"סייבר – השני בחומרתו בין עשרת הסיכונים הגדולים בארגונים"

"הסייבר נחשב כיום לסיכון השני במעלה בחומרתו מבין עשרת הסיכונים הגדולים לכל ארגון. נדרש לנהל את סיכון הסייבר בצורה מושכלת. דירוג סיכוני הסייבר, המספקים סטנדרטים וכלים המודדים ומכמתים את רמת הסיכון וביצועי הסייבר בזמן אמת – היא מגמה ההולכת וגדלה", אמר סטיבן בוייר, מייסד ומנהל הטכנולוגיות הראשי של BitSight.

בוייר הגיע ארצה כדי להשתתף בכנס שערך ה-CERT של מערך הסייבר הלאומי – גוף ש-BitSight היא בין המייעצים לו. החברה מיוצגת בישראל על ידי גילי חזני, מנהל תחום טכנולוגיות פיננסיות ב-NessPRO. החברה מיוצגת בישראל על ידי גילי חזני, מנהל תחום טכנולוגיות פיננסיות ב-NessPRO, קבוצת מוצרי התוכנה של נס, שהיא הנציגה היחידה של BitSight בארץ.

לדבריו, "הנראות בעולם הגנת הסייבר הפכה לרכיב מפתח קריטי בחשיבותו. על כל מנמ"ר וכל מנהל אבטחת מידע לדעת מה הם הנכסים הקריטיים של הארגון – מידע, אפליקציות, מערכות. עליו להכיר לעומק את אופן פעולתם, מצבם ומהות הבקרה עליהם. לא מספיק שיש לך אפליקציה קריטית, או מערכת מידע ליבתית ובצידן יש אנטי-וירוס, או פיירוול – מה שחשוב הוא שאמצעי ההגנה הללו אפקטיביים וכך גם הבקרות על עבודתם".

לאחר הנראות, אמר בוייר, "יש לבחון את האיומים: הפנימיים, בזדון או בשגגה, והאיומים החיצוניים למיניהם – האקרים שלוחי מדינות, הפועלים באופן מתוחכם ותוקפים לעתים ארגונים ולא רק מדיניות; האקרים שלוחי מדינות, המסווים את היותם כאלה ו'מתחפשים' לעבריינים; האקרים הפועלים ממניעים כספיים; והאקטיביסטים. יש כיום מבחר כלי פריצה למכירה בדארקנט, הכלים לא חייבים להיות ב'שפיץ' הטכנולוגי, מספיק שהם עושים את העבודה".

סיפורי ההצלחה של הרעים

"התחום הזה מאד דינמי ולמרבה הצער, יש לרעים הרבה סיפורי הצלחה/ אם יש פירצה שלא הוטלאה, או מתקפה מתמשכת, הנזק עלול להיות גדול ובעל משקל סגולי מהותי לארגון, מעבר לנזק הכספי הישיר. לעולם מצבם של המגנים יהיה קשה יותר"' ציין בוייר.

לדבריו, "איום נוסף ההולך ומקבל משנה חשיבות, הוא מצד שרשרת האספקה – זו הופכת לאחת הבעיות המטרידות ביותר כיום בעולם אבטחת המידע".

החברה, אמר בוייר, "היא חלוצת התחום של דירוג סיכוני סייבר, ומובילה בעולם בתחום, ולה נתח שוק של 70%. מדובר בתחום חם שישנה את פני התעשייה, כי הוא מביא סטנדרטים חדשים: דירוג סיכוני סייבר דומה לגישה של דירוגי אשראי המעניקים ניקוד לארגון – לפי רמת הסיכון הפיננסי שלו. באופן דומה, אנו מעניקים לארגונים תמונת מצב של רמת האבטחה של גורמי צד שלישי, ספקים, או שותפים עסקיים, כמו גם של הארגון שלהם עצמו. גרטנר צופה כי עד 2022 דירוגי סייבר יהפכו לחשובים לא פחות מדירוגי אשראי".

