השנה שטף את ארצנו גל עכור של מתקפות סייבר. משירביט ועד ״אטרף״, מהאקרים איראנים ועד פושעי סייבר ממזרח אירופה, נראה שפשוט אין סוף למתקפות. אבל האם המתקפות האלו פוגעות באופן זהה בכל סוגי הארגונים? האם גודל הארגון משפיע על איכות אבטחת המידע ועל הסיכוי להיפגע ממתקפת סייבר?
שני מחקרים שפרסמו לאחרונה השלכה המרכזית לסטטיסטיקה ורשות הפרטיות מספרים סיפור מעניין.
רשויות מקומיות
הרשות להגנת הפרטיות ביצעה הליך פיקוח רוחב ב-70 רשויות מקומיות בישראל, המנהלות מידע אישי על למעלה מ-5 מיליון תושבים. הרשויות מנהלות ומחזיקות במידע רחב היקף ורגיש על תושביהן, שנמצא במאגרי מידע רבים מתחומים שונים כגון רווחה, חינוך, דיור ועוד. הרשויות אף נעזרות לעתים קרובות במיקור חוץ מה שמגדיל את סיכוני אבטחת המידע. מהמידע עולה שקיים יחס ישיר בין גודל הרשות לבין רמת העמידה שלה בהוראות החוק והתקנות בקריטריון אבטחת המידע. בקרב הרשויות הקטנות והבינוניות כ-60% בממוצע הציגו רמה נמוכה של אבטחת מידע (בניגוד ל25% בלבד ברשויות גדולות).
כלומר- קיים מתאם הדוק בין גודל הרשות לבין יכולתה לעמוד בהנחיות אבטחת המידע השונות. לרוב ברשויות אלו לא מונה ממונה אבטחת מידע – על אף החובה המפורשת הקבועה בחוק – או שמונה ממונה שלא על-פי התקנות. היעדר פונקציה ייעודית בארגון שאחראית על ניהול אבטחת המידע היא גורם בעל השפעה משמעותית על יכולתו של הארגון להגן על המידע שברשותו.
מה קורה בסקטור העסקי- זה שלא מחוייב בכלל להעסיק בעל תפקיד של ממונה אבטחת מידע? מידע על כך ניתן למצוא בסקר של הלמ״ס שפורסם לאחרונה.
המדגם כלל כ-2500 חברות שמונות יותר מ-10 עובדים וכלל בין השאר אלמנטים שונים של אבטחת מידע בחברות הנסקרות ובתקיפות סייבר (ניסוח השאלות וניתוח האומדנים בוצעו תוך התייעצות עם מערך הסייבר הלאומי). הממצאים לא מעודדים כלל. בעוד שכשני שליש מהמשיבים העידו כי בעסק שלהם מותקן אמצעי לגילוי וסיכול נוזקות בעמדות קצה ושרתים, פחות מחמישית מבצעים סקרי סיכוני סייבר תקופתיים ורק כשליש מבצעים מבדקי חדירה.
והתוצאה? כחמישית מהעסקים בקירוב (18%) חוו מתקפת סייבר בשנה החולפת. דווקא לגבי מתאם בין גודל העסק לבין הסיכוי שלו להיפגע מתקיפה יש ממצא מפתיע. על פי הסקר, ככל שהעסק גדול יותר (מבחינת מספר העובדים המועסק) כך הוא חשוף יותר לתקיפה. בקרב עסקים קטנים (בין 10-50 עובדים) כ 15% חוו מתקפה, בעסקים בינוניים (50-250) כ-29% חוו תקיפה ובעסקים גדולים יותר (250 עובדים ומעלה) האחוז מטפס ל-42%, שהוא כמעט מחצית מהעסקים. אבל יש לבחון את הממצאים האלו בספקנות מסויימת. חלקים אחרים בסקר בדקו את רמת האימוץ הטכנולוגית (שימוש באינטרנט, שימוש במערכות מידע וכו׳) ומצא מתאם הדוק בין גודל העסק לרמת ה״עצימות הדיגיטאלית״ שלו. ברור שככל שהעסק מתוחכם יותר כך ״משטח התקיפה״ (שרתים, תחנות קצה, רשתות פנימיות, שימוש באפליקציות בענן, מובייל ואתר אינטרנט) גדל. מובן שעסק שמתנהל ללא סום אמצעי דיגיטלי לא חשוף כמעט בכלל למתקפת סייבר.
נתונים מדוח של הרשות להגנת הפרטיות
הסבר נוסף הוא שככל שהארגון גדול ומתקדם יותר כך קיים הסיכוי שהוא משתמש במערכות הגנה שמסוגלות לאתר ולהתריע על תקיפות. כלומר- ייתכן שהמספר האמיתיים אחרים לגמרי ושעסקים קטנים סובלים מאותה כמות תקיפות בממוצע- אולם הם פשוט לא מודעים לכך. הם לא ״חווים״ את המתקפה ולכן לא יודעים בכלל לדווח עליה. מה שעולה בבירור מהסקר הוא ככל שהעסק גדול יותר כך הוא עושה שימוש באמצעי הגנה רבים יותר- כ-50% מהעסקים הגדולים הטמיעו 16 בקרות אבטחה או יותר, ביחס ל-25% מהעסקים הבינוניים ו10% מהעסקים הקטנים (שאצלם כ-40% הטמיעו בין 5 לאפס אמצעי אבטחה)
יותם גוטמן מנהל השיווק של סנטינל וואן. צילום: SentinelOne
סיכום
לפנינו שני מקורות מידע עדכניים וממצים שמציגים תמונה הפוכה- רשויות מקומיות קטנות יותר מציגות רמת אבטחה נמוכה יותר (וכיוצא מכך- חשופות יותר לתקיפות סייבר), ולעומתן- עסקים גדולים שחווים יותר מפי שתיים מתקפות מעסקים קטנים. האם הסיבה לכך היא סוג שונה של איומים שרלוונטים לגוף ציבורי מול גוף מסחרי? או שפשוט עסקים גדולים הם דווקא כן ממוגנים טוב יותר ופשוט מסוגלים לזהות ולכמת את המתקפות, דבר שעסקים קטנים ורשויות קטנות לא מסוגלות לעשות?
נדרש מחקר נוסף בכדי לתת תשובות חד משמעיות בנושא. אפשר להעריך בזהירות שסקר נוסף שייערך בסוף שנת 2022 ימצא שכל העסקים (וגם הרשויות) יחוו יותר מתקפות סייבר.
https://www.cbs.gov.il/he/mediarelease/doclib/2021/392/29_21_392t44.pdf
https://www.cbs.gov.il/he/mediarelease/doclib/2021/392/29_21_392t45.pdf
