הדירקטוריון החדש: מנהיגות בעידן הסייבר

מאת:  אורן פליישר

באופן מסורתי, מתקפת סייבר נחשבה אירוע טכנולוגי, באחריות צוות ה-IT. הימים האלה חלפו. הנסיקה בערך המידע והפיכתו למשאב הארגוני היקר ביותר, ממצבת כל פגיעה במידע כאירוע ניהולי לכל דבר ועניין. והאחריות מתגלגלת לפתחו של הדירקטוריון.

פלישת החמאס ב-7 באוקטובר 2023 לוותה במתקפת סייבר עוצמתית על אתרים ואפליקציות שירות ישראלים.

בשבועות שלאחר מכן, חוותה ישראל מתקפות סייבר רבות  נגד אתרים וחברות. בדצמבר 2024 מצאה עצמה ישראל כמובילה העולמית במספר מתקפות הסייבר שהושתו עליה. התקפת סייבר, אם כן, אינן תרחיש בדיוני בסרט מתח. זוהי מציאות חיינו.

המידע הוא הנכס היקר ביותר של כל ארגון מודרני.
תחשבו אפל, נטפליקס, קופת חולים – ותבינו מיד עד כמה ההגנה על המידע הארגוני היא אחת המשימות החשובות והקריטיות של הארגון. חברות תרופות, חברות תקשורת, בנקים, חברות ביטוח ועוד – לא יכולות להרשות לעצמן לאבד שליטה על מידע, שמכיל גם את פוטנציאל הצמיחה העסקית שלהן וגם פרטים אישיים של מאות אלפי לקוחות. חברת הביטוח שירביט, בית חולים הילל יפה, רק שתי דוגמאות מקומיות מבין מאות.

המוטיבציה של התוקפים

את המוטיבציה של פושעי הסייבר ניתן לחלק לשני סוגים

1. כלכלית. רוב מתקפות הסייבר בעולם נוצרת כדי לסחוט כספים. בדר"כ אלה יהיו מתקפות כופרה שנועדו לחסום את הגישה של הארגון למערכות המידע ולדרוש כסף על מנת לשחרר את החסימה. התוקפים צפויים להשתמש במידע שתפסו כמנוף לחץ: לחשוף פרטים אישיים של משתמשים ואף להשמיד את המידע יקר הערך.
2. גיאופוליטיקה. חלק ממתקפות הסייבר מתרחשות כחלק מהמאבקים בין עמים ומדינות. מתקפה כזו תייצר בדרך כלל עומס על השרתים במטרה להביא לקריסתם.

ישראל חשופה למתקפות ממניעים כלכליים ולמרבה הצער גם למתקפות מממניעים גיאו-פוליטיים, כפי שהוזכר בתחילת הדברים.
ניקח כדוגמא את חברת החשמל, ארגון ענק, חשיבות בסדר גדול לאומי, מיליוני לקוחות.

בשנת 2012 היו כ-20,000 מתקפות סייבר על חברת החשמל.
בשנת 2019 11,000 התקפות סייבר בדקה!
בתי חולים, חברות תשלומים, התעשיות הבטחוניות וגם חברות קטנות יותר בישראל- כולם חוו מתקפות סייבר מסוכנות ומשמעותיות, בשנים האחרונות. מתקפות הכופרה חושפות ארגונים בכל הגדלים לשיבושים ולנזקים עצומים, שעלולים להסב נזקים עצומים ואף להביא לקריסתם. נכון ל-2024, לפי דיווחים שונים, בישראל לבדה, מתבצעות מעל 2000 מתקפות סייבר בשבוע אחד.

ישראל 2024

מצב הסייבר, בישראל 2024 מעורר דאגה, במקרה הטוב. דוח מבקר המדינה שפורסם לאחרונה (נובמבר 2024) מצביע על ליקויים חמורים בהגנה על המידע במוסדות ממשלתיים מרכזיים, כמו הביטוח הלאומי ודואר ישראל. מתקפות סייבר תכופות על מאגרי מידע רגישים, לצד אבטחה לקויה ומערכות מיושנות, חושפות את פרטיהם האישיים של מיליוני אזרחים ופוגעות בשירותים קריטיים.
בביקורת עלו ליקויים הנוגעים בין היתר לאי-הסדרת יחסי העבודה בין מערך הסייבר הלאומי (מס"ל) למלמ"ב ולהגנה על המידע ומערכות המחשוב ב​רפאל, גוף משמעותי בבניית עוצמתה הצבאית וחוסנה של המדינה.

המקרה של שירביט

משבר סייבר עלול להביא לסוף דרכה של חברה. דוגמא כואבת סיפקה חברת שירביט.
בסוף 2020 נפרץ מאגר המידע של החברה על ידי קבוצת ההאקרים "BlackShadow", שהצליחה להשתלט על מידע רגיש, כולל תעודות זהות, משכורות, רישיונות, כרטיסי אשראי ומסמכים רפואיים. החברה ניהלה משא ומתן אך סירבה לשלם את הכופר. (50 ביטקויינים בשווי מיליון דולר, בתוך 24 שעות!).
בתגובה, התוקפים פרסמו קבצים מן המידע שתפסו– ("Data Dumping") ובכל גל פרסום העצימו את האתגר שעמד בפני שירביט בניהול המשבר. לאחר הארוע החברה נקנסה על ידי רשות שוק ההון בסכום של 11 מיליון ₪ לאחר שנקבע שרמת ניהול סיכוני הסייבר שלה לא הלמה גוף מוסדי. 5 חודשים לאחר התקיפה, רכשה חברת הראל, את הפעילות הביטוחית של שירביט, וזו נסגרה למעשה.

