מתוך מטרה, לאפשר למנהלים לשלוט נכונה לגדר את הסיכונים ולכוון את הארגון לתהליכים המתאימים.
חשוב לציין, כי כדאי שכל דירקטוריון ידע ויהיה חשוף לסיכונים האפשריים, לתהליכים הקיימים בארגון וישלב את נושא הגנת הסייבר וניהול הסיכונים בתחום באסטרטגיית הארגון לרבות תיעדוף הנושא וקידום ההגנות האפשריות.
אתגרי הסייבר שונים מסקטור לסקטור. כל סקטור חשוף לאיום סייבר אבל לא תמיד האיומים הם זהים. תוכנית הגנה בסייבר לסקטור התעופה תהא שונה מתוכנית הגנה בסקטור הפיננסי. האיומים על סקטור הבריאות הם לא בהכרח האיומים החופפים לסקטור הביטחוני או מערכת החינוך. עם זאת, המכנה המשותף הוא באותן השאלות המכוונות והמנחות את הארגונים למענה הגנתי בסייבר.
בחודש פברואר הוציא ה- CISA (Cybersecurity and Infrastructure Security Agency ) עדכון, ST-18-007 למסמך הכוונה ייעודי לשאלות מנכ"ל בזירת הסייבר. כמובן שהמסמך הוא מצע טוב לדירקטוריון ולמנהלים בכלל והעדכונים שנעשו בו נשענים על תובנות ולקחים מאירועי סייבר. יתרון נוסף במסמך זה הוא תרגום השפה הטכנולוגית לשפת ההנהלה.
בתוך כך, נדרש הארגון, לרבות הדירקטוריון לבחון גם את השאלות הבאות:
1. שאלת מפתח למה צריכים הדירקטוריון וההנהלה לדעת על איומי הסייבר איתם החברות מתמודדות ולאחריה , סט של תתי שאלות הנוגעות להשפעת איומי הסייבר על הפונקציות השונות בעסק (שרשרת אספקה, יחסי ציבור, כספים ומשאבי אנוש), שאלות והכוונה לסוגי מידע קריטי שיכול לזלוג (סודות מסחריים, נתוני לקוחות מחקרים ופטנטים), הגורמים עימם העסק משתף פעולה ויכול להסתייע ועוד.
2. שאלת מפתח מה יכולים הדירקטוריון וההנהלה לעשות בכדיי להפחית את סיכוני הסייבר
ולאחריה סט של תתי שאלות ביחס לרמה הנוכחית של הסיכון העכשווי, תוכנית ומענה לסיכוני הסייבר, בחינת המודעות והדרכת העובדים, אופן ההתמודדות עם האיום הפנימי ועוד.
העיסוק בסוגיות אלו, ממצב את הסייבר על סדר יומם של הדירקטוריון וההנהלה ומאפשר את גזירת המשימות לביצוע משולחן עבודתם היישר למנהל אבטחת הסייבר והגורמים הטכנולוגיים המקצועיים. המטרה היא לבצע FOLLOW UP ותהליכי עיסוק בשיח בדיוני הנהלה לאופן הטיפול.
בדיונים המשותפים, ייסקרו התשובות לשאלות ההנהלה, אופן המענים והטיפול בפערים. ע"מ שנבטיח כי תהליך זה הוא פרודוקטיבי יש לכנס את התהליך לדרישות הנהלה שייהפכו לבקרות מפחיתות סיכון באופן המאפשר בקרת מנהלים באופן הבא (שהפעם יתורגם משפת המנהלים לבקרה טכנולוגית או תהליכית מפחיתת סיכון):
שאלה הכוונה מתוך המסמך תשובות בדיון בממצאים דרישת חוזרות של הדירקטוריון מהנהלה למענה תרגום לבקרה תהליכית או טכנולוגית בסייבר (והצגתם בדיון חוזר לסגירת מענים) עין חיצונית לבדיקת אופן מימוש ויישום התהליך והבקרה (סקריי סיכונים, בדיקת חדירות וכד')
דוגמאות לאופן התהליך:
חלק מעניין במסמך מציג גם את הצורך במיצוב מנגנון האיפכא מסתברא, שמוכר לנו היטב
"Focus cyber enterprise risk discussions on "what-if" situations and resist the it can't happen here" patterns of thinking."
