במשך שנים עסק נועם הנדרוקר בניהול סיכוני סייבר בארגונים גדולים. בתפקידיו השונים הוא ראה מקרוב כיצד ארגונים גדולים משקיעים מיליונים בהגנה, בעוד עסקים קטנים המחוברים אליהם, נשארים כמעט ללא הגנה. עם הזמן, הוא הבין שהחוליה החלשה של המשק הישראלי היא לא הענקיות, אלא דווקא אותם עסקים קטנים ובינוניים שמהווים את שרשרת האספקה של הגדולים.
לפני כשנה מונה הנדרוקר על ידי רפאל פרנקו, מייסד CodeBlue ולשעבר סגן ראש מערך הסייבר הלאומי, למנכ"ל חברת Cybiz - חברת בת משותפת של קוד בלו ו-HOT עסקים. המטרה הייתה ברורה: להנגיש לעסקים קטנים ובינוניים פתרונות סייבר מתקדמים, שהיו עד לאחרונה פריווילגיה של ארגונים גדולים, בצורה פשוטה, נגישה מבלי לפשוט רגל.
מאז, מה שפעם היה "עוד שירות סייבר" הפך למנגנון הגנה שמלווה בהצלחה כבר מעל 600 עסקים בישראל. במקביל, בשנה האחרונה הולך ומתחדד אתגר שחוזר על עצמו אצל רבים מהלקוחות: חוסר בהירות סביב מונחים רבים ביניהם: "ניטור", "בקרה", "SOC" ו-"MDR", והקושי להבין מה באמת כל אחד מהם מספק בפועל.
פתרונות חלקיים בלי חיבור למערכות הליבה
"אני פוגש לא מעט בעלי עסקים שמספרים לי בביטחון שיש להם שירות ניטור ובקרה. אבל כשאנחנו בוחנים מה באמת הוטמע אצלם, מתברר שבפועל מדובר בהתקנה של תוכנה על עמדת קצה, ולא במערכת שמסוגלת לראות את הארגון כולו", אומר הנדרוקר. "הפער בין מה שהלקוח חושב שקיבל לבין מה שהוא באמת מקבל הוא אחד הגורמים המרכזיים לחשיפה שלו. כשאני שומע לקוח אומר 'אני מוגן. יש לי MDR', זה מסמן שהוא לא באמת יודע מה הוא קנה".
לדבריו, הבלבול הזה מסוכן. "מוכרים ללקוחות פתרונות חלקיים מאוד, בלי חיבור למערכות הליבה - לא לשרתים, לא לפיירול, לא לענן. הלקוח מרגיש מוגן, אבל למעשה הוא עם חור עצום בהגנה. בסייבר, פתרון חלקי הוא לא 50%; זה יותר מתקרב לכלום".
הבעיה מתעצמת, לדבריו, משום שהשוק מוצף במונחים טכניים שמבחוץ נשמעים דומים מאוד, בוודאי אם אתה לא מומחה אבטחת מידע וסייבר, אך בפועל מייצגים עולמות שונים לחלוטין.
עסקים רבים, הוא מדגיש, מניחים שהמונחים ניטור ובקרה, SOC, XDR או MDR מתארים וריאציות של אותו שירות. בפועל, מדובר במיתוג שונה, ובמקרה הזה, מה שחשוב זה התוכן ולא הכותרת. לא משנה המיתוג של השירות שנרכש אלא מה התוכן שלו? לאיזה מקורות הוא מחובר? האם הוא פרוס על כל הארגון? האם יש ויזביליות מלאה? מבלי להבין את התשובות לשאלות הללו, מתקבלת תמונה חלקית בלבד, מה שיוצר תחושה של הגנה, אך לא הגנה בפועל.
"הבלבול במינוחים גורם לבעלי עסקים להאמין שמתקיים אצלם ניטור שלם", מסביר הנדרוקר. "הלקוחות חושבים שאם הם לא מקבלים התראות אז הכל בסדר. בפועל המצב הפוך כי זה אומר שאין להם כלום. בלי אינטגרציה בין תחנות הקצה, השרתים, הפיירוול והענן, ובלי ניתוח ומודיעין שמחבר בין האירועים בהקשר הספציפי שלהם, זה לא ניטור, אלא אשליה של ניטור. ללכת בלי ולהרגיש עם".
הפתרון - הגנה הוליסטית
הגישה של Cybiz נולדה מהפער הזה בדיוק. במקום להעמיד בפני הלקוח רשימת מוצרים שאין בה היגיון מסדר ומבלי שהלקוח מבין בדיוק מה הוא צריך, החברה פיתחה שירות SIEM-SOC אחד שמתחבר לכל מערכות הארגון - מהעמדות, דרך השרתים והפיירוול ועד שירותי הענן והאפליקציות הקריטיות. "אסור שהלקוח יסתובב עם פתרונות חלקיים", מדגיש הנדרוקר. "אנחנו רואים את כל מה שקורה, 24/7, בעזרת צוות אנליסטים שיושב בישראל ומסוגלים לחקור כל אירוע תוך דקות, לא שעות. לעסק קטן הפער הזה יכול להיות משמעותי, זה להיות או לחדול".
