אפילו אנחנו הופתענו: אלה הסיבות שבגללן ארגונים מפסיקים לתפקד באירוע סייבר

תמונה: נוצרה באמצעות AI

בעידן של איומי סייבר בלתי פוסקים שהולכים ונעשים מתוחכמים, ארגונים נדרשים להתמודד לא רק עם טכנולוגיות התקפיות מתקדמות אלא גם עם אתגרים פנימיים לא פחות מסוכנים. לצד המרדף אחר כלים חדשים והקשחת מערכות, צצים שוב ושוב מכשולים אנושיים וארגוניים – כשלים בתיאום, חוסר בהירות ניהולית ותקשורת מקוטעת – שלעתים קרובות פוגעים ביכולת התגובה יותר מההאקר שבחוץ.

עד כמה הכשל הפנימי משמעותי?

מחקר חדש של חברת הסייבר סייטקטיק (Cytactic), המתמקד במוכנות תגובה לאירועי סייבר בשנה החולפת, הראה כי 70% ממנהלי ואחראי אבטחה בארגונים ציינו כי חוסר תיאום בין הצוותים הוא הגורם מספר אחת לכאוס בעת משבר. על פי המחקר, מוכנות תגובה לתקיפות סייבר נותרה אתגר מהותי ובלתי פתור, גם בקרב הארגונים המנוסים ביותר.

המחקר, שנערך בקרב 480 מנהלי מומחי אבטחת סייבר בארה"ב, כלל 165 CISO's ומתאר פער עמוק בין השקעות בטכנולוגיה לבין היכולת המעשית של ארגונים לנהל משבר בזמן אמת. על פי הממצאים, הבעיה המרכזית אינה טכנולוגית אלא ניהולית ותרבותית, כשלים בקבלת החלטות, היעדר תרגול ושפה משותפת בין מחלקות. בעוד ש-73% מתארים את תוכניות התגובה שלהם כ"מקיפות מבחינה טכנית", הם מודים שהתוכניות קורסות לעתים קרובות תחת לחץ של אירועים אמיתיים.

מתח בין ה-CIOS's למנכ"ל

על פי המחקר, 73% דיווחו כי קיים מתח בין ה-CISO לבין המנכ"ל בעת אירוע סייבר מתמשך, נתון שמעיד על בעיה מבנית ביחסי אמון בתוך ההנהלה עצמה. בשיחה עם ITtime אמר ג'וש פרנזי, Head of Innovation Lab ב-Cytactic, כי "בסופו של דבר, ה-CISO חייב להיות מתורגמן עסקי. התפקיד שלו הוא לא רק לעצור את ההתקפה, אלא גם להסביר בשפה פשוטה להנהלה מה המשמעות העסקית של האיומים". לדבריו, הדרך היעילה ביותר להפוך את המתח הזה לשיתוף פעולה היא תרגול משותף, כשמנכ"ל ו-CISO יושבים באותו חדר בסימולציה, הם לא רק מתרגלים תהליכים, אלא גם יוצרים שפה משותפת ותיאום ציפיות.

על פי המחקר, 54% העידו כי לא פעם, האדם האחראי על קבלת ההחלטות וניהול אירוע השתנה בזמן אמת ושרשרת ההיררכיה לא הייתה ברורה. התמונה הזו מצביעה על מצב שבו דווקא ברגעי לחץ – כשהארגון זקוק לשרשרת פיקוד ברורה והחלטית – הצוותים מוצאים את עצמם חסרי כיוון. לא מפתיע ש-41% אף ציינו כי נאלצו לעכב ביצוע פעולות קריטיות בגלל שלא היה ברור מי מחזיק בסמכות הסופית.

ג'וש פרנזי. תמונה: Cytactic

פער נוסף נחשף בתחום ההיערכות המעשית. 57% מהארגונים נאלצו להתמודד עם אירוע חמור שמעולם לא תורגל, מה שאומר שהתגובה הראשונה שלהם הייתה למעשה ניסוי כלים בזמן אמת. רק רבע מהמנהלים בטוחים שיוכלו להפעיל את המערכות שלהם בעת משבר – נתון שממחיש עד כמה תוכניות כתובות לבדן לא מחזיקות מעמד מול מציאות מורכבת. 67% דיווחו כי דווקא ריבוי הכלים הטכנולוגיים האט את תגובתם, עדות לכך שהטכנולוגיה שאמורה לייעל את הניהול הופכת לעוד שכבת מורכבות שמכבידה על הצוותים ברגע האמת.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

