סקר: מרבית החברות הציבוריות בישראל לא ערוכות למתקפת סייבר
סקר: מרבית החברות הציבוריות בישראל לא ערוכות למתקפת סייבר
לפי סקר שערכה רשות ניירות ערך, אף שכרבע מהחברות הציבוריות בישראל ספגו מתקפת סייבר אחת לפחות בשלוש השנים האחרונות, מרביתן לא נערכות לאירועי סייבר, לא מבצעות הערכות סיכונים, לא מינו צוותי תגובה ייעודים והדירקטורים שלהן לא מעודכנים ומעורבים בסוגיה
אף שכרבע מהחברות הציבוריות בישראל ספגו מתקפת סייבר אחת לפחות בשלוש השנים האחרונות, מרביתן לא נערכות לאירועי סייבר, לא מבצעות הערכות סיכונים, לא מינו צוותי תגובה ייעודים והדירקטורים שלהן לא מעודכנים ומעורבים בסוגיה חשובה זו – כך עולה מסקר שערכה רשות ניירות ערך בקרב החברות.
מתקפות סייבר הן כיום אחד האיומים המרכזיים על פעילות תקינה של ארגונים, כאשר מתקפת הרסנית יכולה לעלות לארגון בהפסדים כספיים ישירים ועקיפים (כתוצאה מפגיעה בתדמית ואבדן לקוחות). רק החודש, ענקית השבבים Applied Materials, הודיעה שמתקפת כופר על אחד הספקים שלה גרמה לה לנזקים כספיים בסך 250 מיליון דולר. לאור זאת, יש חשיבות רבה למוכנות סייבר, בפרט כאשר מדובר בחברות ציבוריות.
על מנת לבדוק את המוכנות, ערכה רשות ניירות ערך סקר מקיף בקרב 72 חברות ציבוריות ממגוון ענפים שנסחרות בבורסה בתל אביב. אף שהמדגם בסקר לא נחשב כמדגם מייצג של כלל החברות הציבוריות, היקפו עדיין מאפשר להסיק על מצב המוכנות לאירועי סייבר בקרב חברת ציבוריות.
לפי הסקר, כרבע מהחברות חוו בשלוש השנים האחרונות לפחות מתקפת סייבר אחת. ואולם, מבין החברות שספגו מתקפה 40% לא קיימו שום דיון בדרג ההנהלה או הדירקטוריון ביחס למהות האירוע או בצורך בדיווח פומבי עליו.
מרבית החברות המשיבות העידו שהן מפעילות מערך אבטחת מידע, אבל מרבית המערכים הקיימים סובלים מבעיות מתודולוגיות קשות, כאשר 83% ממערכי אבטחת המידע בקרב החברות המשיבות לא מיישמים אף לא אחד מהתקנים המקובלים בתחום. עבודה בהתאם לתקנים חשובה לא רק מכיוון שהיא מאפשרת אחידות ורציפות, אלא גם שהיא מבטיחה מענה לסכנות החמורות ביותר ומצמצת את החשיפה של הארגון לסיכונים מגיחים.
בעיה נוספת שזוהתה בסקר היא שרק אצל מחצית מהחברות קיימת תוכנית עבודה שנתית מסודרת. מבין אלו שקיימת תוכנית שכזו, רק בקרב מחצית הדרג הבכיר בחברה מקיים בקרה על ביצוע – נתון מטריד ביותר שכן סוגיה זו אמורה לעמוד בראש סדר העדיפויות של הדרגים הבכירים ביותר.
סיכוני סייבר הם בין הסיכונים הגדולים ביותר שארגון מתמודד אתם כיום, ולכן יש חשיבות עליונה למעורבות של הדירקטוריון בנושא. חרף זה, 90% מהחברות השיבו שנוהל אבטחת המידע שלהן כלל לא אושר על ידי הדירקטוריון, ועוד 70% אמרו שהדירקטורים לא מקבלים דיווחים תקופתיים בסוגיות אלו.
הערכת סיכונים היא רכיב משמעותי בהגנת סייבר ארגונית, וצריכה להתבצע בקביעות ובצורה מסודרת לאור התפתחות שדה האיומים שמשתנה על בסיס קבוע. ואולם, לפי הסקר כ-40% מהחברות לא ביצעו הערכות סיכוני סייבר מזה שלוש שנים לפחות. בעולם הסייבר, שבו איומים חדשים מגיחים על בסיס יומיומי, שלוש שנים הן נצח ואי ביצוע הערכה מעודכנת משאיר את הארגון חשוף לאיומים.
גם בקרב החברות שביצעו הערכת סיכונים זיהה הסקר ליקויים רבים. רק 18% התבססו על מתודולוגיה סדורה לביצוע הערכת הסיכונים, בשעה ש-42% התבססו על ידע וניסיון של ההנהלה. קרוב לחצי מהחברות שביצעו הערכת סיכונים לא הציגו את התוצאות לדירקטוריון. ואף שמרביתן גיבשו תוכנית לצמצום החשיפה לסיכונים שזוהו, פחות משליש מהן יישמו אותה במלואה.
מה קורה כשיש מתקפה בפועל? בקרב 76% מהחברות אין נהלים מסודרים להתמודדות עם מתקפות סייבר, ו-58% לא קבעו נהלים להודעה על אירוע סייבר מהותי. בכמעט מחצית מהחברות לא מונה צוות תגובה לאירועי סייבר, ומחצית מהחברות שכן מינו צוות כזה לא מקיימות בעבורו תרגולים והדרכות.