בעידן שבו איומי סייבר מתעצמים מיום ליום, למנהלי הכספים בארגון יש תפקיד מרכזי בניהול הסיכונים. באמצעות שיתוף פעולה עם מובילי IT, הקצאת משאבים אסטרטגית וטיפוח תרבות של ערנות, מנהלי כספים יכולים לעזור להגן על הארגונים שלהם מפני הנזק הפיננסי והתדמיתי הכרוכים במתקפות סייבר
מתקפות הסייבר, ההולכות וצוברות תאוצה בעולם כולו, מעמידות אתגרים לא פשוטים בפני סמנכ"לי הכספים (CFO) של ארגונים, משרדים ממשלתיים, מוסדות אקדמיה ופיננסים, גופי ביטחון ועוד. אסטרטגיות לניהול סיכוני סייבר, סיכוני IT וסיכונים ארגוניים נוספים (החל מתפעוליים וכלה ברגולטוריים) מצריכות חיזוק של מערך האבטחה, הן בפן האנושי והן בנוגע למערכות המידע והתקשורת. בניגוד לפגיעה הכלכלית והתדמית וסיכון הלקוחות, מתקפות סייבר מהוות איום בעל פוטנציאל ליצירת משברים ארגוניים חמורים, בעלי השלכות רוחביות אדירות.
גניבת סודות מקצועיים, גניבת זהויות של לקוחות, נזק למערכות המידע, סחיטה, הונאות אשראי ועוד עלולים להוביל, מעבר לנזק הכספי, גם לנזק תדמיתי ולהגשת תביעות נגד הארגון, עקב אבטחה בלתי מספקת. המספר הרב של מתקפות שבוצעו נגד ארגונים בישראל, בעקבות מלחמת חרבות ברזל, ,תוך פרק זמן קצר מאוד, מעיד על הסכנה המרחפת מעל כל ארגון – ממשלתי, ציבורי או פרטי – בכל סדר גודל, כאשר במקרים רבים מתקפות הסייבר מסתיימות בהצלחה, מבחינת התוקפים.
היות שמתקפות סייבר מהוות איום משמעותי על היציבות הפיננסית, ההמשכיות התפעולית והמוניטין של הארגון, הרי שעל המנהלים להיות מוכנים להתמודדות עם איומים אלה. בין היתר, עליהם ללמוד את המתרחש בשוק העולמי והישראלי ולהכיר את הטכנולוגיות החדשות, אסטרטגיות ההתקפות ושלל הסיכונים הנשקפים לארגון.
נזק ישיר
הנזק הכספי הישיר נגרם עקב מספר סיבות מרכזיות. בין היתר, ניתן למנות את דרישת הכופרות. כדי לשחרר את מחשבי הארגון מהגורמים שפגעו בהם ולהחזיר מערכות המחשוב לפעולה (רכישת מחשבים, הגנה עליהם וכו'), הנזק הכלכלי עקב פגיעה בעבודה השוטפת של הארגון וכיסוי תביעות משפטיות של לקוחות/ספקים ואחרים, שנפגעו כתוצאה מדירוג פרטים אישיים.
נזק עקיף
בין הסיבות המרכזיות לנזק העקיף של המתקפות, ניתן למנות גניבת סודות מקצועיים שעלולה להשפיע על פעילות הארגון בהווה ובעתיד, גניבת רשימת לקוחות העלולה לפגוע בהם בהמשך, פגיעה עתידית בחוזים עם ספקים, פגיעה במוניטין של הארגון ובאמון הלקוחות והספקים, העלאת פרמיות ביטוח הסייבר והשפעה על מניות הארגון.
תפקידי הנהלת הארגון בהכנה למתקפות סייבר
* גיבוש אסטרטגיה ארגונית להגנה על מחשבי הארגון ומאגרי המידע שלו, לפני פריצה ולאחריה (השבת המצב לקדמותו).
* אבטחת מידע מוגברת.
* רכישת פוליסות ביטוח סייבר.
