כיצד אפשר לייעל את אבטחת הסייבר?

במהלך העשור האחרון התברר כי למרות הצמיחה המשמעותית בכמות המידע הדיגיטלי, הגידול המואץ בטכנולוגיית הפס הרחב, ודור שלם של משתמשים במכשירים ניידים - תעשיית אבטחת המידע ממשיכה לבנות תשתיות אבטחה מתפוררות עם בקרות אשר לרוב אינן יעילות.

כדי לפתור בעיה זו יש לפתח מודל חדש של אבטחת סייבר – מערכת מבוססת מודיעין, המכילה מספר מרכיבים. הראשון הוא עניין איכותי גרידא – הבנה עמוקה של הסיכונים, עם אסטרטגיות ברורות להפחתת רמות הסיכון, המחזקות את רמת המשמעת והציות בארגונים. השניים הבאים הם בעלי מימד טכנולוגי - שימוש בכלים גמישים המתבססים על תבניות אימות וניתוח תהליכי חיזוי, וכן שימוש בכלי ניתוח של ביג דאטה על מנת להכניס לתמונה מספר רב של זרמי מידע ממקורות שונים.

אז מה מונע מארגונים לאמץ את המודל החדש? בראש ובראשונה תקציבי האבטחה. כבר תקופה ארוכה שארגונים מוציאים 70%-80% מהתקציב שלהם על מניעה, 15-20% על בקרה וזיהוי, ו10%- %5 בלבד על תגובה. הבעיה עם הקצאת התקציבים הנוכחית היא שמרבית הסכום עדיין מיועד לפעולות מניעה. בעידן שבו ניסיונות פריצה מוצלחים הם דבר שבשגרה, יש צורך בשינוי סדרי העדיפויות. אם לא ייקבע שיווי משקל חדש, יגבר הקושי לזהות בזמן פרצה במערך האבטחה, והתגובה לא תהיה מהירה דיה בכדי למנוע נזקים כספיים.

שני אספקטים נוספים המעכבים את השינוי הם המחסור במקצועני אבטחה ורמת מודעות נמוכה מדי לצרכים המשתנים. עם זאת, אנחנו זקוקים להרבה יותר ממודעות – יש צורך בהבנת הבעיות הניצבות בפנינו והאויבים בהם אנחנו נלחמים. מה שמחמיר את המצב הוא היעדר מערכת כוללת לשיתוף מידע בזמן הנכון.

עניין הפרטיות מוסיף שמן למדורה – קצת מוזר שגורמים עוינים, עבריינים והאקרים יכולים לחדור לפרטיות שלנו, לגנוב את הזהות והרכוש שלנו, אבל כאשר ממשלות או תעשיות נוקטות צעדים להגן עלינו, מיד נשמעות זעקות על כך ש"האח הגדול" מתערב בכל. המשמעות היא עיכוב הפיתוח של מודלים העתידים לספק מעבר חלק מ"אבטחה היקפית" ל"אבטחה המבוססת על מידע", בעידן שבו הגורמים העוינים הופכים למתוחכמים יותר ויותר.

ארבעת פרשי האפוקליפסה של אבטחת הסייבר

הבלבול לגבי הצעדים שיש לנקוט, נגרם כתוצאה מהפער הגדל והולך בין ארגונים מנוסים לארגונים נאיביים, הנגזר מהבדלים ברמת הכישורים של העובדים . ארבע קבוצות מרכיבות את דרגות ההתייחסות לאבטחת סייבר: הראשונה היא קבוצת הבקרה, המאמצת את הגישה הבסיסית ביותר - השאיפה שהבעיה תחלוף מאליה, או במילים אחרות, "הבו לי קופסה אלקטרונית או חתיכת תוכנה, תנו לי להפעיל אותה, ולשכוח מהעניין".

השנייה היא קבוצת ההולכים בתלם, הכוללת ארגונים שרק רוצים ללחוץ על כפתור בקופסה ולהגיד שהם ביצעו את מדיניות החברה. מה שהם לא מבינים הוא שמודל פיקוח מצליח, המבוסס על הבנה עמוקה של היכולת לצמצם סיכונים, ממלא את הדרישות הארגוניות כתוצר נלווה, באמצעות עשיית הדבר הנכון מלכתחילה.

הקבוצה השלישית, "המודעים לסיכוני IT", מורכבת מארגונים שהפנימו את מהות האיום, ומבצעים את הצעדים הנכונים בכדי לשפר את תשתית האבטחה שלהם. קבוצה זאת מצויה מעט מאחורי קטגוריית "המודעים לסיכונים העסקיים", שבה ארגונים משנים את המודלים העסקיים בהתבסס על כל הטכנולוגיה הזמינה להם, ודואגים לנצל עד תום את יתרונותיה.

אז מה עושים?

 

מדוע ההבדלים בגישות אמורים לעניין אותנו? ראשית, משום שהקטגוריות הבוסריות אינן רק מנת חלקם של ארגונים קטנים ובינוניים. חלק מהחברות המאמצות אותן הן גדולות למדי ומהוות נדבך בתשתית חיונית, או בשירותים המהווים חלק מהותי בבריאותה וחוזקה הכלכלי של המדינה. אולי זאת קלישאה, אבל אנחנו רק חזקים כמו החוליה החלשה ביותר שלנו. כיום אנו נסמכים על תלות הדדית כפי שמעולם לא חווינו, כלומר למתקפות הנערכות על אחד מאיתנו יש פוטנציאל להפוך למתקפות על כולנו.

כל הבעיות האלו יכולות לבוא על פתרונן, אם לכל הנוגעים בדבר תהיה הבנה עמוקה יותר של הסוגיות הרלוונטיות. בשעת מבחן החברות צריכות לדעת הרבה יותר על הסיכונים והדרכים המעשיות להפחית אותם. אנחנו זקוקים להנחיות שונות, הניתנות להתאמה לכל גורם בנפרד - אם זה עיתונות, גופי חקיקה, חברות אבטחת מידע או הקהילייה המשפטית - על מנת שכל אחד יצויד ברמת ההבנה לה הוא נדרש, וכדי שנוכל לעבוד יחד בבטחה ברשת.

הכותב הינו יו"ר ,RSA חטיבת אבטחת המידע של EMC