ייתכן שאיומי הסייבר ירדו מעט על רשימה של סיכונים גלובליים לצפות במהלך 2-10 השנים הבאות. אבל לפי הפורום הכלכלי העולמי (WEF), הם נותרו דאגה בולטת למנהיגים עסקיים. בתור האחרון של ה-NGO Outlook אבטחת סייבר גלובלי מזהיר, בניית חוסן אפקטיבי לאיומים כאלה הופכת קשה יותר לנוכח המורכבות ההולכת וגוברת.
קדימה, המפתח לאנשי מקצוע בתחום האבטחה והציות הוא לא להמציא את הגלגל מחדש. דרך הפעולה הטובה ביותר היא להבין את נוף האיומים ומה הסיכון הגדול ביותר בתוך הארגון ולנקוט בצעדי תרגול מומלצים כדי להפחית את הסיכון הזה באופן רציף ומוכח.
מה אומר WEF?
של WEF דוח סיכונים גלובליים 2025 מבוסס על חוות דעת של 11,000 מנהיגים עסקיים ומומחי סיכונים באקדמיה, עסקים, ממשל, ארגונים בינלאומיים וחברה אזרחית. הם מדרגים את "ריגול ולוחמה סייבר" (באופן מבלבל כולל גם התקפות של שחקנים לא ממלכתיים) במקום החמישי ברשימת הסיכונים לטווח הקצר. זה ירידה מהמקום הרביעי בשנה שעברה, כאשר הקטגוריה זכתה לשם "אי ביטחון סייבר". ובמונחים של סיכון לטווח ארוך בעשור הבא, הוא נמצא במקום התשיעי, ירידה מהמקום השמיני.
עם זאת, אל לנו לקרוא יותר מדי את הדירוג הקל הזה. זה גם ראוי לציון ש"תוצאות שליליות של טכנולוגיות בינה מלאכותית" נמצאות במקום השישי ברשימת הסיכונים ארוכת הטווח. "תוצאות" אלו בהחלט יכולות להיות מושפעות מפעילות סייבר זדונית כגון הרעלת נתונים/מודלים.
מעניין יותר הוא הדו"ח הספציפי לאבטחת סייבר שפורסם על ידי WEF באותו שבוע בחודש שעבר. הוא מזהיר מפני נוף אבטחת סייבר מורכב יותר ויותר המונע על ידי:
מתחים גיאופוליטיים מתגברים
אלה משפיעים על כמעט 60% מהארגונים המגיבים, כאשר שליש מהמנכ"לים מציינים ריגול סייבר ואובדן מידע רגיש/IP כדאגות משמעותיות.
אינטגרציה רבה יותר של ותלות בשרשרת אספקה מורכבת יותר
יותר ממחצית (54%) מהארגונים מציינים זאת כמחסום המשמעותי ביותר להשגת חוסן.
אימוץ מהיר של טכנולוגיות מתפתחות, הרחבת משטח ההתקפה
שני שלישים (66%) מהמשיבים טוענים כי בינה מלאכותית תשפיע על אבטחת הסייבר ב-12 החודשים הקרובים, אך רק ל-37% יש תהליכים להערכת האבטחה של כלי בינה מלאכותית לפני השימוש בהם.
נטל ציות לתקנות הולך וגדל
כ-78% ממנהיגי המגזר הפרטי אומרים שתקנות סייבר ופרטיות מפחיתות ביעילות את הסיכון, אך שני שלישים מהנשאלים מודים שהמורכבות ומספר הדרישות העצום הם אתגר.
אתגרים אלה מחמירים על ידי גידול פער מיומנויות סייבר, מה שהופך את הסיכון לקשה יותר לניהול, לצד איומי סייבר מתוחכמים יותר. כ-72% מהמשיבים טוענים שסיכוני הסייבר עלו בשנה האחרונה, כאשר מתקפות תוכנות כופר, איומי שרשרת אספקה והונאות מתומכות סייבר תופסים את שלושת המקומות הראשונים, בהתאמה.
הבעיה עם חוסן סייבר
לעתים קרובות נאמר (בצדק) שאפילו הארגון המאובטח ביותר יסבול בסופו של דבר מפרצת אבטחה כלשהי. לכן, ההתמקדות עבור CISOs כיום היא על חוסן סייבר: היכולת "לצפות, לעמוד, להתאושש ולהסתגל" לאירועים אלו, כך שהפעילות העסקית תוכל להמשיך גם לאחר חדירה חמורה. לכן, זה צריך להיות מדאיג שחוסן הסייבר מחמיר בארגונים קטנים יותר.
