נגישות
נגישות
פניות הציבור
קבלו הצעת מחיר מנציג

סיכוני סייבר: האם חברי הדירקטוריון מודעים לעוצמת האיום?

המודעות לסיכוני סייבר בקרב מנהלים ודירקטורים גבוהה, אלא שרבים טועים לחשוב כי ההתמודדות היא טכנולוגית בלבד. AIG מציגה: תוכנית להערכות ארגונית להתמודדות עם סיכוני סייבר
13/03/2017 מאת: רונן מאיר
סיכוני סייבר - האם חברי דירקטוריון מודעים לעוצמת האיום

אין כל ספק כי מנהלים ודירקטורים בחברות וארגונים מודעים לאיום הסייבר. ההשקעות הגדלות באמצעי הגנה מוכיחות כי כך הדבר, אך האם הם מודעים לסיכונים האמיתיים ולעוצמת הנזק שעלול להיגרם מהתממשות סיכוני סייבר? לא בטוח.

מומחי סייבר טוענים כי מנהלים ודירקטורים חיים במידה רבה בעבר וטועים לחשוב שאיומי הסייבר ניתנים למניעה ולטיפול באמצעים טכנולוגיים בלבד, כאשר הפתרון הנדרש רחב הרבה יותר. 

ייתכן כי הפער בין המציאות למצב בשטח נובע מקצב ההתפתחות המדהים של פשיעת הסייבר. לפי נתוני 'סימנטק' - בשנת 2015 נרשמה עלייה של 125% בפשיעת סייבר, רובה ככולה במרחב הארגוני והעסקי. רק כ-10% ממתקפות הסייבר מתבצעות על מחשבים ומערכות פרטיות. סיכוני סייבר מסוג וירוס-כופר, "הלהיט" החדש של פושעי הסייבר, צמחו ב-35%. גם למקצוענים קשה לעמוד בקצב כל-כך מהיר.
כל זה עוד לפני רשימת סיכוני הסייבר שאינם קשורים דווקא לפשיעה, כגון טעויות אנוש, כשלי חומרה ותוכנה ותקלות.

האפקט הכלכלי של משבר סייבר בארגון

משבר סייבר יכול להתחולל כתוצאה מתקלה, טעות אנוש או אירוע זדוני. האפקט הכלכלי של משבר סייבר עלול לכלול מספר סוגי נזק:
  • תשלום פיצוי ללקוחות (צד ג')
  • עלויות שחזור ותיקון, כולל תשלומים למומחים ויועצים
  • אובדן הכנסות - פגיעה מיידית בתפקוד העסקי, שיבוש מהלכי מכירה, עצירת פרויקטים, שיבוש הליכים חשבונאיים וכד'
  • קנסות - תשלומי עונשין לרשויות
  • עלויות משפטיות
  • פגיעה במוניטין העסקי והמקצועי

עד כמה הנושא הפך לדרמה עולמית ניתן ללמוד מהדרישה הגוברת לאמנת בינלאומית בנושא - אמנת ז'נבה דיגיטלית - שתאפשר לקצר זמני תגובה למתקפות סייבר וכמובן שיתוף ידע ומידע בין הלוחמים בפשיעה ובסיכונים החדשים. דרישה זו הועלתה רק לאחרונה בכנס RSA 2017, כפי שפורסם בבלוג הרשמי של מיקרוסופט. 

סקר מנהלים ודירקטורים || מודעות מול יישום

חברת AIG אירופה, חברה אחות ל-AIG ישראל שמרכזה בלונדון, ביצעה סקר מקצועי על מנת למפות את הזירה העסקית ואת עמדות מנהלים ודירקטורים בנושא הערכות לאיום של סיכוני סייבר. המניע למחקר הוא כמובן שיווק פתרון ביטוח סייבר, אך הממצאים שופכים אור על המוכנות של ארגונים למצב הנוכחי ועתיד.

לדוגמא, 82% מהמנהלים והדירקטורים מודעים לסיכוני הסייבר, אך נתוני הביצוע בפועל אינם מבטאים את רמת המודעות הזאת. כמעט מחצית מהם (47%) אינם מחשיבים את הנושא כראוי לדיון בישיבות הדירקטוריון. 75% מרגישים בטוחים במצב הקיים.

מומחי סייבר מסמנים טעות דו-ראשית בהתייחסות של דירקטוריונים לנושא סיכוני הסייבר וההערכות מולם: הסתמכות כמעט מוחלטת (84%) על פתרונות טכנולוגיים, באחריות אגפי ומחלקות IT, שגוררת בעקבותיה חוסר הערכות ברמה כלל ארגונית.
ההערכות לסיכוני ואיומי סייבר היא מהלך חוצה ארגון, אומרים מומחי הסייבר: "זה כבר לא מה שהיה פעם. בעבר נקודות הכניסה למערכות הארגון היו מועטות אם לא בודדות. היום כל סמארטפון שמחובר ליומן במשרד הוא נקודת סיכון".

