שם משתמש
סיסמא
מימין: ריטה בעל-טכסא, שלומי הדר, אודי צחר, מיכל שלמה, נוי ארז ואלי פטל | צילום: סטודיו עדיף
 
לוח אירועים
"לא בטוח שיש מישהו בעולם שיגיד שניתן למנוע מתקפות סייבר, אבל ככל שמשקיעים משאבים אפשר לבלום חלק מההתקפות"
עו"ד נוי ארז ניפץ בפאנל מיוחד מיתוסים לגבי מתקפות סייבר | אלי פטל, מערך הסייבר הלאומי: הדרך להתייחס לסייבר היא כליבה של כל העסק, ברמת המנכ"לים | מיכל שלמה: השעות הראשונות הן קריטיות
"מנהל אבטחת המידע צריך לשבת היום צמוד למנכ"ל ולא בדרגים נמוכים. זה היחס שצריך להיות בין מקבלי ההחלטות - משלב הפיתוח עד ליישום, שם צריך להיות עולם הסייבר", כך אמר אלי פטל, ראש מרכז אסדרה במערך הסייבר הלאומי בפאנל ששם את סיכוני הסייבר במרכז ונערך בוועידת עדיף ה-20.

הוא הוסיף כי עולם הסייבר צומח יותר ויותר וכך גדל גם עולם הדיגיטציה. "אנחנו רוצים את הכל עכשיו ומיד ולתת ללקוחות את השירות הטוב ביותר. הקורונה רק האיצה את התהליכים והדרך להתייחס לסייבר היא כליבה של כל העסק, משהו ששייך לכלל החברה, ברמת המנכ"לים", הוסיף פטל בפאנל אותו הנחתה עו"ד ריטה בעל-טכסא, מגשרת ומומחית לביטוח סייבר ודירקטורים.

מיכל שלמה, סמנכ"לית ביטוח מסחרי ב-AIG ישראל, מה לדעתך הסיבה ששיעור העסקים שרכשו ביטוח סייבר נמוך וכיצד ניתן לעסקים לעודד לרכוש את הביטוח? 

שלמה: "אני מלווה את עולם ביטוחי הסייבר מספר שנים ומנסה לפתח את האתגר למה המוצר הזה לא נפוץ יותר, למה יותר עסקים לא רוכשים ביטוח סייבר. יש הרבה סיבות כמו היעדר מודעות, כי עד לאחרונה אירועי סייבר היו מתחת לראדר וישנו גם חוסר מודעות לביטוח סייבר. כולנו ישראלים, מאמינים ש'לנו זה לא יקרה' ואנחנו לא מעניינים, אז אני מסבירה שלא צריך שיהיה לנו מידע מעניין, ארגוני הטרור והמאפיה עברו לעבור ברשת ומתקפות קורות כל הזמן. בנוסף, ומעל לכל, יש פה רצון לחסוך בעלויות. המקום שלנו הוא לעודד את המודעות לסיכון ולפתרון הביטוחי שהוא לא תחליף לניהול הסיכון. אנחנו נמצאים לצד ניהול הסיכון, בסוף אנחנו נותנים עזרה, ייעוץ וליווי במהלך הדרך".

אודי צחר, חתם סייבר וחבויות בקופר נינוה, איזה סוג של עסקים חוץ מהמגה עסקים שאנחנו שומעים עליהם בחדשות זקוקים לביטוח סייבר? וכן, מה השיקולים שמנחים את חתם הסייבר בזמן שהוא הולך לקבל עסק?

צחר: "כל עסק ששולח ומקבל מיילים צריך ביטוח סייבר. כ-75% מההתקפות מתבצעות דרך מיילים, זו הסטטיסטיקה ממה שאנחנו יודעים בארה"ב. כל חנות אינטרנטית או כל משרד עורכי דין, כל מפעל תעשייה גם כאלה שעושים ייצור פיזי או שימוש בתוכנה הם אלה שזקוקים לביטוח סייבר. 

