חוזר הממונה על שוק ההון, ביטוח וחיסכון: דרושה קפיצה מאבטחת מידע להגנה בסייבר
"החוזר לא מבצע את קפיצת המדרגה המלאה מאבטחת מידע להגנת סייבר, ונעצר בקומת ביניים של "אבטחת הסייבר"", אומר שי שבתאי (אל"מ מיל.) - יועץ אסטרטגי בחברת קונפידס
עוד לא הספקנו לשכוח את התחושה הלאומית של ההחמצה שהייתה על כל ספורטאי ישראלי שעלה לגמר אולימפי בריו, ולא זכה במדליה. תחושה דומה הייתה לי כשקראתי את חוזר הממונה על שוק ההון, ביטוח וחיסכון על ניהול סיכוני סייבר, שהופץ ב-31 באוגוסט.
מצד אחד זהו הישג ברמה בין לאומית. שנה וחצי לאחר רגולציית הגנת הסייבר המתקדמת של הפיקוח על הבנקים, מפרסם גורם הפיקוח הלאומי על הגופים המוסדיים - חברות הביטוח, קרנות הפנסיה וקופות הגמל - מסמך מפורט בתחום הגנת הסייבר של הביטוח והחיסכון המלווה פרסום של חזון דיגיטלי לסקטור.
נכון ל-2015 הגופים המוסדיים ניהלו נכסים בלמעלה מ-1.3 טריליון ?. סך הפעילות שלהם בתחום החיסכון הפנסיוני היווה 8.1% מהתמ"ג. למעלה מ-4.3 מיליון היו מבוטחים בקרנות הפנסיה החדשות ועוד למעלה ממיליון בקרנות הישנות. 19.7 מיליארד ? ניגבו כדמי ביטוח. הגופים המוסדיים גם מחזיקים במידע רגיש על מצבנו הרפואי, הרכוש שלנו, מצבנו הכלכלי הנוכחי והעתידי ועוד. זהו מגזר מפתח בכלכלה הישראלית הנוגע בכל אחד מאיתנו, ולכן הגנה עליו בתווך הסייבר היא בעלת חשיבות לאומית.
החוזר, שפורסם לאחר תהליך התייעצות ראוי להערכה עם הגופים המוסדיים וחברות ייעוץ בתחום הגנת הסייבר, מכיל בתוכו רכיבים של מאפייני הפעולה המיטביים (Best practices) על-פי תקנים מובילים בעולם. הוא מחייב, למשל, להכליל את הגנת הסייבר במשילות התאגידית של הדירקטוריון וההנהלה; לפעול בגישה פרואקטיבית לזיהוי איומים; לקיים מוכנות לטיפול באירוע על-פי חמשת השלבים המקובלים; לטפל בגורם האנושי, בשרשרת האספקה ובמחשוב ענן; ועוד ועוד.
עם זאת, החוזר לא מבצע את קפיצת המדרגה המלאה מאבטחת מידע להגנת סייבר, ונעצר בקומת ביניים של "אבטחת הסייבר", כפי שכינתה טיוטא מספר 2 את מנהל הגנת הסייבר. כותרת התפקיד שונתה בנוסח הסופי, אך המהות הבעייתית נותרה בעיני.
למה הכוונה? יש הבדל מהותי בין אבטחת מידע (Information Security), שהיא "הגנת המידע ומערכות המידע מפני גישה לא מאושרת, שימוש, חשיפה, שיבוש, שינוי או השמדה; [הגנה - ש.ש.] שנועדה לאפשר את סודיותו, שלמותו וזמינותו [של המידע - ש.ש.]"; לבין הגנת הסייבר (Cyber Security) שהיא "היכולת לשמור ולהגן על המרחב הקיברנטי (מרחב בסביבת המידע הכולל רשתות של תשתיות מידע הנמצאות ביחסי גומלין) מפני התקפות סייבר".
בשעה שאבטחת המידע מתמקדת ביכולת לשמור על המידע ומערכות המידע, הרמה הגבוהה יותר של הגנת הסייבר עוסקת בראייה רחבה ובפעילות רב-ממדית ורב-תחומית - טכנולוגית ועסקית - המתמודדת עם המרחב הקיברנטי.
אבחנה זו דומה להבדל בין מערך האבטחה של מפקדת פיקוד צפון, שעוסק בסיכול איומים ביטחוניים על המחנה לבין מפקד הפיקוד ומטהו, שחושבים כיצד לנצח את חזבאללה במלחמה הבאה בסביבה אזורית ובינ"ל מורכבת.