לפי WEF, אחוז המשיבים SMB שטוענים לחוסן לא מספק עלה מ-5% בשנת 2022 ל-35% בשנת 2025. לעומת זאת, הנתון כמעט ירד מ-13% ל-7% באותה תקופה עבור ארגונים גדולים. לפי הדו"ח, 71% ממנהיגי הסייבר במפגש השנתי של WEF בנושא אבטחת סייבר 2024 טענו שארגונים קטנים הגיעו ל"נקודת מפנה קריטית" שבה הם לא יכולים עוד לאבטח את עצמם ביעילות מפני המורכבות ההולכת וגוברת של סיכוני סייבר.
זה חשוב לארגונים מכל הגדלים מכיוון שאפילו לארגון הגדול ביותר עשוי להיות מספר רב של שותפים עסקיים קטנים בשרשרת האספקה שלו. דו"ח WEF מדגיש "חוסר נראות ופיקוח" על עמדת האבטחה של הספקים כסיכון מוביל. ספקים בהקשר זה יכולים להיות כל דבר, החל מתורם בקוד פתוח לשותף שירותים מקצועי או MSP.
עם זאת, בעוד 63% מהמשיבים לדו"ח ציינו "נוף איומים מורכב ומתפתח" כאתגר המשמעותי ביותר שלהם להפיכתם לגמישות הסייבר, המכשול הראשון - לעתים בלתי עביר - הוא עבור CISOs ומועצות המנהלים שלהם לבנות מקרה כלכלי להשקעה נוספת בסייבר. או כפי שמנסח זאת WEF: "הצורך של מנהיגים לכמת את סיכוני הסייבר וההשפעות הכלכליות שלהם כדי להתאים את ההשקעות עם יעדי הליבה העסקיים."
תחילת העבודה
הרגולציה היא הפיל בחדר כאן. למרות שחקיקה מתוכננת היטב יכולה לספק מיקוד חשוב עבור צוותי אבטחה במאמציהם לנהל סיכונים, הנוף הרגולטורי הנוכחי הפך למאתגר ביותר לניווט. שלושה רבעים (76%) מארגוני ה-CISO באסיפה השנתית שצוטטה בעבר של WEF דיווחו ככל הנראה כי "פיצול התקנות בין תחומי השיפוט משפיע מאוד על יכולת הארגונים שלהם לשמור על ציות". זה מצלצל עם ה-ISMS.online דוח מצב אבטחת מידע לשנת 2024, אשר חושף כי 65% מהמשיבים מוצאים שהקצב המהיר של השינויים הרגולטוריים מקשה על הציות לשיטות העבודה המומלצות לאבטחת מידע.
זה המקום שבו תקנים והסמכות יכולים לעזור על ידי מתן היסודות שעליהם ניתן לבנות תוכניות ציות לרגולציה. מכיוון שרבות מהתקנות הללו דורשות פריסת אותן שיטות עבודה מומלצות, הן גם יכולות לחסוך זמן, כסף ומאמץ. זו הסיבה ש-59% מהמשיבים למחקר ISMS.online טוענים שהם מתכננים להגדיל את ההוצאות על תוכניות אלו במהלך השנה הקרובה.
מלאכי ווקר, יועץ אבטחה ב-DomainTools, טוען כי גישה זו לא רק תסייע למאמצי הציות לרגולטורים, אלא גם יכולה להניע יתרון תחרותי בצורה של זכאות ליותר חוזים, יעילות צוות האבטחה והגברת אמון הלקוחות.
"תקני שיטות עבודה מומלצות כמו NIST CSF, SOC 2 ו-ISO 27001 סוגרים את הפער הזה על ידי מתן צעדים מעשיים וספציפיים שארגונים יכולים לבצע כדי להגביר את חוסן הסייבר שלהם", הוא אומר ל-ISMS.online.
"כל ארגון, לא משנה גודלו, יכול להגביל את בקרות הגישה לנתונים רגישים, לפתח ולתרגל תוכנית תגובה לאירועים, ולהתאר באילו תחומים בארגון שלהם הם הפגיעים ביותר. אם הם מתקרבים לעמידה בשלושת השלבים הללו בראש, תאימות וחוסן אבטחת סייבר יהיו ניתנים להשגה יותר."
כפי שמציינת WEF בדו"ח שלה: "הזמן לפעול הוא עכשיו".
