מתקפות סייבר – כולם כבר חשופים

בשנים האחרונות, איומי הסייבר התגברו והוחמרו ומגמת מתקפות הסייבר רק הולכת ומתרחבת בכל העולם. כמות ותחכום המתקפות עולה וגובה מחירים כבדים מהארגונים הנפגעים. אף ארגון אינו רוצה להיתפס לא מוכן.

בשנת 2021 נרשמה עלייה של 11% בכמות אירועי הסייבר בעולם. 27% מהארגונים שנשאלו במסגרת סקר בבריטניה העידו כי הם עוברים מתקפת סייבר לפחות אחת לשבוע.
התוקפים מנצלים את העובדה שמגפת הקורונה גרמה לעובדים בכל רחבי העולם להישאר בבתים ולהשתמש יותר בשירותי האינטרנט והחליטו לפעול. ברחבי העולם מדווחים על תקיפות רבות יותר, כמובן גם נגד מטרות ישראליות- מחקרים שונים מצביעים על 8M תקיפות סייבר של עובדים מהבית בישראל, מאז תחילתו של משבר הקורונה.

מתקפות אלו מכוונות כלפי כלל המגזרים והן רק מתגברות. כולם חשופים: יצרניות מזון ענקיות, בתי חולים ומעבדות, ממשלות ואזרחים, עמותות חברתיות, מוסדות פיננסיים ואף האקדמיה.

חברה תחת מתקפה עלולה למצוא את עצמה תחת איום ממשי. הנזק הכספי הממוצע לחברה עומד על כ-3.86 מיליון דולר לאירוע, בעוד שעם העלייה החדה במעבר לעבודה מן הבית, בעקבות הקורונה, ממוצע זה עלה ליותר מ-4 מיליון דולר. חשוב לציין כי הנזק המוערך אינו כולל בתוכו את הנזק העקיף שנגרם לחברה כדוגמת מוניטין, נטישת לקוחות בעקבות השבתה ועוד.

נשאלת השאלה: האם מנהלי הארגונים מודעים לסיכון הסייבר הגדול?
כחלק מ-The Cyber Security Breaches Survey שבוצע בבריטניה בשנת 2021, בדקו וראיינו מועצות מנהלים מארגונים שונים. רובם העידו כי למרות כלל הקשיים שנוצרו בעקבות הקורונה, אבטחת הסייבר נותרה בעינה בראש סדר העדיפויות. לפיכך, 77% מהארגונים טענו כי אבטחת סייבר הינה בעדיפות גבוהה עבור המנהלים והבכירים שלהם (לעומת 69% ב-2016).

בנוסף לכך, לא ניתן להתעלם מהעובדה כי מגפת הקורונה הפכה את תחום אבטחת הסייבר למורכב יותר. באותו הסקר שנערך בבריטניה, נמצא כי מספר קטן יותר של ארגונים דיווחו שיש להם תוכנות הגנה זדוניות עדכניות (83%, לעומת 88% ב-2020) וחומות אש ברשת (78%, לעומת 83% ב-2020).
כמו כן, רק 14% מהארגונים בסקר העידו כי הכשירו בארגון צוות לאבטחת סייבר, ו-20% בדקו את תגובת הצוות והעובדים לביצוע מבדקי חדירה כמו תרגילי דיוג מדומים.

כיום, כלל הארגונים פועלים בעיקר ברובד הטכנולוגי ומרשתים את עצמם בכלים והגנה טכנולוגית. עם היצע השוק הקיים, עסקים יכולים להתכונן טוב יותר לעתיד אשר רווי באי-וודאות.

מספר נתונים נוספים שעלו בסקר שבוצע בבריטניה:

אולם מניסיוננו ב-ERGO, אנו מבינים שהתחום בו קיים פער מבחינת מיקוד הארגון הינו הרובד האנושי והתהליכים בארגון. במתקפות סייבר, בדומה לזירות אחרות, הגורם האנושי הוא החולייה החלשה האחראית לרוב הכשלים והתקלות. התוקפים יודעים לנצל חולשה זאת.

חולשתו של הגורם האנושי נובעת מחוסר הבנה, היעדר מודעות, התעלמות או חוסר אכפתיות של העובדים בארגון באשר לחשיבות אבטחת המידע ובאשר להשלכות התנהגויותיהם על הסיכון למתקפת סייבר. במרבית המקרים, הפרטים שבגללם נגרמות מתקפות הסייבר אינם פועלים מתוך כוונה זדונית ליזום מתקפת סייבר ולפגוע במערכות הממוחשבות של הארגון.

על פי מחקר של חברת IBM ו- Institute Ponemon, 25% מכלל מתקפות הסייבר בשנת 2017 היו תוצר של רשלנות הגורם האנושי, כלומר של עובדים או של קבלני משנה של הארגון המותקף.

כמו כן, חברת Verizon מצאה ש־17% ממתקפות הסייבר בשנת 2018 נגרמו בשל טעות אנוש, כמו עובד ששיתף מידע סודי או שלח תכתובת דואר אלקטרוני חסויה לכתובת הלא נכונה, או נכנס לרשתות חברתיות.

אז איך צריך וניתן להתמודד עם סיכונים אלו?

ראשית, יש להבין כי מזעור וניהול של הסיכון הטמון בגורם האנושי בחברה, מהווים שכבת הגנה נוספת ומשמעותית במכלול הגנת הסייבר.
לאמץ, להטמיע ולבקר את ההגנה בהתאם למיפוי האיומים והסכנות למתקפת סייבר, ולנוכח הנכסים האסטרטגיים שעליהם הארגון רוצה להגן.
להטמיע את תחום הסייבר כבר מפרק ההכשרה של העובד ותקופת כניסתו לתפקיד, ווידוא שהוא אכן מבין את כלל היבטי המערכת שעל הפעלתה הוא מופקד, כך שיוכל לזהות באופן מהיר ומיידי התנהגויות חריגות.
ללוות ליווי מקיף בתחום הסייבר במהלך כל תקופת העבודה בארגון.

כפי שנאמר, נדרש מהארגון לבצע פעולות להגברת הגנת הסייבר באמצעות מזעור מרחב הטעויות של הגורם האנושי, מתוך תפיסה שהשקעה בהכשרת האנשים וביצירת תרבות ארגונית של הגנת סייבר חשובה לא פחות מהטכנולוגיה עצמה.

יש להשקיע בנושאים קריטיים הדורשים טיפול, כגון: הגדרת הרשאות והגדרת פרופילים למערכות ליבה רגישות, נהלים, חלוקת אחריות וסמכות, הגדרת תהליכי גיוס ועזיבה של עובדים, תהליכים דיגיטליים מותאמי סיכוני סייבר וכדומה.

נושאים אלו לרוב אינם מטופלים ומוטמעים כראוי בארגון וחשוב ביותר לטפל בהם!

זהו בדיוק המקום של ERGO לסייע!
דברו עם היועצים/ות המומחים/ות שלנו