"כחתם שמסתכל על עסקים חשוב לי להבין קודם כל את גודל העסק ומה מהות הפעילות שלו. הגודל מורכב מהגודל הפיזי, כמות העובדים, איפה העסק יושב, אם יש לו פריסה, מיהם הלקוחות שהוא עובד איתם. זה בדרך כלל נגזר ממחזור הפעילות של הלקוח. הדבר השני היא מהות הפעילות וכאן יש חשיבות מאוד גדולה, ככל שהעסק משתמש ברשת או בטכנולוגיות קצה אז הביטוח הוא מאוד חשוב לגביו. הדבר הבא שמסתכלים זה הגנות ותכנית יציאה ממשבר, שני דברים מאוד חשובים. ככל שמדובר בארגון קטן כל מה שאנחנו צריכים הן ההגנות הבסיסיות, אנטי וירוס, גיבויים, חומת אש, אך ככל שאנחנו מתייחסים לארגונים גדולים יש חשיבות למבנה של הארגון, איפה יושבת מחלקה כזו או אחרת, האם המערכות מופרדות ביניהן ועוד. כל זה במטרה שבאירוע סייבר יהיה ניתן לתחום את המקום הנגוע וכך כשיש את הביטוח, להמעיט בנזקים. הדבר השני זה תכנית יציאה ממשבר, ארגון קטן לא צריך תכנית יציאה ממשבר, כי מדובר בבן אדם אחד או שניים ואפשר להתגבר באמצעות שיחזור. בארגונים גדולים יש חשיבות מאוד גדולה לתכנית יציאה ממשבר, צריך לדעת מי מנהל אותו, מי מטפל במדיה, מי מטפל מול ארגוני חוץ שיבואו ויתנו ייעוץ וחייבת להיות תכנית סדורה לכל ארגון. כשזה מגיע לפתחו של חתם ברגע שזה לא מקיים את תנאי הסף התיק נדחה או שאנחנו מחכים עד שהגוף יגיע לתנאי הסף יקיים אותם ואז מתקדמים".

עו"ד נוי ארז, מנכ"ל משותף בקריטיקל אימפקט המתמחה בניהול משברים, על פי מה שפורסם באירוע שירביט לא שולם כופר כלל, וזה העלה את השאלה האם נכון לשלם כופר להאקרים? תוכל להתייחס לדילמה מכל היבטיה וגם האם מראש ניתן למנוע אירוע כופרה? 

עו"ד ארז: "אני שומע הרבה פעמים את הקולות שאסור לנהל משא ומתן ולשלם לטרוריסטים. להגיד את האמת אני לא יודע אם יש תשובה, אני חושב שבעולם אוטופי באמת לא צריך לשלם, בעולם אוטופי שהאקרים לא מחרבים חברות ושהמדינה מגינה ביתר, שלכולם יש ביטוחי סייבר וגם עשו את מערך המוכנות וההגנה שלהם, בעולם הזה לא צריך לשלם כופר. 

"אבל אני רוצה לחזור למציאות ואנחנו לא חיים בעולם אוטופי, אם היית בעלים של חברה והיית צריכה לקבל דילמה האם לקבל סכום כסף מסוים, חלקו אולי מכוסה על ידי הביטוח, ובסכום הזה להציל את החברה שלך או לדבוק בעקרונות שלא משלמים, עמדתי ברורה. אני מציל חברות, זה התפקיד שלי למקסם את הערך. 

"בעניין הזה אני רוצה לתקן מיתוסים קיימים, אם כבר החלטת לא לשלם חלק מהאנשים טועים ואומרים אם אנחנו לא משלמים אנחנו לא מנהלים משא ומתן וחשוב לי להדגיש, משא ומתן זו הדרך היחידה להרוויח זמן. זה גם ערוץ מסוים לקבל מידע שחסר ואם הולכים לכיוון עסקה זו הדרך היחידה להבטיח את העסקה. 

