חשיבות הכימות הפיננסי של איומי הסייבר העומדים מול הארגון - כדי לדעת איך להיערך

אבי בשן, CTO בחברת KOVRR | התמונות באדיבות חברת KOVRR

הדיווחים המתרבים על מתקפות סייבר שגורמות נזקים אדירים, יכולים להכניס ארגונים לפאניקה ולגרום להם להוציא כספים רבים על פתרונות לא מתאימים, בעוד אחרים נשארים שאננים ופגיעים. הערכת החשיפה הפיננסית של סיכוני הסייבר האמיתיים והנזק שהם יכולים לגרום, פותרת את הבעיה

Digital Safety 2021

דצמבר 2021

כמעט כל ארגון, בכל היקף ובכל תחום פעילות, עומד היום מול אתגרי סייבר - אך ארגונים רבים מתקשים להעריך מה גודל האיום הניצב בפניהם, ומה תהיה העלות של נזק שייגרם במתקפת סייבר. התוצאה יכולה להיות הגנה לא מספקת, שחושפת את הארגון לנזקים נרחבים - או להיפך, השקעה יתרה בהגנת סייבר, שמבזבזת את משאבי הארגון ללא צורך.

אבי בשן, CTO בחברת הסייבר הישראלית KOVRR, מסביר כי "הקושי בהערכת איומי סייבר נובע מכמה גורמים שונים, הכוללים, בין היתר, אתגר בזיהוי הטכנולוגיות והשירותים שבשימוש הארגון, ומיפוי הנכסים והתהליכים שפגיעה בהם תגרום להשפעה פיננסית על הארגון. קושי נוסף הוא הדינמיות של תקיפות הסייבר, המשתנות באופן תדיר".

לדברי בשן, "כדי לבצע הערכה נכונה, יש צורך באיסוף נתונים מגוונים. כך למשל, הארגון נדרש להשיג מידע על הערכת פוטנציאל הנזק הכספי של מתקפת סייבר; מידע המסייע להגדיר את יחס העלות-תועלת הטמון בהורדת הסיכון באמצעות השקעה בפתרונות הגנה וניטור סייבר; וכן מידע על היקף ההשקעה של ארגונים דומים, מבחינת השקעה בפתרונות הגנה, בביטוח, בתוכניות הגנת סייבר ובחשיפה הפיננסית שלהם לאירועים".

בדרך כלל כשמדברים על תקיפת סייבר, האסוציאציה הראשונה היא לגניבת מידע. האם יש סוגי נזק נוספים שיכולים להיגרם במתקפת סייבר?

"כיום, מתקפות סייבר כבר לא כוללות רק גניבת מידע, אלא מגוון רחב של וקטורי תקיפה העלולים לגרום להשבתת הפעילות העסקית של החברה - וכתוצאה מכך, לנזקים נרחבים לענפי פעילות שלמים ואף למשק. בשנה האחרונה בלבד ראינו כמה אירועים משמעותיים ביותר מסוג זה. במאי 2021, למשל, מתקפת כופר על חברת Colonial Pipeline פגעה בכמה מהמערכות הדיגיטליות שלה, והביאה להשבתה שלהן למשך מספר ימים. היות שהצינורות של החברה משנעים נפט ללקוחות, כתוצאה מההשבתה, שותקה אספקת הנפט לחוף המזרחי בארה"ב.

"כאן בישראל, מתקפת הכופר שפגעה לאחרונה בבית החולים הלל יפה בחדרה שיבשה קשות את שגרת העבודה, כאשר הצוות הרפואי לא יכול היה להשתמש בכל המידע השמור באופן דיגיטלי - שננעל על ידי התוקפים ונמנעה הגישה אליו. אנשי הצוות נאלצו לחזור להשתמש בדף ובנייר כדי לתעד מידע רפואי ולהעביר אותו הלאה, ועבר חודש עד שבית החולים הצליח לחזור לשגרת תפקוד מלאה".

יקיר גולן, מנכ"ל חברת KOVRR | התמונות באדיבות חברת KOVRR

עד כמה גדול הנזק שיכול להיגרם במתקפת סייבר?

"חשוב להבין שכיום, תשתיות התוכנה של חברות ומוצרים רבים משתמשים בספריות קוד פתוח זהות. חולשה המתגלה בספריה כזו עלולה לגרום לתגובה שרשרת שמשפיעה על כל התוכנות והשירותים שנשענים עליה. רק לאחרונה נחשפה פרצת האבטחה של Log4j - שאומנם התגלתה לראשונה במשחק הפופולרי מיינקראפט, אך למעשה, מדובר ברכיב קוד פתוח שנמצא בשימוש במערכות רבות ופופולריות, כולל מוצרי תוכנה של חברות ידועות. ואם נחזור לדוגמה של קולוניאל פייפליין, הרי שעל פי פרסומים פומביים, עלות תשלום הכופר של החברה מוערכת ב-4.5 מיליון דולר. ניתן להעריך כי היו גם עלויות נלוות, כמו השבתת הפעילות העסקית לכמה ימים".

