סקר שנערך גם בארץ: 50% מהארגונים אינם מדווחים ללקוחותיהם על פגיעה בנתונים אישיים
מאת
: מערכת Telecom News, 24.1.18, 13:55
אין זה נדיר, שארגון ירצה להסתיר את היקף הנזק, שגרמה לו מתקפת סייבר. עם כניסה לתוקף של רגולציית GDPR - החוק הכללי להגנת מידע במאי 2018, ארגונים, שלא ינקטו בפעולה לשיפור השקיפות לגבי מתקפות, צפויים להתמודד עם קנסות והשלכות משמעותיות.
סקר של
סייברארק, שעוסקת באבטחת חשבונות פריבילגיים, שכבה קריטית באבטחת ה-
IT המגנה על דאטה, תשתיות ונכסי מידע לרוחב הארגון, בענן ובתהליכי
,DevOps ופעילה מהמטה ומרכז הפיתוח בישראל, מהמטה בניוטון ארה"ב וממשרדים נוספים באירופה, אסיה פסיפיק ויפן, מגלה, שמחצית מהארגונים (50%) לא מדווחים ללקוחותיהם באופן מלא על פגיעה בנתוניהם האישיים כתוצאה ממתקפת סייבר.
עם כניסתה לתוקף של רגולציית
GDPR - החוק הכללי להגנת מידע במאי 2018, ארגונים שלא ינקטו בפעולה לשיפור השקיפות לגבי מתקפות צפויים להתמודד עם השלכות משמעותיות.
הממצאים הם חלק מדו"ח "האיומים המתקדמים הגלובלי של סייברארק ל- 2018", שמתמקד ב"נקודת מבט עסקית על אבטחה: בחינת פערים ונתקים מסוכנים".
הסקר נערך בסתיו 2017 בקרב יותר מ-1,300 מקבלי החלטות בתחום אבטחת המידע, מפתחי יישומים ומנהלי קווי עסקים ב-7 מדינות בעולם, כולל ישראל.
הדו"ח סוקר את השקפותיהם של מנהלים עסקיים על אבטחת מידע, ואת הפערים בינם לבין מובילי תחום אבטחת המידע בארגון. פערים אלה עלולים להעמיד בסכנה את הארגון ואת לקוחותיו.
ממצאים חשובים נוספים כוללים:
חששות מפני ליקויי אבטחה אינם מיתרגמים לנטילת אחריות:
46% מהמשיבים, שעוסקים בתחום האבטחה, אומרים, שארגוניהם אינם מסוגלים לבלום כל ניסיון פריצה לרשת הארגונית הפנימית.
63% מהמשיבים העסקיים אמרו, שהם מוטרדים מהפגיעותו של ארגונם למתקפות, כגון פישינג, שמתמקדות בצוות הבכיר.
למרות רמת החששות הגבוהה, 49% מהמשיבים העסקיים לסקר דיווחו, שאין להם מספיק ידע על מדיניות האבטחה ו-52% אינם מבינים מה תפקידם הספציפי בתגובה למתקפה.
באופן מדאיג, 33% מאנשי האבטחה, שנסקרו, טענו גם, שאין להם מספיק ידע על מדיניות האבטחה.
הפערים בפרקטיקות האבטחה המומלצות עדיין קיימים:
42% מהמשיבים העסקיים לסקר אומרים, שהם שומרים סיסמאות במסמך במחשב שולחני או נייד של החברה.
21% מהמשיבים העסקיים עדיין רושמים סודות או סיסמאות במחברות נייר או מאחסנים אותן בארונות התיוק.
31% מאנשי האבטחה, שנסקרו, אינם משתמשים בפתרון אבטחה לחשבון פריביליגי לאחסון וניהול סיסמאות פריבילגיות ו / או אדמיניסטרטיביות.
האמון באבטחה היא נושא מרכזי בניהול קשרים מסחריים:
44% מהמשיבים העסקיים אמרו, ששותפים פוטנציאלים בוחנים את רמת האבטחה של הארגון לפני שהם נכנסים להתקשרות עסקית עמו.
51% מהארגונים מעניקים לספקים מצד שלישי כניסה מרחוק לרשת שלהם. מתוכם, 23% אינם עוקבים אחר פעילותם של אותם ספקים מרוחקים.
קרן אלדור, (בתמונה), סמנכ"לית בכירה לניהול מוצר ב-Cyberark: "למרבה הצער, אין זה נדיר, שארגון ירצה להסתיר את היקף הנזק, שגרמה לו מתקפת סייבר. כפי שראינו בהתקפות על
Yahoo,
Uber ואחרים, הארגונים מסתירים את הפרטים הראשוניים במתכוון או שההתקפות היו נרחבות יותר ממה שסברו בתחילה.
לסוג התנהלות כזה תהיינה השלכות מסיביות בשנה הנוכחית עם כניסתה לתוקף של רגולציית
GDPR והקנסות, שיוטלו בגין אי-ציות. מה שעוד הפתיע בסקר הוא לגלות, שנהלי אבטחה גרועים עדיין נפוצים מאוד, וכך גם היעדר העקביות באבטחה בין המחלקות העסקיות למנהלי האבטחה, וזאת למרות המודעות הגבוהה לסיכונים והכותרות המתפרסמות חדשות לבקרים על מתקפות סייבר."
.