המיתוס השני הוא שהאקרים אינם מקיימים עסקאות. ככל שמדובר בארגוני פשיעה המטרות שלהן הן כספיות, המודל העסקי הוא ברור, אם תשלמי תקבלי את מה שהוסכם ואם לא תשלמי הם יממשו את מלוא האיום שלהם. שאלת האם אפשר למנוע, אני לא בטוח שיש היום מישהו במדינת ישראל או בעולם שאומר שניתן למנוע, אבל ככל שיש השקעה של משאבים אפשר לבלום חלק מההתקפות, בוודאי הפשוטות. אבל ההתקפות הולכות להיות יותר מתוחכמות. כדי לענות לכולם הייתי אומר שישנם שני רבדים, הרובד הראשון שאי אפשר להתעלם ממנו הוא הרובד של הגנה, תרגול, מודעות, התקנת כלים. הרובד השני מתייחס לקו ההגנה מתפרץ ולכן צריך להיות בכל מקרה מוכן לאירוע שהוא קורה למרות ההגנות". 

עו"ד שלומי הדר, תוכל לפרט על הביקורות שנערכו על ידי רשות הגנת הפרטיות בקרב סוכנויות ביטוח שאותם אתם מלווים?

עו"ד הדר: "הביקורות של רשות הגנת הפרטיות התחילו לפני כשנה. הביקורת כללה שאלונים נרחבים לגבי מידת היערכות של סוכנויות ביטוח בישראל והעמידה שלהם בתקנות הגנת הפרטיות. בימים האחרונים יש פנייה שונה מרשות שוק ההון לסוכנויות ביטוח עם שאלון מקוצר יותר, גם במטרה לנסות לברר את מידת ההיערכות של סוכנויות ביטוח. כנראה שזה לאור המתקפות האחרונות בענף. המודעות, גם של הגופים, גם של הרשויות, גם של גופים שונים בענף הביטוח מתחילה לעלות ועם זה גם הביקורות, הפניות והצורך להיערך".

מה עוד ניתן לעשות על מנת להגן על הארגון?

פטל: "חלק מהתשובות נתנו על ידי העמיתים שלי, הן במוכנות, בביטוח, בהיערכות. אנחנו יודעים שארגון בנוי משלושה אזורים ואבני יסוד - תהליכים, טכנולוגיה ואנשים. בכל אחד מהדברים האלו אפשר לעשות הרבה דברים, במודעות, בהגנה על מערכות, בתהליכים של מה נכון ומה לא. לדוגמה אם יש תהליך של גישה מרחוק ויש עובד שעוזב ולא מחקנו לו את היוזר אז הנה עוד חוק קטן שהצלחנו לצמצם. אנחנו יכולים להתייחס לזה כמו קורונה, להיזהר מצד אחד. אצלנו באתר של מערך הסייבר הלאומי יש מלא נושאים שאפשר להוריד, הן איך מגינים על הארגון, יש גם אצל הרגולטור, ואילו הדברים שאפשר לעשות".

מה חשיבותו של ביטוח הסייבר לפעילות השוטפת של העסק?

צחר: "רוב העסקים פועלים במרחב הדיגיטלי, הסלולר והאינטרנט והרבה פעילויות מסורתיות עברו לרשת. אפשר להגיד על הפעילות הדיגיטלית שהיא עושה טוב לעסקים, מקצרת מרחקים, אתה כבר לא צריך לטוס רחוק על מנת להיפגש עם היצרן שלך. השיווק הוא הרבה יותר מאסיבי באמצעות האינטרנט ואתה מגיע לקהלים יותר גדולים, זה מייצר לך ערך מאוד גדול. אני כבר לא מדבר על השימוש במיילים שזו גם כן דרך מבורכת. 