זה גם ההבדל בין מערך ה-Call Center התאגידי, שצריך לתת את חווית השרות ואת יכולת המכירה המיטבית של שירותים ומוצרים קיימים, לבין המנכ"ל ומנהל חטיבת הלקוחות ואנשיהם שעוסקים למשל במוצר הבא ובקמפיין השיווקי הבא.
לצורך הגנה בסייבר נדרשים - מעורבות אמיתית של ההנהלה ותפיסה אסטרטגית, שיח עמוק בין הגורמים העסקיים לגורמים הטכנולוגיים, שילוביות בתוך הארגון ומחוץ לו, ראייה רחבה, פרואקטיביות במענה, פיתוח מוכנות ויכולת עמידות (Resilience) ועוד.
החוזר של הממונה על שוק ההון, ביטוח וחיסכון לא מצליח לעבור את הרף של הגנת הסייבר. הביטויים לכך במסמך רבים, אך אתאר את ארבעת העיקריים בעיני:
א. ניהול סיכוני סייבר ולא הגנת סייבר - הבחירה להגדיר את החוזר ככזה שעוסק בניהול סיכוני סייבר ולא בהגנת סייבר מנמיך מאוד את המהות שלו. במעשה זה הפכה הליבה, שהיא מעשה הגנת הסייבר לאחד הסעיפים באחד הכלים המרכזיים למימושה. הבעייתיות הזו באה לידי ביטוי קיצוני במשפט "גוף מוסדי יגדיר מדיניות לניהול סיכוני סייבר הקובעת עקרונות מנחים להגנת סייבר ליישום בגוף".
לשם השוואה, בהוראת המפקח על הבנקים 361, כותרת פרק ג' הנה "אסטרטגיית הגנה ומסגרת לניהול סיכוני הסייבר". בחירה זו דומה לקביעה, שהנהלת תאגיד לא מתרכזת בראש ובראשונה בניהול עסקיו אלא בבחינת ניהול הסיכונים הנובע מהם. גם אם יטענו בתגובה, שהסייבר הוא סיכון תפעולי שיש לנהל אותו, הרי שבראש ובראשונה נוקטים בפעולות להגן מפניו - "הגנת הסייבר", ואילו הגדרת מסגרת ניהול הסיכונים הנה רק אחת מהפעולות הללו.
ב. אין צורך באסטרטגיה - החוזר מתעלם מהצורך להגדיר אסטרטגיה, ומסתפק במסמך מדיניות. בעולם הגנת הסייבר אסטרטגיה היא המצפן המאפשר לכלל התאגיד לפעול בשילוביות, בראייה רחבה, בפרו-אקטיביות ובשיח אמיתי בין הדירקטוריון וההנהלה לגורמי המקצועי הטכנולוגיים ומנהל הגנת הסייבר בתוכם.
אפשר שהממונה אף סותרת חוזר קודם לניהול טכנולוגיות מידע בגופים מוסדיים מאוגוסט 2010, שקובע שבאחריות הדירקטוריון לאשר אסטרטגיה ומדיניות בתחום טכנולוגיות המידע. מכיוון שההגנה בסייבר הנה אחת ההתפתחויות המשמעותיות בתחום טכנולוגיות המידע בגופים המוסדיים בשנים האחרונות, הרי, שלכל הפחות נדרש עדכון של מסמך האסטרטגיה בתחום, או רצוי אף יותר יצירת מסמך אסטרטגיית הגנה סייבר, שיהווה הסתעפות ממנו.
ג. חוסר גמישות כלפי מטה ומחסור בכלים כלפי מעלה - חלק ניכר מהחוזר (עמודים 12 - 21) מוקדש להנחיות בשורה ארוכה של נושאים, שמבחינת רמת הפרוט קרובות יותר לאבטחת מידע מאשר להגנת סייבר.
מצב זה שולל ממנהל הגנת הסייבר חלק ניכר מהגמישות המוגבלת שלו, מכיוון שעל מנת לעמוד בדרישות הרגולציה יצטרך לעסוק בעצמו בערב רב של סוגיות (אם כבר הוחלט לפרט את ההנחיות, אולי נכון היה להגדיר את הגורמים השונים בגוף המוסדי האחראים לטיפול בהן ומדדים חדים יותר לדרך המימוש).
