במהלך השנים האחרונות, שינו תוקפי הסייבר את אסטרטגיית הפעולה שלהם - מתקיפות ממוקדות כנגד ארגונים אשר היוו מטרות אטרקטיביות, לביצוע פעולות תקיפה רחבות על בסיס של ניצול הזדמנות. בין השאר, הסיבות לכך הן עלייה בשיעור גילויי חולשות במוצרים טכנולוגים ומהירות השמשתן, כמו גם זינוק משמעותי ברווחיות הנוצרת כתוצאה מתקיפות מסוג כופרה.
השינוי המתואר הביא לכך שהסיכון להתרחשות אירוע סייבר גבר בקרב חברות גדולות וקטנות כאחד. וכך, בנקים גדולים, מפעלים תעשייתיים, חברות בינוניות ואף חברות הזנק יהיו חשופים לסיכון זהה, וזו שתהיה חשופה יותר, ככל הנראה גם תיפרץ.
מנהלים של חברות קטנות, מבינים כיום כי אינם יכולים עוד להתבסס על ההנחה, כי ארגונם אינו מהווה מטרה אטרקטיבית מספיק לתוקף ולכן מבינים שעליהם להשקיע בהגנה על מערכות החברה לפחות כמו הארגון השכן או החברה המתחרה.
החברות חשופות בכל שלבי החיים
מהם, אם כן, אתגרי הסייבר של חברות ההזנק לאורך שלבי החיים?
חברות בשלבי השקעה מוקדמים מעידות, כי מירב המשאבים בשלב זה מופנים לפיתוח המוצר ומציאת שותפים (Design partners) וכי אינן משקיעות כלל בהגנת הסייבר על הארגון. הסיכון הנשקף לחברה בשלבים אלו כולל בעיקר את הסיכון לגניבה של ה - IP (Intellectual property) וסיכונים נוספים סביב ניהול העברות הכספים בין השחקנים השונים. כך למשל, פורסם בתחילת השנה במגזין Forbes אודות מספר חברות הזנק שהותקפו וכספי המשקיעים, בשווי מאות מיליוני דולרים, נגנבו במהלך תקיפות BEC (Business Email Compromise) ובהמשך לכך ידוע כי התרחשו מקרים זהים בארץ.
חברות בשלבי מימון מתקדמים פועלות במרץ להשלמת התוכנית העסקית שעליה התחייבו למשקיעים, בין השאר לטובת פיתוח המוצר, גיוס, שיווק ומכירות וזאת במסגרות דיווח קפדניות לנציגי המשקיעים. חברות אלו מעידות כי אינן קשובות דיין לנושא הגנת הסייבר ולכל היותר הן מקיימות פעילות מצומצמת להשלמה של תקני אבטחה הנדרשים על-ידי הלקוחות. כך, חושפות חברות ההזנק את לקוחותיהן לסיכוני סייבר משמעותיים כאשר הן הופכות לחלק משרשרת האספקה הקריטית של הארגון.
בשלב בו החברה נרכשה, תהליכי המיזוג והעברת האחריות על הגנת הסייבר לעיתים אינה מתבצעת בצורה מיטבית, כך שלעיתים משאירה את התחום באזור תפר, שבו כל אחד מהצדדים אינו לוקח אחריות אופרטיבית מלאה לנושא ההגנה על תשתיות המחשוב. ניתן להצביע על אירועים סייבר רבים בארץ ובעולם, שהתרחשו סביב נקודות תפר אלו, בין אם בתקיפות על ממשקים / API או על דרך תשתיות החברה שנרכשה.
אירועים אלו אינם מדלגים על חברות הזנק שעיסוקן הוא הגנת סייבר, ומוכיחות כי "הסנדלר לעיתים הולך יחף". הפרדוקס הוא כי במקרים רבים, חברות סייבר אינן דואגות להגנה על עצמן באופן זהה להגנה אותה הן מספקות ללקוחותיהם.
תשתית הגנתית בשלבים הראשוניים
כיצד ניתן לקדם את רמת ההגנה על חברות ההזנק?
- מסגרות החדשנות השונות, שנועדו לסייע ולקדם חברות הזנק בשלבים שונים, כגון חממות, מאיצים וחברות מוצר מלוות (Microsoft, Amazon, Google) נדרשות לספק ליווי מקצועי בתחום הסייבר כבר בשלבי הפיתוח הראשוניים, ליצירת מצב של Security by Design, וכך עליהן לשים דגש על הנושא כחלק מבניית התוכנית העסקית. חברות מוצר מלוות נדרשות לסיוע במימון/הקצאה של אפליקציות ופתרונות אבטחה תשתיתיים, בדומה לסיוע הניתן היום במימון משאבי מחשוב ותשתיות פיתוח.
- מסגרות רגולטוריות שונות כבר החלו לפעול מול מגזר חברות הזנק ובעיקר בתחומי הפינטק. לדוגמא, "ארגז חול" רגולטורי כבר פועל במדינות כמו בריטניה וסינגפור וגם בארץ פורסם ביוני השנה תזכיר חוק בנושא. מטרתן של מסגרות אלו היא לקדם Regulation compliance by design וליווי חברות בהתמודדות עם דרישות הרגולציות הפיננסיות המחמירות. בעתיד הקרוב הן ידרשו לוודא בנוסף, כי קיימת תשתית הגנתית ראויה כבר בשלבים הראשוניים של חיכוך הסטארט-אפ עם המגזר העסקי.
- מיזמים נוספים כדוגמת מעבדות החדשנות שהוקמו בבאר-שבע בתחומי הפינטק, האנרגיה והגנה על מערכות רפואיות בהובלת מערך הסייבר, רשות החדשנות ומשרדי הממשלה השונים, פועלים לוודא שהמיזמים הטכנולוגיים העתידיים ייבנו בצורה מאובטחת גם כן. חברות הזנק ומשקיעים נדרשים להגברת המודעות, המצאת פתרונות יצירתיים וניתוב משאבים לצמצום סיכוני הסייבר. פתרונות כגון רכישת שירותי MSSP (Manage security service provider) ובמקרים מסוימים ביצוע עסקאות ברטר מול חברות שירותי הגנת סייבר (שימוש במוצר הסטרט-אפ בתמורה לקבלת שירותי הגנה) הם חלק מהגישות המקובלות כיום.
מערך הסייבר הלאומי פועל ומוביל את משרדי הממשלה השונים לקידום תעשיית הסייבר הישראלית ומיצוב מעמדה של ישראל בעולם. המערך פועל לקידום סטנדרט אבטחת סייבר לכלל סוגי החברות והארגונים במשק הישראלי והפעלת יחידות מבצעיות כדוגמת מרכז 119 בבאר-שבע, המסייעות לחברות במשק וככאלה גם לסטארט-אפים בהיערכות והתמודדות עם אירועי סייבר.
מדינת הסטרט-אפ ואומת הסייבר תמשיך למקד תשומות להגנת סייבר גם למגזר חברות ההזנק וזאת בכדי לשמן את מנוע החדשנות, להשלים את פאזל ההגנה המדינתי ולהוביל את הענף בארץ ובעולם.
הכותב הוא מנהל המרכז ארצי לניהול אירועי סייבר במערך הסייבר הלאומי