מה הגורמים שיש להביא בחשבון בניסיון להעריך את מוכנות הארגון למתקפות סייבר?

"כדי לדעת עד כמה הארגון ערוך לתרחיש של מתקפה, יש שני מישורים עיקריים שצריך להביא בחשבון. ראשית, צריך לבחון את המוכנות האופרטיבית, בעזרת שאלות כמו כיצד אבטחת המידע מנוהלת בארגון, האם זוהו הנכסים הקריטיים שצריך להגן עליהם, האם יש שימוש באמצעי הגנה מתאימים, ומהם הנהלים השונים המגדירים את ביצוע האבטחה וההתמודדות עם מצבים בהם נפגעה העבודה הארגונית.

"המישור השני הוא של המוכנות הפיננסית. כאן, יש לבדוק אם הארגון גידר את החשיפה הפיננסית שלו לאירועי סייבר. גידור יכול להתבצע הן באמצעות העברת הסיכון על ידי רכישת ביטוח, הן באלוקציה של רזרבות והן באמצעים נוספים, כגון ביטוח עצמי".

שלום בובליל, CPO בחברת KOVRR | התמונות באדיבות חברת KOVRR

מדוע חשוב לבצע הערכה של הסיכונים האפשריים והנזק שהם יכולים לגרום, כולל הסבירות של תרחישים שונים?

"אחד האתגרים הגדולים של כל ארגון כיום הוא שימוש חכם במשאבים השונים (תקציב וכוח אדם) כדי להשיג מוכנות מיטבית מפני מתקפות סייבר. באמצעות ביצוע סימולציה וניתוח של התוצאות במספר רב של תרחישים אפשריים, ניתן לזהות מה הנקודות העיקריות שעלולות לגרום לנזק משמעותי לארגון. הערכה זו חשובה כדי לבצע ניתוח של עלות ההשקעה בתוכניות הגנה לסייבר מול הורדת הסיכון הפוטנציאלית, במונחים פיננסיים.

"כל ארגון יוכל לבחור כיצד ליישם את התובנות מסימולציות אלה. זאת, כשההנהלה מבינה באופן מלא את סכנת החשיפה להיבטים העסקיים השונים, יודעת לתקצב את ההגנה מפני סיכוני סייבר באופן מידתי, ובכך נמנעת מהתרחיש של הוצאת ענק בלתי צפויה, ויכולה למלא את חובתה בדיווח בנושאי סייבר בפני בעלי העניין והרגולטורים. בסיכומו של דבר, המידע הנרכש בתהליך זה מאפשר לחברה לעשות שימוש נכון יותר בהון שברשותה".

כיצד ניתן לבצע הערכה איכותית של סיכוני סייבר?

"באמצעות אימוץ מתודולוגיית מידול סיכונים גמישה, המאפשרת מצד אחד למדל התקפות חדשות אפשריות מול התקפות עבר, מצד אחר, משקללת את ההיסטוריה של הארגון ואת הארכיטקטורה הפנימית שלו מבחינת הגנה ורשת".

יצירת שפה אחידה לניהול סיכוני סייבר

KOVRR, שהוקמה ב-2017, החלה את דרכה בתחום הביטוח וצמחה ופרצה לעולמות האנטרפרייז. החזון של החברה הוא ליצור שפה אחידה לניהול סיכוני סייבר, היכולה להתממשק לכל פתרון הגנה ולספק למקבלי החלטות בארגונים את הכלים להצדיק השקעות בהגנה ולמדוד את יעילותם בהורדת הסיכון לאורך זמן.

KOVRR - תעודת זהות

תחום פעילות: ניהול סיכוני סייבר

מייסדים: יקיר גולן, אבי בשן, שלום בובליל

מנכ"ל: יקיר גולן

שנת הקמה: 2017

מספר עובדים: 40

מיקום משרדים: יגאל אלון 82, בנין סוזוקי, תל אביב

‍

______________

למידע נוסף: www.kovrr.com | contact@kovrr.com

עוד במוסף

אדי בובריצקי, מנכ"ל חברת Minerva Labs | התמונה באדיבות חברת Minerva Labs

"במקום למזער נזקים של מתקפות כופר - אפשר למנוע אותן מראש"

פרצת האבטחה החמורה בקוד פופולרי מאיימת על מיליוני משתמשים