דעות

שירביט היא החייל שנרדם בש"ג או שמא קורבן נסיבות?

ניתן כמובן להאשים את שירביט, אבל עלינו להכיר בכך שהיא לא צריכה לשאת את כל האשמה. ראינו חברות ענק עם תקציבי סייבר גדולים מהתקציב השנתי הכולל של חברת שירביט, נפרצות. היום אנחנו יודעים שזו לא שאלה של 'האם', אלא שאלה של 'מתי'
מתן ליברמן |  5
מתן ליברמן, מנכל הפעילות של Semperis בישראל (צילום באדיבות המצולם)
סיפור הפריצה המתוקשר של שירביט מרתק אנשים רבים לעדכוני החדשות וההתפתחויות ומאז יום שלישי בתחילת חודש דצמבר. עיני הציבור נישאות למאבק אחד שכבר אינו עומד כטאבו של אנשי הייטק. כמו כן, הציבור קיבל חשיפה לרבדי הסיפור, החל מהדליפה שלו דרך שיחות המשא ומתן בין המומחים לקבוצת הפורצים ועוד.
האשמות רבות נזרקות לעבר חברת שירביט לגבי רמת אבטחת המידע ולדרך ניהול המשבר ושקיפותו. שירביט לכאורה נוקטים בגישה מאוד מעניינת וחכמה, כאשר הם יודעים שהנזק התדמיתי הוא הנזק המשמעותי במקרה זה וההבדל בין הדלפת מיליוני מסמכים לעשרה מסמכים, לא באמת קיים. במקביל הם משדרים לציבור כי הם מנסים לבצע משא ומתן. הם יודעים שהם חייבים לקבל ביטחונות מהפורצים, שבעת העברת התשלום אכן תופסק ההדלפה, ומקדמים את האג'נדה המצביעה על כך שהפגיעה בהם היא פגיעה ממניעים לאומיים שלא היה ניתן להימנע ממנה.
לראייתי, ניתן כמובן להאשים את שירביט, אבל עלינו להכיר בכך ששירביט לא צריכה לשאת את כל האשמה. ראינו חברות ענק עם תקציבי סייבר גדולים מהתקציב השנתי הכולל של חברת שירביט, נפרצות. היום אנחנו יודעים שזו לא שאלה של 'האם', אלא שאלה של 'מתי' הארגון שלך או הארגון עליו אתה מגן, ייפרץ. על כן, השאלה המעניינת היא מה ניתן ללמוד מהאירוע הזה שנראה שעדיין רחוק מסיום. מצד אחד, נדיר למצוא היום חברה בישראל שלא רוכשת פתרונות סייבר. מנגד, קיימות מאות חברות סייבר בישראל ובעולם המציעות מאגר פתרונות כמעט אינסופי, כאשר כל אחת מביאה את הייחודיות שבה. השאלה הנשאלת היא מה מצופה מארגון בסדר גודל של שירביט? מה מצופה מארגון גדול ממנו? ואסור לשכוח, מה מצופה מארגון קטן ממנו? אילו מערכות ותהליכים ארגון צריך לרכוש ולהציב? מי מבצע את הביקורת על אותם תהליכים ומערכות עבור הציבור כולו?
מכאן לדעתי צריך לחלק את האחריות לשניים. צעד ראשון באחריות הארגון וצעד שני באחריות המדינה. 
כצעד ראשון, ארגונים צריכים להקפיד על השקעה בפתרונות סייבר ותהליכים פנימיים עבור מספר שלבים שונים:
לפני הפריצה (פעולות מונעות) – זיהוי חולשות אבטחת מידע בארגון וחסימתם, ניטור מערכות קריטיות,  הדרכת העובדים להגנה וזהירות ברשת ועוד.  בזמן הפריצה (פעולות ממזערות נזק) – זיהוי, התראה על ועצירת הפריצה בתגובה מהירה. ולאחר הפריצה (יכולת שרידות)-  השלב שבו מרבית הארגונים לוקים בחסר. ארגונים רבים משקיעים את תקציבם בשני השלבים הראשונים (והחשובים מאוד) ורואים את עצמם כבטוחים - אך מדובר בחצי פתרון. לדוגמה, אם רכשת אזעקה ומנעול לביתך - אין זה אומר שהסיכוי שביתך יפרץ הוא אפסי. המתקפה הזו היא בלתי נמנעת ואם פורץ מעוניין לתקוף ארגון, הוא ימצא את הדרך לעשות כן. אף ארגון, גם כאלו שרוכשים את כלל מוצרי ההגנה, לא יכולים לייצר רמת ביטחון של 100%. בהסתכלות על סבירות האסונות, במצב של תקיפת סייבר ארגונים צריכים להיות מוכנים עם תוכנית פעולה לשחזור הארגון במצב של הצפנה מכל רמותיו בדיוק כמו שיש להן תוכנית שחזור מאסון להפסקות חשמל, שרפות ואסונות לוגים.
צעד שני, עומד על רגולציות והנחיות מערך הסייבר הלאומי. מערך הסייבר הלאומי עושה עבודת קודש ומספק באופן שוטף הנחיות נכונות לארגונים השונים בנוגע להגנה מאת מתקפות סייבר. יחד עם זאת, מרבית ההנחיות מתמקדות בכ-40 ארגוני ליבה אשר הם מגדירים קריטיים למדינה וגם בהם לטעמי חסרה הביקורת החיצונית.
יש לספק הנחיות הגנה מפורטות לרמות הארגונים השונות המציגות את הסכנות הצפויות, כיצד הארגונים יכולים להתכונן לאותן סכנות נפוצות על פי גודל, תעשייה וסיכון הארגון ולבצע ביקורות ואכיפות לאותם ארגונים. כמו כן, על מערך הסייבר הלאומי לעודד רגולציות והנחיות לעבר יכולות שחזור ממצבי תקיפה לארגונים, בכל הגדלים. עד אז נמשיך אנחנו יכולים להמשיך לעקוב בהתרחשות הנוכחית ולשאול מדוע שירביט לא הייתה מוכנה. נראה כי כדאי לנו דווקא ללמוד ממקרה זה, להתכונן, ולוודא מוכנות. אם לא נעשה את זה מקרה 'השירביט' הבא יחכה לנו מעבר לפינה.
הכותב הוא מתן ליברמן, ממייסדי חברת Semperis ומנהל הפעילות של החברה בישראל. 
תגובות לכתבה(5):