תקשורת כנקודת תורפה

גם התקשורת בין הצוותים מתגלה כנקודת תורפה לא פחות קריטית. 86% מהמנהלים דיווחו על "זמן תגובה" בין אנשי משפט, תקשורת ואבטחת מידע – דקות יקרות שנעלמות תוך כדי ויכוחים על ניסוח במקום טיפול במשבר עצמו. 83% סבורים שהדירקטוריונים לא מבינים את העוצמה והמהירות הנדרשות לניהול אירוע סייבר, ו-78% מהדירקטורים אמנם דורשים עדכונים רציפים, אך לא מספקים הנחיות ברורות. התוצאה היא נתק כפול: הצוותים בשטח מחכים להכוונה מלמעלה, וההנהלה הבכירה עסוקה בלבקש דיווחים במקום לספק החלטות.

כשנשאלו מה היו משנים מיידית, המשיבים הצביעו על שלושה צעדים עיקריים: הנחיות ברורות לקבלת החלטות בזמן אמת (65%), סימולציות תכופות ומציאותיות יותר (52%), ותיאום מהיר יותר בין הגורמים המשפטיים, התקשורתיים והטכנולוגיים (47%). השורה התחתונה ברורה: מה שמנהל אירוע סייבר הוא לא עוד כלי מתקדם או מערכת יקרה, אלא אנשים שיודעים בדיוק מה תפקידם, איך הם מתואמים זה עם זה, ואיך להפעיל את האמצעים שכבר קיימים.

כאן עולה פער נוסף: 95% מהמשיבים אמרו שהם רוצים להשקיע בסימולציות מבוססות בינה מלאכותית, אבל רק 26% בטוחים ביכולת שלהם לפרוס בפועל טכנולוגיות לניהול משבר. טים בראון, CISO SolarWinds ויועץ ב-Cytactic, הוסיף כי "תוכניות כתובות לא מחזיקות מים, אי אפשר לכתוב נייר עבודה לכל תרחיש. הטכנולוגיה מאפשרת לבנות סימולציות עם משתנים אמיתיים ולתרגל פלייבוקים מותאמים לכל צוות, כך שהתגובה תהיה הרבה יותר מסודרת ופחות כאוטית".

טים בראון. קרדיט: Cytactic

פרנזי חיזק: "אנחנו נמצאים בשלב דומה לימי הבועה של הדוט-קום, כולם מבינים שחייבים להשקיע ב-AI, אבל לא תמיד ברור להם איך לעשות זאת בפועל. החסם הזה טכנולוגי, תפעולי, וקשור קשר הדוק לתרבות הארגונית ולהרגלים ישנים שקשה להיפטר מהם".

המחקר גם מצביע על הבדלים בין מגזרים שונים. במגזר הפיננסי, רמת המוכנות הטכנולוגית גבוהה יחסית בגלל ריבוי מתקפות והסיכון הרגולטורי, אך עודף החוקים והדרישות דווקא מאט את המענה. במגזר הבריאות יש דגש על בטיחות וציות, אבל לא תמיד יש מספיק משאבים כדי לתרגל תרחישים אמיתיים. בתעשייה ובייצור, היכולות חזקות דווקא בצד ה-IT הראשוני וההגנה על מערכות הליבה, אך חלשות בכל מה שקשור לחקירה שלאחר האירוע ולניהול הסיכונים ארוכי הטווח. ובכל המגזרים – המכנה המשותף ברור: לא הכלים הם אלה שחסרים, אלא היכולת לחבר ביניהם לתהליך מתורגל ומתואם.

לבסוף, המחקר נוגע גם במדדים לבחינת יעילות התרגול. לא מספיק "לסמן וי" על אימון שנתי. המדד האמיתי הוא שיפור במהירות קבלת ההחלטות, ברמת המעורבות של כלל המחלקות ובאיכות התקשורת בזמן אמת. על פי בראון: "כל תרגול מייצר ערך. גם אם לא תרגלתם בדיוק את התרחיש שהתרחש בפועל, לפחות 70% מהמיומנויות עוברות הלאה לסיטואציות אחרות". לדבריו, תרגול אפקטיבי נמדד לא בעצם ביצועו, אלא ביכולת לשפר את התגובה בפעם הבאה. בין המדדים שמוזכרים: מהירות קבלת החלטות, מעורבות של כלל הפונקציות בארגון, משפטית, תקשורתית, ניהולית ואבטחת מידע ואיכות התקשורת בזמן אמת.

פרנזי סיכם: "כשמכניסים לתכנון נקודות מבט מגוונות – משפטית, עסקית, טכנולוגית – מקבלים תרחישים שאף מחלקה לבדה לא הייתה מעלה".