השקיפות כמורת דרך

"השקיפות תורמת לחיזוק הקשרים העסקיים ולשיפור התוצאות של כל הצדדים", אמר בוייר, "כדי לשפר אותה פיתחנו את שירות הדירוג, שמאפשר ניראות טובה יותר של מצב האבטחה ומעורבות גבוהה יותר. בדומה לדירוג אשראי, דירוג סיכוני סייבר מודד את יעילות האבטחה של ארגון ותורם לשיפור ברמת האבטחה שלו".

בוייר הקים את החברה ב-2011. לפני כן עבד במעבדת MIT, כחבר בקבוצת מערכות הסייבר, והוביל תוכניות מו"פ עבור קהילת הביון האמריקנית ותוכניות הגנת סייבר עבור משרד ההגנה. לחברה יש יותר מ-1,500 לקוחות, חלקם גורמי ממשל ואכיפה, ביניהם רשת החשמל הלאומית של ארצות הברית. בין לקוחותיה 25% מחברות פורצ'ן 500, שבע מעשר חברות הביטוח הגדולות בעולם, 4 מ-5 בנקי ההשקעות הגדולים בעולם, בנקים וארגונים נוספים.

"אני משול לרופא מקצועי, העורך אבחנה עם סטטוסקופ, מפרש מה מהות הסימפטומים – אבל לא נותן מרשם לתרופות", אמר בוייר, "אנו לא ממליצים על הטמעת מוצרי אבטחת מידע. אנו כן משקפים את הפערים בין המצוי לרצוי בתחום היגיינת אבטחה. יש לנו שורה ארוכה של מדדים, לדוגמה – מיהן ספקיות האינטרנט של הארגון, מי בארגון גולש, מתי, להיכן ובאיזה דפדפן, האם יש בארגון רכיבי IoT, מי תוקף או מי עלול לתקוף, היכן ואיך – האם יש נוזקות המשוטטות חופשי בארגון, האם הארגון יודע על קיומן, כמה זמן ארך הגילוי מהרגע שהן חדרו – ועוד".

לדבריו, "המערכת של BitSight מאפשרת אומדן והערכה נכונים ואובייקטיבים של הסיכון, באופן שוטף וברמה יומית. היא עוקבת אחר דירוג ביצועי האבטחה של הספקים והמאובטחים, מצביעה על נקודות תורפה ומספקת תכנית לשיפור רמת האבטחה של כל ארגון. המערכת אוספת מידע חיצוני מיותר מ-80 מיליארד אירועי רשת ביום, מיותר מ-120 מקורות מידע וממאגרי נתונים של יותר מ-50 אלף חברות. נתונים אלה משוקללים ב-22 מדדים לניתוח הסיכון, והם מעובדים באלגוריתם, שמנתח אותם על פי דרגת החומרה, התדירות, משך הזמן והביטחון".

"אנו מתמקדים לא מעט בשרשרת האספקה, כי זו חוליה חלשה בשרשרת. הרי אתה, כארגון, לא יכול לומר לספק שירות צד ג' להתקין פיירוול. אבל ארגונים לא יכולים לחשוב רק על עצמם אלא גם על החברות סביבן, מולן ועימן הן פועלות".

ומה בישראל?

לקראת הגעתו ארצה, בוייר ערך סקר סייבר על ארגונים בישראל. מהנתונים עולה כי ל-6% מהארגונים בארץ יש פרצות שהם אינם מודעים לקיומן, או שהארגונים הללו נפרצו והם אינם יודעים על כך. בהיבט פילוח השוק, "ארגונים במגזר הפיננסי מוגנים היטב יחסית בסייבר, יש השקעות בתחום, כי יש הרבה סיכונים. מצבם של מגזרי החינוך והקמעונאות בישראל הם הגרועים ביותר. לא רחוק מהם נמצאים ארגונים ממגזר הבריאות, גם שם יש לקויות בהגנה, ואין שם מודעות".

בסך הכל, סיכם בוייר, "מצבה של ישראל בדירוג הגנת הסייבר הוא במקום 'טוב' באמצע, בהשוואה לארצות הברית ולארצות אירופה. יש עוד הרבה מה לעשות בתחום, אבל אתם במצב לא רע".