7 צעדים להגנת סייבר בראייה כוללת

בעקבות המחקר פיתחה AIG תוכנית להערכות ארגונית להתמודדות עם סיכוני סייבר

הערכות ארגונית לאיומי סייבר
  • הדרך לפיתוח תכנית יישומית היא ליצור קבוצת עבודה חוצת-מחלקות המורכבת ממנהלים
  • בכירים - מכירות ושיווק, תפעול, טכנולוגיות מידע, פיננסים, משפטי, ניהול סיכונים, משאבי אנוש - אשר נפגשת כדי לנתח התקפות היפותטיות.
  • תכנית היערכות טובה כוללת פירוט תפקידים ותחומי אחריות.
  • הוכח כי כאשר קיימת תכנית פעולה קודם לאירוע, היקף הנזקים נמוך יותר באופן דרמטי, וכך גם זמן
  • ההתאוששות ונזקי המוניטין כתוצאה ממתקפת הסייבר.

נזקי סייבר שנגרמים כתוצאה מתנועת עובדים מהווים דוגמא בולטת לצורך בהערכות רב-מערכתית של חברות, תוך שיתוף מחלקות כגון משאבי אנוש ודרגים מקצועיים. 59% מהעובדים שעוזבים גורמים נזק ישיר או עקיף, בין אם בתום לב ובין אם בזדון.

התופעה מועצמת ככל שגובר המעבר לתפיסת מחשוב בה משתמשים בארגון יכולים להשתמש במכשירים הפרטיים שלהם - 'הבא את המכשיר שלך' (BYOD). במילים אחרות: החשיפה לסיכוני סייבר עולה ככל שהארגון מתקדם טכנולוגית. 

הגנה פיננסית || ביטוח סייבר

ענף שמושפע מאוד מהתעצמות סיכוני סייבר הוא, כמובן, ענף הביטוח. אבירם גביש, סמנכ"ל ייעוץ משפטי וביטוח מסחרי ב-AIG ישראל, שחשף את נתוני המחקר מבריטניה, מגלה כי השוק העולמי של ביטוחי סייבר צומח בכל שנה ב-25% עד 30%. היקף השוק מוערך בכ-2 מיליארד דולרים. 

"לביטוח יש תפקיד מפתח", אומר אבירם גביש, "לא רק משום שהוא ממתן את העלויות במקרה של אירוע חריג, אלא גם משום שתהליך החיתום עשוי להוביל את הגורמים בארגון להדק את שיתוף הפעולה ולהגביר את המאמץ בנקודות התורפה השונות. אנחנו רואים שעצם רכישת הביטוח משדרגת את מאמץ המניעה". 

ביטוח סייבר מטבעו הוא פתרון גמיש, שניתן להתאימו למאפיינים של כל ענף וסוג עסק. ענפי הבנקאות והפיננסים הם, מן הסתם, המאויימים ביותר וכך גם מוסדות ממשלה וארגונים פוליטיים. יחד עם זאת, כ-40% מכלל מתקפות הסייבר פוגעות בכל השאר. כלומר, כל עסק קטן כגדול חשוף לסיכוני סייבר גוברים והולכים.

לא ניתן ליצור אטימה מוחלטת מפני סיכוני סייבר ולכן ביטוח סייבר הוא צעד הכרחי. הרוב הגדול מבינים זאת ולראייה, רק מיעוט של 18% מהמנהלים והדירקטורים שהשתתפו בסקר של AIG בריטניה, אמרו שאין להם כוונה לרכוש כיסוי לסיכוני סייבר. 44% רכשו. 

"חשוב לכלול כיסוי לחבויות וגם להוצאות ישירות", ממליץ אבירם גביש, "הגנה על רשתות מידע חייבת לעמוד בראש מעייניהם של דירקטורים ומנהלים בכירים בחברות ברחבי העולם. גיבוש תכנית פעולה באמצעות קבוצת עבודה חוצת תפקידים היא רכיב חיוני. חשוב להתמקד בתהליך ההשקה.

כולנו מחוברים לרשת, מבנק גדול ועד משרד קטן של בעלי מקצועות חופשיים. צריך להכיר בחשיפה לאיומי הסייבר ולהתמודד עם סיכוני סייבר מבעוד מועד".

טיפ ניהולי: הענן בטוח

העולם עובר למיחשוב ענן. רבים עדיין סבורים כי המעבר לענן כרוך בוויתורים בתחום אבטחת מידע. לא כך הדבר; תעשיית הסייבר כבר ערוכה לעידן הענן ופתרונות אבטחת המידע בענן טובים לא פחות, ואף יותר, מפתרונות אבטחת המידע בסביבות מסורתיות.

***
למידע ולרכישת פתרונות ביטוח מסחרי - צוות AIG לשירותכם בכתובת המייל
Yigal.Vanetik@aig.com או Nir.Ben-Tal@aig.com