זהו, העולם הבין. נושא הגנת הסייבר איננו רק בעיה של גורמים טכניים בארגון, אלא נושא ליבה אסטרטגי המצריך מעורבות והובלה ישירה של שכבת הניהול הבכירה של החברה. אחרי הכל, מתקפות סייבר עלולות להיות בעלות השלכות אסטרטגיות על הארגון, לפגום ברווחיות, להכניס למורכבות משפטית, לפגוע משמעותית בתדמית הארגון, ואף להוביל לבעיות של מחוייבות שלא עמדו בה, לחשיפה גבוהה ועד לקריסת החברה.
בשל כך, בשנים האחרונות לא רק ההנהלות עוסקות בתחום הסייבר אלא גם הדירקטוריונים. בארגונים מסויימים, הדירקטוריונים אפילו זיהו את החשיבות מוקדם מההנהלה, לאור אחריות אישית שיש לדירקטורים, או כתוצאה מגילויי דעת של גורמי רגולציה ופיקוח שונים. הדירקטוריונים הבינו את חשיבות הנושא ודואגים להקדיש זמן לתחום הסייבר. המהפכה הזו נמצאת כבר בשלב מתקדם שלה, ואף שלא הגיעה בצורה מסודרת לכל החברות הבינוניות והקטנות, מיושמת בעלייה מתמדת בחברות הגדולות.
הבעיה היא שהקדשת זמן בפגישות הדירקטוריון אינה מספיקה לשיפור היערכות הארגון לנושא הסייבר. מה שחשוב הוא התוכן והפעילות הנעשית בזמנים אלו. רב הדירקטוריונים מבססים את מרבית הזמן המוקדש לנושא הסייבר בפיקוח הדירקטוריון על תכנים שגוף הסייבר בהובלת ה-CISO מביא להצגה, דיון ובקרה. נושאים אלו נובעים, על פי רוב, מצפי להחלטות דירקטוריון, מאבני דרך מהותיות לאורך השנה, או מתוצאות מעניינות שמחלקת הסייבר מפיקה. אם המחלקה מתכננת להחליף טכנולוגיה חשובה (לדוגמה, מערכת מרכזית ב-SOC - חמ"ל הסייבר) היא צופה עסקה מהותית שעלותה חורגת מהרגיל, ועל כן בסיכוי גבוה תביא את הרקע ואת פרטי העסקה להצגה בדירקטוריון. אם הנושא יוכן בצורה נכונה הוא ישווה בין חלופות ואף יאפשר לחברי הדירקטוריון לתרום מניסיונם להחלטה. הדירקטוריון יתלבט האם יש יתרון לחברה ישראלית או בין-לאומית, האם עדיף לשלם באופן חד-פעמי או לרכוש רישיון חודשי, והאם כדאי לשמור את המידע בארגון או בענן. כל המשתתפים ירגישו שהתקיים דיון רציני בתחום הסייבר והדירקטוריון השפיע מניסיונו וראייתו האסטרטגית על קבלת החלטות מרכזית.
אך השאלה אינה אם המשתתפים חוו חוויה מוצלחת בהקשר סייבר על שולחן הדירקטוריון, אלא האם דנו בדברים הנכונים. האם באמת תרומתו של הבורד נדרשת בהחלטה על בחירת מערכת, מרכזית ככל שתהיה? האם ה-CISO וההנהלה הבכירה לא יסתדרו עם ההחלטה על הבחירה בין שתי מערכות טכניות ואילו הדירקטוריון צריך לעסוק בשאלות אחרות.
לעסוק בהיבטי סייבר אסטרטגיים ולא תפעוליים
דירקטוריונים רבים מתכנסים בימים אלו לאשר את התוכניות לשנת 2026 של החברות שהם מובילים. כחלק מהנושאים, הם יבקשו לעסוק גם בנושאי הסייבר ובאופן מאד אחראי. מזכירות הדירקטוריון תקצה זמן בו תוצג תוכנית העבודה של הסייבר. יגיע ה-CISO או ה-CISOית לשולחן הבורד ויציגו רשימה של יעדים ופרויקטים לשנת 2026. חברי הדירקטוריון, אנשים חכמים ומנוסים, יבקשו הסברים לגבי הפרויקטים, הסבר נוסף על פרויקט ה-Identity, חידוד מהו פרויקט הסגמנטציה שמופיע ברשימה, ומהי האוטומציה המוזכרת בתחום ה-Vulnerabilities. בכל הדירקטוריונים ישאלו כיצד מחלקת הסייבר נערכת לנושא ה-AI ועד כמה החברה מוגנת מול המהפכה. לסיום ישאלו חברי הדירקטוריון האם מוקצה מספיק תקציב לתוכנית הסייבר בשנת העבודה הקרובה.
יש סיכוי שבפעם הבאה יתכנסו לשיח על נושא הסייבר בעוד יותר מרבעון. האם באמת חשוב שחברי הדירקטוריון ישפרו את הבנתם בנושא ה-Identity? האם אמנם ניסיונם של היושבים בדירקטוריון צריך להתמקד ב"איך" עושים סייבר ולא ב"מה" נכון לעשות בתחום? מהו סדר העדיפות המותאם לביזנס הספציפי בהחלטות הנוגעות לסייבר?
