9 המשימות הדחופות שמערך הגנת הסייבר הלאומי צריך להסתער עליהן
מאת:
עינת מירון, 4.4.21, 17:27
כתבה ביקורתית ונוקבת המתייחסת לתעשייה המשוועת לגוף, שיעזור לה להתקדם, לשפר את תרבות אבטחת המידע שלה, להתמקצע, להתייעל. התעשייה מחפשת שינוי, לא עוד חברת יעוץ עם תואר לאומי.
מערך הגנת הסייבר הוא מהגופים החשובים וההכרחיים הפועלים בישראל. הבעיה היא, שהביקורת על הגוף הזה היא מהמוצדקות. התעשייה משוועת לגוף, שיעזור לה להתקדם, לשפר את תרבות אבטחת המידע שלה, להתמקצע, להתייעל. התעשייה מחפשת שינוי, לא עוד חברת יעוץ עם תואר לאומי.
אלו המשימות הדחופות יותר, שמערך הגנת הסייבר צריך להסתער עליהן:
1.
סטארטאפים. מרבית הסטארטאפים לא פועלים עם הון כספי מפנק מגיוס גדול. מרביתם מתבססים על רעיון ועל כישורים מסוימים של היזם. אם תעזרו להם להגיע לרמת אבטחת מידע בסיסית, עם
PT ראשוני וסט הנחיות וליווי בפתרון בעיות כלליות, תקלו עליהם מאוד את גיוס הלקוח הראשון והשני, שאולי מתלהבים מאוד מהרעיון שלהם אבל לא יכולים ליישם אותו אצלם בסטארטאפ בגלל בעיות אבטחת מידע.
2.
חברי דירקטוריון. הם מבינים מצוין בשאלות משפטיו ובנושאים פיננסיים ועסקיים. אין להם מושג באבטחת מידע או בסייבר. גם אם יושב בבורד קצין במיל' מיחידת מודיעין כלשהיא, הוא חד קרן מאוד בודד בעל כח השפעה מאוד נמוך על תרבות אבטחת המידע הארגונית. תנחו אותם. העניין, שהם יגלו בנושאי סייבר, יחייב את ההנהלות לשינוי מסלול וישפיע באופן ישיר ומובהק על צמצום סיכוני הסייבר העסקיים.
3.
מנהלי אבטחת מידע. הם החזית. הם האנשים העוצרים בידיים ממש מתקפות סייבר, שעלולות לייצר כאוס שלם, כי כל גוף קשור ומשפיע על גוף אחר. תפקידכם להרים להם ואותם. לעזור להם אפילו בהנחיה מחייבת לתהליך שקוף מול הנהלת החברה. עזרה שלכם בהתמודדות עם ניגוד האינטרסים המובנים מעצם ההיררכיה תעשה שינוי דרמטי.
4ה- CISO as a Service- זה אחלה שירות! באמת. יופי של מענה לארגון, שלא זקוק למנהל אבטחת מידע במשרה מלאה או לא יכול לשלם את העלות של משרה מלאה ולכן יומיים בשבוע הם בבחינת עדיף מעט על כלום. יחד עם זאת, ישנם הרבה מאוד ארגונים, שיכולים להרשות לעצמם וצריכים ניהול יסודי יותר של מערך אבטחת המידע שלהם. תסדירו את זה. תקבעו רף לחברה היכולה להסתדר עם שירות חלקי ולכאלה שאסור להם להתרשל. אתם הרי יודעים, שעבודת מנהל אבטחת המידע לא נגמרת ב-6 בערב.
5.
חלקו גזרים. המשק יהיה חזק ועמיד יותר אם הוא יהיה מאובטח ומוגן יותר. תציעו תוכנית עידוד להטמעת מערכי אבטחת מידע באמצעות איגוד ההייטק, התאחדות התעשיינים, איגוד נהגי המוניות, איגוד האחיות. תנו להם ידע. תשיגו להם תקציב מסובסד להגברת מודעות. מי שיעשה, יקבל יותר.
6.
שיתוף ידע. זה סעיף לא פשוט למי שמגיעים עם תפיסת עבודה של גוף מודיעיני אבל כן, יש חשיבות גדולה לספר למשק איזה ארגון חווה איזו מתקפה ואיך היא בוצעה. זו לא רכילות וזה לא פגיעה בארגון. זה מידע חיוני, שיכול לעזור למנהל אבטחת מידע לתפקד טוב יותר. תגדירו איך עושים את זה ומה הפרמטרים שמשתפים, אבל הסתרה היא לא אסטרטגיה נכונה.
7.
ידע הוא כח. שעה במסגרת כל תוכנית לימודים היא התחלה. 10 שעות הן הנעה של תהליך. 100 שעות שנתיות הן הובלה של שינוי. מגיל גן ועד לפוסט דוקטורט. חינוך לאבטחת מידע הוא לא אופציה, הוא הכרח. זה מה שיצמצם את סיכון הסייבר ואת ההשפעה שלו. ילד, שלומד להתנהל נכון ברשת, הופך מבוגר היודע להתנהל נכון ברשת. אדם בוגר, שלומד מהו סיכון סייבר, הופך למנהל המודע לסיכון הסייבר, לעובד, שכבר לא חושף את הארגון שלו למתקפה בגלל אפליקציית שאלון, שהוא לא התאפק ולחץ עליה.
8.
הנחייה. בכל מקום, שבו תשאלו, גם אצל גופי ההנחיה עצמם, תיתקלו בבלבול וחוסר הבנה לגבי מה באמת נדרש מהם. להתערב או לא? עד איזו רמה? מתי באמת צריך לפנות למערך הסייבר? מה נדרש מהארגון? כמה נדרש ממנו ותחת איזה בקרות? אם רוצים להוריד סיכון או לצמצם חשיפה, צריך לתת הנחיות ברורות כולל למי מדווחים - תשאירו את הפוליטיקה הבין משרדית מחוץ לתמונה. ההנחיות חייבות להיות ברורות. למשל, קיום של ועדת היגוי - תנו לארגון להחליט (וגם את זה אפשר להרחיב לפי פרמטרים) אם הוא מכנס אותה 6 פעמים בשנה או פעם אחת, אבל תגדירו לו, שהיא חייבת להתכנס.
9.
סדרי עדיפויות. ברור, שמגניב להתחכך בכנסים בינ"ל של תעשיית ההייטק או הפיננסים, אבל אלו תעשיות, שלרוב ידעו לדאוג לעצמן. יש סקטורים במשק המשוועים ליד מכוונת, תומכת, אפילו מבקרת. הסקטור המוניציפלי המחזיק מידע כ"כ רגיש. הסקטור האקדמי המחזיק נכסי מידע אדירים, ששווים הון עצום הן בכסף והן בזמן מחקר. העסקים הקטנים, שהם מנוע הצמיחה של המשק. תשקיעו בהם. מנהלי אבטחת המידע שלהם יודו לכם על ההתערבות ועל העזרה בהתמודדות עם הפוליטיקה המסואבת של קשרי השמור לי ואשמור לך.
הצלחתכם, הצלחתנו!
מאת:
עינת מירון, אפריל 2021.
יועצת מומחית ל-Cyber Resilience, הערכות והתמודדות עם מתקפות סייבר בהיבטים העסקיים.
הכתבה נכתבה בהמשך לדו"ח מערך הסיבר הלאומי לסיכום שנת 2020 (סיכום שנתי הסוקר את עיקרי פעילות המערך ל-2020) - כאן.
הדו"ח המלא של מערך הסייבר הלאומי ל-2020 - כאן.