שיחת פוליסה עם איתי בן ארצי ראש אגף מדיניות מערך הסייבר הלאומי: אלפים נפגעים בכל שנה בתקיפות סייבר פרטיות

שיחת פוליסה עם איתי בן ארצי ראש אגף מדיניות מערך הסייבר הלאומי: אלפים נפגעים בכל שנה בתקיפות סייבר פרטיות

לדברי בן ארצי, היתרון של פוליסת ביטוח טובה יהיה בתגובה מהירה, הסרת התקיפה וצמצום הנזקים. המרכז הארצי לניהול אירוע סייבר מקבל אלפי פניות בשנה על ניסיונות הונאה בוואטסאפ, השגת הרשאות לחשבונות בנק ואפליקציות תשלומים

מאת מרינה פובולוצקי

לצד הגידול במתקפות סייבר נגד גורמים עסקיים, מתרבות גם התקפות הסייבר על אנשים פרטיים – ועוד יותר מתחת לרדאר. איתי בן ארצי, ראש אגף מדיניות במערך הסייבר הלאומי, אמר בשיחה עם פוליסה, כי במרכז הארצי לניהול אירועי סייבר מתקבלות אלפי פניות בשנה בנוגע לתקיפות סייבר פרטיות.

סיכוני סייבר מזוהים בעיקר כבעלי פוטנציאל איום גבוה על עסקים וארגונים, כפי שנחשף בדוח השנתי של רשות שוק ההון ל-2020. הרשות אף פרסמה חוזר המחייב את המוסדיים להתייחס לסיכוני סייבר ככל שהם עשויים להשפיע על תיקי ההשקעות. עם זאת, עם העלייה הניכרת בתקיפות על המגזר הפרטי, לדברי בן ארצי, בארץ ובעולם מבינים כי יש צורך בהנגשת מידע גם לציבור הרחב ולחברות הביטוח.

לפי סקר של מערך הסייבר הלאומי עם הלמ"ס – אחד מכל חמישה עסקים חווה תקיפת סייבר, ואחד מתוך 30 עסקים סופג נזקים משמעותיים. מחקרים בעולם מצביעים על נזק מצטבר שנע בין 0.5% ל-2% מהתמ"ג, כתלות באזור הגאוגרפי, רמת "בשלות" טכנולוגית ורמת הגנת הסייבר. הנזק המצטבר השנתי בישראל מוערך במיליארדי שקלים.

לאחרונה אנחנו שומעים יותר על חברות הביטוח המשווקות פוליסות סייבר משפחתיות. האם במערך הסייבר מזהים פעילות התקפית נגד אנשים פרטיים?

בן ארצי: בשנתיים האחרונות התקבלו במרכז הארצי לניהול אירועי סייבר בבאר שבע אלפי פניות בנושא תקיפות סייבר על תוכנות של משתמשים פרטיים כמו WhatsApp וניסיונות הונאה דרך השגת הרשאות לחשבונות בנק ואפליקציות תשלומים. הנזקים לאדם הפרטי ולמשפחות בהחלט יכולים להיות בעלי ערך כספי ורגשי גבוה. היתרון של פוליסת ביטוח טובה יהיה בתגובה מהירה, הסרת התקיפה וצמצום הנזקים. לצערנו, יש נזקים בלתי הפיכים, שאפילו הביטוח לא יכול לסייע, ועל האדם הפרטי להבין שלא ניתן להעביר את כל הסיכון לחברת הביטוח, ושנדרשות פעולות הגנה כדי למנוע תקיפות ונזק.

עד כמה עוזר שיש ביטוח סייבר במקרה של תקיפת סייבר בפועל?

בן ארצי: האפקטיביות של ביטוח סייבר נבחנת אך ורק בעת תקיפת סייבר בפועל. חשוב לזכור שיש נזקים בלתי הפיכים: פרטיות שנפגעה, גניבה של סודות מסחריים או נזק למוניטין – אם התקיימו אחד מאלו, אז כל שהביטוח יכול לעשות זה לצמצם את גודל הנזק. מעבר לכך, כיום חברות ביטוח מתחרות ביניהן על שירותי התגובה היעילים והמהירים ביותר, שיסירו את האחיזה של התוקף, יצמצמו את העלויות ואף יבטלו אותן כליל. חשוב לבחון את זמן התגובה אליו מתחייבת חברת הביטוח בפוליסה ולחקור עם עסקים שנפגעו מה היה הערך של שירותי התגובה. יש הבדל מהותי בין הפרעה עסקית של יומיים להפרעה של שלושה וחצי שבועות, וביטוח יכול לעשות את ההבדל הזה.

מה עושים במערך הסייבר כדי לשפר את איכות המידע הניתן למבוטחים על הסיכונים?

בן ארצי: מערך הסייבר שם את נושא המחסור במידע בדבר הסיכון על סדר היום, ופועל רבות להנגיש מידע לציבור ולחברות הביטוח. המערך מציע תוכניות להעלאת החוסן של סוגי עסקים שונים, מציע תורת הגנה המותאמת לסוג וגודל העסק, מפיץ התרעות, מידע סטטיסטי על התקיפות השכיחות ביותר ועל הטרנדים בתחום. מעבר לכך, השנה פורסם סקר שנערך על ידי הלמ"ס והמערך על סיכוני סייבר במשק הישראלי. פרסמנו ניתוח של ענפי הכלכלה המאוימים ביותר ואלו שניזוקו יותר מאחרים. סקר מקיף ומעמיק יותר יתבצע בעתיד.