"מדי יום יותר מ-300 מיליארד מיילים נשלחים ומתקבלים. אנחנו מבינים שזה מייצר ערך ומצד שני כל הרשת זה אזור שהוא פרוץ, מסוכן וצריך להיערך אליו. מעבר להגנות שאנחנו כבר עושים בעסק שלנו עדיין יש את הרובד השני שהוא חשוב, וזה נושא הביטוח. בסופו של דבר ביטוח הוא מנגנון של העברת סיכון. הביטוח מאפשר לעסק א' לקבל את הייעוץ המקצועי בעת משבר, מאפשר לקבל את הפיצוי הכספי הנדרש במידת הצורך ולאפשר לעסק לחזור כמה שיותר מהר לעסקים כרגיל".

מיכל, אנחנו מבינים שיש צורך בביטוח אבל לא כולם מכירים את המוצרים שאפשר לקבל. תוכלי לפרט?

שלמה: "ביטוח הסייבר שמעמידות חברות הביטוח למבוטחים עוזר להם להתמודד עם אירוע המשבר. מרבית הפוליסות מטפלות בשלושה אזורים, אחד זה נזק צד א', פגיעה בהכנסות, אובדן מוניטין וטיפול באירועי כופר. הצד השני זה כיסוי לצדדים שלישיים, נזק שנגרם לצד שלישי לדוגמה דליפת מידע. המרכיב השלישי זה עמידה לצד המבוטח בהתמודדות עם אירוע. אנחנו מעניקים למבוטח ליווי על ידי מומחים מטעמנו או מטעמו, לפי בחירתו, ליווי משפטי, ליווי יחסי ציבור, ניהול משא ומתן עם התוקפים אם צריך וכל הדברים האלה סופר חשובים. 

"פוליסת הסייבר היא כבר לא צ'ק שאני רושמת למבוטח שנגרם לו נזק, אלא באמת הליווי שלו מהיום הראשון של האירוע ועד האחרון. השעות הראשונות הן קריטיות ולכן חשוב לדווח על אירועים כאלה מיד שמגלים אותם. AIG פעילה בעולם, היא מחלוצי הסייבר, אנחנו מלווים מועמדים מאותו הרגע של אירוע סייבר, ניהלנו בשנים האחרונות אירועי סייבר, אנחנו גאים בשירות שאנחנו יכולים לתת למבוטחים שלנו".

נוי, מהם האתגרים הגדולים ביותר בניהול אירוע סייבר? האם זה מספיק שהחברה מתקשרת עם צוות החירום למשא ומתן בקרות אירוע או שאלו דברים שצריכים להכין קודם ולתרגל?

עו"ד ארז: "כאשר פותחים את התיבה שקוראים לה אתגרים בניהול אירוע סייבר הרצון האדיר הוא לגרום לכם לבוא ולבקר בחמ"ל של ניהול אירוע. זה הדבר הכי מרתק, הכי מרגש, הכי מפחיד. 

"הייתי רוצה לחלק את זה לשלושה סוגים של אתגרים. פעם אחת האתגרים האופרטיביים, ברור לכולם שהאתגר הוא טכנולוגי לבלום את ההתקפה ולמנוע את התפשטותה. יש לא מעט צוותים שעוסקים בכך. גם ערוץ המשא ומתן - לנהל את הדיאלוג למול המערכת היריבה, אם מישהו חושב שאפשר לנהל משא ומתן ככה זו טעות חמורה. זו מערכת שצריך לבנות אותה עוד הרבה לפני העסקה, צריך להגן עליה, אין להעליב ולהיעלב מהאקר, זו מערכת יחסים שמאפיינת כל משא ומתן במיוחד בתחום הסייבר. 