מנגד, החוזר לא מרחיב דיו את מנגנוני השיח בין מנהל הגנת הסייבר למנכ"ל, שהינם אמצעי חיוני עבורו לקבלת משאבים נדרשים ולגיוס כלל הגורמים הרלבנטיים בגוף המוסדי לפעולה. ועדת ההיגוי לניהול סיכוני סייבר תנוהל, בפועל, על-ידי סמנכ"ל טכנולוגיות המידע; ואילו המנכ"ל לא נדרש להעמיק בנושא ולהיות מעורב בו מעבר להתעסקות עיתית בתוכניות עבודה ובמנגנוני בקרה.
ד. התייחסות לא מספקת לקיומו של יריב - אחת התוספות המרכזיות בהגנת הסייבר הנה ההתייחסות לקיומו של יריב מתוחכם ודינאמי, שפועל באגרסיביות לממש את מטרותיו מול הגורם הנתקף.
'מתן הכבוד' ליריב מבוצע, בין היתר, באמצעות איסוף מודיעין וניתוח נרחבים, הגדרת איום ייחוס, תרגול מרובה של ההתנגשות הדו-צדדית והפקת לקחים מאירועים שהתרחשו. ההתייחסות לכל אלו בחוזר דלה, ולא לוכדת את המהות שתיארתי. לדוגמא, על איסוף המודיעין נכתב פחות מאשר על סוגיית ההזדהות, שהנה רכיב טכנו-טקטי של אבטחת מידע.
בנקודות מהותיות אלו ובמספר נוספות אפשר שהחוזר 'בא לברך, ונמצא מקלל, שכן, הוא לא מקנה למנהל הגנת הסייבר את "הרוח הגבית" הנדרשת להוביל את קפיצת המדרגה החיונית בארגון ולנהל את השינוי. חלק ממנהלי הגנת הסייבר, ומנהלי טכנולוגיות המידע ומנהלי הסיכונים מעליהם, עימם אנו נפגשים, מבינים בעיה זו, וכבר חושבים על דרכיי פעולה 'לפנים משורת החוזר' על מנת להתמודד איתה.
לאלו אני יכול להמליץ לנצל את תהליך היישום של החוזר על מנת לפתח שיח אחר עם ההנהלה המבוסס, בין היתר, על הגדרה של איום ייחוס ועקרונות לאסטרטגיית הגנת סייבר כבסיס למסמך המדיניות, ולצד זאת, קיום ימי עיון וסימולציות שיעמיקו את ההבנה של האתגר (ולא להסתפק ב'שדרוג של אסטרטגיית אבטחת המידע' כפי שמתכוונים חלק מהגופים). תהליך כזה גם יאפשר לקבוע סדרי עדיפויות ביישום ההנחיות הקונקרטיות של החוזר, לפרוס אותו על ציר הזמן ולבזר את האחריות למימוש.
באשר לשדרוג החוזר, לזכותם של אנשי אגף שוק ההון, ביטוח וחיסכון ייאמר, שהיו קשובים מאוד להערות, שניתנו להם במעלה הדרך, כולל על-ידי החברה בה אני משמש כיועץ. חלק לא מועט מהן הוטמע בטיוטא השנייה ובנוסח הסופי, אך סוגיות מהותיות - כמו אלו שתוארו להלן - לא זכו בראייתי למענה מספק. דבר זה מחזק את התחושה החיובית שיש בידי האגף את היכולת לבצע קפיצת מדרגה נוספת ברגולציה בשנים הקרובות.
כולי תקווה שעד 2020, לקראת אולימפיאדת טוקיו, תוכל מדינת ישראל להציב חוזר מתוקן, שיתחרה על מדליה בינ"ל. אך בל נטעה, גם יריבנו אינם דורכים במקום, ומתאמנים ומשתפרים בביצועיהם. השינוי הנדרש על מנת להגיע לרמות הגבוהות ביותר ייעשה יותר מורכב.
שי שבתאי (אל"מ מיל.) - יועץ אסטרטגי בחברת קונפידס (www.konfidas.com). מומחה, מרצה ובעל ניסיון מעשי של למעלה מעשרים שנה בסוגיות במזרח התיכון, באסטרטגיית הביטחון של ישראל ובתכנון אסטרטגי וצבאי. שי נמצא בלימודי קדם דוקטורט העוסק בהשפעת המודיעין על תפיסת הביטחון הלאומי (shay.s@konfidas.com).הכותב מבקש להודות לעמיתיו בחברה על הערותיהם הבונות.
לכתבות נוספות באתר ISRAEL DEFENSE היכנסו לעמוד הפייסבוק החדש של nrg
אקו"ם