דירקטוריונים רבים דנים בסייבר כשיש נייר מעניין לשוחח עליו. הרגולטור הוציא הנחיה חדשה או מחלקת הסייבר הפיצה עדכון כלשהו. לדוגמה, חומר מעניין להצגה הוא תוצאת תרגיל Phishing שהתבצע בארגון. אין ספק שנושא ה-Phishing הוא בנפשנו. חשיבותו רק עולה, הוא משולב ברבות מהמתקפות שמתבצעות וה-AI רק מגביר את תחכומו. יש לבחון אם אופן הצגת נתוני האבטחה לדירקטוריון - המשלב דיווח על ביצועי מחלקות, דיון באכיפת המשמעת הארגונית, ובחינת הקשר בין תפקוד חטיבות לתוצאות Phishing - משרת בצורה מיטבית את זמנו המוגבל של הגוף המנהל.
הבורד של החברה צריך לעסוק יותר בהיבטי סייבר אסטרטגיים ולא תפעוליים, הוא צריך לעסוק יותר ב"מה צריכים לעשות" ולא ב"איך עושים". הוא צריך להסתכל על בניית חוסן ארוך טווח ולא על שיטות גילוי, אחוזי מניעה וטכנולוגיות הגנה. הדירקטוריון צריך להיות יותר פרואקטיבי בהגדרת הנושאים שירצה לדון עליהם ולא להיות רק ועדת הפיקוח על נושאים שאחרים מביאים לשולחנו.
תפקיד ייחודי בשלושה מצבים
בתפיסה שפותחה במחקר שנערך בשנתיים האחרונות על ידי הח"מ, במשותף עם פרופ' אברהם כרמלי, גובשה הסתכלות רחבה על האופן שדירקטוריונים צריכים לעסוק בתחום הסייבר. התפיסה שפורסמה בחודשים האחרונים בכתב העת Journal of Cybersecurity מפרטת את עיקרי הגישה. במאמר, ההתייחסות הינה לכל מחזור החיים של תחום הסייבר. הטענה היא שלדירקטוריון יש תפקיד ייחודי בשלושה מצבי חיים של הארגון: א. שגרת מצב רגיל; ב. הארגון תחת מתקפת סייבר; ג. התאוששות ובנייה מחודשת לאחר מתקפה. בכל אחד ממצבים אלו הדירקטוריון נדרש לממש פונקציה אחרת עבור הארגון. בכל אחד ממצבים אלו האחריות של הדירקטוריון מעט שונה, תשומת הלב שלו צריכה להיות אחרת והאינטראקציה שלו צריכה להיות מותאמת למצב.
בכל אחד ממצבי החיים הללו הדירקטוריון נדרש לוודא שהוא מקבל נתונים נכונים לגבי המצב (scanning). אז יש באפשרותו לקיים את שלב הפרשנות וההתאמה לחברה ולאסטרטגיה שלה (interpretation) והוא יכול להחליט על הדברים הממשיים שירצה להשפיע בהם (action). כשדירקטוריון Bank of America החליט ב-2021 על הגדלת תקציב הסייבר של הבנק ביותר מכפול, זה לא נעשה במענה להצגה שגרתית של ה-CISO שהציג את אחד הפרויקטים שלו. בהתקפות סייבר מוכרות שהתקיימו בארץ בשנים האחרונות, כדוגמת חברת שירביט, בית החולים הלל יפה וכן במתקפות משמעותיות בחו"ל, מתקבלות החלטות במהלך המתקפה להן השלכות אסטרטגיות מהותיות. קיים סוג החלטות מסויים בו חיוני שהדירקטוריון יעסוק ברבדים הנכונים ולא בהכרח בחיתוכי המצב עם צוותי הIncident Response המספקים עדכונים טכנולוגים מרתקים במהלך מתקפות.
עם כל הסיפוק על כך שהדירקטוריונים מקדישים זמן לסייבר, עליית המדרגה הבאה נדרשת בחיזוק סוג התוכן המטופל בפגישות הדירקטוריון, מידת הפרואקטיביות של הבורד וההיגיון ממנו הוא פועל בכל מרחב הסייבר. התפיסה שהוצגה כאן מציעה גישה מקיפה לנושא, שמתחילה להיות מיושמת בארגונים ובחברות בימים אלו. בשבוע הסייבר המתקיים ב-8-11 בדצמבר יוזכר המחקר הנוכחי ונוספים.
הכותב הוא מנהל בכיר ומומחה בתחום הסייבר וה-AI. משמש כ-CSO של מרכז הסייבר של אוניברסיטת תל אביב, ה-ICRC, וכן כיועץ של חברות ודירקטוריונים בתחום. בעברו שימש מנכ"ל קבוצת פתרונות הסייבר של DELL וSVP- בחברת Sygnia. לפני כן היה שנים במערכת הביטחון ביחידות אמ"ן ובמשרד הביטחון ובין היתר זכה בפרס ביטחון ישראל על אחד מהישגיו. משמש כמנהל האקדמי של קורס ה-AI והסייבר למנהלים של להב באוניברסיטת תל אביב ובהכשרות נוספות. עוסק במחקר אקדמי ועסקי בתחומי ה-AI והסייבר
