עצרו לרגע ודמיינו את התרחיש הבא: באמצע הלילה, אתם שומעים רעשים מאיימים מבחוץ. אתם מציצים מהחלון ורואים פורצים שנכנסים ושודדים את הבית והעסקים של השכנים שלכם. האם הייתם פשוט מושכים בכתפיים, משאירים את הדלת פתוחה וחוזרים לישון?
למרבה ההפתעה, זה בדיוק מה שרבים מאיתנו עושים במרחב הדיגיטלי. בגלל שאנחנו לא רואים את האיום, אנחנו לא מבינים שהוא מאוד ממשי. גנבים וירטואליים מנצלים כל הזמן חולשות אבטחה כדי לגנוב מידע, לשבש פעולות ולגרום לנזק כלכלי עצום. באופן מדהים, אחד מכל שני עסקים חווים סוג מסוים של מתקפת סייבר, כשרמת הגנה ירודה בסייבר היא ממש כמו להשאיר את הדלת פתוחה לפורץ בזמן שאתם ישנים.
האיום הסמוי: למה אנחנו לא שומעים על כל התקיפות?
עסקים רבים נמנעים מלדווח עקב חוסר מודעות לחשיבות שבדיווח, היכול להביא למניעת תקיפות אחרות ולקבלת סיוע והכוונה במקרים מסוימים. כמו כן, עסקים נמנעים מלדווח מחשש לפגיעה במוניטין, עזיבת לקוחות או ירידה בערך המניה. אנחנו שומעים רק על האירועים המשמעותיים שמגיעים לתקשורת. רק בחודשים האחרונים נחשפו לציבור תקיפות סייבר על משרד עורכי דין גדול, אתרי עסקים, חברות ביטוח, ניסיונות תקיפה על בתי חולים ועוד. מדובר רק על קצה הקרחון.
הגורמים המניעים את התוקפים מגוונים - מרווח כלכלי, דרך סיבות אידיאולוגיות וביטחוניות ועד הוכחת יכולות. זה אומר שכמעט כל עסק יכול להוות מטרה. ההחלטות שלנו בנוגע לניהול סיכונים מבוססות לרוב על חוויות עבר, אך מכיוון שאנחנו מודעים רק לחלק קטן מהאירועים, אנחנו מקבלים החלטות בנוגע להגנת סייבר על בסיס "מידע א-סימטרי", מה שמוביל להערכת מצב לקויה ולהגנה לא מספקת ביחס לאיום האמיתי.
הנזקים הכלכליים של תקיפות סייבר
בדו"ח מקיף של מערך הסייבר הלאומי שפרסמנו בחודש מאי 2024, הצגנו לראשונה שסך העלות של תקיפות סייבר לכלכלת ישראל נאמד בלפחות 12 מיליארד שקלים בשנה והמספרים רק עולים משנה לשנה. עלות ממוצעת של תקיפה משתנה במידה רבה, בהתאם לסוג התקיפה וגודל העסק ויכולה להגיע למיליוני שקלים לתקיפה בודדת!
חישוב הנזקים כולל את השבתת העסק לתקופה מסוימת, תשלומי כופר (ransomware), תשלומים לחברות התערבות לטיפול באירוע, איבוד מידע קריטי ועוד. בנוסף, יש לקחת בחשבון את הנזקים העקיפים, כגון פגיעה במוניטין, אובדן אמון הלקוחות ועלויות התמודדות עם נזקים ארוכי טווח.
לדוגמה, נתוני תביעות ששולמו על ידי חברות ביטוח סייבר מראים כי עלות ממוצעת לתקיפה, עם נזק בעסק בינוני, מוערכת בכחצי מיליון שקלים לערך.
האם ההגנה תעזור?
מחקר אמפירי מעודכן שבוצע לאחרונה (2023, Nil Gandal et al.), הוכיח כי אפילו צעדים מינימליים להגנה בסייבר יכולים להפחית משמעותית את הסיכוי לתקיפות מוצלחות. לדוגמה, חברות גדולות המשתמשות בשירותי ענן ומסחר אלקטרוני (חברות עם חשיפה גבוהה מהממוצע לתקיפה) יכולות להפחית את הסיכון למתקפה בכ-50%, אם יישמו צעדי הגנה מינימליים ובהם: אימות רב-שלבי, מדיניות סיסמאות חזקות, אנטי וירוס, שימוש בתוכנות מקוריות ועדכוני תוכנה שוטפים.
הקפדה על כך תחזק משמעותית את ההגנה הארגונית, אך היא אינה מספיקה. מומלץ להיעזר בבעלי מקצוע, יועצי סייבר, מומחי ביטוח סייבר ומומחי מחשוב לצורך תכנון הגנה מקיפה ואופטימלית המתאימה לצרכים והמאפיינים של העסק עליו באים להגן.
