למרות ההשקעה ההולכת וגוברת באבטחת מידע ובאמצעי הגנה, התקפות סייבר על ארגונים רק מתעצמות, כמותית ואיכותית. ההאקרים הפכו למתוחכמים יותר והם מכוונים כיום אל "הבטן הרכה" של ארגונים, בתקווה להשבית את פעולתם ולגרום להם נזקים משמעותיים. זה נכון במיוחד בארגונים יצרניים, דוגמת מפעלי מזון גדולים, שם ההתקפות עלולות לא רק לשבש את הפעילות היצרנית, עניין חמור כשלעצמו, אלא גם לגרום לנזקים כבדים בהיבטים כמו מוניטין, כספים, קשרי ספקים ולקוחות ועוד.
"המשמעות היא שמערכי הגנת סייבר קלאסי אינם יכולים להיות התשובה הבלעדית להתמודדות מוצלחת עם התקפות סייבר", אומר אופיר זילביגר, ראש הגנת הסייבר ב-BDO ישראל ומוביל הסייבר של BDO העולמית, ארגון המונה מעל 111 אלף עובדים ופרוס ב-164 מדינות. "המפתח הוא הגדרה מחודשת וברורה יותר של מטרת ההתמודדות".
כלומר?
"מטרת הארגון צריכה להיות השגת 'חוסן סייבר', כלומר, היכולת המשולבת של הנהלת הארגון לתכנן פעולות רחבות למניעת התקפה ויכולת להתמודד עימה אם תבוא, וכן להבטיח שהנזקים שיגרמו יהיו מינימליים, כאשר לארגון תתאפשר יכולת של המשכיות עסקית וחזרה מהירה לשגרה".
בוא נתחיל בהבנת הפגיעות של ארגונים יצרניים.
"בארגונים יצרניים הבעיות מורכבות יותר והחולשות רבות יותר מאשר בענפים אחרים. בשל ההטרוגניות הטכנולוגית והמורכבות לייצר מדניות אחודה למערכי הIT ולמערכי סביבת הייצור ויש פגיעות מובנת בעצם קיומה של שרשרת אספקה ארוכה. בארגונים יצרניים בין-לאומיים המערך התפעולי והייצרני הוא גדול, סבוך ובדרך כלל מבוזר בין אתרים שונים במדינות שונות ולעיתים ביבשות שונות. לזה צריך להוסיף את העובדה שארגונים נסמכים על עננים ושירותים חיצוניים וכל אלמנט כזה מכיל פוטנציאל חולשות אבטחה. כל זה יוצר מורכבות שמאתגרת עוד יותר את מערך אבטחת המידע".
מודעת מצבית
ל-BDO ישראל, מדגיש זילביגר, יש ניסיון עשיר, בארץ ובחו"ל, בהגנה על ארגונים יצרניים גדולים ובין-לאומיים. מרכז הסייבר בישראל הוא מהגדולים ביותר מבין 40 מרכזים שמפעילה הרשת בעולם, בעיקר בשווקים המרכזיים - ארה"ב, אירופה, אמל"ט ואוסטרליה. הפירמה מכוונת בעיקר לארגונים בגודל בינוני-גדול (מה שמכונה Upper middle market), כי אנחנו גדולים ובינלאומיים ויכולים לתת מענה גלובלי לאותם ארגוני בינלאומיים.
מרכז הסייבר של BDO פיתח מודל בן ארבעה שלבים להתמודדות של ארגונים יצרניים עם איומי הסייבר והגעה לחוסן סייבר. זאת כתוצאה מכך שקיימות בעיות סייבר שאי אפשר לטפל בהן לרוחב כל הארגון באופן זהה, בין אם בגלל מגבלות תקציב, מגבלות כוח אדם או עדיפויות עסקיות אחרות (לדוגמה לו"ז של פרויקט אסטרטגי). השלב הראשון הוא מה שהוא מכנה "מודעות מצבית", גיבוש תמונת מצב רחבה ושוטפת לגבי יכולת תשתיתית של הארגון ומוכנותו להתמודד עם מתקפות סייבר. "זה מתחיל במיפוי של הנכסים המהותיים לארגון הייצרני", הוא מסביר. "הנכסים הם כלל היכולות והקשרים שמאפשרים את ליבת הייצור ומאפשרים לארגון לממש את ייעודו העסקי. אלה כוללים ספקים קריטיים, מערכות מידע, מערכות שליטה ובקרה, מפעלים ייחודיים ומרכזיים, חברות שהתמזגו, שיתופי פעולה עסקיים ועוד.
"בהתבסס על מיפוי הנכסים, השלב השני הוא מיפוי שוטף של נכסי המחשוב התומכים בפעילות העסקית וחולשות האבטחה שלהם. נכסי המחשוב והפגיעויות הם מטרות נעות, שצריך לעקוב אחריהן מפאת שינויים תכופים שחלים בהם. יש להבטיח ניהול נכון ומוקפד של נכסי המחשוב מבחינת קונפיגורציה, פגיעויות וחולשות, תוך לקיחה בחשבון של אמצעי הגנה נוספים שיכולים לספק מענה לפגיעויות אלה ותוך סגירת פגיעויות שהם בעדיפות עליונה", הוא מוסיף. "שקלול איומי הסייבר האפשריים על הארגון באמצעות מודיעין צריך לבוא לידי ביטוי עם מענה מתועדף - כל חברה לפי האסטרטגיה והרגישות העסקית שלה. לדוגמה, אם ה-CRM הוא המרכיב העסקי הכי חשוב בביזנס, יש להפנות את עיקר המשאבים לטיפול בו".
