הצטרפו אלינו
הצטרפו אלינו
→ עמוד הבלוג
  • ניהול סיכונים

אין דבר כזה יותר מדי הגנה? לא בטוח

ניפוץ המיתוס מאחורי אחת האמירות השגורות ביותר בפי מנהלי אבטחת מידע
  • [read_time]

משפט שאני שומע לא מעט הוא “אין דבר כזה יותר מדי הגנה.” והוא נשמע הגיוני, לפחות בהתחלה. אחרי הכול, הרי כולם יודעים – בהינתן מספיק זמן, משאבים ומוטיבציה – ניתן לפרוץ כמעט לכל דבר: מחשב, שרת, בניין, כספת. אז למה לא להגן כמה שיותר? למה לא לשים עוד שכבת הגנה, עוד פתרון אבטחה, עוד חומה?

האמת היא שזו שאלה הרבה יותר עמוקה ממה שנדמה. כי ברגע שמבינים את העקרונות שמניעים את שני הצדדים – גם את המגַן וגם את התוקף – מתגלה אמת פשוטה: לא רק שיש דבר כזה “יותר מדי הגנה” – אלא שזה קורה כל הזמן.

גם תוקפים עושים חישובים

מנהלי אבטחת מידע שוכחים לעיתים שרוב התוקפים (במיוחד אלו שמאחוריהם עומדת מטרה עסקית) לא פועלים מתוך ואקום וגם הם עושים שיקולים.

גם להם יש תקציב, מגבלות זמן, צורך ביעילות ומעל הכול, הם רוצים שהמאמץ שלהם ישתלם. במילים אחרות, גם תוקפים עושים חישובי ROI ושואלים את עצמם אם שווה להשקיע בפריצה ומה ייצא להם מזה.

אם מערכת מסוימת תהיה קשה מדי לפריצה מחד עם פוטנציאל “תשואה” נמוכה מנגד הם פשוט יבחרו מטרה אחרת.

מה זה אומר עלינו?

כאן נכנס עיקרון חשוב שכל מנהל אבטחה (ובעצם כל מנהל בארגון) חייב להכיר: לא כל נכס שווה את אותה ההגנה. כדי להבין את זה טוב יותר, ניקח דוגמה מעולם אחר: נניח שיש לכם תכשיט יקר, בשווי של 50,000 ש”ח. סביר שתרצו לאחסן אותו בכספת טובה. אולי תוציאו עליה 1,000 ש”ח, אולי אפילו 2,000 או 5,000 ש”ח. אבל אם מישהו יציע לכם כספת שעולה מעל 50,000 ש”ח – כלומר, בדיוק יותר משווי התכשיט – תעצרו ותשאלו: זה הגיוני? וברור לגמרי שהתשובה תהיה “לא”. כי אם העלות של ההגנה גבוהה מערך מה שמגִנים עליו – ההגנה עצמה כבר לא משתלמת.

כמובן, ייתכן שתאמרו: “אבל יש ערך סנטימנטלי לתכשיט הזה.” וזה לגיטימי. אבל אז אנחנו לא באמת מדברים על ערך של 50,000 ש”ח – אלא הרבה יותר. אם משהו שווה לכם מעבר למחיר בשוק, אז זה צריך להילקח בחשבון כבר בתחילת הדרך, כשמחשבים את ערכו.

אז איך מחשבים את השווי האמיתי של נכס דיגיטלי?

נחזור רגע לעולמות הדיגיטליים – לשרתי הארגון, למערכות המידע, לבסיסי הנתונים, לאתרים וליישומים. איך בעצם מעריכים את השווי של נכס כזה? האם מספיק לשאול: “כמה עלה לנו לפתח את זה?” או “כמה שווה הציוד הפיזי?” התשובה הברורה היא ממש לא – הערך הישיר הוא רק ההתחלה.

אולי פיתחתם מערכת CRM פנימית שעלתה לכם 80,000 ש”ח בפיתוח שזה הערך הישיר אבל האם זה כל מה שהיא שווה? ומה אם יום אחד המערכת תושבת? או גרוע מכך – תיפרץ והמידע יזלוג החוצה? כדי להבין את השווי האמיתי של נכס דיגיטלי, חייבים לחשוב במונחים רחבים יותר. הנה מה שצריך לשקלל דברים נוספים:

אובדן הכנסה פוטנציאלי

מה יקרה אם האתר שלכם ירד ל-48 שעות? מה אם אפליקציית המסחר תפסיק לפעול במהלך סוף השבוע?

אם מדובר בעסק מקוון שמכניס עשרות אלפי שקלים ביום, כל שעה שווה כסף. ממש.

וככל שהפעילות העסקית נשענת יותר על הנכס הדיגיטלי – כך הפגיעה הישירה בהכנסות גבוהה יותר.