מנגנון זה הינו פרקטי, משביח החלטות וחיוני לפעילות העסקית בכלל. הוא מגדיל את מוכנות הארגון לתרחישים, מצביי משבר ואי וודאות. הוא הכרחי מאוד לעולמות הסייבר כי לא פעם התוקף מפתיע בשיטת התקפה לה לא תמיד היינו ערוכים ומוכנים (גם אם בדיעבד היה ניתן לטפל באותו הפער האבטחתי). ובכול זאת, מרחב ההזדמנויות לתקיפת הארגון הוא רחב מאוד מכדיי להכיל ולטפל. ולכן, נכון יהיה לשלב שיטת תמיכה למנגנון האיפכא מסתברא (למניעת עיסוק בתרחישים קלושים כדוגמת: התקפת סייבר באמצעות צוללות מהוואדי). תמיכה נוספת במנגנוני מודיעין היא הכרחית לתהליך היא מאפשרת לתקף או להעריך את רמת הסבירות של ההשערה. חשוב למצות את המידע המודיעני ככול שניתן הן מהיסטוריית האירועים בארגון ומחוצה לו (בסקטור הו פועל הארגון או אל מול אותם גורמי תקיפה אופייניים). לשילוב תהליך ייבוא והפקת המודיעין ערך מוסף בתרומה לרמת החוסן ויכולת ההתמודדות ומאידך מאפשר לארגון יכולת להתארגן לשינויים בשיטות ודפוסי תקיפה
Trend Micro - כדוגמא להפרכת השערה ארגונית ביחס לתקיפת סייבר:
בשנת 2020 פרסמה חברת Trend Micro תובנות מניסוי שערכו בסביבת מלכודת דבש. כחלק מבניית מלכודת וסביבה מדומה בנתה החברה קו יצור תעשייתי מדומה, הכולל מחשבים, רובוטים, מגוון בקרים ומערכות שליטה עם חיבור לאינטרנט. החוקרים שיערו כי התוקפים ישקיעו מאמצים באיסוף מודיעין ו-OSINT בשלבי האיסוף לפני ההתקפה. בהתאם, נבנה אתר חברה פיקטיבי (ספקית פתרונות לתעשיות ביטחוניות), שמות ותמונות מזויפות של בעלי תפקידים, דוא"ל, מספר וקו טלפון עם הפניה אוטומטית להשארת הודעה וכד'. זוהי דוגמא קלאסית לשיטה לתיקוף או שלילה של השערות או תפיסת ההגנה. בעוד שהחוקרים שיערו כי מאמצי התקיפה יהיו כנגד מערכות השליטה והבקרה ותקיפת הבקרים עצמם עלה כי מאמצי התוקף כיוונו לסריקת הרשת, מודיעין אקטיבי שמאפשר את למידת היריב, בסביבות מבוקרות (של המגן) ושינוי תפיסה, ניצול משאבי הרשת לכריית נתונים (cryptocurrency mining) ושתי התקפות כופר.
התפרצות נגיף הקורונה שהחלה עוד בשנת 2019 וכן המשבר שלאחריו השפיעו רבות על מרחב הסייבר. מציאות הקורונה הובילה לסגר והפכה אט אט לטרנד של פעילויות מרחוק, עבודה מבית המלווים אותנו גם היום וככל הנראה יהוו חלק מהותי מעידן ההעסקה הקרוב. מאידך משטחי תקיפה והזדמנויות התקיפה התרחבו. מציאות זו הכתיבה לארגונים את הצורך בהיערכות ומיצוב הסייבר על סדר היום יותר מבעבר.
סיכונים אלו, והתמדת היריב באיתור חולשות והזדמנויות הניתנות לתקיפה מחייבות את מעורבות הדירקטוריון וההנהלה כגורם המפקח גם הוא על צוותי המחשוב והגנת הסייבר. השאלות מהמלצות מסמך ה- CISA והמנגנון התהליכי שהצענו, מבטיח את מעורבות המנכ"ל וההנהלה הבכירה והיכולת לשקף בדיון קבוע למקבלי ההחלטות ודירקטוריון החברה את ההחלטות המתקבלות ותהליכי הפחתת הסיכון בנוגע להחלטות סיכון אלה.
*אור שלום – מומחה לאבטחה וסייבר ויועץ למשרדי ממשלה, תעשיות ביטחוניות והמשק. בעל תואר שני ובעל הסמכות אזרחיות וממלכתיות בעולמות אבטחת המידע והסייבר. בין היתר, עוסק בייעוץ לגופים וחברות בניהול סיכונים, חדשנות, תיכנון ואפיון מערכי אבטחה טכנולוגיים, מוכנות אבטחתית להתמודדות עם איומים טכנולוגיים (כולל אימוני מנהלים ואימוני Hands on לצוותים הטכניים), פיתוח עסקי לחברות בתחומי ה-HLS והסייבר ומוביל מרכזי מצוינות ותוכניות הדרכה מתקדמות בסייבר ו-HLS לגופים שונים בסקטור האזרחי, הביטחוני, התעשיות והאקדמיה.