יש מדינות המחייבות עסקים לחשוף אם הותקפו. האם להערכתך חובה כזו תשפיעה על תקיפות הסייבר עצמן? האם צריך להפעיל חובה כזאת גם בישראל?

בן ארצי: בארה"ב חברות ציבוריות מחויבות לדווח למשקיעים, כיוון שתקיפת סייבר בהחלט יכולה להשפיע על ביצועי החברה ומתחריה. ישנה חובה נוספת על דיווח ללקוחות בעת פגיעה בפרטיות של לקוחות או משתמשים, גם בישראל. קשה לקבוע אם החלת חובת דיווח על תקיפות סייבר בישראל תעצים או תצמצם את התופעה. עם זאת, אנו רואים ערך אבטחתי רב בשיתוף הרשויות בתקיפה, אפילו אם זה באופן דיסקרטי, בעיקר לצורך מתן הנחיות התאוששות, מניעת התפשטות והישנות התקיפה על ארגונים נוספים.

האם מתקיים שיתוף פעולה בין מערך הסייבר הלאומי לבין לשכת סוכני הביטוח?

בן ארצי: בעבר התקיים שיתוף פעולה פורה מאוד בין מערך הסייבר הלאומי ולשכת סוכני הביטוח לקידום המקצועיות של סוכני ביטוח בביטוח סיכוני סייבר. לאחר הצלחת המאמצים הקודמים כעת שוקלים במערך את האופן בו תתקיים פעילות זו בעתיד.

איזה תעשיות מותקפות?

בן ארצי: כולם – גדולים וקטנים. התוקפים "מרססים" לכל כיוון ולעיתים דגים את הקטנים, אבל בעיקר מכוונים לדוג את הדגים השמנים ש"שכחו" לסגור חולשה. העסקים האטרקטיביים הם העסקים שמקיימים פעילות עסקית משמעותית באמצעות מערכות מידע, שהתוקפים מעריכים שניתן יהיה לדחוק אותם לקיר ולסחוט מהם כספים משמעותיים בתמורה לשחרור המידע. התוקפים למדו לזהות את היכולת הכלכלית והטכנולוגית של יעדי התקיפה שלהם והם סוחטים בהתאם – הדרישה מכל עסק תהיה בהתאם למה שהעסק יהיה ערוך ומוכן לשלם.

בהגנת סייבר, כמו בג'ונגל, לא צריך לרוץ מהר יותר מהאריה, אלא מהר יותר מחיות אחרות. לרוב העסקים הנפגעים הם עסקים בצמיחה חיובית, שנכנסים לפעילויות טכנולוגיות חדשות ללא ההבנה של הסיכון החדש שנוצר. עסקים בינוניים נתקפים פי שניים יותר מקטנים, ענפי הכלכלה של מידע ותקשורת ותעשייה טכנולוגית עילית נחשבים אטרקטיביים לתוקפים.

האם יש מערכות טכנולוגיות שיותר מועדות לתקיפה?

בן ארצי: כל טכנולוגיה עשויה להכיל "חולשה" – פרצת אבטחה שאותה ממשים התוקפים לטובת תקיפה. ניתן ורצוי להתעדכן בהתרעות שמפרסם המערך כדי לזהות את הטכנולוגיות שנמצאו פגיעות באחרונה.

יש חולשות אבטחה פופולריות שנחשבות קלות לניצול ומאפשרות גישה ישירה לליבת הארגון, שם התוקף יכול לעשות כל תרחיש שירצה – כופרה, שיבוש, מחיקה, דלף מידע, וכו'. יש מידע בנושא באתר המערך, וכדאי לסגור אותן, כלומר להטמיע את עדכון האבטחה ששחרר היצרן לחולשות אלו בדחיפות. ניתן גם לחייג למערך ללא תשלום בחיוג חירום, אליו יכול כל אזרח וארגון בישראל לפנות ולקבל סיוע ראשוני והמלצות.

מה המשמעויות הכלכליות להתקפות סייבר על המשק הישראלי?

בן ארצי: פרסומים שונים של חברות ביטוח וחברות הגנת סייבר בעולם לוקים בטווחים שונים. ממשלות הבינו שהמחסור במידע אמין מביא להשקעה לא אופטימלית בהגנת סייבר. הקונגרס האמריקאי הצביע על הצורך בהקמת לשכה סטטיסטית לסיכוני סייבר, וגם בישראל מדידת הסיכון הופכת למרכזית יותר בסדר היום של מערך הסייבר והלמ"ס.

עקב מגפת מתקפות הכופרה המשתוללת, מודל הנזק הפוטנציאלי של עסקים השתנה לחלוטין בשנה האחרונה. למרות המחסור במידע על כימות כלכלי של הסיכון, תוצאות אפשריות של תקיפת סייבר, כגון דלף מידע, השבתה של ימי עסקים, דרישות כופרה, עלויות התאוששות, תביעת לקוחות, פגיעה אפשרית במוניטין וכו', מאפשרות לכל עסק לבצע הערכה בסיסית של העלויות הצפויות לו.

איתי בן ארצי, ראש אגף מדיניות במערך הסייבר הלאומי צילום: עודד קרני

 



כתיבת תגובה