עלויות שחזור ותיקון

גם אם יש לכם תוכנית גיבויים מסודרת חזרה לשגרה לא קורית בלחיצת כפתור. זה ידרוש אנשי IT, עבודה תחת לחץ, שעות נוספות, ולעיתים גם רכישת תוכנות או שירותים חיצוניים.

קנסות רגולטוריים

אם המידע שהודלף כולל פרטים אישיים של לקוחות, עובדים או שותפים – אתם עלולים להפר תקנות כמו GDPR, חוק הגנת הפרטיות הישראלי או רגולציות סקטוריאליות.

במקרים כאלה, הקנס יכול להגיע למאות אלפי ש”ח ואף יותר.

סיכון לתביעות משפטיות

נפגעי הפריצה כגון לקוחות, ספקים, או אפילו עובדים – עלולים להגיש תביעה ייצוגית. גם אם תזכו בהגנה משפטית, הזמן, הכסף והמשאבים שתשקיעו בניהול התביעה הם מחיר כבד לכל הדעות.

פגיעה במוניטין

הנזק שלא תמיד רואים מיד אבל מרגישים לאורך זמן.

אובדן אמון. לקוחות שעוזבים. שותפים שמסייגים. ידיעה אחת בתקשורת על פריצה חמורה עלולה להבריח משקיעים, להבריח מועמדים חזקים ולערער את יציבות הארגון.

ולמרות שקשה לכמת את המוניטין במספרים, ההשפעה שלו על השורה התחתונה – עצומה.

אז איך יודעים כמה הגנה צריך?

כאן נכנסים לתמונה תהליכים סדורים שכל CISO צריך להכיר וליישם:

  • מיפוי נכסים קריטיים (CBA) – להבין מה באמת חשוב לארגון.
  • מיפוי תהליכים קריטיים (CBP) – להבין אילו תהליכים אסור שייפגעו.
  • ניתוח השפעות עסקיות (BIA) – להבין מה קורה לארגון כשיש תקלה, מתקפה או אובדן מידע.

השילוב של כל אלה עוזר לנו להחליט, בצורה מושכלת, כמה נכון להשקיע בהגנה על כל נכס.

לסיכום

לפני שממהרים לרכוש מוצרי אבטחת מידע, להטמיע נהלים או להציב מגבלות כבדות על העובדים – עצרו רגע. שאלו את עצמכם: כמה באמת אנחנו מוכנים לשלם כדי להימנע מאירוע פריצה? זו לא שאלה של “אם” – אלא שאלה של “מתי זה כבר לא משתלם לתוקף” וזו גם בדיוק הנקודה שבה ההשקעה שלנו בהגנה הופכת חכמה – במקום פשוט כבדה.

נציין כי התוכן שהובא כאן הוא בגדר קווים כללים וכי התפקיד, האחריות, והפעולות הנדרשות יכולות להשתנות באופן משמעותי מאוד בהתאם למקרים ספציפיים.

אינדקס

אולי יעניין אותך
התפקיד הקריטי של הסיסו
מי הוא הCISO ומדוע התפקיד חשוב היום מאי פעם
אחד מתחומי האחריות העיקריים של הCISO הוא להיות צעד אחד קדימה אל מול האיומים המשתנה באופן תדיר. איומי הסייבר מתקדמים ומורכבים יותר, החל מתקיפות דיוג (פישינג) גנריות ופשוטות ועד לאיומים מתקדמים (APT). הCISO חייב להעריך באופן רציני את הסיכונים, לזהות נקודות חולשה פוטנציאליות וליישם אמצעים להפחתת הסיכונים הללו בצורה אפקטיבית.
קראו
הסיכונים של מידע צללים ולמה רק ה CISO יכול באמת למנוע אותו
אחד האיומים הגדולים ביותר שמגיעים מתוך הארגון דווקא ללא כל כוונת זדון
אפילו בכירים בארה"ב נופלים למלכודת של Shadow IT, ומסכנים מידע רגיש. מהם הסיכונים וכיצד CISOs יכולים להתמודד עם הבעיה?
קראו
ימים ראשונים בתור סיסו
אז קיבלת את המינוי הנכסף. הנה הצעדים הבאים
ברכות, הגעת לתפקיד החשוב והמרתק ועכשיו הגיע הזמן לעבוד! כ-CISO, אתה אחראי להבטיח את הסודיות, השלמות והזמינות של נכסי המידע של הארגון שלך (ה CIA Triad), את זה כולנו יודעים. אנחנו גם יודעים שהתפקיד שלך הוא קריטי להצלחת הארגון שכן איומי הסייבר ממשיכים לגדול הן במספר והן במורכבות. אבל איפה מתחילים?
קראו
הצטרפו אלינו

שים לב!
כל שימוש באתר מחייב קודם כל הסכמה לתנאי השימוש, מדיניות הפרטיות ומדיניות העוגיות שלנו.
במידה ואינך מסכים לכולם ובמלואם, אל תשתמש באתר זה.

הבנתי
מידע נוסף