טרנספורמציה דיגיטלית: מתחילה תוך מחשבה על הגנת סייבר

בתקופה זו, פונים עסקים רבים לפיתוח ערוצים דיגיטליים תוך התאמת המודלים העסקיים שלהם למצב החדש. עם זאת, דווקא כעת חשוב לנקוט לצד תהליך זה משנה זהירות באשר לחשיפת הארגון לסיכונים מיותרים. כדי לאפשר את הפעלת המודלים העסקיים הדיגיטליים האלה בצורה בטוחה, על מנהלי הגנת הסייבר מוטלת החובה להעריך את רמת הסיכון של יוזמות דיגיטליות ולשקף להנהלה את מידת החשיפה העסקית ואת עלות ניהולה. המאמר הבא של מומחי BDO מרחבי העולם, מציג את האתגרים העומדים בפני מקבלי ההחלטות ואת ההמלצות להתמודדות. 

לעתים קרובות מהמשוער, חברות מבצעות טרנספורמציה דיגיטלית ללא טיפול פרואקטיבי בהגנת הסייבר או בשמירה על פרטיות הנתונים. מגפת הקורונה גרמה לעלייה דרמטית, פתאומית ובלתי צפויה במספר האנשים העובדים, לומדים, מלמדים ומייעצים מהבית. המעבר הזה, שהיה בלתי מתוכנן ברובו, מעבודה וגישה לרשת במשרד ובבית הספר לגישה מרחוק ומהבית, יצר מספר אתגרים ייחודיים מבחינת הגנת סייבר. ארגונים רבים שביצעו טרנספורמציה דיגיטלית שיפרו את הפריון הדיגיטלי באמצעות הגברת המהירות ונוחות הגישה לנתונים, ניתוח נתונים מהיר יותר וחיסכון בעלויות אחסון הנתונים, במיוחד כאשר הם כללו בכך אחסון נתונים מבוסס ענן. עם זאת, ביותר ויותר מקרים, ארגונים נאלצים לעמוד בפני התקפות סייבר יקרות, כולל התקפות דיוג ממוקד (spear-phishing) והנדסה חברתית, התקפות על הדוא"ל העסקי ו/או התקפות של תוכנות כופרה, מכיוון שהם לא התחילו את הטרנספורמציה הדיגיטלית במחשבה על הגנת סייבר.

ארגונים מכל הגדלים ומכלל הענפים מתייחסים להגנת סייבר רק לאחר מעשה. עם זאת, הם לומדים שהתייחסות כזו עלולה להוביל לתוצאה יקרה של הונאת סייבר או פריצה לנתונים. על פי Gartner Group, בשנת 2019 היו הנזקים העולמיים המשוערים כתוצאה מהונאת סייבר ופריצה לנתונים מעל 4 טריליון דולר. IBM Security דיווחה כי העלות הממוצעת של התקפת סייבר על נתונים עומדת כיום על למעלה מ-8.2 מיליון דולר.

בכל שנה ישנה עלייה גם ברמת התחכום של ההתקפות וגם במספרן. כתוצאה מהנזקים הנגרמים ממתקפות אלה, היתרונות של טרנספורמציה דיגיטלית, הכוללים מהירות, גישה נוחה לנתונים, ניתוח נתונים מהיר, הדמיית נתונים וחיסכון בעלויות נלוות, עלולים להימחק לחלוטין. הנזקים יכולים לנבוע מהתקפות סייבר, הונאת סייבר, פריצה לנתונים, תביעות משפטיות בשל רשלנות בנושא הגנת סייבר, קנסות רגולטוריים פדרליים ו/או מדיניתיים בשל אי שמירה על הגנת סייבר או פרטיות נתונים, ופגיעה במוניטין של הארגון בשל אבטחת מידע לקויה ועוד. בנוסף, הנוף הרגולטורי הגלובלי בתחום הגנת סייבר ופרטיות נתונים נהיה מורכב יותר ויותר. דבר זה מותיר פתח לתביעות יצוגיות מסיביות בגין פריצה לנתונים וחשיפת המידע האישי של הצרכנים, כפי שקובע חוק פרטיות הצרכנים החדש בקליפורניה (CCPA) שנחקק בינואר 2020. CCPA קובע בבירור כי ארגון אינו יכול להבטיח פרטיות נתונים ללא "אבטחה סבירה".