העיניים נשואות אל הדירקטוריון.

עם ההתגברות בקצב המתקפות ועליית הנושא לסדר היום הציבורי והלאומי, הרשות להגנת הפרטיות נכנסה לתמונה. הרשות מכוונת הכי גבוה שאפשר: היא מטילה את האחריות למניעת מתקפות סייבר על הדירקטוריון ומוסיפה עיצומים כספיים משמעותיים. בשנה האחרונה עבר תיקון 13 לחוק הגנת הפרטיות שמרחיב מאוד את האחריות האישית של הדירקטוריון ומנהלי החברה.
מדובר בצעד מרחיק לכת עם אמירה מרחיקת לכת.
מבחינת האזרח, אין ספק שכל אחד מאיתנו ראוי להגנה על פרטיותו. המידע האישי שלנו צריך להישאר שלנו. באילו אתרים גלשנו, מה מספר כרטיס האשראי, כמה כסף יש לנו (או אין לנו) בביטוח או עם איזו מחלה התמודדנו או מתמודדים. כל המידע הזה נמצא היום בכל מני פלטפורמות ואפליקציות, ואם אין מי שיגן עלינו, באה הרשות להגנה על הפרטיות ומבקשת לתת לנושא את תשומת הלב הראויה.
מצד שני, גם ברמה הארגונית, הרעיון הזה עושה הרבה שכל.
המנכ"לים והדירקטורים בארגון מודרני, לא יכולים עוד להמתין שאנשי ה-IT "ימשכו להם בדש המעיל".
המנהלים החדשים חייבים, איפוא, לצאת מאזור הנוחות המסורתי, לרכוש ארגז כלים בסיסי, ולייצר תהליכים ארגוניים, כדי שיוכלו לקבלאחריות על הנכס היקר ביותר של הארגון שהם מובילים, שהרי בלעדיו לא רק שאין צמיחה – יש סיכויים לא רעים לקריסה מוחלטת. עד כדי פשיטת רגל. לא פחות.

אתגרי ה-CISO

הדבר הראשון שירצה הדירקטוריון לעשות הוא להבין לעומק את האתגרים בפניהם ניצב מי שמטפל ישירות בהגנה על המידע, הלוא הוא ה-CISO. להן מקצת מן האתגרים האלה.

• תרבות ארגונית מאתגרת: עבודה בלתי מאובטחת מרחוק, היעדר הדרכה ומודעות לאבטחת מידע. בקיצור: משתמשי קצה חסרי אחריות.
• חוסר בכח אדם מקצועי ומיומן (בעיה עולמית ידועה)
• כמות המידע הארגוני הולכת וגדלה
• מספר ערוצי המידע הולך וגדל (כדי להדגים: נסו להיזכר בכמה פלטפורמות יצא לכם להתכתב במסגרת העבודה. כנראה שמעל 7 פלטפורמות שונות!)
• Onboarding של לקוחות, שותפים וספקים אל מערכות הארגון
• התקפות הסייבר משתכללות: ענן ציבורי, AI או פשיעה ברמה מדינתית עם משאבים כמעט בלתי מוגבלים.

אתגרי הדירקטוריון
לאחר שהדירקטוריון התעמק והבין כיצד נראית תמונת הסייבר דרך משקפיו של ה-CISO,
להלן הצעדים ההכרחיים שצריכה ההנהלה הבכירה לנקוט:

1. אסטרטגיה: בניית אסטרטגיית סייבר לארגון.
2. תקציב: התקציב הארגוני למתקפת סייבר יהיה 20-25% מתקציב ה-IT.
3. גוף ביקורת: גוף ביקורת חיצוני יבדוק ויאתגר את מערכי החברה, כולל מערכות, מוכנות ספקים ולקוחות, עמידה ברגולציות, ניהול זהויות והרשאות.
4. תרגילי מלחמה: ביצוע "תרגילי מלחמה" המדמים מתקפת סייבר וכתיבת פרוטוקולים מפורטים לניהול משבר סייבר, כולל יעוץ משפטי, יח"צ ומו"מ מול הפושעים.
5. אצבע על הדופק: לוודא שחברי הדירקטוריון מקבלים תמונת מצב שוטפת של בשלות הסייבר ולאתגר את אנשי המקצוע (המלצה: לשתף את ה CISO בישיבות הנהלה ודירקטוריון אחת לרבעון ולקבל ממנו מייל חודשי עם תמונת מצב ההגנה על המידע הארגוני, מנקודת המבט שלו)
6. אצבע על הטייפ: לוודא שישיבות הדירקטוריון מוקלטות מתומללות ומופצות בכתב על ידי מזכיר הישיבה.

בעולם שבו המידע הוא "הנפט החדש", מתקפת סייבר אינה עוד אירוע IT בלבד, אלא אירוע ניהולי מהמדרגה הראשונה. ארגונים שיצליחו לבנות חומת מגן אמינה יזכו לאמון הלקוחות, ויצרו יתרון תחרותי משמעותי. בעולם הזה, ישרדו רק המנהיגים, שישכילו לצאת מאזור הנוחות, ולא יוותרו על ירידה לפרטי הפרטים של משימת ההגנה על המידע הארגוני, למען צמיחתו והמשך קיומו של הארגון.