מאת: אלון אהרון, מנכ"ל חברת Armory Defense
הארגונים משקיעים היום יותר מאי-פעם באבטחת מידע. אלא שלמרות הגידול בתקציבי הסייבר ובמספר כלי ההגנה המותקנים בארגון, אירועי סייבר ממשיכים להתרחש בקצב גבוה ובמקרים לא מעטים הפגיעה העסקית רק מעמיקה. המנהלים חשים תסכול אמיתי נוכח האמונה כי הם "עשו את כל מה שצריך", ועדיין תחושת הסיכון לא באמת ירדה. הפער הזה אינו מקרי, ואינו נובע מחוסר השקעה, אלא מהאופן שבו רוב הארגונים מגדירים הצלחה באבטחת סייבר.
בארגונים רבים הצלחה נמדדת דרך פעילות, כלומר כמה חולשות טופלו, כמה התראות נסגרו, כמה מערכות נוספו למשטח התקיפה בתשתית הארגונית. אבל המדדים אלו אינם משקפים בהכרח הפחתה בסיכון עסקי. אפשר להשקיע מאמץ רב באזורים שוליים ולהשאיר נקודות תורפה המאפשרות פגיעה תפעולית משמעותית. אפשר להיות עסוקים מאוד, ועדיין לא להיות מוכנים לרגע שבו תרחיש קיצון מתממש. חוסן סייבר אינו נבחן בימי שגרה, אלא ברגע של כשל.
אבטחת סייבר אינה רק סוגיה טכנולוגית
התגובה הנפוצה לאירוע או לחשש מאירוע פוטנציאלי – היא הוספת שכבת הגנה. אולם ריבוי מערכות מייצר לעיתים את ההיפך ממה שהתכוונו אליו – עומס, רעש, וחוסר יכולת לראות את התמונה השלמה. ככל שהמערך מורכב יותר, קשה יותר להבין מה באמת מסכן את הארגון, וצוותי הסייבר מגיבים למה שדחוף ולא למה שקריטי. החיבורים בין מערכות, תהליכים ושותפויות עסקיות מתגלים לא פעם רק בדיעבד וזו אינה בעיה של מקצועיות, אלא של תכנון.
גם העמידה ההכרחית ברגולציה ותקנים לא מבטיחה חוסן. רגולציה בוחנת קיום תהליכים ואילו אירוע סייבר בוחן יכולת קבלת החלטות תחת לחץ, ניהול בתנאי אי-ודאות, והמשכיות עסקית בזמן פגיעה. ארגונים המכוונים את עיקר השקעתם לעמידה בביקורת, מגלים לא פעם שבאירוע אמיתי, השאלות הקריטיות כלל לא נשאלו מראש. חוסן אינו נבנה בצ’ק-ליסטים.
אחת מהטעויות השכיחות היא להתייחס לסייבר כאל בעיה טכנולוגית בלבד, כאשר בפועל מדובר באתגר ניהולי מובהק. פערים בחוסן נוצרים בהחלטות הנהלה: מה מתעדפים, מה דוחים, אילו תרחישים מתורגלים, ומי מקבל החלטות בזמן אמת. בארגונים רבים יש מידע, אך אין מוכנות לאירוע והנהלות שלא התנסו בסימולציה ריאלית של אירוע, מתקשות להבין את המשמעויות שלו כאשר הוא מתרחש בפועל.
חשיבה התקפית משפרת את ההגנה
עם השנים מתחדדת ההבנה שחוסן אמיתי נבנה כאשר ארגון מפסיק לשאול רק "איך נגן על מה שיש", ומתחיל לשאול "איך באמת ניתן לפגוע בנו". התשובה לשאלה הזאת נמצאת בגישת הסייבר ההתקפי. לא מדובר באקט אגרסיבי, אלא במתודולוגיה, בכלי המפעיל חשיבה ביקורתית ועוסק בזיהוי נתיבי פגיעה ריאליים, בדיקת תרחישים אמיתיים, ואתגור הנחות יסוד. המבט ההתקפי מאלץ את הארגון להתמודד עם שאלות לא נוחות אך חיוניות כמו, מה ניתן להשבית? איפה קיימת תלות קריטית? אילו הנחות יקרסו ראשונות תחת לחץ? דווקא מתוך בחינה זו ניתן לבנות הגנה ממוקדת יותר, פשוטה יותר, ומחוברת למציאות העסקית.
הארגונים שמצליחים להפחית סיכון לאורך זמן, אינם בהכרח אלו עם התקציב הגבוה להשקעה בפתרונות הגנה – אלא הארגונים שפיתחו הבנה ברורה לגבי מה חשוב עבורם, מה מסוכן ואיזה פגיעה תכאב באמת. חוסן סייבר אינו יעד חד־פעמי, אלא תהליך מתמשך של בחינה, למידה ותרגול, אשר מתחיל במענה לשאלה אחת בסיסית: אם מישהו באמת ירצה לפגוע בארגון כיצד הוא יעשה זאת? במלים אחרות: ארגון שרוצה לעשות שינוי אמיתי בגישת הסייבר שלו, צריך להתחיל בשינוי נקודת המבט. במקום לשאול "אילו מערכות חסרות לנו", צריך לשאול "אילו תרחישים עלולים לפגוע ביכולת שלנו לפעול כעסק".
תוכנית ארבעת השלבים
הצעד הראשון ליישום תוכנית הגנה הוא לבצע מיפוי מצומצם של תרחישי קצה, די בשניים־שלושה תרחישים ריאליים שבאמת יכאב לארגון אם יתממשו. השאלה אינה עד כמה סביר שיתרחשו, אלא עד כמה השפעתם תהיה משמעותית. הצעד הבא הוא תרגול ניהולי. לא תרגיל טכני לצוותים בלבד, אלא סימולציה המערבת את ההנהלה ומחלקות כמו משפט, תפעול ותקשורת. תרגול כזה חושף פערים שלא מופיעים בדו"חות, בעיקר סביב נושאי קבלת החלטות, חלוקת אחריות וסדרי עדיפויות.
במקביל, כדאי לבחון את רמת המורכבות הקיימת: אילו מערכות באמת תורמות להפחתת סיכון, ואילו רק מוסיפות רעש. לעיתים הפחתת סיכון מתחילה דווקא בצמצום. לבסוף, יש לאמץ חשיבה ביקורתית מתמשכת, לא כהצהרה, אלא כהרגל. כלומר, לבחון הנחות, לאתגר תרחישים, ולהסתכל על הארגון מדי פעם דרך עיניו של התוקף. חוסן סייבר לא נבנה ביום אחד – אבל מתחיל בהחלטה ניהולית אחת ברורה.