"התחום השני הוא הניהולי - להגיע לחברה כזאת בסופו של דבר זה כאוס לא נורמאלי, יש הרבה מאוד אנשים, יש להם בהכרח ניסיון בניהול הערכות מצב מסודרות, אלה אתגרים ניהוליים מאוד חשובים. התחום השלישי זה כל מה שקשור למעגל החיצוני, הדיאלוג עם הרגולטור, זה הרבה מעבר לעדכון. עם המבטח, בעלי מניות, משקיעים, לקוחות, ספקים, עובדים. האירועים האחרונים הראו שזה משחק מאוד מורכב מול התקשורת. בקצרה, בשעת לחץ נורא קשה לרכוש פוזיציה, לא מכירים את הארגון והנפשות הפועלות. כל הנושא של ניהול משבר סייבר הוא בסופו של דבר ניהול אנשים, ככל שהחברה יודעת להתקשר, להכיר צוותי ייעוץ טכנולוגי ומשא ומתן, מכירים אותם, וכשהם באים חלילה לאירוע זה ההבדל". 

שלומי, כיצד חוק הגנת הפרטיות עוזר לנו להיות חסינים יותר או פגיעים יותר?

עו"ד הדר: "ב-2018 עבר בקריאה ראשונה חוק הגנת הפרטיות, בו יש עדכון של הגדרה שרלוונטיות לתקופה שלנו. פרטיות זה חלק מהמידע שאנחנו מכירים אותו במתקפות סייבר. החקיקה המעודכנת, המודעות גם של המערכות המשפטיות והגופים השונים, לאט לאט זה מחלחל פנימה וזה עשוי להגיע גם לתביעות בבתי המשפט של לקוחות שהמידע שלהם דלף. כל הדברים האלה יביאו למודעות ויעשו יותר טוב בעולם של אבטחת המידע. 

רשות הגנת הפרטיות פרסמה לפני מספר ימים התייחסות לתפקיד שנקרא ממונה על הגנת הפרטיות. זה תפקיד שקיים באיחוד האירופי, מכוח הרגולציה, אך בארץ מדובר בהמלצה. למנות אדם שימונה בכל ארגון ויבחן את דרכי ההתנהלות של העסק עצמו בהיבטים של הפרטיות. יש דבר שנקרא עיצוב הפרטיות, מתחילת הפעילות של העסק, מהסכמים שהעסק עצמו חותם בין אם זה מול הלקוחות, הצרכן הסופי, מול ספקים, לתת את הדעת לדברים וממש להיות ממוקדים לנושא הזה. הם העמידו את התפקיד הזה מעל לממונים לאבטחת מידע בארגונים, חשוב לתת את הדעת על התפקיד ולשקול בחיוב מינוי של אדם כזה. יש גם התייחסות בהמלצות של הרשות להגנת הפרטיות של הזהות של האדם הזה, מה הכשרה שצריכה להיות פה". 



 
 
הוסף כתבה למזוודה אישית
הוסף למזוודה אישית


גולש יקר,

תכני האתר ומוצרי עדיף מיועדים למנויים בלבד.

מנויי עדיף נהנים מחבילת ערך מושלמת: יותר מידע חדשותי, יותר ידע ויותר שירותים חדשים וייחודיים.

באפשרותך לצפות בתכני האתר באופן מיידי על ידי רישום קצר לקבלת מנוי היכרות ללא כל התחייבות.
הרשמה
שם פרטי:
שם משפחה:
שם חברה:
טלפון:
תפקיד:
אימייל:
סיסמא:
אישור סיסמא:
הנני מאשר את
 תנאי השימוש
באתר
אבקש לקבל עדכונים, חדשות ומידע שיווקי
הרשם וגלוש
כניסת מנוים
מייל:
סיסמא:
 
כניסה
 
הוסף תגובה לכתבה זו
כינוי:
אימייל:
כותרת:
תוכן:
אין לכתוב הודעה המפרה את  תנאי השימוש של Anet לרבות דברי הסתה, דיבה וסגנון החורג מהטעם הטוב
עדיין אין תגובות לכתבה זו.
 
עקבו אחרינו
כל הזכויות שמורות לאתר ANET.co.il 2011
המסלקה הפנסיונית