נותרו 55 תווים

נותרו 1000 תווים

הוסף תגובה

תגובתך התקבלה ותפורסם בכפוף למדיניות המערכת.
תודה.
לתגובה חדשה
תגובתך לא נשלחה בשל בעיית תקשורת, אנא נסה שנית.
חזור לתגובה
  • 4.
    כמה שילמו לך שירביט כדי שתמרק אותם מאשמה? (ל"ת)
    אלמונימי 12/2020/10
    הגב לתגובה זו
    9 2
    סגור
  • 3.
    מסכים, אך לא כל כך עם הכל... שירביט בהחלט אשמה!
    זיו תובל 12/2020/09
    הגב לתגובה זו
    13 0
    כולם באים ותולים האשמה ברגולציה. אבל הרגולציה היא המקסימום שצריך לעשות. הרגולציה היא המינימום הנדרש!!! וככזה, האחריות בהחלט נופלת על כתפי המנהלים בארגון. הרי ברור לכולנו שנושא אבטחת המידע וסייבר מתחדש על בסיס יומי, ולעיתים אפילו כמה פעמים ביום. לכן, רק טבעי הדבר שהארגון, במיוחד ארגון פיננסי/ביטוחי רגיש, יעשה ככל הנדרש להגן על נכסיו, נכסי לקוחותיו ופרטיות המידע שלהם. אין ספק כאן שמי שאכן עשה, ממש לא עשה מספיק. כאשר מנהלים בארגון מדברים על אבטחת מידע ואומרים "הרי עשינו לפני שנתיים", או אפילו לפני שנה, כולנו יודעים שיש לזה ערך מועט בלבד. העשייה בתחומי אבטחת המידע והסייבר חייבת להיעשות כל הזמן. זו מלחמה בלתי פוסקת. מה שעשית לפני שנה, או לפני חודש, ואפילו אתמול, כבר לא רלוונטי... נכון שמערך הסייברהלאומי חייב להשתתף בנטל, ולבנות תכניות עבודה ונהלי עבודה, לארגונים בסדרי גודל כאלה. על הרגולטורים לחייב הארגונים לעבוד על פי תכניות עבודה ונהלים אלה, שכן לרגולטור אין הידע המקצועי הנדרש לכך. הרי הרגולציה המחשובית בתחום הביטוח היא משנת 2016... צא ולמד... ברור יש לקחת מקרה זה כסמן ימני עבור המחנה!
    סגור
  • הרגולציה היא *לא* המקסימום שצריך לעשות!!! (ל"ת)
    זיו תובל 12/2020/23
    הגב לתגובה זו
    3 0
    סגור
  • 2.
    כתבת יפה ומדויק (ל"ת)
    שמיל משעלי 12/2020/09
    הגב לתגובה זו
    3 8
    סגור
  • 1.
    מסכים מאוד עם דברי הכותב (ל"ת)
    ערן פרחי 12/2020/09
    הגב לתגובה זו
    4 9
    סגור