* הדרכת עובדי הארגון לגבי שמירה על מחשבי הארגון מפני פריצות, באמצעות תוכנות זדוניות או ניצול פרצות מידע, טעויות אנוש או רשלנות וכמובן כתוצאה מפעולות זדוניות שלהם.
* שמירה על כללים רגולטוריים, שנועדו להגן מפני סיכוני אבטחת מידע. בין הכללים הנהוגים בישראל: החלטות מטה הסייבר הלאומי והמרכז הלאומי להתמודדות עם איומי סייבר; החלטות ממשלה בעניין אסדרה לאומית וקידום היערכות לאומית להגנה; תקנות אגף שוק ההון, הביטוח והחיסכון במשרד האוצר; החוק להסדרת הביטחון בגופים ציבוריים; הסדרת המפקח על הבנקים בעניין ניהול טכנולוגיות מידע וניהול הגנת סייבר; הוראות הרשות לניירות ערך בדבר גיבוי נתונים, רציפות מתן שירות וסיכוני סייבר. הגופים והתקנות הללו מגדירים גם את תחום אחריותם של הדירקטורים ונושאי המשרה בתאגידים במעורבות ישירה ורציפה בתכנון אסטרטגיות אבטחת מידע, משום שסיכוני אבטחת מידע הם בגדר סיכון תפעולי אסטרטגי לתאגיד.
כחלק מההערכות, על המנהלים לגבש את הנהלים הבאים
- נוהל אבטחת מידע, מערכי בקרה ומערכי מחשוב וטכנולוגיה בארגון. בין היתר, עליהם להקים מנגנוני בדיקה ובקרה בתחום זה ולקבוע נהלי עבודה בעזרת מומחי רגולציית סייבר, משפטנים ועוד.
- נהלים מקדימים למתקפות סייבר: גיבוי ושחזור מידע, אבטחת מידע וביטוח סייבר.
- דרכי ההתמודדות של הארגון במקרה של אירועי סייבר, כגון מדיניות תגובה ארגונית: גיוס צוות ניהול מו"מ מול האקרים, גיוס צוות תיקון טכני, הקצאת כספים ליעוץ משפטי ויחסי ציבור וביטוח סייבר.
- הערכה שוטפת של סיכוני הסייבר המאיימים על הארגון ותרגולת של העובדים בדרכי התגוננות מפני מתקפות, באמצעות מייל, בניית ביטוח סייבר מותאם ועוד.
- בקרה שוטפת של זהות העובדים והבטחת המידע, בעזרת אמצעי בקרה מתקדמים.
- התעדכנות קבועה בנוגע לאיומי הסייבר בעולם.
תפקידי סמנכ"ל הכספים בניהול סיכוני הסייבר
שיתוף פעולה עם צוותי IT ואבטחה: לצורך התאמת אסטרטגיות אבטחת הסייבר ליעדים העסקיים של הארגון, תוך הערכת סיכונים. שיתוף פעולה זה מבטיח תיעדוף השקעות באבטחת סייבר, בהתבסס על הערכות סיכונים והשפעה אפשרית. לצד אלה, יש לקדם פיתוח תוכנות תגובה לאירועי סייבר, תוך הבטחת השבתה מינימלית של פעולת הארגון ומניעת נזקים כספיים ואחרים לארגון, לרבות באמצעות ביטוח סייבר מותאם.
תקצוב אבטחת סייבר: שקלול תקציב אבטחת הסייבר והתאמתו לסיכוני השוק, תוך השקעה בטכנולוגיות זיהוי איומים, הדרכת עובדים, יכולות תגובה לאירועים, אבטחה בארגון ובענן, תקצוב ביטוח סייבר ועוד.
הערכת סיכונים ומדדים: פיתוח מדדי ביצועים ארגוניים מרכזיים, בכל הנוגע לאבטחת הסייבר ועדכון ההקצאות התקציביות בהתאם לתנאי השוק.
ביטוח: רכישת ביטוח סייבר כחלק מאסטרטגיות ניהול הסיכונים הארגוניות. יש לוודא שפוליסות הביטוח הנבחרות מכסות את כל ההיבטים האפשריים של אירוע סייבר.
