ריבוי מתקפות הסייבר מוביל את חברות הביטוח להקשיח עמדות / מאת רון טוסמן

מאת רון טוסמן | הכותב הוא מנכ"ל משותף בטוסמן ושות' שמאים וסוקרים בע"מ, מנהל ומלווה אירועי סייבר

פשעי הסייבר נמצאים בכותרות באופן קבוע בשנים האחרונות והפכו להיות הנושא החם. לפי מחקרים עדכניים, בשנת 2020 ישראל הפכה להיות המובילה העולמית בהתקפות סייבר כנגדה, אשר הגיעו לכ-180 אלף מתקפות מאומתות לאורך השנה – כמעט 500 התקפות ביום.

לצורך השוואה, ארה"ב, שנמצאת במקום השני, הותקפה כ-125 אלף פעמים באותה תקופה. נתונים אלה צריכים להדליק נורות אדומות בראשו של כל מנהל ארגון. ריבוי מתקפות אלו מורגש היטב בשטח על ידי אלפי הארגונים המותקפים ובהתאם, גם חברות הביטוח מקשיחות עמדות, גבולות האחריות מצטמצמים, הפרמיות עולות והמשמעות היא שמרבית הארגונים אינם מחזיקים בכיסוי סייבר או שכיסוי הסייבר שברשותם לא יספיק לכיסוי כל ההוצאות שעלולות להיגרם לארגון.

זאת ועוד, הבדיקות של המבטחים לפני שניתן כיסוי ביטוחי לארגונים גם הן השתכללו והמבטחים דורשים מידע מעמיק לגבי הארגון ואמצעי ההגנה שלו. ארגונים בעלי מוכנות נמוכה יתקשו בקבלת כיסוי במחיר סביר, אם בכלל יקבלו. יתרה מזאת, ארגונים ללא מוכנות וללא ביטוח יתקשו לשרוד. לכן, עם או בלי ביטוח, בניית המוכנות הארגונית צריכה להיות בראש סדר העדיפויות של כל עסק כחלק משלים לתוכניות המשכיות עסקית (BCP) או תוכניות לשעת אסון לנוכח איום הייחוס הזה.

מניסיוננו בטיפול באינספור אירועים בשבע השנים האחרונות, הבעיות העיקריות בהם נתקלים ארגונים מותקפים יכולות להיות מיוחסות למספר מאפיינים ייחודיים של פשיעת הסייבר, וההתמודדות הנדרשת הופכת את האירועים הללו למורכבים כל כך ולמשבר קיומי עבור הארגון.

ראשית, על פי רוב, מדובר באירוע פלילי, בו מנהלים קרב של ממש אל מול מערכת יריבה, ללא סיוע משמעותי מהרשויות. זו מערכה שבה היריב פעיל, מגיב ומשנה את פעולותיו בהתאם לפעולות המותקף. במהותו, זהו אירוע שונה מכל סוג אירוע אחר בעולם הביטוח, בו המבטח נכנס לתמונה בשלב מאוחר, לאחר שהאירוע כבר התרחש, ועם יכולת מועטה להשפיע על התוצאות. עצם העובדה שמדובר בניהול תהליך בזמן אמת, שבו לפעולות המבוצעות ולהחלטות שמתקבלות יש השלכה אקוטית על היקף המשבר, מייצרת לחצים עצומים לניהול נכון של האירוע. ריבוי הפעולות הנדרשות לביצוע באופן בהול, מחייב איסוף מקסימלי של מידע וקבלת החלטות בזמן קצר, תוך שיתוף גורמים רבים בהסתמכות על מידע חסר וחלקי. קצב הגעת המידע בכל החזיתות גבוה, התיאום בין כל אנשי המקצוע וגורמי החברה, לצד המידור הדרוש לשליטה על המידע היוצא מהארגון, דורש ניסיון שלא קיים ברוב העסקים.