מתחילים תוך מחשבה על הגנת סייבר

מהי בדיוק המשמעות של התחלת פרויקט דיגיטלי או התחלת טרנספורמציה דיגיטלית בארגון תוך מחשבה על הגנת סייבר? במילים פשוטות, המשמעות היא להתחיל את התכנון של פרויקט דיגיטלי תוך מחשבה, על השאלות הנכונות בהגנת סייבר:

20 שאלות  מרכזיות בנושא הגנת סייבר:​
  1. האם הפרויקט ו/או הארגון יצטרכו גישה לכל אחד מהסוגים הבאים של נתונים או מידע, כולל:
    - מידע אישי מזהה (PII) של עובדים, שותפים או צרכנים, או מידע בריאות מוגן (PHI)
    - מידע על אמצעי תשלום (PCI)
    - קניין רוחני (IP)
    - מידע מבוקר לא מסווג (CUI)
    - מידע בטחוני מכוסה (CDI)
    - מידע מסווג (CI)
    - מידע רגיש של החברה (CSI)
  2. מי יזדקק לגישה לנתוני הפרוייקט והארגון?
  3. כיצד תבוצע בקרה על הגישה למידע, באופן פנימי ועל ידי ספקים / קבלני משנה / לקוחות?
  4. היכן יישמרו או יאוכסנו נתוני הפרוייקט והארגון, וכיצד הם יאובטחו?
  5. מי יפתח וינהל את תוכנית ממשל המידע, תוכנית האבטחה של מערכות המידע ותוכנית חוסן המידע וגיבוי הנתונים של החברה?
  6. האם יש לארגון את האנשים והמשאבים הנכונים והמיומנים להוביל ביעילות את הגנת הסייבר ואת התכנון והיישום של אסטרטגיית פרטיות נתונים, ובאופן ספציפי - את המתודולוגיה והיישום של פיתוח מאובטח?
  7. איזה פילוח או מידור של נתוני הפרויקט והארגון (כלומר ארכיטקטורת נתונים במודל Zero Trust) נחוצים כדי להגן על המידע?
  8. אילו נהלי בקרה יש ליישם לגבי זהות, גישה ונתונים, כולל: הצפנה, ביומטריה, אימות רב גורמי וכדומה?
  9. האם נתוני הפרויקט או הארגון צריכים לשמור על תאימות לדרישות מסוימות של הגנת סייבר בענף הספציפי, או לדרישות רגולטוריות או חוזיות לגבי פרטיות נתונים? אם כן, מה הן הדרישות הספציפיות (למשל, הנוהל המיוחד 800-171 של המכון הלאומי לתקנים וטכנולוגיה [NIST], ISO 27001, תקן אבטחת מידע לענף כרטיסי תשלום [DSS], הגנת סייבר של מחלקת שירותים פיננסיים בניו יורק [NYDFS], הגנת סייבר על פי חוק ניידות ואחריותיות ביטוחי בריאות [HIPAA], HITRUST - מסגרת אבטחה משותפת [CSF], ההסמכה החדשה למודל בשלות אבטחת מידע [CMMC] של משרד ההגנה האמריקני [DOD], תקנות הגנת המידע הכלליות [GDPR] של האיחוד האירופי, ו/או חוק פרטיות הצרכן [CCPA] של קליפורניה, וכדומה)?
  10. אילו פגיעויות קיימות כיום במערכת הדוא"ל, הרשת / מערכת המידע, יישומי תוכנה ונקודות הקצה של הארגונים?
  11. האם הארגון מבצע כיום ניטור נתונים, גילוי חדירת סייבר ותגובת אירועי סייבר עבור כל המידע, 24/7/365? אם לא, האם השירותים הללו ניתנים על ידי ספק שירותי אבטחה מנוהלים (MSSP) בעל מיומנות גבוהה?
  12. האם הארגון פיתח, תיעד, יישם ובדק מדיניות, תכניות ונהלים של הגנת סייבר אפקטיבית עבור המידע של הפרוייקט, כולל:
    - תוכנית תגובה לאירועים (IRP)
    - תוכנית המשכיות עסקית (BCP)
    -  תוכנית התאוששות מאסון (DRP)
  13. אילו גורמים של איומי סייבר (גופי תקיפה של מדינות, גופי תקיפה של הפשע המאורגן ו/או האקטיביסטים) יהיו בעלי העניין הגדול ביותר במידע הקשור לפרויקט, הארגון, ההנהגה ושרשרת האספקה?
  14. אילו ווקטורים של תקיפה בתוך הארגון ינוצלו בסבירות הגבוהה ביותר על ידי תוקפי סייבר על מנת לקבל גישה למידע חשוב?
  15. עד כמה רגישים עובדי הארגון, מלמעלה למטה, להתקפות דיוג ממוקד מבוססות הנדסה חברתית והתקפות על הדוא"ל העסקי (BEC)?
  16. האם הארגון משתמש כיום במיקור חוץ של שירותי טכנולוגיית מידע (IT) המבוצעים על ידי ספק שירותים מנוהלים (MSP) או במיקור חוץ של הגנת סייבר המבוצעת על ידי ספק שירותי אבטחה מנוהלים (MSSP)? האם ההנהלה הבכירה של הארגון מרוצה משירותי ה-IT או הגנת הסייבר שמבוצעים במיקור חוץ?
  17. מתי ערך הארגון לאחרונה סימולציה של התקפת סייבר או תרגיל  של ההנהלה הבכירה ו /או הדירקטוריון?
  18. איזה אחוז מתקציב ה-IT השנתי של הארגון הוצא על הגנת סייבר?
  19. האם יש לארגון כיסוי ביטוחי נאות לחבויות סייבר?
  20. עד כמה אפקטיבית תכנית הההדרכה וההכשרה של הארגון בנושא הגנת סייבר?

