ארבע שאלות שכל מנכ"ל חייב לשאול את עצמו כדי שמתקפת סייבר לא תשבית את החברה
ארבע שאלות שכל מנכ"ל חייב לשאול את עצמו כדי שמתקפת סייבר לא תשבית את החברה
אנו חיים בתקופה שבה זמנים משתנים, זה כמובן לא חדש. אבל, במה שנוגע לאחריות של ראשי הפירמידה בחברות גדולות ובינלאומיות בתחומי הסייבר ואבטחת המידע, יש הרבה חידושים.
אם בעבר, נושאים של אבטחת מידע ישבו תחת אחריותם הכמעט בלעדית של בעלי תפקידים כמו ה-CIO (Chief Information Officer), או קציני האבטחה של הארגון (CISO, CSO), שינויים בכללים ובנורמות בארה"ב ואירופה, לצד הגידול של הפעילות הפלילית במרחב הסייבר, וכן העלויות המאמירות של מתקפות סייבר לארגונים שעברו אותן, הפכו את מי שניצבים בראש הפירמידה – מנכ"לי חברות, לאחראים הראשיים. כשחברה ציבורית חווה היום מתקפת סייבר, מצופה מהמנכ"ל להיות מסוגל להסביר בתוך ימים לרגולטורים, ציבור המשקיעים, ובעלי עניין אחרים את השלכות המתקפה לפרטי פרטים.
ההערכות היום מדברות על כך שהשיעור החציוני של העלות לארגון בעקבות פריצת סייבר בודדת יכולה לעמוד על כ-52 מיליון דולר. בסקטור התעשייה, המספר עומד בממוצע על כ-108 מיליון דולר. ולפי הערכות BCG, העלויות של פשעי סייבר לכלכלה העולמית עומדת על למעלה מ-2 טריליון דולר.
עם זאת, האם מנכ"לים יכולים להיות בטוחים שהארגון שלהם לא נמצא תחת מתקפת סייבר ברגעים אלה? ואם כן, עד כמה הדאטה הארגוני מוגן, והאם הארגון כולו ערוך לכך? מה ההשפעות שיכולות להיות על המצב הפיננסי של החברה, הסנטימנט של המשקיעים כלפיה, וכמובן הלקוחות? את כלל השאלות הדירקטריון עשוי לשאול את המנכ"ל בכל רגע, והמנכ"ל חייב להיות ערוך ומוכן בכל רגע עם תשובות לשאלות הללו. אז איך מוציאים את התשובות אליהן?
מנקודת מבט טכנולוגית, כולנו רואים את הרצון של ארגונים בכלל התחומים והתעשיות לבצע טרנספנורציה דיגטלית, ולהטמיע כלים טכנולוגים חדשים, בראשם כלי בינה מלאכותית. תהליכים אלו נושאים עמם פוטנציאל לתרומה חיובית כמו שיפור העלויות, ועידוד החדשנות, אך הם טומנים בתוכם גם סיכונים כמו הגדלת היכולת של האקרים לפרוץ לתוככי הארגון, ולהסב לו נזק משמעותי. גם הגדלת העבודה עם גופי צד שלישי וספקים שונים על פני שרשרת האספקה מגדילה את חשיפת הארגון לתקיפות, היות והאקרים יחפשו את הדרך הפשוטה ביותר לחדור לארגון.
דוגמא טובה התרחשה מוקדם יותר השנה לחברה בינלאומית, הפועלת בהונג קונג - תוקפי סייבר הזמינו לכאורה את המנהל הפיננסי של אחת היחידות לשיחת וידיאו בהולה עם המנהל הפיננסי הראשי היושב במשרד בבריטניה, יחד עם מספר קולגות. אבל הסתבר שמשתתפי הפגישה היו למעשה דיפ-פייק שנוצרו על בסיס תכני ווידיאו ואודיו הזמינים לציבור. זה לא היה מקרה חריג, אלא דוגמא לתעשיה שלמה שהתפתחה והפכה את העבודה של הפורצים ליותר קלה.
עם זאת, אף מנכ"ל לא יכול להרשות לעצמו לקפוא במקום. אלא יש להתעקש על יצירת איזון בין ההטעמה של כלים וטכנולוגיות חדשות, לבין גיבוש פתרונות אבטחה מתאימים. מאחר שהשאלה היא כבר לא אם נותקף, אלא מתי נותקף? השאלות שצריך לשאול: כמה אני מוכן לדיון אסטרטגי בנושא הסייבר עם הדירקטריון על האיומים המרכזיים על הארגון והחשיפה שלנו אליהם? כמה המעבר הדיגטלי של החברה נעשה בצורה מאובטחת – משלב האפיון ועד ההטמעה? האם אנחנו מוציאים את הסכום הנכון על אבטחת סייבר והאם אנחנו משקיעים באזורים הרלוונטיים ביותר למניעת תרחישי האיום הרלוונטיים לארגון שלנו? האם יש לנו את היכולות הנכונות, התהליכים המתאימים, התרבות הארגונית התומכת והטאלנטים שיאפשרו לנו לצלוח תקיפת סייבר?
אור קליר - שותף מנהל ב-BCG, מוביל פעילות הסייבר וסיכוני הדיגיטל של BCG באירופה, המזרח התיכון, דרום אמריקה ואפריקה