כמעט בכל האירועים בהם היינו מעורבים, היה ברור כי זהו עולם תוכן זר למרבית המנהלים ובעלי העסקים והם נתקלים בו לראשונה בזמן התקפה על החברה. התנהלות מול תוקף דורשת הבנה של המניעים שלו, הפסיכולוגיה העומדת בבסיס הגישה הקרימינלית שגורמת לו לפעול, יצירת ערוץ תקשורת נפרד, יצירת יחסי "אמון" עם התוקף ואפילו הפן הטכני של ביצוע תשלום, כולם שונים מהעולם העסקי ואתגריו, להם רגילים מנהלי הארגונים.

הידע הטכני המצוי בארגון לרוב אינו מספק ועל כן, בעת אירוע, מוטת השליטה של המנהלים על הנעשה בציר הטכנולוגי כמעט שאיננה קיימת. כפועל יוצא, אין לארגון כלים המאפשרים לו להגדיר משימות וסדרי עדיפויות, לבחון את יעילות פעולות החברות והספקים שמונו לסייע, בחינת לוחות הזמנים בהם הם עומדים, בדיקת היקף התשומות המושקעות ואת נחיצותן. לעיתים, מוצא עצמו הארגון מותקף פעמיים – פעם על ידי ההאקר, ופעם על ידי הספקים שמינה לעזור לו, כאשר מוגשים לו החשבונות בסיום האירוע בלי שיש לו הכלים לבקר אותם.

מכשלה נוספת היא, שעבור מרבית הארגונים אירוע סייבר עלול להיות הפעם הראשונה בה הם נתקלים בסיקור וחשיפה תקשורתית. לחשיפה של אירוע בעיצומו יש השלכות ישירות על התקדמות הטיפול בו, החשיפה המשפטית, המו"מ, העובדים, הספקים והלקוחות. מרבית הארגונים שמחזיקים אנשי תקשורת כספקים קבועים, משתמשים בהם לצורך קידום העסק ו/או המכירות ו/או שיפור תדמית. אולם את יועצי התקשרות בזמן אירוע יש לבחור בקפידה ולהשתמש ביועצים המתמחים בעולמות המשברים והסייבר, הכתבים שמסקרים אותם והשיח הקיים ברשתות החברתיות. כמו כן יש לזכור, כי את יחסי הציבור יש לנהל גם בתוך הארגון בעת אירוע. העובדים, המשקיעים והספקים של הארגון עלולים, שלא ביודעין, להגדיל את המשבר והנזקים בעתיו. ניהול נכון של אירוע יכלול את רתימתם של אלה ליעדי הארגון ולכך יש חשיבות גדולה בסיום המשבר ולעיתים אף סיוע בפתרונו.

המסקנה המתבקשת וזו העולה פעם אחר פעם בהפקות לקחים לאחר אירועים היא שבניית מוכנות בארגון תביא בהכרח לתוצאות טובות יותר במהלך אירוע. ארגונים המחזיקים יועצים בהסכמי שירות, שביצעו ניתוח של הפערים ועבדו לתיקונם לאור תוכנית עבודה, בהכרח הכילו, בלמו והתאוששו מהאירוע בזמן קצר ותוך צמצום הנזקים. ארגונים בעלי מודעות, מתקשרים עם מנהלי אירועים מבעוד מועד לצורך בניית Playbook (נוהל או צ'ק ליסט) המכיל מקרים ותגובות, ומחלקים תחומי אחריות בהתאם לנסיבות אפשריות כחלק מבניית מוכנות המנהלים והמחלקות.

ביצוע "משחק מלחמה", המדמה אירוע אמת, ידגיש להנהלת הארגון את הפערים ויכין אותה לדבר האמיתי. פעולות אלה אמנם דורשות השקעה של זמן ומשאבים מהארגון, אך תועלתן עולה עשרות מונים על העלות ברגע האמת כשיגיע והוא יגיע.