"ישראל ניצבת בראש בנק המטרות של האקרים בעולם ועל מנת להתמודד עם האיום הזה יש להשריש תרבות ארגונית מכוונת סייבר. ערכי הארגון חייבים לשקף תרבות של מוכנות. הכוונה היא לבנות מענה ארגוני הוליסטי לניהול סיכון הסייבר, שכן מדובר באתגר שאינו רק טכנולוגי, אלא גם ואולי בעיקר - אתגר עסקי הדורש הקצאת משאבים משמעותיים", כך פתחה את דבריה טלי שמר, רמ"ח הכוונת משק במערך הסייבר הלאומי, בכנס מקוון בנושא "אתגרי הסייבר בגופים פיננסיים", שנערך על ידי משרד מ. פירון ושות'.
לדברי שמר, האחראית על הכוונת המשק במערך הסייבר, על גופים עסקיים ופיננסים בפרט להפנים כי "ניהול משבר סייבר אינו מסתיים בסופו של האירוע הטכנולוגי שבו בוצעה התקיפה, משום שניהול האירוע צפוי להימשך שנים רבות ואף עשוי להערים משבר עסקי על החברה", לכן, מדגישה שמר, דרושים לארגונים משאבים רבים ותקציב שוטף במטרה לנהל את סיכוני הסייבר ובמידת הצורך לטפל בנזקים, היכולים לנוע מפגיעה כלכלית ועד לאובדן חיי אדם. ואולם, יש גם צעדים רבים בסיסיים שארגונים קטנים יכולים לנקוט ואינם מצריכים השקעת משאבים רבים או נוספים. עוד הוסיפה שמר, כי, משבר הקורונה גרם לעליה בתקיפות סייבר בעיקר בקרב ארגוני בריאות, אך לא רק - "ארגונים רבים נפגעו מפריצות סייבר במהלך התקופה האחרונה".
ירון טל, מייסד ומנכ"ל Reposify, המפתחת פתרונות תוכנה בתחום אבטחת מידע וסייבר, הסכים כי "2020 הייתה שנה מאתגרת מאוד עבור השוק הפיננסי. ראינו המון תקיפות על בנקים ועל חברות המספקות שירותים בארגונים פיננסים, מה שמוסיף להאקרים עוד הזדמנויות לפריצה". לדבריו, "מסקר שפורסם לאחרונה על ידי Gartner עולה כי למרות ששוק הבנקאות הבשיל והתרגל לדיגיטליזציה, המשאבים של מחלקות ה-IT בשוק זה לא הוגדלו - מה שמגדיל את החשיפה לאירועי סייבר". טל אף ציטט ממחקר של IBM הקובע כי השקעות נמוכות בתחום ה-IT, משליכות באופן ישיר על ביצועי החברה בשוטף, כמו גם באירועי סייבר, וכי במקרים רבים מתברר כי לגוף פיננסי לוקח בממוצע כחצי שנה להבין שבכלל פרצו אליו".
דברים אלו אף מתחברים לדו"ח של ה-FBI שפורסם באוגוסט האחרון ולפיו, מאז פרוץ מגפת הקורונה חל זינוק של כ-400% במתקפות סייבר. עלייה דרמטית זו, הנובעת בעיקרה בשל הגידול הדרמטי בשימוש בשירותים מקוונים, נוכח משבר הקורונה, אף הביאה באחרונה את הממשל בבריטניה ובארה"ב להוציא אזהרה מיוחדת כנגד איומי סייבר בעקבות הקורונה.
הכשלים: אבטחת מידע ועיבוד במידע אישי
יצוין כי מתקפות הסייבר שגברו בשנה האחרונה פוגעות לא רק בלקוחות של המוסדות הפיננסיים אלא בארגונים עצמם, במוניטין שלהם, ביציבותם הכלכלית ובמקרים רבים אף חושפות אותם לעבירות על החוק.
עו"ד רביד פטל, הממונה על פיקוח הרוחב ברשות להגנת הפרטיות, השתתף אף הוא בכנס ואמר כי "55% מהתיקים המנהליים שנוהלו על ידי הרשות בשנת 2019, עסקו באבטחת מידע - מספר שזינק משמעותית במהלך שנת 2020". לדבריו, "בקרב כלל המגזרים שאנו בודקים, שני הכשלים העיקריים בקריטריונים שהצבנו לבחינת העמידה בהוראות החוק והתקנות הם - אבטחת מידע ועיבוד במידע אישי ובמיקור חוץ (נגזרת של אבטחת מידע) - גם גופים שעומדים בעצמם בכל הוראות החוק והתקנות בנושא אבטחת מידע, לא מוודאים, כנדרש על פי התקנות, שגם ספקי שירותים חיצוניים עימם הם עובדים עומדים בתקנות".
עו"ד עודד אופק, שותף ומנהל מחלקת בתי השקעות, מוסדיים ונותני שירותים פיננסים, במשרד מ. פירון ושות' ועו"ד אלן יוסף, שמרכזת את תחום הגנת הפרטיות במשרד, הציגו בכנס אסטרטגיית סייבר אותה מומלץ לארגונים ליישם במטרה למזער את הסיכונים והפוטנציאל של אירוע סייבר. בין הדגשים שהעלו: "בהתקשרות עם גורם שלישי חשוב לחתום על הסכמים הנוגעים לאבטחת המידע ולוודא כי אותם גופים עומדים בתקנות שמירה על אבטחת מידע והגנת פרטיות, שכן אי עמידה שלהם בתקנות - עשויה להוביל לאירוע שיתגלגל לפתחו ואחריותו של הצד השני לחוזה". עו"ד אופק הוסיף את החשיבות בקיום תרבות של ציות ובקרה פנימית בתוך הארגון, גם בהיבטים של סייבר, תוך שהמליץ לדירקטוריון ולאורגנים שונים בתוך הארגון לדון בחשיפות סייבר, ולהתוות מדיניות התגוננות והתמודדות עם אירועי סייבר, תוך החלת מדיניות זו וגיבושה הפרטני בכל שכבות הניהול של הארגון.