72% מהמנהלים הבכירים לא יודעים מה לעשות באירוע סייבר
רוב המנכ"לים מודים שהם לא מבינים מספיק באבטחת מידע ומקווים שאנשי הטכנולוגיה ינווטו את הספינה בזמן סערה. אבל כשמדברים עם אנשי הסייבר, הם מגלים שהם מרגישים לבד במאבק
מי באמת מנהל את אירועי הסייבר? תמונה: נוצר באמצעות ChatGPT
מנכ"לים של חברות גדולות מרגישים פחות בנוח בקבלת החלטות בנושא אבטחת סייבר בהשוואה לתחומים אחרים בעסק שלהם. כך לפי סקר של ISTARI, קבוצת אבטחת סייבר ששייכת לחברת ההשקעות הסינגפורית Temasek, ומאגדת חברות סייבר ומומחים בתחום. מחברי הסקר ראיינו 37 מנכ"לים של חברות גלובליות מגוונות, עם בין 500 ל-200,000 עובדים והכנסות של 100 מיליון עד 80 מיליארד דולר.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
בקרב אותם נשאלים 72% העידו על עצמם שלא מרגישים בנוח לקבל החלטות בנוגע לסייבר. מחברי הסקר מאמינים כי התשובה טמונה בהיבטים הטכניים של עולם הסייבר, שנראים קשים להבנה עבור רוב המנהלים העסקיים.
יתרה מכך, המנכ"לים שנסקרו ועברו מתקפת סייבר רצינית, הדגישו את הייסורים שעברו בקבלת החלטות קיומיות המבוססות על מידע לא מושלם תחת לחץ קיצוני.
מידת אמון מפחידה ב-IT
בסקר מציינים כי התחושה הזו קשורה גם לאמון. המרואיינים דיברו בעקביות על הצורך לסמוך על ה-CISO שלהם ועל הצוות הטכני. אחד המנכ"לים ציין בפני מחברי הסקר כי "זו הסיבה שיש לנו אותם". מצד שני, נכתב בסקר, ההיבטים הטכניים של אבטחת סייבר, בניגוד לתחומים מסורתיים יותר (כמו כספים, שיווק או תפעול), הופכים את מידת האמון הנדרשת למפחידה.
לפי התשובות שנאספו מהמנכ"לים בסקר, בעת אירוע סייבר גורל החברה נמצא בידיהם של אנשים שבדרך כלל נמצאים הרבה יותר נמוך בהיררכיה של מקבלי ההחלטות. מנכ"ל של חברה אירופאית בשווי 10 מיליארד דולר מצוטט בסקר כאומר, "אלה אינן קבוצות שבאופן רגיל, או אינטואיטיבי, היית נותן להן סוג כזה של ביטחון ואמון".
בסקר מצוין כי המנכ"לים מבינים שעליהם להכין את עצמם לתרחישים האלה. אחרת, כפי שציין אחד המרואיינים "אתה מסתמך יותר מדי על המומחים מבלי להיות מסוגל להבין באופן מלא על מה הם מדברים". מנכ"לים שחוו מתקפת סייבר אמרו למחברי הסקר כי במבט לאחור, היו רוצים לדעת ולהבין יותר.
לפי הסקר מנכ"ל של חברה גדולה (עם הכנסות של 80 מיליארד דולר) בילה עשרה ימים עם צוותי הטכנולוגיה ואבטחת הסייבר שלו כדי ללמוד ולהבין טוב יותר את האירוע.
אחריותיות לעומת אחריות
כאשר הסוקרים שאלו את המנכ"לים אם הם נושאים באחריות לאבטחת סייבר, כולם – ללא יוצא מן הכלל – התעקשו שכן. אבל הטוויסט מגיע כאשר מדברים על כך עם אנשי ה-CISO.
מחברי הסקר ראיינו 37 מהם לגבי התפיסה שלהם את המנכ"לים שלהם. חצי מ-CISO האירופאים לא חשבו שהמנכ"לים שלהם חשים שהם נושאים באחריות לאבטחת הסייבר. בארצות הברית מצב האמון קצת יותר טוב אבל עדיין מראה שיש משבר בין הדרגים, כששם השיעור עומד על 30%.
למה הפער קיים? על פי מחברי הסקר, זה טמון בהבדל העדין אך החשוב בין אחריותיות לבין להיות אחראי – במקור taking accountability לעומת being responsible ולפי האקדמיה ללשון עברית, אחד הפירושים לאחריותיות הוא "אחריות למסור דין וחשבון מלא (בדרך כלל פומבי) על פעולה שלטונית או מנהלית".
מחברי הסקר מסבירים את ההבדלים בהקשר של אירועי סייבר: אחריותיות, הם מסבירים, קשורה לבעלות על טעויות לאחר שמשבר התרחש או להיות "הפנים של הטעות". עם זאת, מבהירים מחברי הסקר, זה לא מחייב מעורבות מתמשכת ובעלות על משימות – מה שאנשים נוטים לחבר למונח השני – אחריות.
אחד המנכ"לים שהתראיין לסקר מציג שינוי חשיבתי שמגשר על פער זה. במקום שמנכ"לים יראו את עצמם כאחראים בלבד, אותו מנכ"ל טוען שהם צריכים לראות את עצמם כשותפים לאחריות עם ה-CISO שלהם, ולמלא תפקיד מתמשך בכל הנוגע להכנה למתקפות סייבר.