ולמה זה מתכנס?
"לניהול נכון ומושכל של סיכוני הסייבר, שאצלנו מכונה 'מודעות מצבית שוטפת'. הדגש הוא על תיקון הליקויים ומתן מענה הגנתי בנקודות התורפה, לפי העדיפויות שנקבעו, תוך סנכרון של כל המשאבים והמערכות. אתגר זה הינו אתגר מורכב למימוש באמצעים פנים—ארגוניים וזאת מסיבות שונות ולרוב יתאים שירות מנוהל מגוף המספק יכולות הגנת סייבר לארגונים כגון BDO.
מערך גילוי ותגובה, פנימי או מנוהל
השלב השלישי בבניית "חוסן סייבר" מתייחס לניהול סיכוני שרשרת האספקה. "זה מחייב הסתכלות על השותפים כנקודת תורפה אפשרית בסייבר וניהול הסיכון הזה", מדגיש זילביגר. "ברור שהגנת הסייבר לא מספקת של חלק מהספקים מסכנת את הארגון היצרני וזיהויים היא נקודת מפתח בהשגת 'חוסן הסייבר' של הארגון".
השלב הרביעי הוא בניית מערך ניטור ותגובה אקטיבי וממוקד, שמבוסס על ממצאי המיפוי ועל בסיס היכולת שנבנתה, בדגש על מערך המחשוב התפעולי שמפעיל את רצפת הייצור עם רכיבי בקרים תעשייתיים ומכונות ייצור. "מערך גילוי ותגובה יכול להיות פנימי או שירות מנוהל", מפרט זילביגר, "אך הוא חייב להיבנות על בסיס טכנולוגיות הגנת סייבר מתקדמות וצוותים מקצועיים עתירי ניסיון, כולל חיבור למקורות מודיעיניים, כאשר המטרה היא לזהות את האנומליות ברשתות המחשבים ולברור מתוכן את אלה החשודות כתקיפה פוטנציאלית, ולאחר חקירה - לזכות או להפליל. הקישור של מערך זה לסטטוס שמופה מאפשר לצוות האופרטיבי להיות ממוקד בהגנה על הנכסים שמצויים ברמות חשיפה מהותיות".
המבחן - ניהול משבר סייבר
לפי המודל שנבנה ב-BDO, המבחן האולטימטיבי של חוסן הסייבר הוא היכולת של הארגון להתמודד באופן אפקטיבי עם מתקפת סייבר בזמן אמת. "ניהול משבר סייבר דומה בעיקרו לניהול משבר ארגוני אחר, כי למרות שזהו לכאורה רק משבר טכנולוגי או דיגיטלי, הוא משפיע על יכולת הארגון לממש את יעדיו העסקיים וקשור לכל האספקטים של ניהול הארגון".
בהקשר של חוסן סייבר, איזו מתודולוגיה אתם מציעים לארגונים יצרניים לניהול משבר סייבר?
"אנחנו שמים דגש על ארבעה מרכיבים: קודם כל, תרגול של ההנהלה. מהניסיון שצברנו אנחנו יודעים שתרגול ההנהלה לקראת משבר סייבר הוא חיוני ליכולת של הארגון לצלוח את התקפת הסייבר במינימום נזקים. אנחנו רואים שהיכולות הללו משתבחות מתרגול לתרגול. בהקשר הזה אני חייב לציין שחשוב להכיר את תפיסת העולם הניהולית של ההנהלה, כולל הגישה שלה לניהול סיכונים ולסובלנות שלה לסיכונים.
"מרכיב שני הוא היערכות מראש של גופי הטכנולוגיה בארגון. למרות שניהול המשבר הינו ארגוני, לגופי הטכנולוגיה ואבטחת המידע יש משימה קריטית ספציפית - להתמודד טכנולוגית עם מתקפות סייבר. אנחנו ממליצים להסתייע בחברות חיצוניות שמציעות סיוע טכנולוגי, פורנזי וסייברי מהסוג הנדרש (IR). מרכיב שלישי הם גופים נוספים בארגון - ייצור, רכש, פיננסים, משפטים, כוח-אדם, שיווק וכיוצ"ב - שיש להם תפקיד מהותי בניהול המשבר ונציגיהם צריכים להיות חלק מצוות ניהול משבר. לכל אחד מאלה צריך להיות סט נתונים רלוונטי ומענה לשאלות, שאותן ניתן להגדיר מראש להתמודדות ולקבלת החלטות. המרכיב האחרון הוא מנהל הארגון, שצריך להיות מתורגל בשלבים השונים של ניהול המשבר ובצמתי קבלת החלטות שיצטרך להתמודד עימן. הוא צריך לקבל החלטות ניהוליות בכל הרבדים הללו, תוך יכולת לדבר עם כל בעלי העניין הרלוונטיים - רשויות, תקשורת וכמובן העובדים והלקוחות", הוא מדגיש.
"בסייבר אין 100% הגנה, אך אפשר לפתח חוסן סייבר ארגוני, שימזער סיכונים ויאפשר התמודדות יעילה עם משבר סייבר כשזה מתרחש", מסכם זילביגר. "מדובר בפיתוח יכולת הוליסטית, שכוללת הן מניעה רחבה ואפקטיבית של התקפה שמתחילה במערכי המחשוב, הן יכולת זיהוי ותגובה ממוקדת ומבוססת הבנה טובה של הארגון, והן יכולת ארגונית אפקטיבית להתמודדות עם משבר סייבר".
לאתר >>> BDO
בשיתוף BDO ישראל