המעבר מניטור נקודתי על מערכת יחידה שמספקת תמונה חלקית, לניטור על כלל מערכות הארגון, הפך חיוני במיוחד השנה, לנוכח העלייה המשמעותית בהיקף ובמורכבות התקיפות. "אם לא ננטר באופן מלא את כלל הכניסות לארגון ונחכה לקבל התראות מעמדות הקצה לדוגמה, לא נצליח למנוע מתקפות", הוא מבהיר. "פתרון ניטור על עמדת הקצה מגיע בנוסף ולא במקום. עמדות הקצה הן חלק אחד מכלל הרכיבים שיש לנטר. המטרה היא לזהות מתקפה לפני שהתוקף מייצר אחיזה במחשב של עובד ולא אחרי, כי אז בדרך כלל זה כבר מאוחר.
"חשוב לשים דגש גם על נושא האנליסטים. לוודא שיש מי שרואה את ההתראות בזמן אמת, מחובר לאזור זמן הישראלי ויודע להרים דגל בטלפון ולא לשלוח מייל לרשימת תפוצה. בדרך כלל זה יהיה ההבדל בין מתקפה מוכלת ונשלטת עם נזק מזערי לבין אירוע שיצא מכלל שליטה וגרם לנזק כלכלי ומוניטיני. ניטור רחב ומקיף הוא שמאפשר לגבש מענה יעיל בזמן אמת".
עסקים שלא מנטרים חשופים משפטית
תיקון מס' 13 לחוק הגנת הפרטיות הפך את הניטור, התיעוד והתגובה לדרישות מחייבות. שמירת לוגים 24 חודשים אחורה זה כבר לא "רצוי" או "מומלץ", אלא מחייב. למרות זאת, רבים מהעסקים כלל לא מודעים לכך שהשירות שקיבלו אינו עומד בדרישות, או שהוא מנטר רק חלק קטן מהנכסים הדיגיטליים שלהם.
"בתהליכי ליווי לצורך עמידה בדרישות הרגולציה אנחנו נתקלים פעם אחר פעם בפער מהותי בין השירות שהלקוח סבר שקיבל לבין רמת ההגנה שנמצאת בפועל", מסביר הנדרוקר. "במקרים רבים לא בוצע מיפוי מקיף של כלל הנכסים ורחוקה הדרך מיישום מנגנון זיהוי רציף של אירועים. מבחינת החוק והרגולציה, האחריות לשמירה על המידע מוטלת על בעל העסק, והיא אינה מתייתרת רק משום שהותקנה מערכת כלשהי. ללא תהליך מלא ומנוהל, אי אפשר לומר שהארגון אכן עומד בדרישות ובוודאי לא מוגן כנדרש".
האם ההגנה באמת מספיקה?
הנדרוקר מציע שלוש שאלות פשוטות, שמאפשרות לכל בעל עסק, גם בלי ידע טכנולוגי, לבחון האם ההגנה שלו באמת מספיקה:
1. האם קיים גורם מקצועי שרואה באופן הוליסטי את כל המערכות בארגון?
2. האם ההתראות שמתקבלות, מטופלות ומנותחות בזמן אמת על ידי גורם אחראי?
3. במקרה של אירוע סייבר - מי הגורם שמנהל עבורי את האירוע עד להשבת הפעילות?
"אם עניתם על חלק מהשאלות 'לא', או שאתם לא בטוחים, אנחנו כאן עבורכם", אומר הנדרוקר. "בסופו של דבר, האיום האמיתי על העסקים הקטנים הוא לא רק התוקפים, אלא תחושת הביטחון המדומה. בעולם שבו תקיפות הופכות מהירות, מורכבות וחוצות־מערכות, פתרון חלקי אינו מגן, הוא מסכן. רק ראייה הוליסטית, ניטור מקצה לקצה ויכולת תגובה מיידית באמת סוגרים את הפער. הבחירה ברמת ההגנה הנכונה היא לא פריבילגיה, היא תנאי קיום".
מי עומד לצידך בעת משבר?
אחד המרכיבים שמייחדים את Cybiz הוא המענה בעת משבר. מענה לאירועי סייבר 24/7, צוות מומחים בעלי ניסיון רב. "כשעסק מותקף, הדקות הראשונות הן קריטיות", מסביר נועם הנדרוקר. "אנחנו יודעים להקפיץ צוותי תגובה שמגיעים לארגון בתוך זמן קצר, לעצור את ההתקפה ולשקם את הפעילות. זה ההבדל בין תקלה לא נעימה לבין השבתה שיכולה למוטט עסק".
לאתר>>>
בשיתוף Cybiz
