"כשיש כניסה של טכנולוגיות חדשות - יש איומי סייבר חדשים"

"ברגע שיש כניסה של טכנולוגיות חדשות יש איומי סייבר חדשים", כך אמר דמי בן ארי, מייסד שותף וסמנכ"ל טכנולוגיות ב-Panorays, בפאנל בהנחייתו שנערך במסגרת כנס המפתחים של כלכליסט בשיתוף עמותת בוגרי ממר"ם ואופק.

"יש אלפי מוצרי סייבר בעולם וכל חברה יכולה לרכוש איזו כמות שהיא צריכה, אבל את רוב המיילים שלי אני שולח מהאייפון שאין עליו לא הגנת קצה ולא שום דבר", אמר מתן ליברמן, מנהל הפעילות של Semperis בישראל. "הארגון לא מכיר אותו, הדבר היחיד שהוא מזהה זה את היוזר שלי ואת הזהות שלי בתוך הארגון. היום הזהות שלי בתוך הארגון התרחבה, יש אפליקציות קלאוד, יש מכשירים ניידים. הארגון הפך להיות הרבה יותר פרודוקטיבי אבל גם הרבה יותר חשוף". לכן, לדבריו, צריך למפות את הסיכונים לפני התקיפה, לזהות תקיפות וליירט אותן בשביל למזער את הנזק וכן לאפשר פתרון של שיחזור.

"אם פעם התחלנו מעולם שהיה מאוד פשוט, כי היה דאטה סנטר, אייג'נטים וזהו, היום שואלים מה זה Device", אמרה שירי לדלסקי, מנהלת הנדסה בכירה ב-Armis Security. "זו שאלה קשה בפני עצמה, כי זה יכול להיות כל דבר שמחובר לרשת או לא מחובר לרשת. יותר מזה, כשאנחנו מדברים על Asset זה יכול להיות גם היוזר שמשתמש בו וגם האפליקציה שרצה עליו. אז הרעיון הוא לייצר את המפה של ה-Assets בארגון, איך הם מתקשרים אחד עם השני וגם לרמת העומק".

"אם פעם היו שואלים את מנהל אבטחת המידע כמה אסטים (assets) יש לך ואז שואלים את האנשים שלו בדיוק את אותה השאלה, כל אחד היה נותן מספר אחר - וזה פשוט מדהים", אמר בן ארי על מנת להמחיש את הבעיה. "מה שיותר מדהים זה שאחרי שמחברים את ארמיס רואים שלא זה ולא זה היו נכונים", אמרה לדלסקי.

אחד הדברים שחברות הביטוח מעודדות בתחום הסייבר הוא שחברות התוכנה יקחו אחריות על מה שהן מייצרות, הסבירה איילת קוטנר, סמנכ"לית טכנולוגיות ב-Atbay. "לכולנו יש רכבים. אם עכשיו היינו צריכים לעקוב אחרי בלוג פוסט של מי שייצר את הבלמים כדי לדעת אם צריך לעשות ריקול, זה לא סביר. פתרו את הבעיה. אז למה זה לגיטימי שהתוכנה לא תתעדכן אוטומטית במשך שנתיים ונצפה שהלקוח יתמודד עם זה עכשיו בעצמו. אז אנחנו כחברת ביטוחי סייבר מייצרים תמריצים לחברות להתנהג בצורה יותר נכונה על ידי כך שאנחנו מציעים פרמיה טובה יותר. הפרמיה הטובה יותר יכולה לנבוע מכך שאתה משתמש במוצרים שהם מעודכנים. אולי זה לא ימנע את כל ההתקפות, אבל זה לפחות יקשה על התוקפים".

טליה גזית, מנכ"לית PwC Digital Technology Services ומפקדת ממר"ם לשעבר, אמרה כי לפי המחקרים של PwC ארגונים משלמים בממוצע 4.5 מיליון דולר בעבור תקיפת סייבר. "גיבשנו לאחרונה מתודולוגיה חדשה של האופן שבו ארגון מתמודד עם איומי סייבר", אמרה. "לתפיסתנו, השיטה שבה ארגונים מבצעים כיום הערכות סיכונים היא מיושנת. לרוב מסתכלים על איזשהו צ'ק ליסט ביחס לתקינה מסוימת, ומבחינתנו זה להתמודד עם איומים של העבר.

"כדי להתמודד עם האיומים של המחר פיתחנו שיטה שחלקה מתבצעת באופן אוטומטי על ידי כלים טכנולוגיים וחלקה מתבצעת באמצעות פתרונות שפיתחנו ב-PwC. אנחנו עושים סריקה טכנולוגית שהיא גם חיצונית וגם פנימית אבל היא מהעיניים של התוקף. אנחנו אומרים לארגון איך התוקף רואה את הארגון ואת נתיבי התקיפה שיש לו כדי להיכנס ולחדור לנכסים המשמעותיים שיש בתוך הארגון. ואז, אנחנו בעצם עושים את הצימוד בין האיומים לנתיבי התקיפה, הווקטורים שבהם אפשר לתקוף את הארגון, וגורמים לארגון למקד בהם את ההשקעות".