הנזקים מפשעי סייבר מרקיעים שחקים למרות הוצאות מסיביות על אבטחה. מאמר זה בוחן מדוע הוצאות כספיות על טכנולוגיה אינן מספיקות. התמקדות באנשים ובתהליכים מפחיתה סיכוני הסייבר!
בשנת 2014 הנזק הכספי לכלכלת העולם מפשעי סייבר נעמד על כ- 445 מיליארד דולר. נדלג קדימה שמונה שנים ונגלה שבשנת 2022 הסכום קפץ כבר ל 7.08 טריליון (!) דולר.
ומה הצפי? לפי נתונים שפורסמו ב (statista) – https://www.statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/
התחזית היא שבשנת 2028 הנזק הכלכלי של פשעי סייבר יעמוד על סכום דמיוני של כ-13.82 טריליון דולר גלובלית.
אז כיצד ארגונים ומדינות העולם מנסות להתמודד עם הרכבת הזאת הדוהרת לתהום?
שופכים כסף, והרבה!
חברות הגדילו את תקציבי אבטחת המידע בכ־10% בממוצע כל שנה. אם כך, השאלה המתבקשת היא מדוע נזקי הסייבר אינם פוחתים (או לפחות אינם גדלים), אם ישנו גידול דרסטי בתקציבים?
כדי לענות על שאלה זו נחזור למקורות ול־א' ב' של ארגונים, עמודי התווך של כל ארגון הם:
1. טכנולוגיה
2. אנשים
3. תהליכים
בחינה של תעשיית הסייבר והפתרונות המוצעים להתמודדות עם איומי סייבר משקפת תמונת מצב חד־משמעית – רוב מוחלט של פתרונות הסייבר הם טכנולוגיים ומבטיחים פתרונות 'קסם' להורדת הסיכון של הארגון.
ומה באשר לאנשים ולתהליכים? ובכן נראה ששני עמודי התווך הללו נשכחו מאחור.
חברות רבות מתמקדות בפתרונות טכנולוגיים, בתקווה להפחית את הסיכוי לפרצה. בפועל מתגלה תמונה עגומה, ובה מוצרים שנקנו בכסף רב אינם מיושמים כראוי, אינם מתופעלים כמתבקש, וגרוע מכל אינם עוברים בקרה תקופתית כדי לוודא שהם אכן מספקים הגנה כנדרש.
אם חברות מוציאות סכומי עתק על מוצרי האבטחה, מדוע הן לא מצליחות לתרגם את היכולות של המוצרים לכדי הפחתה של רמת הסיכון?
תשובה לשאלה זו אפשר למצוא על ידי התבוננות באופן שבו צוותי אבטחה בארגונים רבים מנהלים את עבודת היום־יום. בדרך כלל שגרת יום־יום אופיינית של צוותי אבטחה מסתכמת במעבר מטיפול ממקרה דחוף אחד לשני, בלי שיש את היכולת לנהל תוכנית שנתית סדורה עם כלל הבקרות והתהליכים הנדרשים לתפעול אפקטיבי של הגנת סייבר. לא די בכך, רוב מוחלט של צוותי אבטחה מתנהלים בעזרת אקסלים, אינסוף תיקיות, התכתבויות בווצאפ וכו'. במקרה ה'טוב' צוותי האבטחה מנהלים ומתעדפים את עבודתם באמצעות מערכת סטנדרטית לניהול משימות/פרויקטים.
במובנים רבים תעשיית הסייבר עוד לא הגיעה לבגרות. אם בוחנים את האבולוציה בתחומים אחרים בארגונים, למשל מכירות או ניהול לקוחות, אפשר להבחין שתחילה ניהול העבודה התבצע באופן ידני – מסמכים, אקסלים ותיקיות. שלב מתקדם יותר היה שימוש במערכות לניהול משימות ופרויקטים, ואילו היום, בארגונים רבים זה מובן מאליו שמחלקות המכירות/ניהול לקוחות ישתמשו במערכת CRM או Ticketing ייעודיים לצרכים שלהם ויספקו מעטפת מלאה לעבודה בשוטף.
האם אבולוציה זאת צפויה להתרחש גם בעולם הסייבר? התשובה נמצאת במספרים שבתחילת המאמר. אם המגמה בעולם הסייבר תימשך – הגדלת תקציבים ללא הפחתה יעילה של הסיכונים – בשלב מסוים ארגונים לא יצליחו לספק את הצרכים של צוותי אבטחת המידע.
כדי להימנע ממצב זה, נדרש טיפול בשורש – בתהליכים ובאנשים. ברגע שצוותי אבטחת מידע יתנהלו על פי תוכנית סדורה, ובה ברור במה להתמקד, מה הכי משפיע על רמת הסיכון של הארגון וכיצד – רק אז נראה היפוך של המגמה.
תובנות מומחי סייבר בכירים של IPV Security:
- ארגונים רבים מתמקדים בפתרונות טכנולוגיים בתקווה להפחית את הסיכון לפרצה. בפועל, מתגלה תמונה עגומה שבה מוצרים שנקנו בכסף רב אינם מיושמים ומתופעלים כראוי ואינם עוברים בקרה תקופתית כדי לוודא שהם אכן מספקים הגנה כנדרש.
- בדרך כלל שגרת יום־יום אופיינת של צוותי אבטחה מסתכמת במעבר מטיפול ממקרה דחוף אחד לשני, בלי שיש את היכולת לנהל תוכנית שנתית סדורה עם כלל הבקרות והתהליכים הנדרשים לתפעול אפקטיבי של הגנת סייבר.
- אם המגמה בעולם הסייבר תימשך – הגדלת תקציבים ללא הפחתה יעילה של הסיכונים, בשלב מסוים ארגונים לא יצליחו לספק את הצרכים של צוותי אבטחת המידע. לפיכך יש צורך לעבור ולהתמקד בשורש הבעיה: ניהול נכון ואפקטיבי של האנשים והתהליכים בארגון.
מעוניינים בניהול סיכונים ממוקד באנשים ותהליכים?
לכל התייעצות בנוגע לאבטחת מידע ניתן לפנות לחברת IPV Security במייל info@ipvsecurity.com או במספר הטלפון 077-4447130. החברה מתמחה זה 19 שנה באבטחת מידע ועוסקת בסקרי סיכונים הנוגעים לביטחון מידע.