הגנה זה יקר? תחשבו שוב
עלות יישום צעדים מינימליים היא לרוב נמוכה מאוד באופן יחסי ולעיתים אפסית. אין שום סיבה שעסק לא יטמיע ויאכוף אותם על עצמו באופן יזום, מיידי ותדיר. בעוד העלויות של שכבות הגנה נוספות ומקיפות יותר הנדרשות לכל עסק הן לא מבוטלות, המניעה מלממש אותם יורדת משמעותית כשבוחנים אותן למול הנזק הפוטנציאלי. מדובר בהשקעה כלכלית אסטרטגית - לניהול סיכון משמעותי בעסק.
רק באמצעות התבוננות והעמקה (ולא סתם הסטת מבט) בתמונה המלאה הכוללת את 1). הסיכוי המשמעותי לתקיפה; 2). פוטנציאל הנזק האדיר; 3). יעילות אמצעי ההגנה; 4). העלויות בהעלאת ההגנה, נוכל לקבל החלטות מיטביות יותר בהגנה בסייבר ובאופן הולם.
כך לדוגמה, ניתן לשקלל את ארבעת הפרמטרים הללו על ידי גורם מקצועי בתחום, במדד ייעודי הנקרא ROSI (Return on Security Investment), על מנת לחשב סוג של ROI (החזר על ההשקעה) מהשקעה בהגנת סייבר לעומת הפחתת ההפסד הפוטנציאלי. כך ניתן ממש להוכיח באופן כמותי את הכדאיות הכלכלית בהשקעה בהגנה בסייבר למקבלי ההחלטות בכל ארגון. בהמשך לכך, בהתבסס על מודל יסודי בתחום (Gordon-Loeb), ההפסד הפוטנציאלי השולי פוחת עם ההשקעה, כך שצעדים מינימליים בעלויות נמוכות מפחיתים משמעותית באופן יחסי את ההפסד הפוטנציאלי. נכון שעסק ישקיע בהעלאת רמת ההגנה בסייבר את השקל הנוסף, כל עוד הפחתת ההפסד הפוטנציאלי בגינו גדולה יותר.
השקיעו בעסק שלכם כבר עכשיו בהגנה בסייבר. מדובר בהשקעה כלכלית לכל דבר - כך תוודאו שהדלת שלכם נעולה ותוכלו לישון בשקט ובבטחה.
שבעה אמצעי הגנה מינימליים
1. נוהל אבטחת מידע: וודאו שכל העובדים מכירים את נוהל אבטחת המידע ונהלים לעבודה בטוחה (כגון איסור התקנת תוכנות ללא רשות, איסור שימוש בהתקנים חיצוניים פרטיים/לא מוכרים, מדיניות גישה למערכות ומידע, לא לפתוח קבצים או ללחוץ על קישורים לא מוכרים).
2. סיסמאות ואימות רב-שלבי: חובת שימוש ביישום אימות רב-שלבי, בסיסמאות ייחודיות מורכבות וקשות לניחוש והחלפתן בתדירות גבוהה.
3. שימוש בתוכנות ברישיון ועדכוני תוכנה עיתיים: הקפידו על תוכנות מקוריות ועדכוני אבטחה תדירים ממקורות רשמיים למערכות ההפעלה ולתוכנות שבשימוש.
4. חומת אש (Firewall): ודאו שחומת האש בנתב ובמחשבים האישיים מופעלת ומוגדרת נכון.
5. הגנה על מחשבים ומכשירים ניידים: הגנו על מחשבים ומכשירים ניידים באמצעות סיסמת כניסה ואנטי-וירוס מעודכן.
6. גיבוי נתונים: גבו נתונים קריטיים באופן קבוע, במספר דרכים שונות, כאשר לפחות גיבוי אחד בכל עת נשמר באופן שאינו מקוון.
7. אבטחו את רשתות ה-WIFI שלכם: ודאו שהרשת מאובטחת, מוצפנת ומוסתרת. יש להגן באמצעות סיסמה חזקה משלכם על הגישה לנתב.
בקרו באתר מערך הסייבר הלאומי להמלצות נוספות.הכותב הוא הכלכלן הראשי במערך הסייבר הלאומי, העוסק בקידום הגנת סייבר לאומית באמצעות אסטרטגיה כלכלית, ניתוח ומחקר כלכלת סייבר, כלכלה התנהגותית, מדיניות תמריצים כלכליים, חקר ביצועים ואמצעים נוספים