עשרים שאלות המפתח האלו בנושא הגנת סייבר הן רק נקודת מוצא לדיון מעמיק יותר על פיתוח ויישום של תכנית הגנת סייבר אסטרטגית, פרואקטיבית ומקיפה. התשובות של הארגון לשאלות אלו יעזרו לצייר את תמונת המצב הנוכחית של רמת הגנת הסייבר בארגון, איומי סייבר פוטנציאליים ופגיעויות סייבר ידועות, ויסייעו למומחי הגנת הסייבר לבנות מפת דרכים מותאמת אישית לשיפור הגנת סייבר ופרטיות נתונים.

סיכום

ארגונים רבים מדי טועים כאשר הם מתחילים בטרנספורמציה דיגיטלית רחבת היקף. ארגונים רבים אינם מצליחים לפתח תכנית הגנת סייבר אסטרטגית, פרואקטיבית ומבוססת איום, ומשקיעים פחות מהנדרש בחמשת המרכיבים העיקריים של הגנת סייבר:

  • הדרכה והכשרה בנושא הגנת סייבר לכל חברי הארגון, מלמעלה למטה.
  • גיוס האנשים הנכונים כדי להוביל, ישר מתחילת הפרויקט, את התכנון והיישום של אסטרטגיית פרטיות נתונים והגנת סייבר.
  • שימוש בחברות בלתי תלויות כדי לבצע בדיקות תקופתיות של הגנת סייבר, כולל: סריקת פגיעות מחשבים, בדיקת חדירה, הערכות של התקפות סייבר על מערכת הדוא"ל, קמפיינים של דיוג ממוקד (spear-phishing) וניתוח ה-Dark web בכדי להבין את פגיעויות הסייבר של הארגון והאיומים עליו.
  • הקפדה על ניטור מידע רציף 24/7/365, איתור חדירות ושירותי תגובה מהירים לאירועי סייבר, באופן פנימי או באמצעות מיקור חוץ עם ספקי שירותי אבטחה מנוהלים (MSSP).
  • הטמעה ובדיקה של תכניות ונהלים נאותים לחוסן מידע, באמצעות תוכניות תגובה לאירועי סייבר, תוכניות המשכיות עסקית בסייבר ותוכניות התאוששות מאסון.

המפתח להצלחה הוא להתחיל כל פרויקט טרנספורמציה דיגיטלית מתוך מחשבה על הגנת סייבר. מעורבות של מומחי הגנת סייבר מתחילתו של פרויקט או מיזם עסקי חדש תעזור לארגון לשאול את השאלות הנכונות ולפתח תכנית הגנת סייבר פרואקטיבית ומבוססת איום. חשוב לזכור כי בעידן הדיגיטלי, ארגון יכול להשיג שלמות מידע ופרטיות נתונים רק באמצעות הגנת סייבר אפקטיבית.

 

צור קשר עם המומחים שלנו >>

 

© 2020 BDO USA, LLP. כל הזכויות שמורות.

 

 

 

 

הירשם לניוזלטר

Please fill out the following form to access the download.